La data de 31 decembrie 2024, a intrat in vigoare Ordonanta de Urgenta nr. 155/2024 (OUG 155/2024), care stabileste cadrul legislativ pentru securitatea cibernetica a retelelor si sistemelor informatice din Romania. Actul normativ transpune Directiva (UE) 2022/2555, cunoscuta sub numele de Directiva NIS (Network and Information Security Directive) 2, si impune cerinte de conformitate pentru entitatile care opereaza in sectoare considerate critice sau importante pentru functionarea societatii si economiei. Autoritatea competenta pentru aplicarea si monitorizarea prevederilor ordonantei este Directoratul National de Securitate Cibernetica (DNSC).
Trei criterii pentru evaluarea conformitatii unei companii cu OUG 155/2024
Primul pas pe care trebuie sa il aiba in vedere companiile in vederea asigurarii conformarii cu cerintele OUG 155/2024 este sa efectueze o analiza preliminara pentru a vedea in ce masura cadrul legislativ in materia securitatii cibernetice le este aplicabil. Pentru a stabili daca intra sub incidenta ordonantei, fiecare entitate trebuie sa efectueze o analiza interna bazata pe trei criterii.
Aplicabilitatea ordonantei se stabileste, in primul rand, prin identificarea sectorului de activitate, lucru realizat prin verificarea codurilor CAEN autorizate conform Registrului Comertului si care trebuie sa corespunda celor listate in anexele 1 si 2 ale OUG 155/2024. Doar activitatile autorizate la Registrul Comertului pot genera obligatii de inregistrare. In lipsa unor coduri CAEN relevante sau autorizate, entitatea nu este supusa cerintelor ordonantei.
De asemenea, este important de determinat dimensiunea companiei. Aceasta este stabilita conform Legii nr. 346/2004 privind stimularea infiintarii si dezvoltarii intreprinderilor mici si mijlocii, in functie de o serie de aspecte, precum numarul mediu de angajati, cifra de afaceri sau totalul activelor principale ale societatii. Aceasta clasificare presupune un demers de analiza complex si esential pentru diferentierea intre entitatile esentiale si cele importante, in scopul aplicarii proportionale a obligatiilor relevante din perspectiva prevederilor OUG 155/2024.
Al treilea criteriu de luat in considerare este profilul entitatii. O companie poate fi considerata importanta sau esentiala chiar si in lipsa indeplinirii primelor doua criterii, daca are un impact sistemic sau strategic asupra sanatatii publice, economiei, sigurantei cetatenilor sau securitatii nationale. Acest criteriu este reglementat in articolele 9 si 10 din OUG 155/2024.
Recent, pe 30 aprilie, DNSC a publicat in transparenta decizionala un nou proiect de ordin pentru aprobarea criteriilor si pragurilor de determinare a gradului de perturbare a unui serviciu si a metodologiei de evaluare a nivelului de risc al entitatilor. Proiectul referitor la evaluarea nivelului de risc detaliaza criteriile si pragurile de determinare a gradului de perturbare a unui serviciu, precum si modalitatea prin care entitatile isi calculeaza scorul in acest sens, pornind de la valorile de baza aferente sectorului din care fac parte, prevazute in cadrul uneia dintre anexele proiectului de ordin, precum si in conformitate cu dimensiunea acestora.
In fiecare vineri, la sediul DNSC sunt organizate consultari publice dedicate implementarii OUG 155/2024, la care pot participa reprezentanti ai entitatilor vizate, consultanti si alti actori relevanti pentru sectorul securitatii cibernetice. Aceste sesiuni de lucru reprezinta o oportunitate importanta de a adresa intrebari directe si de a contribui la modelarea detaliilor procedurale.
Care sunt obligatiile si termenele pe care companiile trebuie sa le aiba in vedere?
Companiile care se incadreaza in prevederile OUG 155/2024 trebuie sa tina cont de anumite aspecte, precum inregistrarea in Registrul Entitatilor esentiale gestionat de DNSC, desemnarea unei persoane de contact pentru gestionarea relatiei cu autoritatea, implementarea unor masuri tehnice si organizationale pentru protejarea sistemelor informatice si notificarea incidentele de securitate in termenul prevazut de lege.
Termenul de inregistrare in registru este de 30 de zile de la data intrarii in vigoare a OUG 155/2024 sau de la momentul la care conditiile devin aplicabile pentru o entitate. Totusi, cerintele legislative vor deveni aplicabile doar la momentul la care vor exista instrumentele tehnice puse la dispozitie de catre DNSC si care vor operationaliza Registrul Entitatilor si procedura de notificare. DNSC a emis un proiect de ordin la finalul lunii aprilie, care are ca obiect procedura de notificare si modul de transmitere a informatiilor in Registrul Entitatilor, astfel incat obligatia va deveni aplicabila pentru companii incepand cu publicarea acestuia in Monitorul Oficial.
Instrumente de suport
Conform proiectului de ordin referitor la procedura de notificare emis de DNSC, autoritatea ofera sprijin prin platforma NIS2@RO atat pentru autoevaluare si informare, cat si pentru depunerea documentelor de inregistrare si notificare. Aceasta platforma este inca in faza de dezvoltare tehnica, nefiind operationala pentru moment.
O alta optiune pentru realizarea unei analize la nivelul organizatiei in vederea verificarii incadrarii in categoria de entitati din domeniul de aplicare a OUG 155/2024 pot fi si instrumentele de autoevaluare.
Asteptarile pentru perioada urmatoare
Dupa publicarea celor doua proiecte de ordin ale DNSC in Monitorul Oficial, entitatile vizate de OUG 155/2024 vor avea la dispozitie toate clarificarile necesare legate de documentatia ce va trebui depusa la autoritatea competenta, platforma de transmitere a notificarilor si etapele de verificare procedurala.
In contextul actual, este esential ca entitatile vizate sa acorde o atentie sporita in ceea ce priveste intrarea sau nu sub sfera de aplicare a OUG 155/2024 si, ulterior publicarii proiectelor de ordin in Monitorul Oficial, sa se concentreze pe inregistrarea in Registrul Entitatilor.
