Firmele din România, expuse la pierderi devastatoare. Amenzile, doar o mică parte. Directiva NIS 2, explicată de specialiști care lucrează cu NATO, Booking sau FMI. Cum te asiguri că scapi „cu viață” după un atac cibernetic

În cadrul evenimentului, s-a discutat pornind de la Directiva NIS 2, transpusă și în legislația din România încă de anul trecut. Societăți din mai multe domenii de activitate sunt obligate să respecte prevederile acestui act normativ, în caz contrar fiind pasibile de amenzi care pleacă de la 10.000 de lei și pot ajunge la 10 milioane de euro sau 2% din cifra de afaceri, în funcție de gravitatea abaterilor. În esență, vorbim despre o lege care obligă mai multe categorii de firme din domenii considerate importante sau esențiale să ia măsuri pentru a se proteja împotriva atacurilor informatice.

Înainte de a prezenta ce firme sunt vizate de NIS 2, ce obligații trebuie îndeplinite sau ce amenzi riscă firmele amintim că pe piața din România sunt disponibile produse de asigurare care se pot dovedi vitale în cazul unor atacuri cibernetice majore. Dacă, așa cum știm toți, atacurile sunt tot mai dăunătoare și mai greu de respins inclusiv pentru giganți bancari ori din zona utilităților, pentru o firmă mică sau medie, acestea se pot dovedi fatale. Acesta este contextul în care o poliță cyber poate face diferența între faliment și supraviețuire și, mai mult, are și un rol preventiv și de reglare a sistemelor interne care ajută inclusiv în respectarea legislației în domeniu, inclusiv NIS 2.

Cât costă și ce oferă o poliță de asigurare cyber, posibilul bilet pentru supraviețuire în caz de atac masiv

Conform Elenei Durbaca, CEO al Leader Team Broker, unul dintre destul de puținii intermediari care se concentrează și pe zona cyber insurance, o astfel de poliță costă undeva spre 1.000 de euro pentru o companie mică spre medie și în jur de 5.000 de euro pentru o companie medie spre mare, adică firme din categoria IMM.   Ce cuprinde această asigurare?

„O poliță Cyber completă acoperă, de regulă, costurile de răspuns la incidente, întreruperea activității, restaurarea datelor, atacurile ransomware, precum și răspunderea fata de terti, cum ar fi breșele de date sau sancțiunile impuse de autorități. Valoarea reala a unei astfel de asigurări consta însă și în sprijinul operațional imediat: acces 24/7 la echipe specializate de experți IT, juriști, specialiști în comunicare de criza și recuperare, care pot interveni rapid pentru a limita daunele. Recomandarea noastră este ca organizațiile să adopte o abordare proactiva și să combine protecția oferita de asigurare cu masuri de prevenție solide: autentificare multifactor (MFA), actualizări regulate ale sistemelor, instruirea angajaților și planuri clare de răspuns la incidente. Nicio companie nu poate elimina complet riscul cibernetic, însă printr-o combinație intre reziliență cibernetica și protecție financiara, se poate reduce semnificativ impactul atacurilor și se poate asigura o revenire rapida după un incident major. „, a declarat, la evenimentul de specialitate amintit, Georgia Dicker, expert în Cyber Insurance pentru UK&UE CFC Underwriting . CFC este o companie membră a sindicatului Lloyd’s of London, prima și cea mai mare bursă de asigurări din lume, acolo unde ajung să fie împărțite multe dintre riscurile majore asumate de companiile de asigurări, deci inclusiv cele Cyber.

„Observăm o maturizare accelerată a pieței. Tot mai multe organizații tratează riscul cibernetic în același registru cu riscurile operaționale și de conformare ESG. De fapt, Cyber, ESG și energia verde devin piloni interdependenți ai aceleiași strategii de sustenabilitate și reziliență. În zona energiei regenerabile, riscurile cibernetice sunt direct legate de funcționarea echipamentelor și de producția de energie. Sistemele SCADA, IoT și platformele de monitorizare fac aceste companii vulnerabile la atacuri care pot opri producția și genera pierderi masive. Pachetele noastre Cyber & Operațional Risk Insurance sunt gândite special pentru aceste scenarii, oferind acoperire pentru întreruperea activității, atacuri ransomware, erori umane sau defecțiuni tehnologice”, a spus Alexandra Elena Durbaca, CEO, Leader Team Broker, partenerul din România al CFC Underwriting.

