România a început aplicarea uneia dintre cele mai dure legi pentru companii, instituții și organizații, Directiva europeană NIS2 pentru securitate cibernetică.
Amenzile pentru neconformarea companiilor pot ajunge până la 10 milioane de euro sau 2% din cifra de afaceri, iar responsabilitatea principală cade acum pe conducerea firmelor, nu pe departamentul de IT, cu sancțiuni extrem de severe, avertizează Centrul de Formare APSAP, unul dintre puținii furnizori din România autorizați de stat pentru conformare și auditare pe securitate cibernetică.
Sancțiunile pot fi aplicate pentru:
-
lipsa măsurilor tehnice, operaționale și organizatorice de securitate;
-
neefectuarea auditului de securitate cibernetică;
-
neîndeplinirea obligațiilor de raportare și notificare a incidentelor;
-
lipsa autoevaluării nivelului de maturitate;
-
neimplementarea planurilor de remediere;
-
nealocarea resurselor necesare securității cibernetice;
-
nerespectarea obligației ca membrii conducerii să urmeze cursuri de formare în domeniul securității cibernetice;
-
obstrucționarea controalelor sau furnizarea de informații false.
Firmele sunt obligate și să desemneze un responsabil NIS, care să fi absolvit un curs de specialitate.
Deși sancțiunile au intrat în vigoare la final de 2025, companiile vizate încă nu s-au conformat normelor Directivei europene NIS2.
În România, între 15.000 și 20.000 de entități intră sub incidența NIS2, cu o creștere semnificativă față de aproximativ 1.000 de entități reglementate anterior prin NIS1, potrivit estimărilor Centrului de Formare APSAP.
Acestea sunt obligate să implementeze măsuri tehnice, operaționale și organizatorice de securitate cibernetică, să raporteze incidentele semnificative și să se supună auditurilor de securitate.
COMMENTS