Articol de opinie de Silvia Axinescu, Senior Associate Manager, și Corina Damaschin, Senior Associate, Reff & Asociații | Deloitte Legal
La data de 31 decembrie 2024, a intrat în vigoare Ordonanța de Urgență nr. 155/2024 (OUG 155/2024), care stabilește cadrul legislativ pentru securitatea cibernetică a rețelelor și sistemelor informatice din România. Actul normativ transpune Directiva (UE) 2022/2555, cunoscută sub numele de Directiva NIS (Network and Information Security Directive) 2, și impune cerințe de conformitate pentru entitățile care operează în sectoare considerate critice sau importante pentru funcționarea societății și economiei. Autoritatea competentă pentru aplicarea și monitorizarea prevederilor ordonanței este Directoratul Național de Securitate Cibernetică (DNSC).
Trei criterii pentru evaluarea conformității unei companii cu OUG 155/2024
Primul pas pe care trebuie să îl aibă în vedere companiile în vederea asigurării conformării cu cerințele OUG 155/2024 este să efectueze o analiză preliminară pentru a vedea în ce măsură cadrul legislativ în materia securității cibernetice le este aplicabil. Pentru a stabili dacă intră sub incidența ordonanței, fiecare entitate trebuie să efectueze o analiză internă bazată pe trei criterii.
Aplicabilitatea ordonanței se stabilește, în primul rând, prin identificarea sectorului de activitate, lucru realizat prin verificarea codurilor CAEN autorizate conform Registrului Comerțului și care trebuie să corespundă celor listate în anexele 1 și 2 ale OUG 155/2024. Doar activitățile autorizate la Registrul Comerțului pot genera obligații de înregistrare. În lipsa unor coduri CAEN relevante sau autorizate, entitatea nu este supusă cerințelor ordonanței.
De asemenea, este important de determinat dimensiunea companiei. Aceasta este stabilită conform Legii nr. 346/2004 privind stimularea înființării și dezvoltării întreprinderilor mici și mijlocii, în funcție de o serie de aspecte, precum numărul mediu de angajați, cifra de afaceri sau totalul activelor principale ale societății. Această clasificare presupune un demers de analiză complex și esențial pentru diferențierea între entitățile esențiale și cele importante, în scopul aplicării proporționale a obligațiilor relevante din perspectiva prevederilor OUG 155/2024.
Al treilea criteriu de luat în considerare este profilul entității. O companie poate fi considerată importantă sau esențială chiar și în lipsa îndeplinirii primelor două criterii, dacă are un impact sistemic sau strategic asupra sănătății publice, economiei, siguranței cetățenilor sau securității naționale. Acest criteriu este reglementat în articolele 9 și 10 din OUG 155/2024.
Recent, pe 30 aprilie, DNSC a publicat în transparență decizională un nou proiect de ordin pentru aprobarea criteriilor și pragurilor de determinare a gradului de perturbare a unui serviciu și a metodologiei de evaluare a nivelului de risc al entităților. Proiectul referitor la evaluarea nivelului de risc detaliază criteriile și pragurile de determinare a gradului de perturbare a unui serviciu, precum și modalitatea prin care entitățile își calculează scorul în acest sens, pornind de la valorile de bază aferente sectorului din care fac parte, prevăzute în cadrul uneia dintre anexele proiectului de ordin, precum și în conformitate cu dimensiunea acestora.
În fiecare vineri, la sediul DNSC sunt organizate consultări publice dedicate implementării OUG 155/2024, la care pot participa reprezentanți ai entităților vizate, consultanți și alți actori relevanți pentru sectorul securității cibernetice. Aceste sesiuni de lucru reprezintă o oportunitate importantă de a adresa întrebări directe și de a contribui la modelarea detaliilor procedurale.
Care sunt obligațiile și termenele pe care companiile trebuie să le aibă în vedere?
Companiile care se încadrează în prevederile OUG 155/2024 trebuie să țină cont de anumite aspecte, precum înregistrarea în Registrul Entităților esențiale gestionat de DNSC, desemnarea unei persoane de contact pentru gestionarea relației cu autoritatea, implementarea unor măsuri tehnice și organizaționale pentru protejarea sistemelor informatice și notificarea incidentele de securitate în termenul prevăzut de lege.
Termenul de înregistrare în registru este de 30 de zile de la data intrării în vigoare a OUG 155/2024 sau de la momentul la care condițiile devin aplicabile pentru o entitate. Totuși, cerințele legislative vor deveni aplicabile doar la momentul la care vor exista instrumentele tehnice puse la dispoziție de către DNSC și care vor operaționaliza Registrul Entităților și procedura de notificare. DNSC a emis un proiect de ordin la finalul lunii aprilie, care are ca obiect procedura de notificare și modul de transmitere a informațiilor în Registrul Entităților, astfel încât obligația va deveni aplicabilă pentru companii începând cu publicarea acestuia în Monitorul Oficial.
Instrumente de suport
Conform proiectului de ordin referitor la procedura de notificare emis de DNSC, autoritatea oferă sprijin prin platforma NIS2@RO atât pentru autoevaluare și informare, cât și pentru depunerea documentelor de înregistrare și notificare. Această platformă este încă în faza de dezvoltare tehnică, nefiind operațională pentru moment.
O altă opțiune pentru realizarea unei analize la nivelul organizației în vederea verificării încadrării în categoria de entități din domeniul de aplicare a OUG 155/2024 pot fi și instrumentele de autoevaluare.
Așteptările pentru perioada următoare
După publicarea celor două proiecte de ordin ale DNSC în Monitorul Oficial, entitățile vizate de OUG 155/2024 vor avea la dispoziție toate clarificările necesare legate de documentația ce va trebui depusă la autoritatea competentă, platforma de transmitere a notificărilor și etapele de verificare procedurală.
În contextul actual, este esențial ca entitățile vizate să acorde o atenție sporită în ceea ce privește intrarea sau nu sub sfera de aplicare a OUG 155/2024 și, ulterior publicării proiectelor de ordin în Monitorul Oficial, să se concentreze pe înregistrarea în Registrul Entităților.
