Mergi la conținutul principal

Consolidați securitatea cibernetică și reziliența organizației dumneavoastră

Directiva NIS2 consolidează securitatea cibernetică și reziliența infrastructurii critice de la nivelul Uniunii Europene. Este organizația dumneavoastră pregătită? Utilizați tool-ul nostru pentru a evalua!

Efectuați pre-evaluarea!
Contactați-ne

Directiva NIS2 consolidează securitatea cibernetică și reziliența infrastructurilor critice la nivelul Uniunii Europeane (UE). În urma adoptării oficiale în decembrie 2022, guvernul român și toate statele membre ale UE au fost obligate să transpună directiva la nivel național până la data de 17 octombrie 2024. Ca răspuns la această directivă, România a adoptat Ordonanța de urgență a Guvernului 155/2024. De la sectorul Financiar și Administrație publică, la Gestionarea deșeurilor și Spațiu, NIS2 impune măsuri sporite de securitate cibernetică și reziliență în mai multe sectoare de activitate. Având la baza ediția precedentă, NIS 1, directiva se concentrează pe creșterea nivelului de pregătire și coordonare între statele membre ale UE, aplicând în același timp măsuri de securitate cibernetică pentru sectoare cheie de activitate.

NIS2 se bazează pe trei piloni fundamentali:

  • Strategii naționale de securitate cibernetică: Statele membre ale UE trebuie să stabilească strategii naționale clare și coordonate pentru a îmbunătăți securitatea cibernetică în întreaga regiune.
  • Cooperarea strategică și schimbul de informații: NIS2 pune accentul pe colaborarea dintre statele membre și pe schimbul de informații privind securitatea cibernetică, promovând o apărare colectivă împotriva amenințărilor cibernetice.
  • Sectoare cheie: NIS2 se aplică sectoarelor critice pentru societate precum Energie, Sănătate, Transport și Infrastructură digitală, asigurându-se că entitățile mențin o apărare robustă de securitate cibernetică.

Care sunt noile cerințele ale Directivei NIS2?

NIS2 introduce mai multe cerințe noi pentru a îmbunătăți postura generală de securitate a organizațiilor și sectoarelor. Aceste cerințe se concentrează pe îmbunătățirea managementului riscurilor, guvernanței corporative, raportării incidentelor și continuității afacerii:

  • Managementul riscurilor și îmbunătățirea nivelului de securitate: Organizațiile trebuie să adopte măsuri pentru a minimiza riscurile cibernetice, inclusiv gestionarea incidentelor, securizarea lanțului de aprovizionare și îmbunătățirea securității rețelei. Acest lucru asigură o apărare proactivă împotriva amenințărilor în continuă evoluție.
  • Responsabilitatea corporativă: Managementul entităților trebuie să își asume responsabilitatea pentru securitatea cibernetică, inclusiv supravegherea, aprobarea și instruirea cu privire la măsurile de securitate ale organizației. Acest lucru poziționează securitatea cibernetică drept prioritate la cele mai înalte niveluri de luare a deciziilor.
  • Raportarea incidentelor de securitate: Organizațiile trebuie să aibă un proces clar pentru a raporta orice incidente majore de securitate, în special cele care ar putea avea un impact semnificativ asupra furnizării de servicii sau a utilizatorilor. Raportarea în timp util este esențială pentru atenuarea consecințelor atacurilor cibernetice.
  • Continuitatea afacerii: NIS2 impune dezvoltarea și implementarea planurilor de continuitate a afacerii pentru a se asigura că organizațiile pot menține operațiunile esențiale și se pot recupera rapid după incidente cibernetice majore, minimizând  întreruperile sau chiar oprirea activității.

Principalele implicații ale Directivei NIS2 pentru fiecare tip de entitate

Entitățile sunt clasificate diferit.

În prezent, există două categorii de entități care sunt grupate în funcție de încadrarea în categoria „critic” sau „extrem de critic” a sectorului asociat:

  • Entitățile esențiale aparțin sectoarelor considerate „extrem de critice".
  • Entitățile importante aparțin altor sectoare considerate doar „critice".

O distincție suplimentară se face în funcție de dimensiunea companiei și de cifra de afaceri.  Întreprinderile mici și microîntreprinderile nu sunt în domeniul de aplicare.

Nu mai există distincție între operatorii de servicii esențiale (OSE) și furnizorii de servicii digitale (FSD).

Principalele implicații NIS2 pentru fiecare tip de entitate 

  • Atât entitățile esențiale cât și cele importante vor trebui să respecte aceleași cerințe de securitate și să facă obiectul unui regim de supraveghere ex post, cu mențiunea că entitățile esențiale se vor supune și unui regim de supraveghere ex ante (de exemplu, inspecții, verificări aleatorii, audituri, solicitări de informații).
  • Amenzile administrative vor fi de până la 10 milioane de euro sau 2% din cifra de afaceri anuală globală totală a companiei.
  • Obligă entitățile din domeniul de aplicare să adopte practici specifice de gestionare a riscurilor cibernetice;
  • Introduce o abordare în două etape pentru raportarea incidentelor
  • Consolidează securitatea lanțului de aprovizionare;
  • Conducerea executivă poate fi responsabilă personal pentru entitățile esențiale; în timp ce;
  • Nu este prevăzută nicio responsabilitate personală pentru entitățile importante.
Care sunt sectoarele vizate?

Unsprezece sectoare au fost identificate ca fiind highly critical pe baza impactului imediat asupra funcțiilor societale, sănătății publice și economiei, în cazul în care entitățile esențiale din cadrul acestor sectoare ar fi compromise. Aceste sectoare pot fi, de asemenea, văzute ca servind drept bază a economiei, de care depind alte sectoare, amplificând astfel impactul perturbărilor generate.

