Financial Intelligence Analize, Securitate cibernetica
Update articol:

Cui se aplică NIS 2 în România: Ghid practic de analiză pentru antreprenori

Silvia Uscov

Autori: avocat Silvia Uscov și Mirela Lăpușan

OUG nr. 155/2024 privind transpunerea Directivei NIS 2 în România aduce schimbări importante în peisajul securității cibernetice, impunând obligații diferențiate în funcție de tipul de entitate. Astfel, entitățile esențiale, spre deosebire de cele importante, trebuie să se conformeze unor obligații mai stricte în ceea ce privește: înregistrarea și notificarea (la DNSC), gestionarea riscurilor și măsurile de securitate adoptate, realizarea auditului de securitate cibernetică, raportarea incidentelor, monitorizarea și supravegherea (de către DNSC). De asemenea, regimul sancționatoriu este mai aspru pentru entitățile esențiale. Înțelegerea corectă a modului în care această directivă se aplică afacerii dumneavoastră necesită o analiză atentă, cu accent special pe procesul de autoevaluare a riscurilor. Și pentru că am primit multe întrebări de la antreprenori legate de aplicabilitatea OUG nr. 155/2024 deoarece aceasta este departe de a îndeplini cerințele pentru a fi calificată ca „o lege clară și previzibilă”, ne-am gândit să scriem un articol care să o traducă pentru toți.

Mirela Lăpușan
Mirela Lăpușan

Clasificarea inițială: sectoare și dimensiuni

OUG-ul împarte entitățile în două categorii principale: entități esențiale și entități importante. Această clasificare se bazează pe o matrice care ia în considerare sectorul de activitate și dimensiunea companiei.

Din perspectiva sectorului, OUG-ul diferențiază între sectoarele din Anexa nr. 1 – Sectoare cu o importanță critică ridicată (le vom denumi sectoare A1), respectiv Anexa nr. 2 – Alte sectoare de importanță critică (le vom denumi sectoare A2). Sectoarele A1 includ: energie, transport, sectorul bancar, infrastructuri ale pieței financiare, sănătate, apă potabilă, ape uzate, infrastructură digitală, managementul serviciilor ICT (B2B), administrație publică și spațiu. Sectoarele A2 cuprind: servicii poștale și de curierat, gestionarea deșeurilor, producția chimică, industria alimentară, producție industrială, furnizori de servicii digitale și cercetare.

În ceea ce privește dimensiunea, companiile sunt clasificate astfel: companii mari (peste 250 de angajați ȘI cifră de afaceri anuală peste 50 milioane EUR SAU bilanț total peste 43 milioane EUR) și companii mijlocii (peste 50 de angajați ȘI cifră de afaceri peste 10 milioane EUR SAU bilanț total peste 10 milioane EUR). Companiile care nu îndeplinesc aceste criterii sunt considerate companii mici. Trebuie menționat că o companie cu participație publică de peste 25% nu poate fi considerată mică sau mijlocie.

Conform acestei matrice, clasificarea inițială generală se face astfel:

  • Companiile mari din sectoare A1 sunt considerate entități esențiale
  • Companiile mijlocii din sectoare A1 sunt considerate entități importante
  • Companiile mari și mijlocii din sectoare A2 sunt considerate entități importante
  • Companiile mici, în general, nu intră sub incidența NIS 2, cu anumite excepții, detaliate mai jos, când furnizează servicii critice

Excepții și încadrări speciale

Este important de subliniat că anumite categorii de entități sunt considerate esențiale indiferent de dimensiune:

  • Entitățile critice desemnate de Centrul Național pentru Coordonarea Protecției Infrastructurii Critice din cadrul Ministerului Afacerilor Interne
  • Entitățile administrației publice centrale (cu excepțiile specificate în legislație)
  • Furnizorii de servicii DNS, registrele de nume TLD și prestatorii de servicii de încredere calificați

De asemenea, există și categorii de entități care beneficiază de un regim special:

