În cadrul evenimentului, s-a discutat despre Directiva NIS 2, transpusa în legislația din România încă din anul anterior. Companii din diverse sectoare sunt obligate să respecte prevederile acestei norme, altfel riscând amenzi care variază de la 10.000 de lei și pot ajunge până la 10 milioane de euro sau 2% din cifra de afaceri, în funcție de gravitatea încălcărilor. În esență, este vorba despre o lege care impune mai multor categorii de firme, active în domenii considerate strategice sau esențiale, să implementeze măsuri de protecție împotriva atacurilor cibernetice.
Înainte de a detalia ce companii sunt vizate de NIS 2, care sunt obligațiile de conformare și ce penalizări riscă, menționăm existența pe piața din România a unor produse de asigurare, esențiale în cazul unor atacuri cibernetice grave. Ataacurile devin tot mai periculoase și complexe, fiind dificil de combătut chiar și pentru instituțiile financiare mari sau companiile din utilități, astfel că pentru întreprinderile mici și mijlocii, aceste situații pot avea consecințe catastrofale. În acest context, o poliță de asigurare cyber poate fi diferența între faliment și supraviețuire, având și un rol preventiv și de optimizare a sistemelor interne, facilitând conformitatea cu legislația, inclusiv NIS 2.
Cât costă și ce beneficii oferă o poliță de asigurare cibernetică, un posibil aliat în situații de atac major
Conform Elenei Durbaca, CEO al Leader Team Broker, o astfel de poliță are un cost de aproximativ 30.000 de euro pentru companiile mici și medii, și în jur de 50.000 de euro pentru întreprinderi de dimensiuni mai mari, din categoria IMM. Ce acoperă această asigurare?
„O poliță cyber completă acoperă, de regulă, costurile de răspuns la incidente, întreruperea activității, restaurarea datelor, atacurile de tip ransomware, precum și răspunderea față de terți, inclusiv breșe de date sau sancțiuni impuse de autorități. Valoarea reală a unei astfel de asigurări constă și în suportul operational imediat: acces nonstop la echipe de specialiști IT, juriști, experți în comunicare de criză și recuperare, pentru intervenții rapide în limitarea daunelor. Recomandarea este ca organizațiile să adopte o strategie proactivă, combinând protecția oferită de asigurare cu măsuri preventive solide: autentificare multifactor (MFA), actualizări regulate ale sistemelor, instruirea personalului și planuri de răspuns clar la incidente. Nicio companie nu poate elimina complet riscurile cibernetice, însă printr-o combinație de reziliență cibernetică și acoperire financiară, se poate diminua impactul atacurilor și asigura o revenire rapidă după evenimente critice.“, a spus Georgia Dicker, specialist în Cyber Insurance pentru UK&UE la CFC Underwriting. CFC, parte a sindicatului Lloyd’s of London, cel mai mare bursier din lume, gestionează o parte importantă din riscurile majore asumate de asigurători, inclusiv cele legate de cyber.
„Observăm o maturizare accelerată a pieței. Tot mai multe companii tratează riscul cibernetic în același cadru cu cele operaționale și de conformare ESG. În fapt, Cyber, ESG și energia verde devin piloni interdependenți în strategia de sustenabilitate și reziliență. În domeniul energiei regenerabile, riscurile cibernetice sunt direct legate de funcționarea echipamentelor și producția de energie. Sisteme precum SCADA, IoT și platformele de monitorizare fac aceste companii vulnerabile la atacuri ce pot opri producția și genera pierderi semnificative. Pachetele noastre Cyber & Operațional Risk Insurance sunt concepute pentru astfel de scenarii, asigurând protecție pentru întreruperea activității, atacuri ransomware, erori umane sau defecțiuni tehnologice”, a explicat Alexandra Elena Durbaca, CEO Leader Team Broker, partenerul din România al CFC Underwriting.
De asemenea, fondatoarea Leader Team evidențiază acoperirile oferite de o poliță Cyber: RĂSPUNS 24/7 la incidente cibernetice (analize forensics, consultanță juridică, PR, recuperare IT), acoperire pentru Ransomware, întreruperea activităților, costuri de notificare, training pentru angajați, recompense pentru hackeri, amenzi și penalități contractuale, cheltuieli de judecată și despăgubiri ulterioare. Unele dintre aceste acoperiri, precum „Cyber Incident Response”, sunt nu doar cerințe obligatorii conform NIS2, ci și servicii separate, plătite independent, care în cazul asigurării cyber vin complementare riscurilor principale.
NIS 2, explicat de experți cu experiență în FMI, NATO și Booking
Fondatorii HiveHack, companie specializată în securitate cibernetică și consultanță pentru aplicarea legislației în domeniu, au făcut o prezentare a prevederilor Directivei. HiveHack, înființată în 2023 de doi tineri antreprenori și experți în IT, Mathew și Alexa Joseph, deservesc clienți precum Fondul Monetar Internațional, Thomson Reuters, Booking.com sau Infosys. „Participăm la conferințe importante de cybersecurity, precum DEF CON Las Vegas, și suntem implicați continuu în exerciții naționale și internaționale de securitate cibernetică, cum ar fi LockedShields – un exercițiu de apărare cibernetică organizat de NATO”, a precizat Alexa Joseph. Mai jos sunt prezentate principalele puncte ale NIS 2, conform explicațiilor oferite de fondatori.
