România a pus în aplicare una dintre cele mai ferme reglementări pentru companii publice și private – amenzile ajung la 10 milioane de euro
România a început să aplice o lege foarte strictă pentru companii și organizații, Directiva europeană NIS2, care se ocupă de securitatea cibernetică, potrivit unui comunicat de presă emis de APSAP.
Companiile care nu respectă legea pot primi amenzi uriașe: până la 10 milioane de euro sau 2% din cifra lor de afaceri. Acum, responsabilitatea principală este a conducerii firmelor, nu doar a departamentului IT, iar sancțiunile sunt foarte severe. Firmele trebuie să desemneze un responsabil NIS care să fi urmat un curs specializat.
Deși legea a intrat în vigoare la sfârșitul lui 2025, multe companii încă nu respectă regulile. În România, între 15.000 și 20.000 de entități trebuie să se conformeze NIS2, mult mai multe față de aproximativ 1.000 cât erau reglementate anterior de NIS1. Aceste firme trebuie să: implementeze măsuri de securitate cibernetică, raporteze incidentele importante, treacă prin audituri de securitate.
Ce este NIS2 și ce tip de firme sunt vizate?
România a aplicat Directiva europeană NIS2, o lege foarte strictă pentru securitatea cibernetică. Se aplică aproape tuturor organizațiilor: companii din diferite domenii, spitale, instituții publice etc.
- Legea a fost introdusă prin OUG nr. 155/2024 și are efect imediat.
- Directoratul Național de Securitate Cibernetică (DNSC) se ocupă de control și sancțiuni.
Cine este vizat:
- Entități esențiale: energie, transporturi, sănătate, apă, sector bancar și financiar, infrastructură digitală.
- Entități importante: servicii poștale, deșeuri, industrie chimică, alimentară, producție, servicii digitale (cloud, datacenter), cercetare etc.
Ce trebuie să facă firmele:
- Să aibă măsuri tehnice și organizaționale de securitate cibernetică.
- Să facă audituri de securitate.
- Să raporteze incidentele importante.
- Să facă autoevaluări și planuri de remediere.
- Să aloce resurse pentru securitate.
- Conducerea trebuie să urmeze cursuri de securitate cibernetică și să desemneze responsabili IT.
Amenzi:
- Entități esențiale: 10.000 lei – 10 milioane euro sau până la 2% din cifra de afaceri globală.
- Entități importante: 5.000 lei – 7 milioane euro sau până la 1,4% din cifra de afaceri globală.
- Pentru încălcări administrative mai mici: 1.000 – 600.000 lei.
- Pentru încălcări grave sau repetate: până la 600.000 lei, fără alte restricții.
Schimbare importantă:
- Acum răspunderea cade pe conducere, nu doar pe IT.
- Membrii managementului pot fi sancționați dacă nu supraveghează securitatea, nu alocă resurse, nu desemnează responsabili sau nu urmează cursuri.
„NIS2 nu este un exercițiu birocratic și nici o simplă formalitate. Este o schimbare de mentalitate. Orice entitate vizată care tratează superficial această reglementare își asumă riscuri financiare uriașe, dar și riscuri reputaționale și operaționale majore. Vedem deja tendința clară la nivel european: controale, audituri, sancțiuni reale. Conducerea organizațiilor trebuie să înțeleagă că lipsa pregătirii și a conformării va costa mult mai mult decât investiția în prevenție, formare și audit”, a declarat Bogdan Costin Fârșirotu, Președintele Centrului de Formare APSAP, potrivit unui comunicat de presă.
Președintele APSAP spune clar că responsabilitatea nu mai este a IT-ului, ci a conducerii firmei. Conducerea trebuie să: supravegheze aplicarea măsurilor de securitate, urmeze cursuri de formare, aloce resursele necesare.
O obligație foarte importantă, pe care multe firme o ignoră, este să desemneze un responsabil NIS care să fi urmat un curs autorizat de DNSC. De asemenea, trebuie să facă audituri periodice de securitate, doar cu auditori autorizați DNSC. Nerespectarea acestor reguli atrage răspunderea firmei și a conducerii.
APSAP este unul dintre puținii furnizori autorizați în România care oferă cursuri pentru: responsabil NIS, auditor de securitate cibernetică
Legea prin OUG 155/2024 transformă securitatea cibernetică dintr-o chestiune tehnică într-o obligație legală cu amenzi mari, care pot afecta grav orice organizație.