  1. furnizorii de servicii de securitate gestionate
    • dacă sunt companii mari sau mijlocii, sunt clasificați ca entități esențiale
    • dacă sunt companii mici, nu intră sub incidența NIS 2
  2. furnizorii de servicii de încredere
    • dacă sunt companii mari, sunt clasificați ca entități esențiale (pe baza art. 5 alin. 2 OUG nr. 155/2024)
    • dacă sunt companii mijlocii sau mici, sunt clasificați ca entități importante (pe baza art. 6 alin. 2 OUG nr. 155/2024)
  3. furnizorii de rețele publice de comunicații electronice sau de servicii de comunicații electronice destinate publicului
    • dacă sunt companii mari sau mijlocii, sunt clasificați ca entități esențiale
    • dacă sunt companii mici, sunt clasificați ca entități importante

Ar mai fi demn de menționat că, în ceea ce privește entitățile identificate drept „entități critice” conform legii privind reziliența entităților critice, acestea sunt în general similare cu cele din sectorul A1. Trebuie adăugat aici că beneficiarii din sectorul energie – companiile care primesc fonduri prin OUG nr. 60/2022 (Fondul pentru modernizare) și entitățile din sectorul TIC – furnizorii de servicii gestionate și furnizorii de servicii de securitate gestionate (business-to-business), chiar dacă nu se califică în categoria „entități critice”, vor fi clasificate urmând pașii specificați în OUG nr. 155/2024.

În ceea ce privește întreprinderile alimentare (conform definiției din Regulamentul CE nr. 178/2002) care activează în logistică și distribuție angro, precum și în producție și prelucrare industrială la scară largă, trebuie menționat că acest sector apare în Anexa la Legea nr. 294/2024, dar în OUG nr. 155/2024 este inclus în sectorul A2, dar conform legislației privind reziliența entitățior critice, entitățile din acest sector vor fi încadrate ca entități critice, adică vor fi clasificate întotdeauna ca entități esențiale, indiferent de dimensiunea lor.

Această diferențiere demonstrează abordarea graduală a OUG nr. 155/2024 recunoaște impactul potențial diferit al companiilor în funcție de dimensiunea lor și de sectorul de activitate.

Rolul decisiv al autoevaluării

Clasificarea inițială bazată pe sector și dimensiune reprezintă doar primul pas în determinarea aplicabilității OUG nr. 155/2024 / NIS 2. Elementul care poate modifica fundamental această încadrare este însă autoevaluarea criteriilor de risc.

Această autoevaluare are o dublă funcție:

  1. Poate confirma încadrarea inițială bazată pe sector și dimensiune
  2. Poate modifica încadrarea inițială, ducând la o clasificare mai înaltă (de exemplu, de la “importantă” la “esențială” sau de la “neinclusă” la “importantă” ori „esențială”)

Este crucial de înțeles că autoevaluarea poate determina o clasificare mai strictă decât cea rezultată din aplicarea simplă a matricei sector-dimensiune, dar nu poate duce la o clasificare mai puțin strictă. Cu alte cuvinte, o entitate inițial clasificată ca “esențială” nu poate deveni “importantă” sau “neinclusă” în urma autoevaluării, dar o entitate “importantă” poate deveni “esențială” dacă evaluarea riscurilor indică un impact potențial semnificativ.

Procesul de autoevaluare: 4 criterii și 6 dimensiuni de impact

Autoevaluarea nivelului de risc este un proces complex care analizează 4 factori:

  1. unicitatea: entitatea este singurul furnizor al unui serviciu care este esențial pentru susținerea unor activități societale și economice critice;
  2. impactul semnificativ: perturbarea serviciului furnizat de entitate ar putea avea un impact semnificativ asupra siguranței publice, a securității publice sau a sănătății publice;
  3. riscul sistemic semnificativ: perturbarea serviciului furnizat de entitate ar putea genera un risc sistemic semnificativ, în special pentru sectoarele în care o astfel de perturbare ar putea avea un impact transfrontalier;
  4. importanță critică: entitatea este critică datorită importanței sale specifice la nivel național sau regional pentru sectorul sau tipul de servicii în cauză sau pentru alte sectoare interdependente.

