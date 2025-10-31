Instituția atrage atenția că mii de organizații din România care intră sub incidența acestei directive riscă sancțiuni de până la 500.000 de lei dacă nu se înscriu de urgență în Registrul entităților. Avertismentul a fost lansat de Gabriel Dinu, director adjunct al DNSC, în cadrul Forumului de Securitate Cibernetică în Energie, organizat la Cluj.

Potrivit oficialului, România a reușit să transpună Directiva NIS II în legislația națională la finalul anului trecut, fiind printre primele șase state europene care au realizat acest pas. În prezent, doar 12 țări din Uniunea Europeană au implementat complet directiva, iar România se menține în grafic în raport cu alte state membre. După adoptarea legislației, au fost emise și primele norme subsecvente, iar procesul de înscriere a entităților esențiale a început oficial.

Termenul limită pentru înscriere a expirat pe 22 septembrie, însă multe organizații nu s-au conformat. DNSC recomandă acestora să trimită de urgență cererile de înscriere, pentru a evita amenzile semnificative. Instituția reamintește că sancțiunea maximă pentru neînscriere poate ajunge la 500.000 de lei.

Directiva NIS II stabilește cerințe stricte pentru entitățile considerate esențiale sau importante din punct de vedere al securității cibernetice. Printre obligațiile principale se numără implementarea măsurilor de gestionare a riscurilor și desemnarea responsabililor pentru securitatea rețelelor și sistemelor informatice. Conducerea organizațiilor are responsabilitatea directă de a implementa aceste cerințe și de a urma cursuri specializate pentru a înțelege și gestiona riscurile asociate.

„Am reuşit să transpunem Directiva NIS în legislaţia naţională la sfârşitul anului trecut. Am fost între primele şase ţări care am făcut acest lucru. În momentul de faţă, sunt 12 ţări care au reuşit transpunerea, în Uniunea Europeană, deci încă suntem în grafic faţă de alte state. Am reuşit între timp să emitem şi primele norme subsecvente, astfel încât s-a început procesul de înscriere a entităţilor esenţiale. Termenul de înscriere a şi trecut, pe 22 septembrie s-a determinat acest termen. Din păcate, nu s-au înscris toate organizaţiile care aveau această obligaţie, sens în care, celor care reprezentaţi organizaţii ce intră sub incidenţa Directivei NIS II vă fac recomandarea de a transmite de urgenţă către DNSC cererea de înscriere în Registrul entităţilor. Vă amintesc, de asemenea, că amenda pentru neînscrierea în registru ajunge până la 500.000 lei”, a spus Gabriel Dinu, la Forumul de Securitate Cibernetică în Energie.

Directiva impune, de asemenea, instruirea personalului pentru creșterea gradului de conștientizare asupra amenințărilor cibernetice și implementarea unor politici de reziliență adaptate dimensiunii și specificului fiecărei entități. Totodată, organizațiile trebuie să raporteze DNSC incidentele semnificative de securitate cibernetică. Deși incidentele nu au lipsit în acest an, DNSC precizează că nu s-au înregistrat cazuri cu impact major asupra infrastructurilor critice.

„Practic, aceasta este baza directivei. Bineînţeles, există obligaţia de a raporta către DNSC incidentele semnificative. Din fericire, anul acesta, deşi incidentele nu au lipsit, nu am avut incidente care să genereze un impact care să ne ducă într-o zonă mediatică foarte relevantă”, a mai spus oficialul DNSC.

În prezent, DNSC analizează documentele și notificările transmise de organizațiile care s-au înscris deja, pentru a le încadra în categoriile corespunzătoare de risc. Pe baza acestei clasificări, vor fi aplicate obligațiile și cerințele proporționale fiecărei entități.

După finalizarea analizei și emiterea deciziilor de înregistrare, primele două fiind deja aprobate, entitățile vor avea la dispoziție 60 de zile pentru a realiza evaluarea propriului nivel de risc. Acest proces va determina categoria de cerințe de securitate cibernetică care se aplică fiecărei organizații.

Evaluarea riscului se va face printr-un sistem de calcul ce ține cont de dimensiunea entității, tipul de activitate, probabilitatea și impactul potențial al incidentelor. Pe baza scorului obținut, fiecare organizație va ști ce nivel de cerințe de securitate trebuie să implementeze.

După acest pas, entitățile vor trebui să efectueze și o autoevaluare a nivelului de maturitate în domeniul securității cibernetice. DNSC va pune la dispoziție un instrument dedicat pentru a facilita acest proces.

„Această evaluare a nivelului de risc este foarte relevantă pentru că, în funcţie de categoriile de risc care sunt relevante pentru entitate, probabilitatea şi impactul acestora şi de dimensiunea entităţii, printr-un calcul destul de simplu, se va ajunge la un scor care le va încadra într-o anumită categorie în ceea ce priveşte complexitatea cerinţelor de securitate cibernetică pe care va trebui să le implementeze. Este un pas foarte relevant, pentru că el stabileşte obligaţiile viitoare ale organizaţiei pe o perioadă semnificativă de timp. De asemenea, după realizarea acestui pas, după transmiterea către noi a rezultatului evaluării nivelului de risc, entităţile vor trebui să-şi facă autoevaluarea nivelului de maturitate”, a subliniat Gabriel Dinu.

Rezultatul autoevaluării trebuie urmat de elaborarea unui plan de măsuri pentru remedierea eventualelor deficiențe și atingerea nivelului optim de protecție. În cazul entităților esențiale, planul de măsuri va fi transmis către DNSC pentru monitorizare și verificare pe termen lung.

„În funcţie de categoria de cerinţe care i se aplică, entitatea va utiliza un instrument pe care noi îl vom pune la dispoziţie, pentru a evalua în ce măsură a implementat cerinţele de securitate, controalele care sunt prevăzute de cerinţă. Este un pas la fel foarte important, pentru că, la sfârşitul acestui pas, organizaţia îşi va face un plan de măsuri pentru remedierea deficienţelor şi pentru atingerea nivelului optim de securitate, plan de măsuri care, în cazul entităţilor esenţiale, trebuie să fie transmis şi către DNSC, pentru a putea să fie monitorizat în perioada următoare”, a completat Gabriel Dinu.

Avertismentul DNSC a fost lansat în cadrul celei de-a treia ediții a Forumul de Securitate Cibernetică în Energie, organizat la Cluj de Distribuție Energie Electrică România (DEER). Evenimentul, desfășurat joi și vineri, reunește reprezentanți de prim-plan din sectorul energetic și din domeniul tehnologiei informației, oferind o platformă de dialog și prezentare a celor mai recente soluții și tehnologii în domeniul securității cibernetice.