Acasă | 

Know-how | 

Noutăţi | 

Securitatea cibernetică în România: Între directiva NIS 2, Regulamentul DORA și GDPR

Securitatea cibernetică în România: Între directiva NIS 2, Regulamentul DORA și GDPR

Noutăţi
Categorie

GDPR
Contact

Alexandra Cohuțiu

27. februarie 2025

Reading Time: 5  

Min.

news

Securitatea cibernetică în România: Între directiva NIS 2, Regulamentul DORA și GDPR

Mediul de afaceri este astăzi profund digitalizat, iar securitatea cibernetică a depășit demult stadiul de simplă preocupare tehnică, devenind o componentă esențială a oricărei strategii de business, cu implicații juridice importante ce țin de asigurarea conformității cu reglementările legale aplicabile.

Securitatea rețelelor, a sistemelor informatice și a datelor constituie deja de ani de zile una dintre preocupările principale ale Uniunii Europene, construindu-se o serie de mecanisme legislative menite să contribuie la ridicarea nivelului de securitate la nivelul Uniunii și al Statelor membre.  

Rolul central al reglementărilor UE în domeniul securității cibernetice îl joacă Directiva NIS 2 (Directiva UE 2022/2555 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în UE), transpusă în legislația națională prin OUG 155/2024, care a intrat în vigoare la 31 decembrie 2024.

Regulamentul DORA (Regulamentul european 2554/2022 privind reziliența operațională digitală a sectorului financiar) și deja bine cunoscutul GDPR (Regulamentul General privind Protecția Datelor) completează acest cadru, formând o structură legală complexă care necesită o înțelegere profundă pentru asigurarea conformității și minimizarea riscurilor.

Directiva NIS 2 și OUG 155/2024: Piatra de temelie a reglementărilor în domeniul securității cibernetice

Securitatea cibernetică implică protejarea rețelelor și a sistemelor informatice (NIS), a utilizatorilor acestora și a altor persoane afectate împotriva incidentelor și amenințărilor cibernetice. Pentru a răspunde expunerii tot mai ridicate la amenințările cibernetice, UE a adoptat Directiva NIS 2, extinzând considerabil domeniul de aplicare față de predecesoarea sa, Directiva NIS 1, stabilind norme mai clare și instrumente de supraveghere mai puternice.

Astfel, pe lângă sectoarele deja acoperite de NIS 1, cum ar fi energia, transporturile, asistența medicală, finanțele, gestionarea apei și infrastructura digitală, NIS 2 extinde aplicabilitatea la un spectru larg de entități, atât publice, cât și private, inclusiv la furnizorii mai multor servicii digitale  (cum ar fi platformele sociale, servicii de centre de date, servicii de cloud computing, rețele publice de comunicații electronice, servicii de comunicații electronice accesibile publicului, furnizori digitali de piețe online – marketplace-urile – sau de motoare de căutare online), la furnizorii de servicii de gestionare a deșeurilor, de servicii poștale și de curierat, gestionarea serviciilor TIC (business-to-business), organizații de cercetare etc. Totodată, raportat la natura și tipul obligațiilor stabilite în sarcina entităților, vor putea exista situații în care domeniul de aplicare al NIS 2 să fie extins, prin ricoșeu, și la anumiți prestatori de servicii ai entităților vizate direct de NIS 2.

Entitățile sunt clasificate ca esențiale sau importante, în funcție de impactul lor asupra economiei și societății, având la bază o serie de factori precum dimensiunea, sectorul de activitate și rolul critic în infrastructura națională.

În funcție de categoria în care se încadrează, entitățile au o serie de obligații și responsabilități specifice ce țin de gestionarea riscurilor și implementarea unor politici și proceduri în acest scop, de raportarea incidentelor de securitate cibernetică semnificative, cu detalii specifice și în termenii definiți de lege și de cooperarea și schimbul de informații cu autoritățile competente și cu alte entități pentru a preveni și a gestiona incidentele.

