Prevederile Uniunii Europene - DORA, NIS2 și Act AI, pe scurt

Într-un peisaj digital din ce în ce mai complex, în care tehnologia avansează rapid, iar amenințările cibernetice evoluează constant, Uniunea Europeană (UE) a adoptat un set de reglementări esențiale pentru a garanta securitatea, etica și reziliența digitală a organizațiilor. Trei dintre cele mai importante inițiative legislative în acest sens sunt DORA, NIS2 și Legea privind Inteligența Artificială (Act AI).

Deși, la prima vedere, pot părea tehnice sau greu de înțeles, aceste reglementări vizează direct activitatea zilnică a companiilor, de la modul în care își protejează infrastructura IT, până la felul în care implementează soluții de inteligență artificială sau gestionează relațiile cu furnizorii. Mai mult, acestea  vin la pachet cu termene clare, cerințe obligatorii și sancțiuni pentru neconformare, indiferent de sectorul din care provin organizațiile (public sau privat) și domeniul de activitate.

1. Ce este – Digital Operational Resilience Act -  DORA

DORA (Regulamentul (UE) 2022/2554) a fost adoptat de Parlamentul European în decembrie 2022 și adevenit direct aplicabil din ianuarie 2025. Se adresează în special instituțiilor financiare (bănci, asiguratori, firme de investiții, platforme de plăți etc.) și furnizorilor lor de servicii IT critice.

Obiectivul DORA este clar: Asigurarea rezilienței operaționale digitale în fața atacurilor cibernetice și a întreruperilor IT, pentru a menține stabilitatea pieței financiare.

Ce presupune DORA, pe scurt:

• Gestionarea riscurilor IT - instituțiile trebuie să identifice, să prevină și să gestioneze riscurile legate de IT. De exemplu, să aibă politici de backup, management al patchurilor și procese de securitate clar definite;
• Raportarea incidentelor cibernetice – dacă apare un atac informatic sau o defecțiune majoră, entitatea are termene clare pentru raportare (de exemplu, notificare în 4 ore de la detectare);
• Testarea rezilienței IT – organizațiile trebuie să efectueze teste regulate de securitate (de exemplu, penetration testing) pentru a verifica cât de pregătite sunt în fața incidentelor;
• Guvernanța relației cu furnizorii IT – se impune control asupra contractelor cu terți (de exemplu, cloud providers), iar unele firme IT vor fi și ele reglementate direct.

Să luăm un exemplu: O bancă din România care folosește un furnizor extern pentru infrastructura sa cloud (de exemplu, Amazon AWS) trebuie să se asigure că acest furnizor respectă cerințele DORA. Banca va trebui să verifice contractele, să aibă backup-uri, să testeze periodic sistemul și să notifice rapid orice incident major.

2. Ce este NIS2 – Directiva privind securitatea cibernetică la nivel european

NIS2 (Directiva (UE) 2022/2555) este o versiune extinsă și actualizată a directivei NIS (Network and Information Security) din 2016. A fost adoptată în ianuarie 2023, iar statele membre (inclusiv România) au trebuit să o transpună în legislația națională până în octombrie 2024.

Scopul NIS2 este de a crește nivelul comun de securitate cibernetică în Uniunea Europeană, impunând cerințe clare pentru o listă extinsă de sectoare esențiale și sectoare importante.

Cine intră sub incidența NIS2?

• Sectoare esențiale: energie, transport, sănătate, apă, infrastructuri digitale, administrație publică, bănci;
• Sectoare importante: telecomunicații, cercetare, furnizori de IT, industria chimică, alimentară etc.;
• Entitățile acoperite de directivă sunt definite în funcție de dimensiunea organizației (de regulă, peste 50 de angajați și 10 milioane € cifră de afaceri), dar și de rolul lor în infrastructura critică.

Obligațiile impuse de NIS2

• Evaluarea și gestionarea riscurilor cibernetice – organizațiile trebuie să adopte politici și măsuri de protecție cibernetică;
• Raportarea incidentelor de securitate – notificarea se face într-un termen scurt (până la 24 de ore de la detectarea incidentului);
• Audituri de securitate și controale interne – este necesară o cultură a securității la nivel organizațional;
• Răspundere managerială – conducerea companiei este direct responsabilă pentru respectarea cerințelor NIS2.

De exemplu, un furnizor de electricitate din România va trebui, conform NIS2, să demonstreze că are politici solide de securitate cibernetică, echipă de răspuns la incidente, audituri periodice și capacitate de raportare rapidă către autorități precum CERT-RO. Conducerea companiei poate fi amendată sau sancționată personal dacă nu respectă aceste obligații.

3. Ce este Legea AI – Regulamentul privind Inteligența Artificială (AI Act)

Legea privind Inteligența Artificială (Regulamentul AI) a fost adoptată oficial de Consiliul Uniunii Europene în mai 2024 și este prima lege din lume care reglementează în mod unitar sistemele de inteligență artificială.

Aceasta stabilește un cadru legal clar pentru dezvoltarea, implementarea și utilizarea AI în UE, pe baza unui model de risc.

Clasificarea riscurilor în Legea AI

Risc inacceptabil – sisteme AI care sunt interzise complet

• Exemplu: supravegherea biometrică în timp real în spații publice (cu unele excepții), manipularea comportamentală sau scoruri sociale.

Risc ridicat – sisteme AI care pot afecta siguranța sau drepturile fundamentale

• Exemplu: AI în infrastructura critică (energie, transport), educație, recrutare, justiție, credit scoring etc.Acestea necesită evaluare de conformitate, transparență și înregistrare în baze publice.

Risc limitat – sisteme care interacționează cu utilizatorul

• Exemplu: chatbot-uri, generatoare de conținut AI (cum ar fi cele care scriu texte).Este necesar să informezi utilizatorul că interacționează cu un AI.

Risc minim – aplicații AI simple

• Exemplu: filtre spam, recomandări muzicale sau video.Nu există cerințe speciale.

Cerințe pentru sistemele de risc ridicat

• Sistemele trebuie documentate, testate, înregistrate într-o bază de date a UE;
• Trebuie implementate măsuri de guvernanță a datelor, trasabilitate și supraveghere umană;
• Furnizorii și utilizatorii acestor sisteme sunt supuși auditurilor și sancțiunilor (până la 35 milioane € sau 7% din cifra de afaceri).

Exemplu: O companie de recrutare care folosește un algoritm AI pentru a filtra CV-uri trebuie să demonstreze că sistemul este corect, fără discriminare, transparent și auditat. În caz contrar, poate fi interzis sau sancționat.

Concluzie

Aceste reglementări nu trebuie să  fie tratate superficial sau amânate. Fiecare dintre acestea implică obligații concrete, sancțiuni severe pentru nerespectare și necesită investiții financiare și umane în procese, tehnologii și competențe. În același timp, oferă un cadru clar pentru inovare sustenabilă și pentru dezvoltarea unor relații de încredere cu partenerii, clienții și autoritățile.

Organizațiile care acționează din timp vor transforma conformitatea într-un avantaj competitiv. Cele care ignoră sau întârzie implementarea riscă nu doar amenzi, ci și diminuarea reputației și a parteneriatelor comerciale.