NIS2: Entitățile considerate esențiale sau importante trebuie să se înscrie într-un registru al DNSC până pe 22 septembrie

Articol scris de Robert Gîrdoc și Daniel Vinerean

Printre cauzele identificate se află atacurile cibernetice intenționate (inclusiv cele de tip ransomware și phishing), defecțiuni de sistem cauzate de erori tehnice sau de hardware/software, dar și erorile umane inerente, în principal greșelile de configurare și de operare.

Tehnologiile emergente au contribuit de asemenea la creșterea numărului incidentelor de securitate. Potrivit sondajului PwC 2025 Global Digital Trust Insights, 67% dintre specialiștii din domeniul securității cibernetice au indicat inteligența artificială generativă (GenAI) drept factor care a determinat creșterea acestor atacuri, iar 66% dintre ei au menționat că tehnologia cloud a avut un rol la fel de important.

În acest context, implementarea Directivei NIS2 în România prin OUG nr. 155/2024 reprezintă un pas hotărât spre o protecție mai solidă a infrastructurilor critice și a serviciilor esențiale. Noul cadru legal impune obligații clare entităților vizate, astfel încât securitatea cibernetică să devină o prioritate națională. Un element esențial al acestui demers este înregistrarea obligatorie la Directoratul Național de Securitate Cibernetică (DNSC), instituită prin Ordinul DNSC nr. 1/2025.

Entitățile considerate esențiale sau importante trebuie să se înscrie în registrul ținut de DNSC folosind Platforma NIS2@Ro (o platformă online dedicată) sau, în caz de indisponibilitate a platformei, prin utilizarea instrumentului pus la dispoziție de DNSC în acest scop. Data-limită pentru înscriere este 22 septembrie 2025, iar confirmarea de la DNSC ar trebui să fie transmisă în termen de cinci zile de la depunere, fapt ce sporește necesitatea ca procesul de înregistrare să fie demarat din timp pentru a evita blocaje sau sancțiuni nedorite.

Dar, înainte de înscrierea la DNSC, entitățile vizate trebuie să evalueze dacă se încadrează în domeniul de aplicare al Directivei NIS2, așa cum a fost transpusă în legislația națională, prin raportare la domeniul de activitate, dimensiunea entității - determinată raportat la numărul de angajați, la cifra de afaceri (calculată folosind o formulă destul de complicată în cazul grupurilor de întreprinderi, nu prin simpla indicare a cifrei de afaceri individuale), la valoarea activelor deținute sau unicitatea serviciilor furnizate.

În același timp, prin Ordinul DNSC nr. 2/2025, a fost instituită o abordare modernă a managementului riscului prin stabilirea unei metodologii de evaluare a nivelului de risc pentru fiecare entitate calificată drept esențială sau importantă în baza actului normativ de transpunere a Directivei NIS2. Scorul de risc este calculat prin raportare la sectorul de activitate, dimensiunea organizației și impactul potențial asupra serviciilor furnizate, fiecare entitate urmând să implementeze o serie de măsuri de securitate proporționale riscului identificat. Reevaluarea scorului devine obligatorie la fiecare trei ani sau ori de câte ori se depășește pragul de impact ridicat, ceea ce permite o alocare mai eficientă a resurselor către zonele cu adevărat critice.

Mai trebuie menționat că entitățile înscrise în registrul entităților esențiale sau importante ținut de DNSC sunt obligate să raporteze rapid orice incident semnificativ de securitate care ar putea afecta continuitatea serviciilor furnizate, permițând astfel o intervenție promptă a autorităților și limitarea efectelor negative asupra sectorului public și privat.

Implementarea cerințelor NIS2, așa cum au fost transpuse în legislația națională, aduce, așadar, provocări considerabile pentru entitățile vizate. Acestea trebuie să-și adapteze procesele interne pentru a corespunde noilor cerințe legale, să investească în tehnologii adecvate și să formeze personal specializat în securitate cibernetică. Și, nu în ultimul rând, este necesară dezvoltarea unei culturi organizaționale orientate spre prevenție și reacție rapidă, esențiale pentru a naviga cu succes noile realități digitale.