Termene stabilite de OUG 155/2024 privind aplicarea responsabilităților prevăzute de Directiva NIS2

Termene stabilite de OUG 155/2024 privind aplicarea responsabilităților prevăzute de Directiva NIS2

Conform Ordonanței de Urgență nr. 155/2024, care transpune in legislația română prevederile Directivei NIS2, entitățile esențiale și importante au o serie de obligații specifice pentru asigurarea securității cibernetice, cu termene clare pentru respectarea acestora. Aceste măsuri sunt menite să alinieze România la standardele europene privind securitatea cibernetică.

Pentru a facilita informarea tuturor părților interesate, prezentăm în continuare obligațiile aplicabile entităților esențiale și importante și termenele prevazute pentru acestea:

1. Notificare și identificare

• Termen: 30 de zile de la intrarea în vigoare a ordonanței sau 30 de zile de la emiterea de catre DNSC a cerințelor privind procesul de notificare în vederea înregistrării și metoda de transmitere a informațiilor.

• Obligație:

o Entitățile trebuie să notifice Directoratul Național de Securitate Cibernetică (DNSC) în vederea înscrierii în registrul entităților esențiale/ importante.

2. Implementarea măsurilor de gestionare a riscurilor

• Termen: 6 luni de la înregistrarea în registrul DNSC.

• Obligație:

o Realizarea unei analize de risc.

o Implementarea măsurilor tehnice și organizatorice pentru gestionarea riscurilor asociate rețelelor și sistemelor informatice.

3. Raportarea incidentelor

• Termen:

o 24 de ore pentru notificarea inițială către DNSC în cazul incidentelor majore.

o 72 de ore pentru transmiterea unui raport detaliat.

• Obligație:

o Raportarea incidentelor care au impact semnificativ asupra serviciilor furnizate.

4. Elaborarea politicilor de securitate

• Termen: 120 de zile de la înregistrare.

• Obligație:

o Elaborarea și adoptarea unei politici interne de securitate cibernetică, conform normelor aprobate de DNSC.

5. Audit de securitate

• Termen: 1 an de la înregistrare și ulterior la fiecare 2 ani.

• Obligație:

o Realizarea unui audit extern privind starea de securitate cibernetică.

o Transmiterea raportului de audit către DNSC.

6. Desemnarea unui responsabil pentru securitatea cibernetică

• Termen: 30 de zile de la înregistrare.

• Obligație:

o Numirea unui responsabil care să coordoneze măsurile și procesele de securitate cibernetică.

7. Instruirea personalului

• Termen: 12 luni de la înregistrare.

• Obligație:

o Organizarea periodică a sesiunilor de instruire pentru angajați privind protecția și gestionarea riscurilor cibernetice.

8. Participarea la exerciții de securitate cibernetică

• Termen: Conform calendarului stabilit de DNSC.

• Obligație:

o Participarea la simulări sau exerciții coordonate de DNSC pentru testarea capacității de răspuns la incidente.

OUG 155/2024 prevede o serie de sancțiuni pentru nerespectarea obligațiilor:

• Amenzi administrative calculate pe baza gravității încălcării și a impactului asupra securității naționale.

• Suspendarea activității în cazurile de nerespectare gravă sau continuă a măsurilor impuse.

De asemenea, OUG 155/2024 stabilește o serie de termene pe care Directoratul Național de Securitate Cibernetică (DNSC) trebuie să le respecte în vederea implementării și supravegherii măsurilor de securitate cibernetică la nivel național.

Principalele termene prevăzute pentru activitățile DNSC sunt:

• 15 zile de la intrarea în vigoare a ordonanței:

o Stabilirea cerințelor privind procesul de notificare în vederea înregistrării și metoda de transmitere a informațiilor.

• 20 de zile de la intrarea în vigoare a ordonanței:

o Elaborarea și aprobarea listei de sectoare, subsectoare și tipuri de entități esențiale și importante.

• 60 de zile de la primirea notificării de înregistrare:

o Emiterea deciziei de identificare și înscriere în registru a entităților esențiale.

• 150 de zile de la primirea notificării de înregistrare:

o Emiterea deciziei de identificare și înscriere în registru a entităților importante.

• 120 de zile de la intrarea în vigoare a ordonanței:

o Elaborarea și aprobarea următoarelor norme și regulamente:

– Măsuri de gestionare a riscurilor.

– Norme metodologice privind raportarea incidentelor.

– Norme tehnice privind compatibilitatea și interoperabilitatea sistemelor, procedurilor și metodelor utilizate de către CSIRT-uri și criteriile de stabilire a numărului de persoane calificate.

– Pachetul minim de servicii de tip CSIRT.

– Regulamentul privind autorizarea și verificarea CSIRT-urilor, condițiile de valabilitate pentru autorizațiile acordate și tematicile pentru formarea personalului CSIRT-urilor.

– Normele de aplicare și metodologia de prioritizare pe bază de risc a activităților de supraveghere, verificare și control.

– Regulamentul privind autorizarea, verificarea și revocarea furnizorilor de servicii de formare pentru securitate cibernetică pentru auditori și CSIRT-uri și condițiile de valabilitate pentru autorizațiile acordate acestora.

– Normele de aplicare a dispozițiilor privind supravegherea, verificarea și controlul pentru CSIRT-uri, furnizorii de servicii specifice CSIRT, precum și pentru auditorii de securitate cibernetică.

– Regulamentul privind atestarea și verificarea auditorilor de securitate cibernetică și condițiile de valabilitate pentru atestatele acordate.

• 180 de zile de la intrarea în vigoare a ordonanței:

o Elaborarea și aprobarea planului de management al crizelor de securitate cibernetică la nivel național pe timp de pace.

o Aprobarea tematicilor pentru specializarea auditorilor în vederea atestării.

o Aprobarea tematicilor pentru specializarea personalului din cadrul CSIRT-urilor în vederea autorizării.

• 3 luni de la adoptarea strategiei naționale de securitate cibernetică:

o Transmiterea strategiei către Comisia Europeană.

Specialiștii Safetech vă stau la dispoziție cu un portofoliu complet de servicii și soluții pentru asigurarea conformității cu Directiva NIS2.

Pentru a putea verifica rapid conformitatea organizației dv. cu cerințele Directivei NIS2, Safetech vă pune la dispoziție două chestionare online. Primul chestionar evaluează dacă organizația intră sau nu sub incidența Directivei NIS2 și cel de al doilea evaluează gradul de pregătire a unei organizații pentru conformitatea cu Directiva NIS2.