Directiva NIS 2: Ce se schimbă la nivel european și în România

Directiva NIS 2: Ce se schimbă la nivel european și în România

NIS 2 – Răspunsul UE la noile riscuri cibernetice

Atacurile cibernetice asupra infrastructurilor critice – spitale, rețele de energie, transport, servicii publice – au devenit tot mai frecvente și mai periculoase. În fața acestor amenințări, Uniunea Europeană a adoptat Directiva NIS 2 (UE 2022/2555), un nou cadru legislativ care își propune să crească nivelul de securitate cibernetică în toate statele membre.

Față de vechea directivă (NIS 1), noul text vine cu schimbări importante:

  • Mai multe domenii reglementate: de la 7 la 18 sectoare critice, inclusiv alimentație, apă, gestionarea deșeurilor, marketplace-uri online, echipamente medicale și altele.

  • Clasificare clară a organizațiilor: entități „esențiale” și „importante”, cu obligații și sancțiuni adaptate nivelului de risc.

  • Reguli stricte pentru raportarea incidentelor: notificare în 24 de ore, raport detaliat în 72 de ore, raport final în 30 de zile.

  • Sancțiuni mai dure: amenzi de până la 10 milioane de euro sau 2% din cifra de afaceri globală.

 

NIS 2 nu este doar o lege – este un pas esențial spre o Europă mai sigură digital, în care atât organizațiile publice, cât și cele private trebuie să trateze securitatea cibernetică ca pe o prioritate.

Transpunerea în România: OUG 155/2024

Prin Ordonanța de Urgență nr. 155/2024, în vigoare de la 31 decembrie 2024, s-au definit entitățile vizate și s-au stabilit obligațiile naționale:

  1. Înregistrare în Registrul național al entităților, administrat de DNSC, în termen de 30 zile de la intrarea în vigoare.
  2. Evaluare și gestionare a riscurilor cibernetice, cu politici și proceduri documentate.
  3. Planuri de continuitate și recuperare după incidente.
  4. Raportarea incidentelor conform graficului UE (24 h / 72 h / 30 zile).
  5. Exerciții periodice (table-top, pen-testing, simulări de phishing).
  6. Training și conștientizare pentru toți angajații.
  7.  

Exemple de companii vizate

Categoria Exemple de entități în România
Esențiale Transelectrica, OMV Petrom, Romgaz, CFR Călători, Metrorex, ANAF, Registrul Comerțului, Spitale de stat
Importante eMAG, OLX România, Poșta Română, FAN Courier, Apa Nova, Regina Maria, Electrica Furnizare

Notă: Lista completă și criteriile exacte de încadrare se regăsesc în textul OUG 155/2024.

Principalele obligații ale entităților

  • Analiza de risc: evaluări periodice și actualizarea măsurilor de protecție.
  • Politici de securitate: autentificare multi-factor, segregarea rețelelor, controlul accesului.
  • Răspuns la incidente: procese clare și coordonate, cu notificări către DNSC și alte autorități.
  • Exerciții și teste: simulări practice pentru antrenarea echipelor și verificarea procedurilor.
  • Formare continuă: sesiuni de training adaptate fiecărei linii de business și niveluri ierarhice.
  •  

Cum te pregătești pentru NIS 2 

  • Identifică aplicațiile, serviciile și furnizorii critici.
  •  
  • Revizuiește politicile de securitate. Dacă nu ai, creează unele simple dar conforme (acces, backup, actualizări, răspuns la incidente).
  • Setează sisteme care detectează incidente și definește pașii de raportare (24h, 72h, 30 zile).
  • Fă simulări (table-top), phishing de test și pen-testuri. Nu doar tehnic, ci și procedural.
  • Training constant, teste de conștientizare și scenarii practice.
  •  

Directiva NIS 2 și transpunerea sa prin OUG 155/2024 marchează un moment esențial pentru securitatea cibernetică din România. Indiferent dacă operezi într-un minister, o companie de utilități, un furnizor IT sau un retailer online, acum este momentul să-ți aliniezi procesele și să-ți pregătești echipa.

NIS 2 nu este doar „încă o reglementare” este un pas concret spre maturizarea digitală și protejarea reală a infrastructurilor critice din Uniunea Europeană. Impactul se va resimți în lanț: de la organizațiile mari, la furnizori, parteneri și utilizatori finali.

Dacă activezi în IT, securitate sau management, implică-te activ. Este mai eficient și mai sigur să construiești acum o cultură solidă de securitate decât să repari după un incident.

La Hackout.ro, vom continua să oferim informații clare, resurse utile și exemple aplicate pentru a sprijini comunitatea să înțeleagă și să se adapteze la noile cerințe. Împreună putem construi o comunitate digitală mai sigură și mai pregătită.

Link-uri utile

Facebook
Twitter
LinkedIn
Telegram
WhatsApp

Despre autor

Discuții

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

Îți place securitate cibernetică?

Intră în comunitatea Hackout de pe Discord și inițiază discuții cu alți pasionați de cybersecurity. Aici postăm toate informațiile despre evenimente, CTFs, știri, joburi etc.