În cazul impactului semnificativ, acesta se analizează prin raportare la 6 dimensiuni principale de impact:

  1. Impactul asupra drepturilor și libertăților fundamentale este prima dimensiune care trebuie evaluată. Acest aspect include confidențialitatea datelor personale, libertatea de exprimare, dreptul la informare și alte drepturi fundamentale. Dată fiind complexitatea juridică a acestei evaluări, consultarea unui avocat specializat în drepturile omului și protecția datelor cu caracter personal este absolut necesară. Nuanțele juridice în acest domeniu sunt subtile și pot avea implicații profunde asupra clasificării finale.
  2. A doua dimensiune vizează impactul asupra economiei naționale. Aceasta presupune o analiză detaliată a cotei de piață a companiei, a gradului de dependență al altor sectoare economice de serviciile sale și a consecințelor potențiale ale unei întreruperi a serviciilor asupra economiei în ansamblu. O companie care deține o poziție dominantă într-un sector sau furnizează servicii esențiale pentru multiple alte industrii va avea un punctaj mai ridicat la această dimensiune.
  3. Impactul asupra sănătății și vieții oamenilor constituie a treia dimensiune critică. Evaluarea trebuie să considere atât efectele directe, cât și cele indirecte asupra sănătății și siguranței populației. Scenariile de risc trebuie analizate temeinic, cu estimări realiste ale numărului de persoane care ar putea fi afectate în diverse situații de compromitere a securității cibernetice.
  4. Impactul financiar, a patra dimensiune, merge dincolo de consecințele directe asupra companiei și analizează efectele potențiale asupra întregului ecosistem economic. Această evaluare include perturbările posibile ale piețelor financiare, întreruperile în lanțurile de aprovizionare și pierderile financiare pentru terți.
  5. A cincea dimensiune, impactul asupra apărării, ordinii publice și securității naționale, necesită o analiză prudentă a legăturilor cu infrastructurile critice din domeniul apărării și securității naționale.. Pentru această evaluare, consultarea unui expert cu background juridic și eventual în securitate națională este indispensabilă pentru a evita atât subevaluarea, cât și supraevaluarea riscurilor.
  6. În final, impactul intersectorial sau transfrontalier trebuie evaluat prin prisma efectelor în cascadă asupra altor sectoare economice și a consecințelor care ar putea depăși granițele României, afectând parteneri economici sau state vecine.

La acest moment, DNSC (Directoratul Național pentru Securitate Cibernetică) nu a publicat încă pragurile specifice și metodologia detaliată pentru autoevaluare. Se anticipează că aceste criterii vor fi stabilite printr-un ordin al directorului DNSC, conform art. 10 alin. (2) din OUG nr. 155/2024, în următoarele luni, după finalizarea transpunerii complete a directivei în legislația națională, inclusiv pe legislația secundară. Până atunci, companiile ar trebui să realizeze evaluări preliminare bazate pe principiile generale descrise în OUG.

Exemple de reclasificare în urma autoevaluării nivelului de risc

Pentru a ilustra impactul potențial al autoevaluării asupra clasificării finale, vom analiza câteva exemple concrete:

O companie mică de utilități locale, cu 45 de angajați și o cifră de afaceri de 9 milioane EUR, furnizează apă potabilă pentru o zonă rurală. Conform clasificării inițiale bazate pe dimensiune, această companie nu ar intra sub incidența NIS 2, chiar dacă activează în sectorul apei potabile (A1). Totuși, în urma autoevaluării, se constată că această companie este unicul furnizor de apă pentru trei comunități izolate cu o populație totală de 50.000 de locuitori și deservește două spitale regionale importante. Mai mult, sistemele sale de tratare a apei sunt parțial automatizate, fiind vulnerabile la atacuri cibernetice care ar putea compromite calitatea apei. În aceste condiții, impactul asupra sănătății populației și cel intersectorial ar putea determina DNSC să o clasifice ca entitate importantă, în ciuda dimensiunii sale reduse.

Un alt exemplu relevant este cel al unei companii mijlocii de transport, cu 180 de angajați și o cifră de afaceri de 30 milioane EUR. Inițial, această companie ar fi clasificată ca entitate importantă (companie mijlocie în sector A1). Totuși, autoevaluarea relevă că această companie operează transportul feroviar de materiale periculoase și este singurul operator autorizat pentru anumite rute strategice care conectează instalații industriale critice. Un incident de securitate cibernetică care ar afecta sistemele informatice care susțin activitatea de transport feroviar a entității analizate, perturbând activitatea de management al traficului, ar putea avea consecințe catastrofale pentru siguranța publică și mediu. În plus, compania transportă echipamente sau materiale din domeniul apărării. Aceste constatări ar putea determina reclasificarea sa ca entitate esențială.

