Directiva NIS2 și securitatea cibernetică

Directiva NIS2 este o legislație actualizată a UE care înlocuiește directiva NIS originală. Obiectivul principal este creșterea nivelului de securitate cibernetică în toate statele membre și consolidarea protecției infrastructurii organizațiilor critice și importante.

În România, directiva NIS2 a fost transpusă prin Ordonanța de Urgență a Guvernului nr. 155/2024 (OUG 155/2024), adoptată la 30 decembrie 2024 și aprobată ulterior prin Legea nr. 124/2025. Autoritatea națională responsabilă de aplicare este Directoratul Național de Securitate Cibernetică (DNSC). Obligațiile operaționale au intrat în vigoare în august 2025, odată cu publicarea ordinelor DNSC nr. 1/2025 și 2/2025, care reglementează procedura de înregistrare și metodologia de evaluare a riscurilor. Entitățile vizate au avut la dispoziție 30 de zile de la 20 august 2025 pentru înregistrarea la DNSC, urmată de o evaluare a maturității cibernetice în termen de 60 de zile de la confirmare.

Cine este vizat de directiva NIS2?

Față de directiva NIS originală, sfera de aplicare se extinde semnificativ. Noua directivă cuprinde un spectru mai larg de sectoare: sănătate, transport, energie, gospodărirea deșeurilor și a apelor, servicii financiare și digitale. Se aplică și furnizorilor de servicii cloud și piețelor online. Sectorul producției este de asemenea vizat: producători de dispozitive medicale, mașini, echipamente electronice, autovehicule și alte mijloace de transport. Directiva NIS2 vizează zeci de mii de organizații din România, acoperind atât sectorul privat, cât și cel public.

Ce obligații trebuie să îndeplinească organizațiile?

• Detectarea, identificarea și înregistrarea incidentelor de securitate.
• Elaborarea procedurilor de gestionare a incidentelor, inclusiv a planului de recuperare și continuitate operațională.
• Efectuarea unei analize complete a riscurilor.
• Desemnarea persoanei responsabile cu securitatea cibernetică.
• Asigurarea unor instruiri periodice pentru angajați la toate nivelurile.

De când intră NIS2 în vigoare?

Cadrul legislativ român a intrat în vigoare odată cu OUG 155/2024 la sfârșitul anului 2024, iar obligațiile operaționale au devenit aplicabile din august 2025. Organizațiile vizate dispun de un an de la înregistrarea la DNSC pentru a implementa toate măsurile de securitate cerute.

Sancțiuni pentru nerespectarea obligațiilor

Neîndeplinirea cerințelor directivei NIS2 poate atrage sancțiuni financiare semnificative. Operatorii de servicii esențiale riscă o amendă de până la 10 milioane EUR sau 2 % din cifra de afaceri netă anuală, în funcție de care sumă este mai mare. Pentru operatorii de servicii obișnuite, plafonul este de 7 milioane EUR sau 1,4 % din cifra de afaceri. Autoritatea de control poate aplica o sancțiune repetată de până la dublul acestor limite.

Impactul NIS2 asupra întreprinderilor mici și mijlocii

Deși NIS2 vizează în primul rând organizațiile mari și furnizorii esențiali de servicii, va afecta și întreprinderile mici și mijlocii din anumite sectoare și lanțuri de aprovizionare.

Este prudent să se înceapă cât mai devreme gestionarea conformității cu directiva. Securitatea cibernetică este astăzi o necesitate, iar orice organizație cu 50 sau mai mulți angajați ar trebui să o trateze în primul rând în interes propriu, nu doar din obligație de reglementare.

Sectoarele vizate de directivă

• sănătate
• transport
• energie
• servicii bancare
• piețe financiare
• infrastructură digitală
• gestionarea serviciilor TIC
• administrație publică
• spațiu
• apă și gospodărirea deșeurilor
• producție (sectoare selectate)
• cercetare
• industrie chimică
• industrie alimentară
• servicii digitale
• servicii poștale și de curierat

Ce trebuie să îndeplinească concret fiecare sector?

Organizațiile din sectoarele menționate sunt obligate să se înregistreze la DNSC (Directoratul Național de Securitate Cibernetică), să identifice și să înregistreze incidentele de securitate, să elaboreze proceduri de gestionare a acestora inclusiv planul de recuperare, să efectueze o analiză a riscurilor și să implementeze măsuri de securitate adecvate. Este necesară și desemnarea unei persoane responsabile și organizarea de instruiri periodice pentru angajați.

Cele mai frecvente riscuri de securitate

Principalele riscuri pentru organizații sunt: absența segmentării rețelei, protecția insuficientă a perimetrului, accesul nesecurizat la internet, protecția slabă a serviciilor de e-mail și securitatea redusă a stațiilor de lucru.

Alte vulnerabilități critice includ permisiunile excesive ale utilizatorilor obișnuiți, absența autentificării multifactor, parolele slabe, ciclul disfuncțional de gestionare a identităților, hardware-ul și software-ul învechit cu vulnerabilități cunoscute și vizibilitatea redusă a traficului de rețea.

La capătul acestui lanț se află gestionarea deficitară sau absentă a jurnalelor de evenimente, backup-ul insuficient și absența planurilor de recuperare și de răspuns rapid la incidente.

Un risc aparte îl reprezintă angajatul insuficient instruit. Tocmai în cadrul activităților de rutină apare spațiul pentru un incident cibernetic. O abordare consacrată este conceptul Zero Trust, care presupune că niciun utilizator, dispozitiv sau rețea nu este automat de încredere, nici în cadrul infrastructurii interne a companiei. Organizațiile ar trebui să se concentreze și pe gestionarea centralizată a identităților, inclusiv a conturilor privilegiate.

Securitatea cibernetică este un domeniu complex, fără o soluție universală. Este întotdeauna o combinație de oameni, procese și tehnologii. Directiva NIS2 nu aduce concepte radical noi se bazează pe principii de securitate verificate, care ar trebui să fie standardul oricărei organizații responsabile.