Adress
ONE HERASTRAU OFFICE, Bucuresti, Daniel Danielopolu Str., no. 30-32, 4th floor, Romania
Phone
office@espaceit.ro
Phone
(+40) 741-262-060
Espace IT

Noua Directivă europeană NIS2, transpusă în legislația națională prin actualizările aduse Legii nr. 362/2018, extinde semnificativ aria organizațiilor obligate să implementeze măsuri stricte de securitate cibernetică și management al riscurilor IT.

Această directivă vizează nu doar instituții publice sau mari furnizori de infrastructură, ci și companii private din diverse domenii esențiale și importante pentru societate.

Ce este NIS2?

NIS2 este succesoarea Directivei NIS (UE) 2016/1148 și are ca scop întărirea capacității statelor membre de a preveni, detecta și răspunde la incidentele de securitate cibernetică, protejând atât infrastructura digitală, cât și economia și societatea.

Ce entități intră sub incidența NIS2?

Conform legislației în vigoare din România (Legea 362/2018, Ordinul 599/2019 și actualizările recente), următoarele categorii sunt vizate de obligațiile NIS2:

1. Operatori de servicii esențiale (OSE)

Organizații private sau publice care furnizează servicii a căror întrerupere ar putea avea impact major:

  • Energie: furnizori de electricitate, gaze, petrol, energie regenerabilă
  • Transport: companii aeriene, porturi, căi ferate, logistică
  • Sector bancar și infrastructură financiară (burse, clearing houses)
  • Sănătate: spitale, clinici, laboratoare, platforme de e-health
  • Apă potabilă: operatori regionali, servicii de canalizare
  • Infrastructură digitală: furnizori de DNS, cloud, datacentere
  • Administrație publică și platforme digitale guvernamentale

2. Furnizori de servicii digitale (FSD)

Conform art. 4 și 14 din Legea 362/2018:

  • Platforme de comerț electronic
  • Furnizori de cloud computing (IaaS, PaaS, SaaS)
  • Motoare de căutare
  • Furnizori de hosting și infrastructură web

3. Sectoare importante (nou introduse de NIS2)

  • Poștă și curierat
  • Producție și distribuție de produse chimice
  • Industria alimentară și lanțuri logistice
  • Producători de echipamente medicale, electronice și vehicule
  • Cercetare științifică (în domenii strategice)

4. Instituții și autorități publice

  • Ministere, agenții și instituții care oferă servicii critice
  • Primării sau consilii locale care gestionează infrastructuri esențiale

5. Firme din sectorul medical și IT

  • Clinici, rețele de farmacii sau platforme cu bază mare de pacienți
  • Firme IT care administrează infrastructuri digitale critice

Ce trebuie să faci dacă faci parte din una dintre aceste categorii?

Dacă organizația ta intră în una dintre categoriile de mai sus, trebuie:

  • să realizezi o autoevaluare de impact (conform Ordinului MCSI 599/2019)
  • să te înregistrezi în Registrul OSE sau FSD la DNSC
  • să implementezi un sistem de management al riscurilor și măsuri tehnice și organizatorice conforme
  • să te pregătești pentru audituri și inspecții periodice din partea DNSC