Securitatea cibernetică: cadru național consolidat

 

 

 

  

Alertă legislativă 

 
Securitatea cibernetică: cadru național consolidat, noi entități vizate de cerințele NIS2 și noi obligații ale organelor de conducere

 

 
Legea nr. 124/2025

 

 Adoptarea Legii nr. 124/2025, intrată în vigoare la 10 iulie 2025, marchează finalizarea procesului de transpunere la nivel național a Directivei NIS (Network and Information Security) 2, întărind măsurile stabilite prin OUG nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil. 
 Pe lângă măsurile deja prevăzute prin OUG nr. 155/2024, Legea 124/2025 (“Legea”) introduce o serie de actualizări relevante, de care entitățile esențiale și importante trebuie să țină cont.  Având în vedere incidentele cibernetice majore survenite în cursul anului 2024, cu impact direct asupra serviciilor vitale oferite populației, care au relevat limitele acoperirii legislației actuale în domeniul securității cibernetice și nevoia de a implementa reglementările europene actualizate în ceea ce privește securitatea lanțului de aprovizionare, două noi categorii de entități vor intra sub incidența cerințelor legale privind securitatea cibernetică: distribuitorii autorizați de medicamente și operatorii economici care desfășoară activități de comerț cu produse farmaceutice. Ca urmare a extinderii aplicabilității cadrului legal prin Legea nr. 124/2025, o parte dintre aceste entități devin responsabile pentru adoptarea unor măsuri tehnice, organizatorice și operaționale adaptate nivelului propriu de risc, pentru a preveni și gestiona incidentele cibernetice. În acest context, ele au și obligația de a raporta prompt incidentele de securitate cibernetică semnificative, conform prevederilor legale.

 

 
Clarificări și noutăți ale Legii 124/2025

 

 În plus, Legea clarifică și lărgește domeniul vizat în sectorul alimentar, menționând expres activitățile de producție, prelucrare și/sau distribuție de alimente. Modificarea permite aplicarea reglementărilor și acelor actori economici care realizează doar parțial activitățile din sectorul alimentar, fără condiționări cumulative.
O altă noutate adusă de Lege constă în redefinirea incidentului semnificativ de securitate cibernetică. Spre deosebire de forma anterioară, noua reglementare prevede că un incident este considerat semnificativ dacă se întrunește cel puțin una dintre condițiile prevăzute, fără a fi necesară îndeplinirea lor cumulativă. Prima condiție se referă la impactul asupra entității afectate, atunci când sunt cauzate perturbări majore în activitate sau pierderi financiare importante. A doua are în vedere consecințele asupra altor persoane fizice sau juridice, în special atunci când incidentul poate provoca prejudicii materiale sau non-materiale considerabile.Un alt aspect de reținut este completarea adusă de Lege cu privire la obligațiile organelor de conducere ale entităților esențiale și importante, stabilind în mod expres că:

  • membrii acestora trebuie să urmeze cursuri de formare profesională acreditate în vederea asigurării unui nivel suficient de cunoștințe și competențe pentru a identifica riscurile și a evalua practicile de gestionare a riscurilor de securitate cibernetică;
  • obligația acestor entități, de formare profesională a întregului personal în vederea asigurării unui nivel suficient de cunoştinţe şi competenţe, are caracter regulat;
  • organele de conducere desemnează, în termen de 30 de zile de la data comunicării deciziei directorului DNSC pentru identificarea şi înscrierea în registru, responsabilii cu securitatea reţelelor şi sistemelor informatice care au rolul de a implementa şi supraveghea măsurile de gestionare a riscurilor de securitate cibernetică la nivelul entităţii.

 

 

Pentru informare

 

 

Directiva NIS 2 instituie un cadru juridic unitar la nivel european privind asigurarea unui nivel comun ridicat de securitate cibernetică. Aceasta impune obligații stricte pentru entitățile publice sau private, din sectoarele vizate considerate critice în caz de amenințări sau incidente cibernetice (precum energie, transport, sectorul bancar, sectorul sănătății, administrație publică, infrastructura digitală), cu scopul consolidării rezilienței operaționale și instituționale. 

În acest context, entitățile vizate de noile reglementări trebuie să acorde o atenție sporită obligațiilor care decurg din Legea nr. 124/2025, să își evalueze expunerea la riscurile cibernetice și să implementeze măsuri adecvate în conformitate cu cerințele legale aplicabile.

 

 

Există ceva ce puteți face acum? Cum puteți acționa

 

 

Până la sfârșitul lunii august 2025, pentru începerea derulării procedurilor de înregistrare a entităților aflate în scopul Legii în Registrul entităților, special constituit în acest sens, precum și pentru procedurile de raportare a incidentelor, sunt așteptate ordine ale directorului Directoratului Național de Securitate Cibernetică (DNSC). 

Recomandăm începerea timpurie a verificărilor privind incidența legislației NIS2 asupra organizației dvs., termenele de conformare ulterioară fiind foarte scurte, procedura absolut nouă, iar amenzile raportate la cifra de afaceri anuală la nivel mondial. 

Avocații noștri specializați în domeniul IT vă vor fi alături în demersurile de verificare a încadrării în scopul Legii 124/2025 și, în caz afirmativ, de îndeplinire a obligațiilor subsecvente, de înregistrare în Registrul entităților și raportare incidente.

 

  

descarcă versiunea completă în limba română (.pdf)