În data de 16 ianuarie 2023 intra în vigoare „Directiva (UE) 2022/2555 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2014 și a Directivei (UE) 2018/1972 și de abrogare a Directivei (UE) 2016/1148” (Directiva NIS 2), cunoscută și sub denumirea NIS2, acesta devenind aplicabilă începând cu 17 octombrie 2024.

Directiva NIS2 este o reglementare a Uniunii Europene al cărei scop este de a consolida gradul de securitate cibernetică pentru infrastructurile critice din statele membre UE. Directiva pune accent pe capacitatea organizațiilor de a identifica rapid amenințările cibernetice și de a răspunde într-un mod adecvat la incidentele de securitate.

Implementarea acestei directive in România s-a făcut prin OUG 155/2024, respectiv prin Legea nr. 124 din 7 iulie 2025 pentru aprobarea Ordonanței de urgență a Guvernului nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil.

De la NIS1 la NIS2 – un cadru mai strict

Pentru a răspunde expunerii crescute a Europei la amenințările cibernetice, Directiva NIS2, a înlocuit predecesoarea sa, Directiva 2016/1148 sau NIS1. NIS2 duce conceptul de securitate cibernetică la un nivel superior, printr-un domeniu de aplicare mai larg, reguli mai clare și instrumente de supraveghere mai stricte.

Aceasta impune statelor membre să își consolideze capacitățile de securitate cibernetică, introducând în același timp măsuri de gestionare a riscurilor și cerințe de raportare pentru entități din mai multe sectoare și stabilind reguli pentru cooperare, schimbul de informații, supravegherea și aplicare.

Ce aduce nou NIS2

Directiva NIS2 se bazează pe trei piloni fundamentali:

• Cooperare strategică și schimb de informații - se încurajează schimbul de informații în materie de securitate cibernetică între entități;
• Strategii naționale de securitate cibernetică - fiecare stat membru trebuie să își construiască o strategie proprie;
• Extinderea sectoarelor vizate: se extinde domeniul de aplicare de la cele 7 sectoare inițiale (NIS1) la 15, incluzând energie, sănătate, transport, bancar, furnizarea de apă, infrastructura digitală, administrație publică, furnizori digitali, servicii poștale și de curierat, gestionarea deșeurilor, spațiu, producția și distribuția de alimente, fabricarea și distribuția de substanțe chimice, cercetare, fabricare.

Măsuri tehnice și organizatorice obligatorii:

Conform articolului 21 din Directiva NIS2, există 10 măsuri de gestionare a riscurilor de securitate cibernetică pe care entitățile trebuie să le implementeze:

1. Analiza riscurilor și securitatea sistemelor informatice;
2. Gestionarea incidentelor;
3. Continuitatea activității, de exemplu gestionarea copiilor de rezervă și recuperarea în caz de dezastru, precum și gestionarea crizelor;
4. Securitatea lanțului de aprovizionare, inclusiv aspectele legate de securitate referitoare la relațiile dintre fiecare entitate și prestatorii sau furnizorii săi direcți de servicii;
5. Securitatea în achiziționarea, dezvoltarea și întreținerea rețelelor și a sistemelor informatice, inclusiv gestionarea vulnerabilităților și divulgarea acestora;
6. Politici și proceduri pentru a evalua eficacitatea măsurilor de gestionare a riscurilor în materie de securitate cibernetică;
7. Practici de bază în materie de igienă cibernetică și formare în domeniul securității cibernetice;
8. Politici și proceduri privind utilizarea criptografiei și, după caz, a criptării;
9. Securitatea resurselor umane, politicile de control al accesului și gestionarea activelor;
10. Utilizarea de soluții de autentificare multifactor sau de autentificare continuă, de comunicații securizate voce, video și text și de sisteme securizate de comunicații de urgență în cadrul entității, după caz.

Responsabilitatea top managementului

Conform prevederilor articolului 20 din Directiva NIS2, conducerea superioară a entității este responsabilă și răspunzătoare pentru securitatea cibernetică a organizației. Decidenții trebuie să aprobe măsurile de gestionare a riscurilor de securitate cibernetică, specificate mai sus, și să urmeze cursuri de instruire dedicate.

Obligații stricte de raportare

Conform prevederilor articolului 23, din Directiva NIS2, entitatea notifică, fără întârzieri nejustificate, autorității sale de supraveghere, orice incident care are un impact semnificativ asupra prestării serviciilor sale. Această notificare trebuie realizată în termen de 24 de ore, de la momentul constatării incidentului, iar în termen de 72 de ore trebuie întocmit un raport al respectivului incident. Acest raport trebuie să includă o descriere detaliată a incidentului, tipul de amenințare sau cauza principală care a declanșat incidentul și măsurile de atenuare s-au implementat pentru a reduce daunele.

Cum ar trebui să se pregătească entitățile pentru alinierea la NIS2?

Planul de acțiune, pentru entitățile esențiale și importante, include parcurgerea următoarelor etape de lucru:

• Stabilirea categoriei în care se încadrează entitatea (esențială sau importantă) pe baza criteriilor enunțate în Legea nr. 124 din 7 iulie 2025 pentru aprobarea Ordonanței de urgență a Guvernului nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil;
• Analiza GAP: evaluarea măsurilor interne în raport cu cerințele NIS2;
• Stabilirea unui plan de lucru pentru rezolvarea neconformităților rezultate în urma analizei GAP;
• Implementarea măsurilor tehnice și organizatorice necesare pentru alinierea la cerințele NIS2;
• Derularea auditurilor externe de securitate și a testelor de penetrare asupra sistemelor informatice și infrastructurii critice.

Concluzie:

Directiva NIS2 este cea mai cuprinzătoare inițiativă europeană în materie de securitate cibernetică. Ea aduce în prim-plan atât responsabilitatea organizațiilor de a-și gestiona riscurile, cât și nevoia de a construi o cultură a rezilienței digitale. Pentru multe companii și instituții din România, provocarea nu va fi doar respectarea termenelor și a obligațiilor legale, ci transformarea acestora într-o oportunitate reală de consolidare și modernizare.

Prin proiectul Wallachia eHub ne asumăm rolul de a sprijini această tranziție, oferind expertiză, instrumente digitale și o comunitate de încredere pentru organizațiile care vor să treacă dincolo de conformare formală și să devină actori maturi în ecosistemul european al securității cibernetice. Într-o lume interconectată, puterea stă în colaborare, iar misiunea noastră este să facem ca această colaborare să fie sigură, sustenabilă și cu adevărat valoroasă.

👉Prin Wallachia eHUB aducem soluții, expertiză și parteneri de încredere. Îți arătăm cum NIS2 poate deveni un pas înainte, nu doar o obligație.

📩 Această adresă de email este protejată contra spambots. Trebuie să activați JavaScript pentru a o vedea.

🌐 www.weh.spiruharet.ro

Ne gasesti si pe:

📲Facebook: https://www.facebook.com/profile.php?id=61557076721864

🎥YouTube: https://www.youtube.com/channel/UCug_R8RkhFzcFra2Q1OOZDw

ℹ️ Articol susținut de OMEGA TRUST , partener în proiectul Wallachia eHUB(WEH) – o inițiativă dedicată transformării digitale sustenabile in administrație, economice și societate.