Ce este NIS2
Directiva NIS2: Ghidul Complet pentru Organizațiile din România
Directiva NIS2 (Directiva (UE) 2022/2555) este cea mai importantă legislație europeană în domeniul securității cibernetice, care stabilește măsuri pentru un nivel ridicat comun de securitate cibernetică în Uniunea Europeană.
Ce este Directiva NIS2?
Directiva NIS2 (UE) 2022/2555 înlocuiește Directiva NIS originală din 2016 și extinde semnificativ domeniul de aplicare și cerințele pentru conformitatea de securitate cibernetică.
Aspecte cheie ale NIS2:
- Acoperire extinsă: Se aplică întreprinderilor mici, mijlocii și mari din sectoare critice
- Cerințe îmbunătățite: Impune măsuri cuprinzătoare de management al riscurilor de securitate cibernetică
- Guvernanța consolidată: Solicită responsabilitatea conducerii pentru măsurile de securitate cibernetică
- Penalități semnificative: Introduce amenzi substanțiale pentru neconformitate, până la 10 milioane EUR sau 2% din cifra de afaceri globală
Cine este afectat de NIS2?
Entități Esențiale (Essential Entities)
Organizații din sectoare critice cu minimum 250 de angajați sau cifră de afaceri ≥ 50 milioane EUR:
- Energie: Furnizori de energie electrică, petrol, gaze naturale
- Transporturi: Transport aerian, feroviar, naval și rutier
- Sectorul bancar și financiar: Instituții de credit și de plăți
- Sănătate: Furnizori de servicii de sănătate și entități farmaceutice
- Apă potabilă: Furnizori de apă pentru consum uman
- Infrastructura digitală: Puncte de schimb internet, DNS, TLD
- Administrația publică: Autorități publice centrale și locale
- Spațiul cosmic: Operatori de sisteme spațiale
Entități Importante (Important Entities)
Organizații din sectoare importante cu minimum 50 de angajați sau cifră de afaceri ≥ 10 milioane EUR:
- Servicii poștale și de curierat
- Gestiunea deșeurilor
- Producție și prelucrare de substanțe chimice
- Producția de produse alimentare
- Producerea echipamentelor medicale
- Echipamente electronice
- Mașini și echipamente
- Vehicule cu motor
- Furnizori de servicii digitale
Implementarea NIS2 în România
România a transpus Directiva NIS2 prin Ordonanța de Urgență nr. 155/2024 privind securitatea cibernetică, care a intrat în vigoare pe 17 octombrie 2024.
Autoritatea Națională Competentă
Directoratul Național de Securitate Cibernetică (DNSC) este autoritatea competentă responsabilă pentru:
- Supravegherea implementării măsurilor de securitate cibernetică
- Coordonarea răspunsului la incidentele cibernetice
- Aplicarea sancțiunilor pentru neconformitate
- Oferirea de orientări și sprijin pentru entități
Ce trebuie să faceți pentru conformitate?
1. Verificați dacă organizația dvs. intră sub incidența NIS2
Utilizați criteriile de mai sus pentru a determina dacă sunteți o entitate esențială sau importantă.
2. Înregistrați-vă la DNSC
IMPORTANT: Toate entitățile care intră sub incidența NIS2 trebuie să se înregistreze la DNSC.
3. Implementați măsurile de securitate cibernetică
Măsuri obligatorii conform NIS2:
a) Managementul riscurilor de securitate cibernetică:
- Politici de analiză și evaluare a riscurilor
- Măsuri de securitate pentru sisteme și rețele
- Managementul incidentelor de securitate cibernetică
b) Securitatea în achiziții:
- Evaluarea riscurilor pentru furnizori și parteneri
- Măsuri de securitate în lanțul de aprovizionare
c) Securitatea pentru sisteme și rețele:
- Controlul accesului și managementul identității
- Criptografia și securitatea comunicațiilor
- Segmentarea și monitorizarea rețelei
d) Managementul vulnerabilităților:
- Identificarea și gestionarea vulnerabilităților
- Actualizări și patch-uri de securitate
- Testarea de securitate
e) Planuri de continuitate a activității:
- Planuri de răspuns la incidente
- Backup și proceduri de recuperare
- Testarea periodică a planurilor
f) Formarea personalului:
- Programe de conștientizare în securitate cibernetică
- Formare specifică pentru personal responsabil
4. Raportarea incidentelor
Obligații de raportare:
- 24 de ore: Notificare inițială către DNSC
- 72 de ore: Raport intermediar cu detalii suplimentare
- 30 de zile: Raport final cu analiza incidentului
Sancțiuni pentru neconformitate
Amenzi administrative:
Pentru entități esențiale:
- Până la 10 milioane EUR sau
- 2% din cifra de afaceri anuală globală
Pentru entități importante:
- Până la 7 milioane EUR sau
- 1,4% din cifra de afaceri anuală globală
Sancțiuni suplimentare:
- Suspendarea activității
- Interzicerea exercitării unor funcții de conducere
- Publicarea deciziilor de sancționare
Timeline de implementare
2024:
- ✅ 17 octombrie: Intrarea în vigoare a OUG 155/2024
- ✅ Noiembrie-decembrie: Înregistrarea entităților la DNSC
2025:
- Q1-Q2: Implementarea măsurilor de securitate cibernetică
- Q3-Q4: Finalizarea conformității complete
Cum vă putem ajuta?
Participați la workshopurile oficiale DNSC pentru a înțelege cerințele și a vă pregăti pentru conformitate.
Beneficiile participării:
- Înțelegerea cerințelor specifice sectorului dvs.
- Exerciții practice de tip Tabletop (TTX)
- Ghidanță de la experții DNSC și ENISA
- Networking cu alte organizații din sector
Resurse utile
Documentație oficială:
Platforme de înregistrare:
Întrebări frecvente
P: Organizația mea este mică (sub 50 angajați). Sunt afectată de NIS2? R: Nu, NIS2 se aplică doar organizațiilor cu minimum 50 de angajați și cifră de afaceri ≥ 10 milioane EUR (entități importante) sau minimum 250 angajați și cifră de afaceri ≥ 50 milioane EUR (entități esențiale).
P: Când trebuie să mă înregistrez la DNSC? R: Înregistrarea trebuie făcută cât mai curând posibil. Recomandăm înregistrarea imediată pentru a evita sancțiunile.
P: Ce se întâmplă dacă nu mă conformez la timp? R: Riscați amenzi substanțiale și alte măsuri administrative. Este esențial să începeți procesul de conformitate cât mai curând.
P: Cum știu ce măsuri de securitate trebuie să implementez? R: Participați la workshopurile DNSC din sectorul dvs. pentru ghidanță detaliată și specifică.
Contact și suport
Pentru informații suplimentare și suport în procesul de conformitate NIS2:
Email: office@nis2.city
Adresă: Str. Filantropiei, 1-3, 200143, Craiova, România
Această pagină oferă informații generale despre NIS2. Pentru consiliere specifică organizației dvs., contactați-ne.