Like Us
Follow UsSecuritatea cibernetică nu mai este un subiect rezervat specialiștilor. Odată cu implementarea națională a Directivei NIS2, fiecare entitate esențială sau importantă din România are responsabilități clare și termene stricte. Pe 20 august, Directoratul Național de Securitate Cibernetică (DNSC) a publicat Ordinele nr. 1 și 2/2025, care stabilesc normele de aplicare ale OUG 155/2024 din 30 decembrie 2024. Noile acte aduc clarificări esențiale privind procedura de notificare și înregistrare în Registrul Entităților, dar și noi obligații de conformare.
Dacă organizația ta ar putea intra sub incidența acestor reglementări, este momentul să afli pașii următori. Potrivit analiștilor, termenul-limită estimat pentru finalizarea înregistrării ar putea fi 19 septembrie — adică 30 de zile de la publicarea Ordinelor în Monitorul Oficial. Pentru a respecta legea, companiile trebuie să efectueze o autoevaluare riguroasă utilizând documentația oficială. Dacă rezultatele confirmă încadrarea în definițiile stabilite de actul normativ, înregistrarea la DNSC devine obligatorie în termen de 30 de zile de la intrarea în vigoare a OUG sau de la momentul în care prevederile acesteia devin aplicabile.
Iată câteva întrebări la care ar fi util să știi răspunsurile în perioada următoare.
Cum verific dacă organizația/compania mea este vizată de NIS2?
Alege unul dintre cele două instrumente puse la dispoziție de DNSC: Platforma NIS2@RO, online, sau Instrumentul NIS2@RO, un fișier descărcabil de aici și utilizabil local. După ce completezi câteva date esențiale, vei primi o evaluare preliminară a organizației, care îți arată clar statutul acesteia: fie este în afara domeniului de aplicare și anumite norme NIS2 nu sunt obligatorii, fie este o entitate importantă sau esențială. În ambele cazuri, te va interesa și răspunsurile la următoarele întrebări.
Află mai multe informații despre tipurile de organizații care intră sub incidența NIS2 din articolul: „Directiva NIS2 – 5 lucruri pe care trebuie să le știți”.
Cum înscriu organizația/compania în Registrul Entităților?
Dacă evaluarea preliminată a stabilit că organizația ta este esențială sau importantă, următorul pas este să o înregistrezi în Registrul Entităților. Cum faci asta? Generează formularul de notificare folosind Platforma sau Instrumentul NIS2@RO, salvează-l ca PDF și semnează-l: electronic dacă îl trimiți online sau olograf dacă îl depui fizic. Formularul completat poate fi transmis către DNSC prin: platforma online, e-mail la evidenta@dnsc.ro sau pe hârtie, direct la sediul DNSC de pe Str. Italiană nr. 22, București, cu posibilitatea de a folosi curier cu confirmare de primire.
Organizația/compania nu este entitate esențială sau importantă. Mai am vreo obligație?
Chiar dacă compania ta nu se încadrează drept entitate esențială sau importantă, tot trebuie să trimiți formularul de notificare (vezi mai sus) la DNSC. Astfel, vei primi confirmarea oficială a statutului organizației tale și vei ști sigur că nu ai obligații suplimentare.
Norme de aplicare NIS2. Ce sunt autoevaluarea gradului de perturbare a serviciilor și calcularea nivelului de risc al entităţilor? Cum le obțin și ce fac cu ele?
Autoevaluarea gradului de perturbare a serviciilor este un alt pas important pentru organizațiile care nu au fost deja clasificate drept esențiale sau importante. Practic, fiecare entitate trebuie să își analizeze singură cât de mari ar fi efectele dacă serviciile sale ar fi afectate – iar Ordinul nr. 2 al DNSC oferă un ghid clar pentru asta. Anexa 1 explică cum poți stabili nivelul impactului (ridicat, mediu sau scăzut), luând în calcul consecințele asupra economiei, securității naționale sau chiar a drepturilor fundamentale. Această autoevaluare nu rămâne doar un exercițiu intern: ea trebuie transmisă odată cu formularul de notificare către DNSC.
Calcularea nivelului de risc al entitățiimerge mai departe și se bazează pe metoda din Anexa 2 a aceluiași Ordin. Aici vei ține cont de factori precum tipurile de atacuri cibernetice posibile, tipuri de atacatori, dimensiunea organizației și probabilitatea unor incidente. Vei obține un scor care plasează entitatea într-o categorie de securitate: entități care trebuie să aplice doar măsuri de bază, măsuri importante sau, pentru un risc mai mare, măsuri esențiale. Pentru a realiza și transmite această analiză, ai la dispoziție aceeași platformă NIS2@RO sau, dacă aceasta nu e funcțională, instrumentul ENIRE@RO, descărcabil de pe dnsc.ro.
Află mai multe detalii despre noile norme de aplicare NIS2 în Ordinul nr. 2/2025 pentru aprobarea Criteriilor şi pragurilor de determinare a gradului de perturbare a unui serviciu şi a Metodologiei privind evaluarea nivelului de risc al entităţilor.
Cât timp am la dispoziție să trimit formularul de notificare?
Așa cum spuneam și la începutul articolului, procesul de notificare pentru înregistrarea în Registrul Entităților trebuie încheiat în maximum 30 de zile de la publicarea noilor ordine în Monitorul Oficial, adică în jurul datei de 19 septembrie, deși aceasta nu a fost încă validată oficial.
Ce urmează după ce trimit formularul de notificare în vederea înregistrării în Registrul Entităților?
DNSC verifică informațiile și înregistrează entitățile esențiale și importante în Registrul Entităților, emițând decizia oficială de înregistrare. Dacă organizația ta nu se încadrează în domeniul de aplicare al OUG 155/2024, DNSC te va notifica corespunzător.
În plus, dacă ai trimis formularul de notificare pe hârtie sau prin e-mail din cauza indisponibilității platformei, ai obligația să îți faci cont pe Platforma NIS2@RO și să introduci acolo datele din formular în cel mult 20 de zile de la momentul în care platforma redevine activă. DNSC va valida aceste informații în 10 zile lucrătoare, ca să fii sigur că totul e în regulă.
După înscrierea în Registru, entitățile esențiale și importante sunt obligate să ia măsuri de securitate cibernetică care presupun pregătirea pentru o gamă completă de incidente și situații de urgență. Află care sunt cerințele minime, din articolul nostru: „Ghid practic pentru alinierea la Directiva NIS2. Măsuri minime esențiale”.
Ai întrebări despre noile norme de aplicare NIS2 și impactul lor? Discută cu un specialist NOD și află rapid care sunt pașii necesari pentru compania ta.
