Ordonanța de urgență nr. 155/2024 | LegalFlash 118
Ordonanța de urgență nr. 155/2024 | LegalFlash 118
La sfârșitul anului 2024 a fost publicata Ordonanța de urgență nr. 155/2024 ce asigura transpunerea in cadrul național legal a Directivei 2022/2555 a Parlamentului European şi a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2004 şi a Directivei (UE) 2018/1972 şi de abrogare a Directivei (UE) 2016/1148, directivă cunoscută sub denumirea de NIS 2.
Scopul principal al actului normativ este asigurarea unui nivel ridicat de securitate cibernetică la nivel național, prin stabilirea unor măsuri de gestionare a riscurilor și a unor obligații de raportare pentru entitățile esențiale și importante.
Ordonanța se aplică unor categorii specifice de entități, clasificate ca esențiale sau importante. Entitățile esențiale sunt identificate în funcție de rolul lor critic în infrastructura națională si de importanța strategică pe care o au în domeniile lor de activitate. Potrivit cadrului legal acestea sunt:
- entități din administrația publică,
- furnizori de servicii DNS (furnizorii de servicii de rezoluție recursivă a numelor de domenii pentru utilizatorii finali ai internetului și servicii de rezoluție a numelor de domenii cu autoritate pentru terți, excluzând serverele de nume rădăcină),
- întreprinderile mari care activează în sectoare precum energie, transport, apa potabila si ape uzate, lista completa a sectoarelor de importanta critica ridicata fiind detaliata în anexa nr. 1 la ordonanta,
- întreprinderilor mijlocii care furnizează rețele publice de comunicații electronice sau servicii de comunicații electronice destinate publicului, având un impact direct asupra accesului la informație și conectivității.
- furnizorii de servicii de securitate datorită rolului esențial în protejarea infrastructurilor digitale împotriva amenințărilor cibernetice.
Entitățile importante sunt clasificate în funcție de amploarea potențială a impactului unei vulnerabilități. Acestea includ atât întreprinderi mari, cât și mijlocii care activează in sectoarele indicate de anexa nr. 1, precum și in sectoare precum gestionarea deșeurilor, fabricarea, producţia şi distribuţia de substanțe chimice (lista completa a sectoarelor de importanta critica fiind detaliata în anexa nr. 2 la ordonanța), dar care nu sunt clasificate drept entități esențiale. Menționăm cu titlu de exemplu, furnizorii de rețele și servicii publice de comunicații electronice și furnizorii de servicii de încredere, indiferent de dimensiunea pe care o au.
Pentru a fi catalogată drept entitate esențială sau importantă, nu este suficient ca aceasta să activeze într-unul dintre sectoarele prezentate în anexele 1 și 2 din ordonanță, ci trebuie să îndeplinească cel puțin unul dintre criteriile indicate în art. 9. De exemplu, perturbarea serviciului furnizat de entitate ar putea avea un impact semnificativ asupra siguranței publice, securității publice sau sănătății publice sau entitatea poate fi singurul furnizor al unui serviciu esențial pentru susținerea unor activități societale și economice critice.
Ordonanța stabilește in seama entităților vizate obligații clare în ceea ce privește gestionarea riscurilor de securitate cibernetică, aceste obligații urmând sa fie stabilite, potrivit prevederilor legale, direct in sarcina organelor de conducere ale entității. Astfel, aceste obligații vizează:
- adoptarea și implementarea măsurilor necesare pentru gestionarea riscurilor de securitate cibernetică, respectarea ordinelor emise de autoritățile competente, supravegherea aplicării acestora și asumarea responsabilității în cazul unor încălcări;
- participarea la programe de formare profesională acreditate, menite să asigure dobândirea unui nivel adecvat de cunoștințe și competențe pentru identificarea și gestionarea riscurilor cibernetice, precum și pentru evaluarea impactului acestora asupra serviciilor prestate de entitate.
- implementarea unor canale permanente de comunicare, asigurarea resurselor necesare implementării măsurilor de securitate cibernetică și, acolo unde este cazul, desemnarea responsabililor cu securitatea rețelelor și sistemelor informatice, care au rolul de a implementa și monitoriza aceste măsuri la nivelul entității.
Stabilirea unor masuri direct in sarcina organelor de conducere presupune ca acestea sunt susceptibile de a primi sancțiuni in caz de neconformare cu obligațiile legale. Astfel, Directoratul National de Securitate Cibernetica (DNSC) poate sesiza autorităţile sau entităţile competente pentru a impune interdicţia temporară a exercitării funcţiei de conducere la nivel de director executiv sau de reprezentant legal în entitatea în cauză.
Adițional, entităților esențiale și importante le revin si următoarele obligații:
- să efectueze periodic audituri de securitate cibernetică și să realizeze anual o autoevaluare a nivelului de maturitate al măsurilor de securitate implementate. Rezultatele acestor evaluări trebuie transmise către DNSC și autoritățile sectoriale competente.
- să se înregistreze la DNSC în termen de 30 de zile de la intrarea în vigoare a ordonantei (sau în termen de 30 de zile de la data la care o entitate se califică esențială ori importantă).
- să raporteze către DNSC, fără întârzieri nejustificate, orice incident care are un impact semnificativ asupra prestării serviciilor lor și, după caz, entitățile în cauză trebuie să notifice, fără întârzieri nejustificate, destinatarilor serviciilor lor incidentele semnificative care ar putea afecta prestarea serviciilor respective.
Nerespectarea acestor obligații atrage sancțiuni financiare severe, care variază între 5.000 și 10.000.000 euro sau până la 2% din cifra de afaceri pentru entitățile esențiale și între 5.000 și 7.000.000 euro sau până la 1,4% din cifra de afaceri pentru entitățile importante. Pe lângă amenzi, pot fi impuse măsuri complementare precum suspendarea temporară a certificărilor și autorizațiilor, publicarea încălcărilor constatate și interdicții temporare pentru conducerea entității.
Această ordonanță reprezintă un pas important în consolidarea securității cibernetice din România. Prin adoptarea de măsuri eficiente și printr-o cooperare strânsă între autorități și sectorul privat, se urmărește reducerea riscurilor și crearea unui mediu cibernetic sigur și robust.