Verificarea legalitatii in raport de inscrisuri emise ulterior de autoritate dar care atesta situatii preexistente actului
1 aprilie 2020Somația europeană de plată: Cerințe și implicații legale
24 ianuarie 2025
OUG 155/2024 obligă firmele care activează în sectoare critice să-și înregistreze datele la Directoratul Național de Securitate Cibernetică (DNSC) pentru a asigura protecția sistemelor informatice. Această ordonanță vine ca răspuns la riscurile crescute de atacuri cibernetice în România.
Ce trebuie să faci:
Identifică dacă te încadrezi: Verifică dacă firma ta este considerată entitate esențială sau importantă conform ordonanței.
Înregistrează-te la DNSC: Ai la dispoziție 30 de zile pentru înregistrare de la intrarea în vigoare a ordonanței.
Adoptă măsuri de securitate: Implementează soluții de protecție IT și realizează audituri de securitate periodice.
Raportează incidentele: În cazul unui atac cibernetic, notifică DNSC în maximum 24 de ore.
Responsabilitate clară: Asigură un responsabil dedicat pentru securitatea cibernetică în cadrul firmei tale.
Respectarea OUG 155/2024 este esențială pentru protejarea datelor și prevenirea incidentelor cibernetice grave.
Pentru a asigura un control eficient asupra entităților reglementate, Directoratul Național de Securitate Cibernetică (DNSC) va păstra un registru al entităților esențiale și al celor importante, conform articolului 18 al Ordonanței de Urgență nr. 155/2024. Entitățile care activează în sectoare critice și care se încadrează în definiția de entități esențiale sau importante sunt obligate să se înregistreze la DNSC.
Conform prevederilor, entitățile respective trebuie să notifice DNSC în termen de maximum 30 de zile de la intrarea în vigoare a ordonanței sau de la aplicabilitatea noilor reglementări. Înregistrarea este crucială pentru ca autoritățile să poată monitoriza și să asigure conformitatea cu standardele de securitate cibernetică.
De ce?
Într-o eră digitală tot mai interconectată, protecția infrastructurilor critice și a sistemelor informatice devine o prioritate esențială pentru orice stat. România a traversat recent o perioadă critică în ceea ce privește securitatea cibernetică, expunându-se unor riscuri semnificative din cauza vulnerabilităților existente. În acest context, adoptarea Ordonanței de Urgență nr. 155/2024 marchează un pas important în consolidarea securității cibernetice naționale. Aceasta reglementează securitatea rețelelor și sistemelor informatice esențiale, aliniindu-se la cerințele Directivei NIS2 a Uniunii Europene. Ordonanța introduce o serie de măsuri semnificative, ce vizează atât autoritățile publice, cât și sectorul privat, și impune obligații clare pentru entitățile esențiale și importante, cu scopul de a întări reziliența cibernetică a țării.
Protejează-ți sistemele informatice conform OUG 155/2024!
Consultanța juridică online este la un click distanță. Creează-ți contul aici și află ce ai de făcut.
Domeniul de aplicare și categoriile de entități vizate de noile reglementări
Ordonanța de Urgență nr. 155/2024 vizează entitățile care activează în sectoarele critice, cu scopul de a proteja infrastructurile esențiale pentru buna funcționare a societății și economiei.
În cadrul acestora, ordonanța face distincție între două categorii de entități: esențiale și importante.
Fiecare categorie are un set specific de obligații, care variază în funcție de riscurile pe care le presupun breșele de securitate asupra serviciilor esențiale pe care le furnizează.
Obligațiile principale care le revin entităților esențiale și importante
Entitățile esențiale și importante, reglementate de Ordonanța de Urgență nr. 155/2024, trebuie să adopte măsuri clare și riguroase pentru a proteja securitatea cibernetică a infrastructurilor critice și a serviciilor pe care le furnizează. Aceste măsuri sunt esențiale pentru a asigura reziliența cibernetică și pentru a preveni și răspunde eficient amenințărilor și incidentelor cibernetice.