Documentarea și validarea autoevaluării

Procesul de autoevaluare trebuie documentat riguros, cu justificări clare pentru încadrarea pe fiecare dintre cei 4 factori și evaluarea fiecărui dimensiuni de impact. Documentația trebuie să includă:

  • Metodologia utilizată
  • Sursele de informații consultate
  • Scenariile de risc analizate
  • Justificarea punctajelor acordate pentru fiecare dimensiune
  • Concluziile finale și clasificarea propusă

Procesul conform art. 18 alin. (4), (5) și (6) din OUG 155/2024 presupune următoarele etape: mai întâi, entitatea realizează autoevaluarea inițială și notifică DNSC; în urma acestei notificări, DNSC emite Decizia pentru identificare și înscriere în Registru în termen de 60 de zile pentru entitățile esențiale, respectiv 150 de zile pentru entitățile importante; ulterior acestei Decizii, entitățile au obligația ca în termen de 60 de zile să transmită la DNSC evaluarea completă a nivelului lor de risc, aceasta fiind o evaluare detaliată care urmează înregistrării inițiale. Este important de subliniat că decizia finală privind încadrarea aparține DNSC, care poate solicita informații suplimentare sau poate ajusta clasificarea în baza unei evaluări proprii.

Abordarea strategică a autoevaluării

Pentru o autoevaluare credibilă și eficientă, recomandăm constituirea unei echipe multidisciplinare care să includă reprezentanți din management, IT/securitate cibernetică, juridic, operațiuni și managementul riscului. Această echipă trebuie să aibă o înțelegere profundă atât a operațiunilor companiei, cât și a ecosistemului economic și social în care aceasta operează.

Pentru dimensiunile care necesită expertiză specifică, este esențială consultarea specialiștilor externi. Un avocat specializat în drepturile omului și protecția datelor personale este indispensabil pentru evaluarea primei dimensiuni. Similar, pentru evaluarea impactului asupra securității naționale, pentru a asigura o analiză echilibrată și completă.

Documentarea meticuloasă a procesului și a raționamentelor este esențială nu doar pentru conformitate, ci și pentru eventuale audituri sau verificări. De asemenea, autoevaluarea trebuie revizuită periodic, în special când apar modificări semnificative în operațiunile companiei, în contextul legislativ sau în peisajul amenințărilor cibernetice.

Concluzie

Aplicabilitatea OUG nr. 155/2024 / NIS 2 pentru compania dumneavoastră nu poate fi determinată exclusiv pe baza sectorului de activitate și a dimensiunii. Autoevaluarea criteriilor de risc joacă un rol decisiv, putând reclasifica o entitate la un nivel superior de obligații, dar niciodată la un nivel inferior celui rezultat din matricea sector-dimensiune.

Acest proces de autoevaluare necesită o analiză riguroasă a șase dimensiuni de impact, realizată de o echipă multidisciplinară și, pentru anumite aspecte, cu sprijinul specialiștilor externi. Consultarea unui avocat specializat este, de asemenea, esențială pentru evaluarea corectă a companiei.

În așteptarea publicării criteriilor detaliate de către DNSC, companiile sunt încurajate să înceapă evaluări preliminare bazate pe principiile generale descrise în directivă. O abordare proactivă nu doar că facilitează conformitatea viitoare, ci contribuie semnificativ la îmbunătățirea arhitecturii generale de securitate cibernetică a organizației dumneavoastră.

 

Pe același subiect:

BVB | Știri BVB

EVERGENT INVESTMENTS S.A. (EVER) (17/04/2025)

Informatii ulterioare publicarii Convocatorului AGOA din 29/30 aprilie 2025

TRANSILVANIA INVESTMENTS ALLIANCE S.A. (TRANSI) (17/04/2025)

Masuri adoptate de Consiliul de Supraveghere

LION CAPITAL S.A. (LION) (17/04/2025)

Autorizare administratori societate

SOCIETATEA DE CONSTRUCTII NAPOCA SA (NAPO) (17/04/2025)

Materiale AGA O 28/29 aprilie 2025

SIMTEL TEAM (SMTL) (17/04/2025)

Semnarea unui contract semnificativ in legatura cu proiectul Giurgiu