Securitatea cibernetică: cadru național consolidat, noi entități vizate de cerințele NIS2 și noi obligații ale organelor de conducere

Synopsis: Legea nr. 124/2025 instituie obligații noi pentru organele de conducere ale entităților esențiale și importante, în special în sfera formării profesionale și a competențelor în materie de securitate cibernetică dar și de guvernanță în relatiile cu DNSC. Companiile care desfășoară activități de distribuire a medicamentelor, comerț cu produse farmaceutice și cele aparținând anumitor segmente ale industriei alimentare intră, cu caracter de noutate și în anumite condiții (care țin în special de cifra de afaceri, numărul de angajați sau valoarea activelor), sub incidența noilor reglementări privind securitatea cibernetică.

***

Adoptarea Legii nr. 124/2025, intrată în vigoare la 10 iulie 2025, marchează finalizarea procesului de transpunere la nivel național a Directivei NIS (Network and Information Security) 2, întărind măsurile stabilite prin OUG nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil.

Pe lângă măsurile deja prevăzute prin OUG nr. 155/2024, Legea 124/2025 (“Legea”) introduce o serie de actualizări relevante, de care entitățile esențiale și importante trebuie să țină cont.  

Având în vedere incidentele cibernetice majore survenite în cursul anului 2024, cu impact direct asupra serviciilor vitale oferite populației, care au relevat limitele acoperirii legislației actuale în domeniul securității cibernetice și nevoia de a implementa reglementările europene actualizate în ceea ce privește securitatea lanțului de aprovizionare, două noi categorii de entități vor intra sub incidența cerințelor legale privind securitatea cibernetică: distribuitorii autorizați de medicamente și operatorii economici care desfășoară activități de comerț cu produse farmaceutice.Ca urmare a extinderii aplicabilității cadrului legal prin Legea nr. 124/2025, o parte dintre aceste entități devin responsabile pentru adoptarea unor măsuri tehnice, organizatorice și operaționale adaptate nivelului propriu de risc, pentru a preveni și gestiona incidentele cibernetice. În acest context, ele au și obligația de a raporta prompt incidentele de securitate cibernetică semnificative, conform prevederilor legale.

În plus, Legea clarifică și lărgește domeniul vizat în sectorul alimentar, menționând expres activitățile de producție, prelucrare și/sau distribuție de alimente. Modificarea permite aplicarea reglementărilor și acelor actori economici care realizează doar parțial activitățile din sectorul alimentar, fără condiționări cumulative.

O altă noutate adusă de Lege constă în redefinirea incidentului semnificativ de securitate cibernetică. Spre deosebire de forma anterioară, noua reglementare prevede că un incident este considerat semnificativ dacă se întrunește cel puțin una dintre condițiile prevăzute, fără a fi necesară îndeplinirea lor cumulativă. Prima condiție se referă la impactul asupra entității afectate, atunci când sunt cauzate perturbări majore în activitate sau pierderi financiare importante. A doua are în vedere consecințele asupra altor persoane fizice sau juridice, în special atunci când incidentul poate provoca prejudicii materiale sau non-materiale considerabile.

Un alt aspect de reținut este completarea adusă de Lege cu privire la obligațiile organelor de conducere ale entităților esențiale și importante, stabilind în mod expres că:

Ø  membrii acestora trebuie să urmeze cursuri de formare profesională acreditate în vederea asigurării unui nivel suficient de cunoștințe și competențe pentru a identifica riscurile și a evalua practicile de gestionare a riscurilor de securitate cibernetică,;

Ø  obligația acestor entități, de formare profesională întregului personal în vederea asigurării unui nivel suficient de cunoştinţe şi competenţe, are caracter regulat;

Ø  organele de conducere desemnează, în termen de 30 de zile de la data comunicării deciziei directorului DNSC pentru identificarea şi înscrierea în registru, responsabilii cu securitatea reţelelor şi sistemelor informatice care au rolul de a implementa şi supraveghea măsurile de gestionare a riscurilor de securitate cibernetică la nivelul entităţii.

***

Pentru informare: Directiva NIS 2 instituie un cadru juridic unitar la nivel european privind asigurarea unui nivel comun ridicat de securitate cibernetică. Aceasta impune obligații stricte pentru entitățile publice sau private, din sectoarele vizate considerate critice în caz de amenințări sau incidente cibernetice (precum energie, transport, sectorul bancar, sectorul sănatății, administrație publică, infrastructura digitală), cu scopul consolidării rezilienței operaționale și instituționale.

În acest context, entitățile vizate de noile reglementări trebuie să acorde o atenție sporită obligațiilor care decurg din Legea nr. 124/2025, să își evalueze expunerea la riscurile cibernetice și să implementeze măsuri adecvate în conformitate cu cerințele legale aplicabile.

Există ceva ce puteți face acum? Cum puteți acționa:

Avocații specializați în domeniul IT din cadrul Voicu & Asociații vă vor fi alături în demersurile de verificare a încadrării în scopul Legii 124/2025 și, în caz afirmativ, de îndeplinire a obligațiilor subsecvente, de înregistrare în Registrul entităților și raportare incidente.

Voicu & Asociații este un grup de societăți care oferă servicii juridice cu spectru complet, înființat în anul 2001 (inițial sub denumirea Voicu & Filipescu), fiind inclus de-a lungul timpului printre cele mai importante firme de avocatură de pe piața românească, pentru asistența și expertiza valoroase oferite clienților săi în proiecte de anvergură privind mediul de afaceri local și regional. Gama de servicii oferite, completată de-a lungul timpului de firmele specializate de practicieni în insolvență, VF Insolvență SPRL și consultanți fiscali, Voicu Financial & Tax Advisers SRL, a vizat mii de clienți, companii internaționale și naționale care activează în diverse sectoare economice.