Prin ordonanța de urgență adoptată la finalul anului (OUG 155/2024), este implementat în România un nou cadru juridic privind măsurile și mecanismele necesare pentru asigurarea securității cibernetice a rețelelor și sistemelor informatice. Obligațiile sunt aplicabile entităților esențiale și importante, astfel cum sunt calificate conform OUG 155, respectiv entități care îndeplinesc criteriile de mărime și relevanță stabilite prin ordonanță și care desfășoară activități în domeniile identificate în anexele ordonanței.
Sunt vizate sectoare precum energie, transport, domeniul financiar – bancar, sănătate, apă potabilă și ape uzate, infrastructură digitală, servicii IT&C, servicii spațiale, servicii poștale și de curierat, gestionarea deșeurilor, producția și distribuția de substanțe chimice, sectorul alimentar, dar și activitățile de producție aferente fabricării de dispozitive medicale, mașini și echipamente de transport, computere, produse electronice și optice, echipamente electrice etc.
Pe scurt, principalele obligații prevăzute de legislație:
- Înregistrarea la Directoratul National de Securitate Cibernetica (DNSC), autoritatea competenta in domeniu, în registrul entităților esențiale si importante.
- Realizarea și transmiterea către DNSC de autoevaluări anuale cu privire la nivelul de risc, în conformitate cu cerințe ce urmează a fi stabilite de DNSC.
- Implementarea de măsuri de gestionare a riscurilor de securitate cibernetică, conform standardelor aprobate de DNSC, ce vizează atât aspecte de guvernanță (e.g. implementarea de politici, proceduri și procese interne), cât și aspecte tehnice.
- Realizarea de audituri de securitate periodice.
- Raportarea către DNSC (prin platforma PNRISC) a incidentelor de securitate cu impact semnificativ sau cu efecte transfrontaliere
- Desemnarea unor responsabili cu securitatea rețelelor și sistemelor informatice (Responsabil NIS)
- Asigurarea formării profesionale a întregului personal și în special a membrilor organelor de conducere, ce vor trebui să urmeze cursuri acreditate în vederea asigurării unui nivel suficient de cunoștințe și competente pentru a identifica riscurile și a evalua practicile de gestionare a riscurilor de securitate cibernetică.
- Totodată, sunt instituite obligații și responsabilități specifice pentru organele de conducere ale entităților esențiale și importante, care, conform OUG 155, aprobă măsurile de gestionare a riscurilor de securitate cibernetică, supraveghează punerea acestora în aplicare și sunt responsabile de încălcarea acestor dispoziții.
Ca precizare importantă, în acest moment nu există norme tehnice și legislație subsecventă cu privire la implementarea OUG 155 – din acest motiv, majoritatea obligațiilor nu sunt încă, în practică, aplicabile. DNSC a anunțat că ordinele directorului DNSC necesare pentru implementarea noii legislații vor fi emise în primul trimestru al 2025.