Noi obligații pentru companii: aplicarea Ordinelor nr. 1 și nr. 2/2025 ale DNSC privind securitatea cibernetică
În contextul intensificării atacurilor cibernetice și al alinierii României la cerințele europene în domeniul securității digitale, Directoratul Național de Securitate Cibernetică (DNSC) a emis două ordine importante, publicate în Monitorul Oficial nr. 776 din 20 august 2025, respectiv Ordinul nr. 1 și Ordinul nr. 2 din 11 august 2025. Ambele fac parte din pachetul legislativ implementat în baza Ordonanței de Urgență nr. 155/2024, aprobată prin Legea nr. 124/2025, și au ca scop consolidarea cadrului național de securitate cibernetică, stabilind obligații clare pentru companii privind notificarea, transmiterea de informații și evaluarea riscurilor asociate serviciilor pe care le furnizează.
Ordinul nr. 1/2025 stabilește cerințele și pașii pe care companiile trebuie să îi urmeze pentru a se înregistra la DNSC și pentru a transmite informațiile necesare. Practic, orice entitate vizată de prevederile OUG nr. 155/2024 este obligată să trimită o notificare inițială de înregistrare, care trebuie să includă date complete și corecte despre serviciile prestate, infrastructura utilizată, punctele de contact și alte elemente relevante din perspectiva securității cibernetice. Notificarea trebuie realizată conform formatului și metodei tehnice stabilite de DNSC, iar companiile au obligația de a actualiza aceste informații de fiecare dată când intervin modificări semnificative în activitatea lor, cum ar fi lansarea unor noi servicii digitale sau schimbări majore în infrastructura IT. În practică, acest ordin impune companiilor să își organizeze procese interne dedicate colectării și validării datelor, să desemneze persoane responsabile cu relația cu DNSC și să stabilească proceduri clare pentru menținerea la zi a informațiilor transmise autorității.
Ordinul nr. 2/2025 completează acest mecanism prin introducerea unei metodologii obligatorii de evaluare a riscurilor și prin definirea criteriilor și pragurilor de determinare a gradului de perturbare a serviciilor oferite de companii. Acest ordin se aplică în mod special entităților care nu au fost încă desemnate ca „esențiale” sau „importante” și impune evaluarea tuturor serviciilor prestate, conform criteriilor și pragurilor prevăzute în anexele ordinului. Perturbarea este definită ca orice întrerupere a serviciului, afectare a confidențialității datelor sau compromitere a funcționării normale. Pe baza acestor criterii, fiecare companie este obligată să calculeze un nivel de risc pentru fiecare serviciu, utilizând metodologia de evaluare care ia în considerare probabilitatea și impactul, stabilind astfel un scor de risc. Evaluarea trebuie actualizată cel puțin o dată la trei ani sau ori de câte ori apar incidente sau schimbări majore în activitatea companiei. În situația în care nivelul de risc estimat diferă de realitatea concretă a companiei, aceasta poate solicita DNSC validarea unor valori ajustate, dar numai pe baza unor justificări și documentații clare. Acest ordin obligă practic companiile să își creeze un sistem formal de management al riscului cibernetic, să colecteze și să analizeze date despre serviciile lor și să instituie mecanisme de raportare și documentare a riscurilor identificate.
Aplicarea combinată a celor două ordine aduce schimbări majore în modul în care companiile trebuie să abordeze securitatea cibernetică. În primul rând, ele vor avea o responsabilitate formală în fața DNSC, fiind obligate să mențină un dialog continuu cu autoritatea, să transmită notificări și actualizări și să răspundă solicitărilor de clarificări. În al doilea rând, vor fi nevoite să creeze structuri interne dedicate securității cibernetice, să numească responsabili, să adopte politici și proceduri, să instruiască personalul și să investească în instrumente de monitorizare și protecție. Totodată, aplicarea metodologiei de evaluare a riscurilor și întocmirea notificărilor vor presupune resurse suplimentare, atât umane, cât și tehnice, ceea ce va genera costuri administrative mai mari. Rezultatul evaluării riscurilor și al determinării gradului de perturbare va contribui și la decizia DNSC privind clasificarea unei entități drept „esențială” sau „importantă”, statut care atrage obligații mai ample și controale mai stricte. În plus, deși ordinele nu stabilesc direct sancțiuni, ele se aplică în cadrul general al legislației privind securitatea cibernetică, care prevede amenzi considerabile pentru nerespectarea obligațiilor.
În ansamblu, Ordinul nr. 1 și Ordinul nr. 2/2025 ale DNSC marchează o trecere de la recomandări generale la obligații concrete și verificabile pentru mediul privat, având ca scop întărirea rezilienței cibernetice a României. Pentru companii, implementarea acestor cerințe reprezintă o provocare considerabilă, dar și o oportunitate de a-și consolida protecția digitală, de a preveni incidente costisitoare și de a demonstra partenerilor și clienților că tratează securitatea cibernetică ca pe o prioritate strategică. Respectarea riguroasă și proactivă a acestor obligații va fi esențială nu doar pentru evitarea sancțiunilor, ci și pentru menținerea competitivității într-o economie din ce în ce mai dependentă de servicii și infrastructuri digitale sigure.
Mihai-Cristian Alexe
Privacy and Data Protection Consultant