Regulamentul DORA: obligații specifice sectorului financiar

Regulamentul DORA se concentrează pe reziliența operațională a sectorului financiar, adresându-se riscurilor cibernetice specifice acestui domeniu. Complexitatea efectelor DORA asupra domeniului siguranței cibernetice pentru companiile din sectorul financiar este comparabilă cu ceea ce a însemnat GDPR pentru domeniul protecției datelor personale.

Deși complementar Directivei NIS 2, DORA impune obligații suplimentare pentru instituțiile financiare, cu accent pe managementul incidentelor și crearea unor proceduri solide de detectare, raportare și gestionare a incidentelor, pe efectuarea regulată de teste de reziliență, menite să evalueze capacitatea instituțiilor de a face față unor atacuri cibernetice și pe colaborarea cu autoritățile de supraveghere și cu alte instituții pentru a asigura reziliența întregului sistem financiar.

GDPR: Protecția datelor personale – o componentă esențială

GDPR, în vigoare din 25 mai 2018, este un regulament fundamental pentru protecția datelor personale, aplicabil tuturor întreprinzătorilor, cu impact direct asupra securității cibernetice. O breșă de securitate care duce la pierderea sau compromiterea datelor personale atrage după sine obligația de notificare a autorității competente și, eventual, a persoanelor vizate, precum și sancțiuni financiare consistente.

Interdependențe și provocări

Cele trei reglementări legale – Directiva NIS 2/OUG 155/2024, Regulamentul DORA și GDPR – sunt interdependente. O breșă de securitate poate genera obligații simultane sub fiecare dintre aceste reglementări. De exemplu, o instituție financiară afectată de un atac cibernetic va trebui să respecte cerințele DORA pentru gestionarea incidentului, cerințele NIS 2/OUG 155/2024 pentru raportare și cerințele GDPR în ceea ce privește notificarea unei eventuale scurgeri de date personale.

Conformitatea cu aceste reglementări necesită o abordare care să integreze aspectele tehnice, juridice și organizaționale, iar companiile trebuie, printre altele:

  • să evalueze profilul de risc în raport cu Directiva NIS2/OUG 155/2024, Regulamentul DORA (dacă este cazul) și GDPR și să stabilească dacă și cum li se aplică prevederile fiecăruia dintre acestea;
  • să implementeze măsuri de securitate cibernetică adecvate și proporționale cu riscurile identificate și să asigure documentarea tuturor activităților întreprinse în acest sens;
  • să creeze și să implementeze politici și proceduri de securitate și să asigure actualizarea periodică a acestora;
  • să instruiască angajații în domeniul securității cibernetice și al protecției datelor și să se asigure că au proceduri clare de gestionare a incidentelor, inclusiv de raportare, conform cerințelor legale.

Ignorarea acestor obligații poate duce la sancțiuni financiare importante, prejudicii de imagine și pierderi de încredere din partea clienților și a partenerilor.

Disclaimer: Acest material conține o analiză generală și nu constituie un sfat juridic. Prezentul material nu elimină nici necesitatea analizării prevederilor legale expuse așa cum au fost acestea publicate în instrumentele oficiale, nici necesitatea consultanței juridice oferite de un avocat, nefiind un substitut pentru acestea.

Categorie

GDPR
Contact

Alexandra Cohuțiu

Similar Posts

All

Abonați-vă la Newsletter

Contact

TPA in Romania
Găseşte experți fiscali lângă mine
Linkedin Facebook Instagram

Contact

TPA Steuerberatung GmbH

+40 21 310 06-69

office@tpa-group.ro

Adresă

Crystal Tower Building
Blvd. Iancu de Hunedoara nr. 48, etaj 2
011745 Sect.1, București

Program de lucru:

Luni - Vineri: 09:00 – 18:00

Links

Social Media

Linkedin Facebook Instagram

TPA Newsletter

© 2024 TPA ADMIN SRL
All Rights reserved.

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.