Gestionarea riscurilor de securitate cibernetică
Entitățile trebuie să implementeze măsuri tehnice, operaționale și organizatorice pentru identificarea, evaluarea și gestionarea riscurilor de securitate cibernetică. Aceste măsuri trebuie să fie proporționale cu nivelul riscurilor și cu impactul potențial al incidentelor. Obiectivul principal este prevenirea și minimizarea impactului unui atac cibernetic asupra serviciilor critice, asigurând în același timp continuitatea acestora.
Auditare și evaluare
Entitățile trebuie să efectueze audituri periodice de securitate cibernetică și să realizeze o autoevaluare anuală a nivelului de maturitate a măsurilor de securitate. Rezultatele acestor evaluări trebuie transmise către DNSC și autoritățile competente din fiecare sector, pentru a asigura conformitatea cu standardele și a identifica eventuale vulnerabilități.
Obligații de raportare
În cazul unui incident semnificativ de securitate cibernetică, entitățile sunt obligate să raporteze imediat, în maximum 24 de ore, către CSIRT național. De asemenea, trebuie să transmită o evaluare inițială în termen de 72 de ore și un raport detaliat final în maximum 30 de zile de la incident. În plus, entitățile au obligația de a informa beneficiarii serviciilor afectate despre incident și impactul acestuia asupra securității datelor sau a serviciilor.
Înregistrare și notificare
Entitățile care se încadrează în categoriile esențiale și importante trebuie să se înregistreze în registrul DNSC în termen de 30 de zile de la intrarea în vigoare a ordonanței sau de la aplicabilitatea acesteia. Înregistrarea presupune furnizarea de informații complete, cum ar fi date de identificare, domeniul de activitate și infrastructura IT utilizată. Orice modificare în structura sau activitatea entității trebuie actualizată rapid (în termen de 2 săptămâni pentru modificări administrative și 3 luni pentru modificări tehnice).
Responsabilități management
Conducerea entităților are responsabilitatea de a aproba măsurile de securitate cibernetică și de a asigura formarea continuă a personalului de conducere în domeniul securității cibernetice. De asemenea, este esențială desemnarea unui responsabil cu securitatea cibernetică și alocarea resurselor necesare implementării eficace a măsurilor de protecție și răspuns la incidente.
Managementul vulnerabilităților
Entitățile trebuie să implementeze un proces continuu de management al vulnerabilităților, care include identificarea, raportarea și remedierea acestora. Colaborarea cu DNSC pentru soluționarea vulnerabilităților este esențială, iar măsurile corective trebuie implementate în termenele stabilite pentru a reduce riscurile cibernetice și a proteja infrastructurile critice.
Ești pregătit să faci față provocărilor cibernetice?
Oferim soluții clare și rapide pentru conformarea cu OUG 155/2024. Înregistrează-te acum pentru suport personalizat.
Provocări și oportunități pentru organizații
Adoptarea OUG 155/2024 va aduce provocări semnificative, în special pentru IMM-uri (Întreprinderile mici și mijlocii), care vor fi nevoite să aloce resurse substanțiale pentru a se conforma noilor cerințe legale.
Termenele rigide pentru raportarea incidentelor și realizarea auditurilor pot reprezenta o povară administrativă suplimentară, creând presiune pe echipele de IT și managementul riscurilor.
Cu toate acestea, impactul pozitiv pe termen lung al acestei ordonanțe nu poate fi subestimat. Creșterea standardelor de securitate și îmbunătățirea transparenței în raportarea incidentelor vor contribui la consolidarea rezilienței cibernetice a României. Acest cadru reglementat va face țara mai pregătită în fața diverselor amenințări cibernetice.
Totodată, înființarea unei piețe reglementate pentru auditori de securitate cibernetică va stimula investițiile în formarea și certificarea noilor profesioniști din domeniu, sporind astfel expertiza și capacitatea de răspuns la atacuri.
