Sfârșitul anului 2024 a adus un nou cadru legislativ în domeniul securității cibernetice, România adoptând Ordonanța de Urgență nr. 155/2024 privind securitatea cibernetică a rețelelor și sistemelor informatice naționale. Această ordonanță transpune Directiva NIS 2, întărind măsurile de siguranță pentru rețele și sisteme informatice în contextul amenințărilor cibernetice în continuă creștere. Organizațiile din sectoare critice sau importante sunt obligate să respecte un ansamblu complex de obligații pentru o mai mare reziliență cibernetică.
Principalele modificări ale OUG 155/2024
Transpunerea Directivelor NIS 2 extinde considerabil sfera de aplicare, vizând două categorii de organizări: cele esențiale și cele importante. Organizațiile esențiale activează în sectoare cruciale pentru societate (energie, transport, sănătate, infrastructură digitală), având un impact semnificativ asupra economiei. Organizațiile importante, deși nu îndeplinesc toate criteriile pentru a fi considerate esențiale, activează în sectoare relevante și influențează continuitatea economică.
Organizațiile trebuie să efectueze o autoevaluare pentru a stabili dacă sunt afectate de noua reglementare. În cazul confirmării, aceste organizații au obligația de a se înregistra la Directoratul Național pentru Securitate Cibernetică (DNSC) în termen de 30 de zile de la intrarea în vigoare a OUG sau de la aplicabilitatea acestor prevederi.
Pentru o notificare standardizată, DNSC a emis un proiect de ordin care stabilește cerințele de înregistrare și modalitățile de transmisie a informațiilor. Documentul prevede utilizarea Platformei ATHENA și a Instrumentului NIS2@RO pentru facilitarea procesului de evaluare și notificare.
Platforma ATHENA permite înregistrări online, gestionarea notificărilor și comunicarea cu DNSC. În cazul indisponibilității platformei, entitățile pot utiliza Instrumentul NIS2@RO. Formularul de înregistrare include detalii despre entitate, mărime, servicii, persoana responsabilă de securitatea cibernetică și datele rețelelor informatice. Se folosește semnătură electronică.
Proiectul de ordin subliniază importanța autoevaluării și documentării măsurilor de securitate, cerând dovada respectării cerințelor legale. Acest document este în proces de consultare publică.
Obligațiile esențiale din OUG 155/2024 presupun implementarea unor măsuri tehnice și organizaționale pentru gestionarea riscurilor cibernetice. Aceste măsuri trebuie să asigure trasabilitatea activităților, politici de evaluare a riscurilor, protecția lanțului de aprovizionare și metode avansate de autentificare. Organizațiile trebuie să suporte audituri periodice de securitate cibernetică, stabilite de DNSC, și pot fi supuse auditurilor ad-hoc.
Este obligatorie raportarea incidentelor de securitate cibernetică. Notificarea anticipată se face în 24 de ore, urmată de un raport detaliat în 72 de ore și un raport final în o lună de la notificare. Pot fi solicitate rapoarte intermediare. Toate raportarea se face exclusiv prin intermediul Platformei Naționale pentru Raportarea Incidentelor de Securitate Cibernetică (PNRISC).
Sancțiunile prevăzute sunt semnificative, amenzile putând ajunge la 10 milioane EUR sau 2% din cifra de afaceri pentru entitățile esențiale și la 7 milioane EUR sau 1,4% din cifra de afaceri pentru cele importante. DNSC poate solicita suspendarea certificării sau autorizării sau interdicții pentru funcții de conducere în cazuri de entități esențiale.
DNSC va publica un ordin care specifică metodologia pentru efectuarea auditului de securitate cibernetică și evaluarea nivelului de maturitate. Acest ordin va stabili criterii pentru periodicitatea auditului, conținutul rapoartelor de audit, inclusiv vulnerabilități și recomandări de remediere, și colaborarea cu entitățile.
Relația dintre NIS2 și GDPR
Noul cadru legislativ are implicații asupra protecției datelor cu caracter personal. Incidentele care implică date personale trebuie raportate și către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) în 72 de ore. Implementarea măsurilor de securitate trebuie să respecte principiul „privacy by design”, iar prelucrarea datelor sensibile sau introducerea de noi sisteme informatice necesită evaluări de impact conform articolului 35 din GDPR.
Concluzii
Conformarea cu noua reglementare este crucială pentru reziliența cibernetică și protecția datelor. Cerințele sunt complexe, dar oferă o oportunitate de consolidare a securității organizațiilor și de evitare a riscurilor.