top of page
Caută

Obligațiile entităților conform OUG 155/2024: Obligațiile companiilor privind securitatea cibernetică și aplicarea Directivei NIS 2

  • Cristina Tudor
  • 1 sept.
  • 3 min de citit
ree

La final de 2024, România a transpus în legislația națională Directiva (UE) 2022/2555 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniunea Europeană, cunoscută ca Directiva NIS 2.


Acest lucru s-a realizat prin Ordonanța de Urgență nr. 155/2024, care stabilește un cadru unitar pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic civil.


Noua reglementare extinde semnificativ categoriile de entități vizate și impune obligații stricte privind managementul riscurilor, raportarea incidentelor și responsabilitatea conducerii.


În data de 20 august 2025, a fost publicat în Monitorul Oficial Ordinul nr. 1/2025, care definește procedura de notificare pentru înregistrarea la DNSC de către companii.


Cine este vizat de OUG 155/2024? Companiile care au obligații în temeiul OUG 155/2025


Entitățile reglementate se împart în două categorii:

  1. Entități esențiale – organizații din domenii critice, respectiv: energie, transport, sectorul bancar, infrastructuri ale pieței financiare, sectorul sănătății, apă potabilă, ape uzate, infrastructură digitală, gestionarea serviciilor TIC (business-to business), administrație publică;


    Definiția integrală a entităților considerate esențiale se regăsește în cuprinsul art. 5 din OUG 155/2024.


  2. Entități importante – Întreprinderi mijlocii și mari din sectoare precum: servicii digitale, furnizori IT, gestionarea deșeurilor, producție alimentară, servicii poștale și de curierat, precum și cele din domeniile critice prevăzute mai sus și care nu se încadrează în definiția întreprinderilor esențiale.


    Conform prevederilor legale aplicabile, întreprinderile mijlocii sunt acele companii au între 50 și 249 de salariați și realizează o cifră de afaceri anuală netă de până la 50 milioane euro, echivalent în lei, sau dețin active totale care nu depășesc echivalentul în lei a 43 milioane euro.


    Întreprinderile mari sunt cele care depășesc pragurile menționate mai sus pentru întreprinderile mijlocii.

    Acest lucru nu înseamnă cu microîntreprinderile sunt exceptate.


    Entitățile esențiale și entitățile importante sunt obligate să se supună efectuării unui audit de securitate cibernetică.


Principalele obligații prevăzute de OUG 155/2024 privind securitatea cibernetică


1. Înregistrare și notificare


  • Entitățile care desfășoară activitățile prevăzute în cuprinsul Anexei 1 sau Anexei 2 din OUG 155/2024 trebuie să se înregistreze la DNSC (Directoratul Național de Securitate Cibernetică) în termen de 30 de zile de la data intrării în vigoare a ordonanței sau de la momentul în care devin aplicabile.


    Activitățile detaliate în cuprinsul Anexei 1 și 2, pentru care este necesară înregistrarea se regăsesc aici.


  • Notificarea trebuie transmisă până cel mai târziu la 19 septembrie 2025, având în vedere data publicării în Monitorul Oficial a Ordinului Ministerului Justiției nr. 1/2025, care prevede procedura notificării DNSC de către companii.



2. Managementul riscurilor și guvernanță

  • Implementarea de către companii a unor măsuri tehnice și organizaționale adaptate riscurilor, conform prevederilor art. 11.

  • Adoptarea de politici interne și proceduri de securitate, aprobate de conducerea entității.


3. Audituri și autoevaluări

  • Efectuarea periodică a auditului de securitate cibernetică, conform art. 11 alin. 5 din OUG 155.

  • Autoevaluarea anuală a gradului de maturitate și transmiterea rezultatelor către DNSC.


Astfel, entitățile esențiale și entitățile importante realizează și transmit către DNSC și, după caz, către autoritatea competentă sectorial, anual, o autoevaluare a nivelului de maturitate a măsurilor de gestionare a riscurilor de securitate cibernetică.


4. Raportarea incidentelor de securitate

  • Notificarea către DNSC a incidentelor cibernetice majore în maximum 24 și 72 de ore, în funcție de gravitate.

  • Transmiterea unui raport final în termen de o lună de la data transmiterii notificării prevăzute anterior.

  • Informarea utilizatorilor sau beneficiarilor în cazul în care incidentele au impact direct asupra acestora.



Sancțiuni în caz de neconformare


Nerespectarea anumitor obligații prevăzute în cuprinsul OUG 155/2024, poate atrage sancțiuni severe:

  • Pentru entitățile esențiale: amenzi între 10.000 LEI – 10.000.000 EUR sau până la 2% din cifra de afaceri anuală la nivel mondial.

  • Pentru entitățile importante: amenzi între 5.000 LEI – 7.000.000 EUR sau până la 1,4% din cifra de afaceri anuală la nivel mondial.


Pași recomandați pentru conformare


  1. Verificați dacă organizația intră în sfera OUG 155/2024 și determinați dacă aceasta este entitate esențială sau importantă.

  2. Înregistrați-vă la DNSC și respectați termenele legale.

  3. Implementați politici interne de securitate cibernetică.

  4. Efectuați audituri și autoevaluări periodice.

  5. Asigurați instruirea personalului și pregătirea conducerii.

  6. Stabiliți un mecanism de raportare rapidă a incidentelor.


Concluzie


OUG 155/2024 reprezintă un pas important în întărirea securității cibernetice în România.

Entitățile implicate trebuie să abordeze aceste obligații cu cea mai mare seriozitate, deoarece consecințele neconformării nu se limitează doar la amenzi, ci includ și pierderi de reputație și riscuri operaționale.


Implementarea adecvată a Directivei NIS 2 reprezintă nu doar o obligație legală, ci și o investiție în reziliența și încrederea organizației pe termen lung.



Comentarii

Cere o ofertă

Mulțumim. Vom reveni în scurt timp

Ghiduri legale, clar explicate și noutăți legislative. Acum în inboxul tău

Abonează-te pentru a primi noutăți despre contracte, ghiduri practice pentru afacerea ta și despre ce obligații revin firmelor - lunar

bottom of page