Ce reprezintă NIS2?
• NIS2 reprezintă continuarea Directivei NIS (Network and Information Security), stabilită prin Regulamentul (UE) 2022/2555, referitor la atingerea unui nivel comun înalt de securitate cibernetică la nivel european.
• Toate statele membre aveau obligația să transpune această directivă în legislația națională până la 17 octombrie 2024.
• În România, NIS 2 a fost implementată prin OUG 155/2024, adoptată în decembrie 2024.
• Ulterior, pe 7 iulie 2025, a fost emisă Legea 124/2025, aprobată cu modificări și completări, transformând-o în normativ definitiv.
Ce companii sunt vizate de NIS 2?
Entități esențiale:
• Instituții publice centrale
• Sectorele energetic, de transport (avion, feroviar, maritim, rutier etc.)
• Instituțiile bancare
• Operatorii infrastructurii pieței financiare
• Serviciile de sănătate
• Furnizorii de apă potabilă și epurare
• Gigantii digitali (piețe online, motoare de căutare, platforme social media)
• Organizațiile de cercetare
Entități importante:
• Servicii poștale și curierat
• Gestionarea deșeurilor
• Producția și distribuția de substanțe chimice
• Industriile alimentare (producție, prelucrare, distribuție)
• Companii de producție diverse
• Platforme digitale (marketplace-uri, motoare de căutare, social media)
• Organizații de cercetare
Obligații prevăzute de NIS 2
• Înregistrarea în registrele entităților importante sau esențiale
• Stabilirea măsurilor de gestionare a riscurilor
• Audituri periodice de securitate
• Autoevaluare anuală a nivelului de maturitate a măsurilor
• Desemnarea unui responsabil pentru securitatea cibernetică
• Raportarea incidentelor de securitate cibernetică
• Implementarea de măsuri tehnice, operaționale și administrative pentru identificarea, evaluarea și gestionarea riscurilor.
• Se calculează nivelul de risc sectorial conform metodologiei oficiale: https://legislatie.just.ro/Public/DetaliiDocumentAfis/301477
• 0–99 → Nivel introductiv
• 100–199 → Nivel important
• 200–1500 → Nivel critic
• În curs de publicare, Ordinul DNSC privind gestionarea riscurilor, programat pentru 4 noiembrie 2025.
Legea 124/2025 și măsurile minime obligatorii
• Politici și proceduri pentru analiza riscurilor și securitatea sistemelor, cu revizuiri periodice
• Evaluarea eficienței măsurilor adoptate
• Politici pentru utilizarea criptografiei
• Securitatea lanțului de aprovizionare, rețelelor și infrastructurilor
• Securitatea proceselor de achiziție, dezvoltare, întreținere și eliminare a sistemelor IT
• Protecția resurselor umane
• Gestionarea incidentelor
• Continuitatea operațiunilor în situații de dezastru
• Practici de igienă cibernetică și instruire în domeniu
• Autentificare multifactor
Auditul de conformitate
• Se realizează anual sau ad-hoc, de către auditori acreditați de DNSC
• Auditorii care au efectuat deja trei audituri consecutive la aceeași entitate nu pot continua verificările
• Nu pot efectua audit dacă există un contract în derulare pentru aceleași sisteme, mai mic de un an
• Evaluarea sistematică a politicilor, procedurilor și măsurilor de securitate IT
• Entitatea evaluată trebuie să elaboreze un plan de remediere în 15 zile lucrătoare și să îl transmită DNSC
• Toate măsurile implementate trebuie raportate și documentate în 5 zile de la finalizarea procesului.
Desemnarea unui responsabil pentru securitate cibernetică
• Are autoritate managerială și raport direct către conducere
• Funcționează independent de departamentul IT
• Accesează resursele necesare pentru monitorizarea și implementarea măsurilor
• Urmează un curs de specialitate recunoscut de DNSC în termen de 12 luni după numire
Raportarea evenimentelor de securitate
• Incidentele semnificative sunt cele care:
• Cauzează perturbări operaționale majore sau pierderi financiare
• Implică persoane fizice sau juridice cu prejudicii materiale sau nonmateriale
• Se raportează prin platforma PNRISC în termenul de:
• 6 ore pentru impact transfrontalier
• 24 de ore pentru avertizare timpurie
• 72 de ore pentru raportarea completă
• Un lună pentru rapoarte finale
Sancțiuni
• Amenzile variază între 10.000 lei și 10 milioane euro sau 2% din cifra de afaceri globală, meritând valoarea cea mai mare
• Nerespectarea înregistrării în registrele entităților critice poate implica sancțiuni între 1.000 și 300.000 lei pentru entitățile importante și între 1.500 și 500.000 lei pentru cele esențiale
• Membrii conducerii pot fi trași la răspundere pentru neconformare
Pașii următori
• 21 Noiembrie 2025 – stabilirea entităților esențiale
• 19 Februarie 2026 – identificarea entităților importante
• În 60 de zile de la identificare, entitățile trebuie să transmită evaluarea riscurilor
• Ulterior, în termen de 60 de zile, se face autoevaluarea nivelului de maturitate a măsurilor de gestionare a riscurilor