Audit Legea NIS

Audit Legea NIS

Uniunea Europeană obligă organizațiile care prestează servicii esențiale pentru populație să își asigure securitatea informatică și să colaboreze cu autoritățile statului pentru a garanta un răspuns coordonat, în cazul apariției unor atacuri informatice.
Securitatea cibernetică implică protejarea rețelelor și a sistemelor informatice (NIS), a utilizatorilor acestora și a altor persoane afectate de incidente și amenințări cibernetice. Pentru a răspunde expunerii sporite a Europei la amenințările cibernetice, Directiva 2022/2555, cunoscută și sub denumirea de NIS2, a înlocuit predecesoarea sa, Directiva 2016/1148 sau NIS.

NIS2 ridică nivelul comun de ambiție al UE în ceea ce privește securitatea cibernetică, printr-un domeniu de aplicare mai larg, norme mai clare și instrumente de supraveghere mai puternice. Aceasta impune statelor membre să își consolideze capacitățile în materie de securitate cibernetică, introducând în același timp măsuri de gestionare a riscurilor și cerințe de raportare pentru entitățile din mai multe sectoare și stabilind norme privind cooperarea, schimbul de informații, supravegherea și asigurarea respectării măsurilor de securitate cibernetică.

Legea nr. 362 din 28 decembrie 2018 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice a fost abrogată cu excepția măsurilor adoptate sau impuse în temeiul dispozițiilor din capitolele IV şi V, care rămân în vigoare până la revizuirea acestora, conform art. 65 din OUG nr. 155/2024).

Directiva UE 2022/2555 privind securitatea rețelelor și a sistemelor informatice (Directiva NIS2), transpusă în legislația națională prin Legea nr. 124 din 7 iulie 2025 pentru aprobarea Ordonanței de urgență a Guvernului nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil.

Aceasta directivă are un impact puternic asupra organizațiilor care nu se conformează întrucât amenzile pot ajunge până la 2% din cifra de afaceri netă, cum este prevăzut în OUG 155/2024 privind asigurarea unui nivel comun ridicat de securitate a rețelelor și sistemelor informatice, care transpune prevederile Directivei NIS2.
Spre deosebire de GDPR, NIS2 se adresează unui public determinat și definește drept entități esențiale organizațiile (publice sau private) de dimensiuni mari și mijlocii care operează în sectoare cu grad ridicat de criticitate și care prestează servicii esențiale pentru menținerea activităților economice și sociale. Acestea sunt supuse unui regim de control și audit pro-activ mult mai strict.

  • Entități esențiale care activează în următoarele domenii principale stabilite după cum urmează:
    - Energie: Electricitate, petrol, gaze naturale, hidrogen, sisteme de termoficare;
    - Transporturi: Aerian, feroviar, pe apă și rutier;
    - Sănătate: Furnizori de asistență medicală, laboratoare de referință, producători de dispozitive și medicamente;
    - Sectorul bancar și financiar: Instituții de credit, burse de valori;
    - Infrastructură a pieței financiare: Administratori de sisteme de plăți sau de decontare;
    - Apă potabilă și ape uzate: Producția, transportul și distribuția apei;
    - Administrație publică: Administrația centrală și administrația publică locală;
    - Infrastructuri digitale: Centre de date, furnizori de servicii cloud, rețele de comunicații electronice;
    - Spațiu: Furnizori de servicii legate de infrastructurile terestre (cu excepția operatorilor militari);
    - Producție, procesare și distribuție de produse alimentare.
  • Entitățile importante conform Directivei NIS2 sunt organizații de dimensiune medie sau mare care activează în sectoare cheie pentru economie și societate, dar ale căror servicii nu sunt considerate la fel de vitale ca cele ale entităților esențiale.
    Entități importante care activează în următoarele domenii principale stabilite după cum urmează:
    - Servicii poștale și de curierat — livrări de colete și logistică;
    - Gestionarea deșeurilor — colectarea, tratarea și reciclarea gunoiului;
    - Substanțe chimice — fabricarea, producția și distribuția acestora;
    - Sectorul alimentar — companii care produc, procesează sau distribuie alimente (inclusiv marile lanțuri de magazine sau fabrici);
    - Fabricare și producție — uzine care fac dispozitive medicale, calculatoare, produse electronice, echipamente electrice, mașini sau piese auto;
    - Furnizori digitali — platforme de tip marketplace (piețe online), motoare de căutare și rețele de socializare;
    - Cercetare — institute și organizații care fac cercetare științifică;
    - Sănătate (actualizare) — în România, lanțurile mari de farmacii și distribuitorii de medicamente sunt incluși în această categorie.

CERTINSPECT Register este printre primele companii atestate să efectueze audituri de securitate cibernetică în baza legii NIS2. În timpul auditurilor sunt verificate aspecte precum managementul securității cibernetice, protecția rețelelor și sistemelor informatice, apărarea cibernetică si reziliența serviciilor esențiale.

Securitatea cibernetică (Cybersecurity) reprezintă ansamblul de tehnologii, procese și practici concepute pentru a proteja sistemele informatice, rețelele, dispozitivele și datele digitale împotriva accesului neautorizat, atacurilor sau deteriorării.
Toate astea asigură confidențialitatea, integritatea și disponibilitatea informațiilor personale și profesionale.

Pentru o ofertă personalizată, vă rugăm să ne contactați.