  • Administrația publică
  • Sectorul financiar bancar
  • Infrastructurile pieței financiare
  • Energie
  • Transport
  • Spațiu
  • Infrastructura digitală
  • Managementul serviciilor tehnologiei informațiilor și a comunicațiilor
  • Apă potabilă
  • Ape reziduale
  • Sănătate

Alte șapte sectoare au fost identificate ca fiind „critice" pe baza consecințelor semnificative apărute ca urmare a perturbării serviciilor importante furnizate.

  • Servicii poștale și de curierat
  • Fabricare
  • Producția, prelucrarea și distribuția alimentelor
  • Fabricarea, producția și distribuția de substanțe chimice
  • Managementul deșeurilor
  • Furnizori de servicii digitale
  • Cercetare
Cum poate ajuta Deloitte

Descărcați materialul alăturat pentru o prezentare generală a transpunerii locale în România.

Trebuie mai întâi să confirmați dacă cerințele Directivei NIS2 vi se aplică. Noi vă putem ajuta:

  • Realizați o analiză la nivelul organizației pentru a verifica dacă aceasta se încadrează în categoria de entități din domeniul de aplicare;
  • Definiți și detaliați cerințele Directivei NIS2 aplicabile organizației dvs., luând în considerare contextul jurisdicțional.

Dacă organizația dumneavoastră este supusă cerințelor Directivei NIS2, va trebui să evaluați nivelul de pregătire în cazul unui potențial incident .

În acest sens, vă putem ajuta cu:

  • Efectuarea unei evaluări a lacunelor în raport cu cerințele de securitate NIS2, inclusiv prin alinierea cu alte reglementări aplicabile organizației dumneavoastră; și
  • Evaluarea practicilor de gestionare a riscurilor cu terții.

Dacă aveți nevoie de asistență în implementarea măsurilor de securitate cerute de NIS2, vă putem asista cu:

  • Definirea unui plan detaliat de remediere pentru atenuarea riscurilor de ordin cibernetic și creșterea nivelului de conformitate;
  • Suport în implementarea măsurilor de securitate cibernetică necesare. Acesta include în special:
    • Elaborarea și actualizarea politicilor și procedurilor necesare;
    • Furnizarea de activități de instruire și de conștientizare în domeniul securității cibernetice pentru reprezentanții conducerii și personalul organizației;
    • Servicii de penetrare (pentest);
  • Servicii juridice.

Dacă aveți nevoie de asistență pentru respectarea legislației în ceea ce privește abordarea în două etape a raportării incidentelor, vă putem ajuta cu:

  • Alinierea procesului de raportare a incidentelor cu noile cerințe impuse;
  • Asistență pentru revizuirea, testarea și îmbunătățirea mecanismelor de detectare a incidentelor de securitate.

Află mai multe despre Directiva NIS2

Securing Healthcare: NIS2 Implementation Workshop

În persoană : Eveniment
16 apr. 2025 București

Given the new requirements established by Government Ordinance 155/2024, this event will provide you with valuable insights for taking appropriate measures regarding cybersecurity in the healthcare sector.

Vezi detalii
Eveniment trecut

NIS2 Whitepaper

This whitepaper provides an analysis as of January 2025 of the current regulatory landscape, touching upon key aspects such as sector definition, identification of entities, registration requirements, and security measures, as well as management accountability and government oversight.

Directiva NIS 2: o necesitate în contextul cibernetic actual, nu doar o obligație legală

Transpunerea Directivei NIS (Network and Information Security) 2 în legislația românească prin OUG 155/2024 marchează un moment definitoriu în eforturile locale de consolidare a rezilienței în fața amenințărilor cibernetice din ce în ce mai complexe.
Perspectivă

NIS 2 Directive and local implementation in Romania: Embracing New Cybersecurity Responsibilities

În persoană : Eveniment
05 mar. 2025

Join us for an insightful workshop on the NIS 2 Directive, aimed at introducing and exploring the new cybersecurity regulation. This comprehensive workshop will provide participants with a clear understanding of the enhanced requirements and obligations under the NIS 2 Directive, transposed to local law by Government Ordinance 155/2024, as well as providing insights on how to navigate these new cybersecurity responsibilities effectively.

Vezi detalii
Eveniment trecut

Under the hat

A Deloitte digest for cybersecurity experts

    

Subscribe here

For an in-depth exploration of our cybersecurity expertise

    

Discover more

Contact

Andrei Ionescu

Partener Coordonator Consultanță
+40 21 222 1661

Raluca Anton

Senior Manager
+40 21 222 1661

Octavian Popa

Manager, Cyber Strategy
+40 21 222 1661

În România, serviciile sunt furnizate de către Deloitte Audit SRL, Deloitte Tax SRL, Deloitte Consultanta SRL, Deloitte Accounting SRL, Deloitte Fiscal Representative SRL, Deloitte Tehnologie SRL, Deloitte Support Services SRL, Deloitte Shared Services SRL și Reff & Asociații SPRL, firma corespondentă de avocatură a Deloitte în România, (denumite colectiv „Deloitte România"), care sunt afiliate Deloitte Central Europe Holdings Limited. Deloitte România este una dintre cele mai importante organizații de servicii profesionale din țară care oferă servicii de audit, consultanță fiscală, servicii juridice, de consultanță în management, consultanță financiară, servicii de management al riscului, soluții de externalizare și consultanță în tehnologie, precum și alte servicii adiacente prin intermediul a peste 3.400 de profesioniști de specialitate, locali, dar și externi. Pentru a afla mai multe despre modul în care Deloitte creează un impact vizibil în societate, vă invitam să accesați www.deloitte.ro și să vă conectați cu noi pe FacebookLinkedInYouTube și Instagram.

© 2025. Pentru mai multe detalii, contactați Deloitte România.