La rândul său, fondatoarea Leader Team enumeră acoperirile oferite de o asigurare Cyber: CYBER INCIDENT RESPONSE RĂSPUNS 24/7 (FORENSICS, JURIDIC, PR, RESTAURARE IT), ACOPERIRE PENTRU: RANSOMWARE, ÎNTRERUPERE ACTIVITATE, COSTURI DE NOTIFICARE, TRAINING PENTRU ANGAJATI, RECOMPENSA HAKERI, AMENZI SI PENALIZARI CONTRACTUALE, COSTURI DE JUDECATA SI DESPAGUBIRI ULTERIOARE. Unele dintre aceste acoperiri, spune sursa citată, cum ar fi „cyber incident response” nu doar că sunt cerințe obligatorii inclusiv în NIS2, dar sunt în general servicii separate, plătite separat, care în cazul asigurării cyber vin împreună cu riscurile de bază.

NIS 2, explicat de specialiști care lucrează cu FMI, NATO sau Booking

Fondatorii HiveHack, companie specializată în securitate cibernetică și, implicit în consultanță pentru aplicarea legilor în domeniu, printre care NIS 2 are un rol central, au realizat o scurtă prezentare a prevederilor Directivei. HiveHack a fost înființată în 2023 de doi tineri antreprenori și specialiști în IT, Mathew și Alexa Joseph, fiind o companie specializată în securitate cibernetică. Printre clienții lor se numără Fondul Monetar Internațional, Thomson Reuters, Booking.com sau Infosys.  ” Suntem prezenți la conferințe majore de cybersecurity, precum DEF CON Las Vegas, unde am prezentat în ultimii doi ani, și participăm constant la exerciții naționale și internaționale de cybersecurity, precum LockedShields – un exercițiu de securitate națională organizat de Centrul de Excelență de Cooperare în Securitatea Cibernetică al NATO.” a explicat Alexa Joseph.  Redăm mai jos punctele cheie ale NIS 2, așa cum au fost ele prezentate de cei doi fondatori HiveHack.

Ce este NIS2?

• NIS2 este continuarea NIS (Network and Information Security), definită prin Directiva (UE) 2022/2555 privind atingerea unui nivel comun ridicat de securitate cibernetică la nivelul Uniunii Europene.
• Toate statele membre aveau obligația să transpună Directiva NIS2 în legislația națională până la 17 octombrie 2024.
• Directiva NIS2 a fost transpusă în legislația din România prin OUG 155/2024, adoptată în decembrie 2024.
• Ulterior, pe 7 iulie 2025, a fost adoptată Legea 124/2025, care aprobă, cu modificări și completări, OUG 155/2024, transformând-o într-un act legislativ definitiv și stabil.

Firmele din ce domenii sunt cuprinse de NIS 2?

Entități esențiale:

• Entitățile administrației publice centrale
• Entitățile din sectorul energetic
• Entitățile din sectorul transporturilor (aerian, feroviar, pe apă, rutier etc.)
• Entitățile din sectorul bancar
• Entitățile care operează infrastructuri ale pieței financiare
• Entitățile din sectorul sănătății
• Entitățile care se ocupă de apă potabilă sau apele uzate
• Furnizorii de infrastructură digitală
• Entitățile care furnizează servicii de gestionare a serviciilor IT
• Entitățile care furnizează sau sprijină furnizarea serviciilor spațiale

Entități importante:

• Furnizorii de servicii poștale și de curierat
• Entitățile care se ocupă de gestionarea deșeurilor
• Entitățile care se ocupă de fabricarea, producția și distribuția de
substanțe chimice
• Entitățile din domeniul alimentar (producție, prelucrare, distribuție de
alimente)
• Entitățile care se ocupă de activități de fabricare
• Furnizorii digitali (piețe online, motoare de căutare, platforme de servicii
de socializare)
• Organizațiile de cercetare

Obligații impuse de NIS2

• Înregistrarea în registrul entităților importante sau esențiale
• Definirea măsurilor de gestionare a riscurilor
• Auditul de securitate periodic
• Autoevaluare anuală a nivelului de maturitate a măsurilor de
gestionare a riscurilor
• Desemnarea unui responsabil cu securitatea cibernetică
• Raportarea incidentelor de securitate cibernetică

• Entitățile iau măsuri tehnice, operaționale și organizatorice proporționale și adecvate pentru a identifica, evalua și gestiona riscurile.
• Nivelul de risc sectorial se calculează conform: https://legislatie.just.ro/Public/DetaliiDocumentAfis/301477
• 0–99 → Nivel de bază
• 100–199 → Nivel important
• 200–1500 → Nivel esențial
• Încă nu a fost publicat Ordinul DNSC cu privire la măsurile de gestionare a riscurilor – acesta urmează să fie publicat pe 4 noiembrie 2025.

