Directiva NIS2 este o reglementare a Uniunii Europene al cărei scop este de a consolida gradul de securitate cibernetică pentru infrastructurile critice din statele membre UE. Directiva pune accent pe capacitatea organizațiilor de a identifica rapid amenințările cibernetice și de a răspunde într-un mod adecvat la incidentele de securitate. În România, implementarea acestei directive s-a făcut prin Ordonanța de Urgență a Guvernului 155/2024, respectiv prin Legea nr. 124 din 7 iulie 2025 pentru aprobarea Ordonanței de urgență a Guvernului nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil.

Un aspect important al Directivei NIS2 îl reprezintă regimul sancționatoriu aplicabil entităților esențiale și importante, care nu respectă obligațiile de securitate cibernetică. Legiuitorul român a prevăzut atât sancțiuni financiare, cât și măsuri corective, urmărind să asigure nu doar conformitatea formală, ci și protecția efectivă a infrastructurilor critice.

Concret, directiva stabilește un sistem de amenzi cuprins între 3.000 și 600.000 RON, cu posibilitatea de majorare cu 50% în cazul unor abateri repetate. Încălcările sancționate variază de la neraportarea incidentelor de securitate în termenele prevăzute (24 de ore, respectiv 72 de ore) până la neimplementarea măsurilor tehnice și organizatorice. În plus, sancțiunile nu se limitează la aspecte financiare: entitățile pot fi obligate să adopte planuri de remediere, să efectueze audituri externe de securitate sau să implementeze programe de instruire pentru personal. Mai mult, managementul entităților vizate poate răspunde în cazul în care nu au luat măsuri adecvate pentru implementarea politicilor de securitate sau pentru desemnarea responsabililor interni. Astfel, NIS2 nu vizează doar nivelul operațional, ci și responsabilitatea strategică a managementului.

La nivel european, Directiva NIS2 prevede un prag sancționator mult mai ridicat, calibrat la dimensiunea organizației. Pentru entitățile esențiale, amenzile pot ajunge până la 10 milioane EUR sau 2% din cifra de afaceri globală anuală, în timp ce pentru entitățile importante pragul este de 7 milioane EUR sau 1,4% din cifra de afaceri globală – se aplică varianta cea mai mare. Acest mecanism urmărește să creeze sancțiuni proporționale și disuasive, evitând situațiile în care companiile mari ar trata amenzile ca pe simple costuri de conformitate.

Pentru a înțelege mai clar beneficiile directivei, amintim cazul Consiliului Local Loures, din Portugalia, care a fost afectat în 2022 de un atac de tip ransomware, acesta făcând parte dintr-o serie de incidente cibernetice la nivelul administrațiilor locale din UE. Incidentul a provocat perturbări semnificative ale serviciilor locale: sistemele IT au fost blocate, unele date au fost compromise, iar autoritățile locale au fost forțate să oprească serviciile informatice până la restaurarea sistemelor afectate. În plus, instituția a trebuit să îşi mobilizeze resurse pentru recuperarea datelor. Astfel, a apărut necesitatea extinderii domeniului de aplicare al Directivei.

Odată cu includerea administraților publice în domeniul de aplicare al NIS2, primăriile și instituțiile locale devin responsabile direct de protecția infrastructurilor digitale pe care se sprijină serviciile oferite cetățenilor. Această extindere legislativă aduce un cadru mai strict de conformitate, dar și oportunitatea de a ridica standardul de securitate cibernetică la nivel local.

Într-un context în care administrațiile publice sunt tot mai des ținta atacurilor de tip ransomware sau phishing, implementarea măsurilor de securitate prevăzute de NIS2 nu reprezintă doar o obligație legală, ci și un mijloc concret de a consolida reziliența sistemelor informatice și de a proteja datele personale și serviciile critice oferite cetățenilor.

Pentru a răspunde cerințelor NIS2 și pentru a reduce expunerea la riscuri cibernetice, entitățile pot implementa o serie de practici de securitate, cum ar fi:

• Menținerea unui registru actualizat al tuturor sistemelor și aplicațiilor folosite pentru servicii publice (plăți taxe locale, registre de populație, documente urbanistice etc.). Clasificarea lor ca „critice” sau „non-critice” ajută la prioritizarea resurselor de securitate și la aplicarea controalelor diferențiate.
• Rețelele utilizate pentru serviciile critice trebuie să fie complet separate de cele administrative și de cele utilizate în activitatea zilnică a angajaților.
• Toate bazele de date publice și documentele electronice trebuie copiate periodic pe medii offline. Mai mult, restaurarea acestor copii de rezervă trebuie testată trimestrial, pentru a garanta că, în caz de criptare prin ransomware, datele pot fi recuperate rapid.
• Accesul angajaților la registre electronice trebuie protejat cu autentificare multi-factor (MFA). În plus, conturile cu privilegii ridicate (administratori de servere, administratori de baze de date) trebuie să fie folosite doar temporar și monitorizate în permanență.
• Elaborarea unui plan formal de continuitate a serviciilor.
• Implementarea unui sistem de detecție și răspuns (SIEM), pentru a monitoriza activitatea din infrastructură în timp real, asigurând o reacție rapidă la incidente.
• Instruirea periodică a personalului pentru a preveni erorile umane.

În concluzie, se observă că Directiva NIS2 marchează o schimbare de paradigmă în protecția cibernetică la nivel european, impunând nu doar obligații legale, ci și sancțiuni financiare semnificative. Totuși, prin implementarea unor măsuri de securitate robuste, entitățile pot asigura conformitatea cu cerințele legale.

Prin proiectul Wallachia eHub ne asumăm rolul de a sprijini această tranziție, oferind expertiză, instrumente digitale și o comunitate de încredere pentru organizațiile care vor să treacă dincolo de conformare formală și să devină actori maturi în ecosistemul european al securității cibernetice. Într-o lume interconectată, puterea stă în colaborare, iar misiunea noastră este să facem ca această colaborare să fie sigură, sustenabilă și cu adevărat valoroasă.

👉Prin Wallachia eHUB aducem soluții, expertiză și parteneri de încredere. Îți arătăm cum NIS2 poate deveni un pas înainte, nu doar o obligație.

📩 Această adresă de email este protejată contra spambots. Trebuie să activați JavaScript pentru a o vedea.

🌐 www.weh.spiruharet.ro

Ne gasesti si pe:

📲Facebook: https://www.facebook.com/profile.php?id=61557076721864

🎥YouTube: https://www.youtube.com/channel/UCug_R8RkhFzcFra2Q1OOZDw

ℹ️ Articol susținut de OMEGA TRUST , partener în proiectul Wallachia eHUB(WEH) – o inițiativă dedicată transformării digitale sustenabile in administrație, economice și societate.

📝Acest material reflectă opinia autorului, nu reprezintă poziția Comisiei Europene sau a Guvernului României și nu poartă răspunderea modului în care informația conținută aici ar putea fi utilizată