Directiva NIS 2 a fost transpusă în legislația internă prin Ordonanța de Urgență nr. 155 din 30 decembrie 2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil (pe scurt OUG 155/2024). Aceasta a intrat în vigoare pe 31 decembrie 2024, iar firmele au avut la dispoziție 30 de zile pentru a se înregistra la autoritatea competentă în domeniu – Directoratul Național de Securitate Cibernetică (DNSC).
- Ce entități au obligația de a respecta OUG 155/2024
OUG 155/2024 se aplică entităților care activează în domenii considerate esențiale sau importante pentru funcționarea societății și care pot avea un impact semnificativ în caz de incident cibernetic. Printre domeniile vizate se numără: energie, transporturi, sănătate, apă potabilă, infrastructură digitală, cloud computing, centre de date, servicii poștale și de curierat, administrație publică, furnizori de servicii IT, dar și platforme online sau motoare de căutare.
Pentru ca o societate să fie obligată să respecte OUG 155/2024, trebuie analizate trei aspecte principale:
- Domeniul de activitate – Firma trebuie să activeze într-unul dintre domeniile reglementate. Dacă nu se încadrează aici, legea nu se aplică.
- Dimensiunea entității – Sunt vizate în special firmele mijlocii și mari.
- Nivelul de importanță al serviciilor oferite – Chiar dacă o firmă este mică, poate fi obligată să respecte ordonanța dacă oferă servicii considerate critice. De exemplu: (i) este singurul furnizor al unui serviciu esențial; (ii) un incident la nivelul firmei ar putea afecta siguranța publică, sănătatea sau economia; (iii) compania este importantă prin poziția ei strategică sau prin interdependența cu alte servicii vitale.
Aplicabilitatea se stabilește de la caz la caz, în funcție de domeniul de activitate, dimensiunea entității și riscul pe care l-ar genera un incident informatic.
Entitățile din sectorul financiar (cum ar fi bănci, instituții de plată sau operatori de piață) sunt reglementate în principal prin DORA. Acestor entități li se aplică doar anumite dispoziții din OUG 155/2024, în special cele privind cooperarea, identificarea riscurilor și înregistrarea.
- Grupurile de întreprinderi – cum influențează apartenența la un grup aplicabilitatea OUG 155/2024
Pentru ca o entitate să fie obligată să respecte OUG 155/2024, este necesar ca aceasta să activeze într-un domeniu de activitate reglementat de ordonanță. Aceasta este condiția principală: dacă activitatea desfășurată nu se regăsește în domeniile vizate, apartenența la un grup nu atrage aplicabilitatea prevederilor.
Dacă entitatea activează într-un sector reglementat, urmează să se stabilească dacă aceasta se încadrează ca întreprindere mijlocie sau mare. În această etapă, apartenența la un grup poate influența semnificativ rezultatul: o entitate care, luată individual, nu atinge pragurile de încadrare, poate fi considerată eligibilă dacă, împreună cu celelalte entități din grup, depășește aceste praguri.
Prin urmare, apartenența la un grup influențează doar analiza dimensiunii, nu și aplicabilitatea domeniului — aceasta se determină exclusiv în funcție de activitățile desfășurate de entitate.
În plus, atunci când se stabilește aplicabilitatea OUG 155/2024, se poate avea în vedere și riscul sistemic asociat entității în contextul grupului. În anumite situații, autoritatea competentă (DNSC) poate solicita înregistrarea unei entități dacă aceasta joacă un rol semnificativ în cadrul unui ecosistem critic.
- Departamente IT interne – sunt vizate de reglementare?
Una dintre întrebările care apar tot mai des în practică este dacă structurile IT interne ale unei entități – în special cele din cadrul grupurilor de companii – intră sau nu sub incidența OUG 155/2024.
Textul ordonanței definește furnizorii de servicii gestionate într-un mod larg, făcând referire la orice entitate care oferă servicii de administrare activă a infrastructurilor sau aplicațiilor IT, fără a face distincție clară între servicii prestate în interiorul grupului și cele oferite către terți.
Această lipsă de delimitare deschide o serie de întrebări relevante:
- Poate fi o structură IT internă, care deservește doar compania-mamă sau entitățile din același grup, încadrată ca furnizor de servicii gestionate?
- Este suficient ca activitatea să fie una de suport, sau contează natura operațională și nivelul de autonomie al respectivei structuri?
- Care este rolul real al “administrării active” și cum se interpretează ea în practică?
Dincolo de ambiguitatea prevederilor legale, interpretarea acestor situații se leagă direct de modul în care autoritățile vor aplica în concret dispozițiile ordonanței. Iar în absența unor linii directoare oficiale, diferența dintre conformitate și risc poate sta într-o nuanță de organizare.
În acest context, consideram ca aplicabilitatea OUG 155/2024 în cazul structurilor IT interne trebuie analizată individual, de la caz la caz, ținând cont de contextul concret al activității, scopul reglementării și interpretările posibile oferite de autoritățile competente.
- Contestarea înregistrării la solicitarea DNSC
OUG 155/2024 permite autorității competente – DNSC – să solicite înregistrarea unei entități în registrul entităților esențiale sau importante, chiar dacă aceasta nu s-a autoidentificat ca fiind vizată de reglementare.
În astfel de cazuri, notificarea transmisă de DNSC poate fi contestată în instanță. Procedura este una directă, prin sesizarea Curții de Apel București, fără a fi necesară parcurgerea unei etape prealabile.
Este important de avut în vedere că o astfel de contestație nu suspendă automat efectele notificării, iar formularea poziției juridice trebuie să țină cont atât de condițiile concrete de aplicabilitate, cât și de abordarea autorității în interpretarea ordonanței.
Încadrarea sau neîncadrarea unei entități în sfera de aplicare a OUG 155/2024 poate depinde de factori subtili – cum ar fi natura exactă a serviciilor, organizarea internă sau riscul sistemic asociat activității desfășurate. De aceea, reacția la o solicitare din partea DNSC trebuie construită cu atenție, pe o analiză juridică și operațională solidă.
- Concluzii și recomăndari
Aplicarea OUG 155/2024 nu este întotdeauna intuitivă, mai ales în cazul entităților care activează în grupuri, desfășoară activități de suport sau se află la granița între domenii reglementate și nereglementate.
Determinarea statutului de entitate esențială sau importantă nu se face exclusiv pe baza unor criterii formale precum cifra de afaceri sau numărul de angajați, ci presupune o analiză mai largă, care ia în considerare riscul asociat activității, structura operațională și interacțiunea cu alte actori din ecosistem.
În acest context, recomandarea noastră este ca entitățile care activează în sectoarele vizate sau care prestează servicii cu relevanță pentru infrastructura digitală să inițieze o analiză de conformitate adaptată profilului propriu și riscurilor aferente.