Transpunerea în România: OUG 155/2024

Prin Ordonanța de Urgență nr. 155/2024, în vigoare de la 31 decembrie 2024, s-au definit entitățile vizate și s-au stabilit obligațiile naționale:

1. Înregistrare în Registrul național al entităților, administrat de DNSC, în termen de 30 zile de la intrarea în vigoare.
2. Evaluare și gestionare a riscurilor cibernetice, cu politici și proceduri documentate.
3. Planuri de continuitate și recuperare după incidente.
4. Raportarea incidentelor conform graficului UE (24 h / 72 h / 30 zile).
5. Exerciții periodice (table-top, pen-testing, simulări de phishing).
6. Training și conștientizare pentru toți angajații.
7.  

Exemple de companii vizate

Categoria	Exemple de entități în România
Esențiale	Transelectrica, OMV Petrom, Romgaz, CFR Călători, Metrorex, ANAF, Registrul Comerțului, Spitale de stat
Importante	eMAG, OLX România, Poșta Română, FAN Courier, Apa Nova, Regina Maria, Electrica Furnizare

Notă: Lista completă și criteriile exacte de încadrare se regăsesc în textul OUG 155/2024.

Principalele obligații ale entităților

• Analiza de risc: evaluări periodice și actualizarea măsurilor de protecție.
• Politici de securitate: autentificare multi-factor, segregarea rețelelor, controlul accesului.
• Răspuns la incidente: procese clare și coordonate, cu notificări către DNSC și alte autorități.
• Exerciții și teste: simulări practice pentru antrenarea echipelor și verificarea procedurilor.
• Formare continuă: sesiuni de training adaptate fiecărei linii de business și niveluri ierarhice.

•  

Cum te pregătești pentru NIS 2 

• Identifică aplicațiile, serviciile și furnizorii critici.
•  
• Revizuiește politicile de securitate. Dacă nu ai, creează unele simple dar conforme (acces, backup, actualizări, răspuns la incidente).
• Setează sisteme care detectează incidente și definește pașii de raportare (24h, 72h, 30 zile).
• Fă simulări (table-top), phishing de test și pen-testuri. Nu doar tehnic, ci și procedural.
• Training constant, teste de conștientizare și scenarii practice.
•  

Directiva NIS 2 și transpunerea sa prin OUG 155/2024 marchează un moment esențial pentru securitatea cibernetică din România. Indiferent dacă operezi într-un minister, o companie de utilități, un furnizor IT sau un retailer online, acum este momentul să-ți aliniezi procesele și să-ți pregătești echipa.

NIS 2 nu este doar „încă o reglementare” este un pas concret spre maturizarea digitală și protejarea reală a infrastructurilor critice din Uniunea Europeană. Impactul se va resimți în lanț: de la organizațiile mari, la furnizori, parteneri și utilizatori finali.

Dacă activezi în IT, securitate sau management, implică-te activ. Este mai eficient și mai sigur să construiești acum o cultură solidă de securitate decât să repari după un incident.

La Hackout.ro, vom continua să oferim informații clare, resurse utile și exemple aplicate pentru a sprijini comunitatea să înțeleagă și să se adapteze la noile cerințe. Împreună putem construi o comunitate digitală mai sigură și mai pregătită.

Link-uri utile

• • DNSC – https://dnsc.ro/pagini/ansrsi

• • Safeonweb@work – https://atwork.safeonweb.be/nis2

• • NIST – https://www.nist.gov/cyberframework