Legea 124/2025 definește următoarele măsuri minime:

• Politici și proceduri referitoare la analiza riscurilor și la securitatea sistemelor,
precum și revizuirea periodică a acestora
• Politici și proceduri de evaluare a eficacității măsurilor de gestionare a riscurilor
• Politici și proceduri referitoare la utilizarea criptografiei
• Securitatea lanțului de aprovizionare, inclusiv aspecte legate de securitatea
rețelei dintre entitate și prestatorii și furnizorii săi direcți
• Securitatea achiziției, dezvoltării, întreținerii și casării rețelelor și sistemelor
informatice
• Securitatea resurselor umane
• Gestionarea incidentelor
• Continuitatea activității în caz de dezastru
• Practici de bază privind igiena cibernetică și formarea în domeniul securității
cibernetice
• Utilizarea autentificării multifactor

Auditul de securitate

• Auditul trebuie efectuat anual sau ad-hoc, la cererea DNSC, de un auditor autorizat de DNSC.
• NU pot efectua audit auditorii care au mai efectuat 3 audituri consecutive la aceeași entitate.
• NU pot efectua audit auditorii care au un contract de prestări servicii pentru sistemul supus auditului într-un termen mai mic de un an.
• Se realizează o evaluare sistematică a tuturor politicilor, procedurilor și măsurilor de protecție implementate la nivelul rețelelor și sistemelor informatice.
• Entitatea auditată trebuie să întocmească un plan de remediere și să îl transmită către DNSC în termen de cel mult 15 zile lucrătoare.
• Entitatea notifică DNSC cu privire la implementarea tuturor măsurilor prevăzute și pune la dispoziție acte doveditoare în acest sens, în cel
mult 5 zile de la împlinirea termenului asumat.

Desemnarea unui responsabil cu securitatea cibernetică

• Are autoritate managerială
• Este subordonat direct organelor de conducere ale entității
• Funcționează independent de structura IT și de tehnologie operațională din cadrul entității
• Are acces la resursele necesare pentru supravegherea și
implementarea eficientă a măsurilor de gestionare a riscurilor de
securitate cibernetică
• Obține un curs de specialitate acreditat, recunoscut de DNSC, în domeniul securității cibernetice, în termen de 12 luni de la desemnare

Raportarea incidentelor de securitate cibernetică

• Un incident este considerat semnificativ dacă este îndeplinită cel puțin
una dintre condițiile de mai jos:
• A provocat sau poate provoca perturbări operaționale grave ale serviciilor sau
pierderi financiare pentru entitatea în cauză
• A afectat sau poate afecta persoane fizice sau juridice, cauzând prejudicii
materiale sau nonmateriale considerabile
• Raportarea se face prin platforma PNRISC (https://pnrisc.dnsc.ro/):
• În maximum 6 ore – orice informație care permite echipei naționale de răspuns
la incidente să constate un impact transfrontalier
• În maximum 24 de ore – o avertizare timpurie
• În maximum 72 de ore – o raportare a incidentului
• La cerere – un raport intermediar
• În maximum o lună de la transmiterea notificării – un raport final

Sancțiuni

• Cele mai mari sancțiuni se încadrează între 10.000 lei și cel mult 10.000.000 euro sau cel mult 2% din cifra de afaceri la nivel
mondial, luându-se în considerare valoarea cea mai mare.
• Nerespectarea înregistrării în registrul entităților importante sau esențiale în termenul indicat poate aduce sancțiuni între 1.000 și
300.000 lei pentru entitățile importante și între 1.500 și 500.000 lei pentru entitățile esențiale.
• Membrii organelor de conducere ai entităților esențiale și importante pot fi trași la răspundere.

Ce urmează?

• 21 Noiembrie 2025 – Decizie pentru identificarea entităților esențiale
• 19 Februarie 2026 – Decizie pentru identificarea entităților importante
• În termen de 60 de zile de la identificare, entitățile transmit evaluarea nivelului de risc
• În termen de 60 de zile de la transmiterea evaluării nivelului de risc, entitățile realizează o autoevaluare a nivelului de maturitate
a măsurilor de gestionare a riscului