Ce trebuie să știi despre NIS2 – Noua directivă europeană privind securitatea cibernetică
Într-o lume în care atacurile cibernetice devin tot mai sofisticate și mai frecvente, Uniunea Europeană a decis să consolideze legislația privind securitatea rețelelor și a informațiilor. Așa a apărut Directiva NIS2, un nou cadru legislativ cu impact major asupra organizațiilor publice și private din toate statele membre – inclusiv România. Dacă ai o companie dintr-un sector critic sau oferi servicii digitale, este esențial să înțelegi ce înseamnă NIS2, ce obligații impune și ce riscuri implică neconformarea.
Ce este NIS2?
NIS2 este prescurtarea pentru „Network and Information Security Directive 2” – a doua versiune a directivei europene privind securitatea cibernetică, care înlocuiește prima directivă NIS adoptată în 2016. Scopul NIS2 este să consolideze reziliența cibernetică la nivel european, asigurând un nivel mai ridicat și mai uniform de protecție împotriva amenințărilor cibernetice pentru organizațiile esențiale pentru funcționarea societății și economiei.
Baza legislativă
Directiva NIS2 a fost adoptată de Parlamentul European în 2022 și a intrat în vigoare oficial la începutul lui 2023. Fiecare stat membru are obligația să o transpună în legislația națională până cel târziu în 17 octombrie 2024.
În România, procesul de transpunere este coordonat de Ministerul Cercetării, Inovării și Digitalizării, în colaborare cu Directoratul Național de Securitate Cibernetică (DNSC). Până la acea dată, toate organizațiile vizate trebuie să se pregătească pentru conformare.
Cine trebuie să se conformeze NIS2?
Directiva se aplică unei game mult mai largi de organizații față de prima versiune. NIS2 clasifică entitățile în două categorii:
1. Entități esențiale:
Acestea activează în domenii critice precum:
-
Energie (electricitate, gaze, petrol)
-
Transport (feroviar, aerian, maritim)
-
Bănci și infrastructură financiară
-
Apă potabilă și canalizare
-
Sănătate publică și spitale
-
Administrație publică centrală
-
Producători și furnizori de tehnologii digitale
2. Entități importante:
Organizații de dimensiuni medii și mari din:
-
Furnizarea de servicii cloud, data center și platforme digitale
-
E-commerce și motoare de căutare
-
Cercetare științifică
-
Servicii poștale și curierat
-
Producție de echipamente esențiale (ex. componente IT, produse medicale, chimice)
Criteriul principal de includere: peste 50 de angajați sau cifră de afaceri anuală mai mare de 10 milioane EUR. Totuși, unele entități vor fi incluse automat, indiferent de dimensiune, în funcție de impactul lor sistemic.
Ce presupune conformarea?
Organizațiile vizate de NIS2 trebuie să implementeze o serie de măsuri tehnice și organizatorice clare:
-
Evaluarea riscurilor de securitate IT
-
Mecanisme de prevenție și răspuns la incidente
-
Planuri de continuitate și recuperare în caz de atac
-
Controlul accesului și securizarea lanțului de aprovizionare
-
Raportarea incidentelor grave în termen de 24 de ore
-
Audituri de securitate și verificări periodice
De asemenea, fiecare organizație trebuie să desemneze un responsabil pentru securitatea rețelelor și informațiilor (similar unui DPO în cazul GDPR).
Ce riscă firmele care nu respectă NIS2?
Directiva NIS2 prevede sancțiuni clare și severe pentru neconformare. Acestea pot fi:
-
Amenzi de până la 10 milioane EUR sau 2% din cifra de afaceri globală, în funcție de gravitatea abaterii
-
Suspendarea activității sau a contractelor publice
-
Răspunderea directă a conducerii organizației în caz de neglijență
-
Obligația de remediere în termene stricte impuse de autorități
Firmele trebuie să înțeleagă că aceste sancțiuni nu sunt doar teoretice – ele vor fi aplicate prin controale ale autorităților competente.
Concluzie
Directiva NIS2 nu este doar un document legislativ – este un semnal clar că securitatea cibernetică a devenit o responsabilitate strategică pentru orice organizație. Conformarea cu NIS2 nu înseamnă doar evitarea unor sancțiuni, ci protejarea activității, a clienților și a reputației în fața unor riscuri reale.
