Membri

Directoratul Național de Securitate Cibernetică (DNSC) a emis primele ordine aferente legislației secundare pentru Directiva NIS 2

Pe 20 august 2025, primele ordine emise de DNSC aferente legislației secundare pentru Directiva NIS 2 au fost publicate în Monitorul Oficial nr. 776:

• Ordin nr. 1/2025 pentru aprobarea Cerințelor privind procesul de notificare în vederea înregistrării şi metoda de transmitere a informațiilor
• Ordin nr. 2/2025 pentru aprobarea Criteriilor şi pragurilor de determinare a gradului de perturbare a unui serviciu şi a Metodologiei privind evaluarea nivelului de risc al entităților

Acest aspect marchează un moment important pentru entitățile care intră sub incidența OUG 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor şi sistemelor informatice din spațiul cibernetic național civil și implicit a Legii 124/2025. În termen de 30 de zile de la publicarea ordinelor în Monitorul Oficial, aceste entități sunt obligate să notifice autoritatea națională competentă (DNSC) în vederea înregistrării drept entitate esențială sau importantă în Registrul Național.

Implicații pentru entitățile esențiale/importante În contextul cerințelor impuse de Directiva NIS 2, este important ca entitățile vizate să fie pregătite la cel mai înalt nivel pentru asigurarea conformității şi securității infrastructurii. În acest sens, companiile ar trebui să aibă în vedere derularea unei evaluări de tip „Gap Assessment”, aceasta oferind următoarele avantaje:

1. Identificarea zonelor de neconformitate Gap Assessment-ul va evidenția acele arii din cadrul infrastructurii companiei care nu îndeplinesc cerințele Directivei NIS 2. Identificarea decalajelor ajută la remedierea neconformităților în timp util, anterior momentului în care autoritatea națională (DNSC) va iniția verificările oficiale ale conformității.

2. Securizarea infrastructurii Prin evaluarea şi ajustarea elementelor neconforme, compania va securiza infrastructura organizației, reducând riscurile de breşe de securitate şi asigurând continuitatea activităților critice.

3. Pregătirea pentru verificări (assessments) formale Derularea Gap Assessment-ului asigură ca la momentul în care se vor realiza evaluările formale (la 60, respectiv 120 de zile de la decizia de înscriere în Registrul Național), entitatea va avea toate decalajele (gaps) de conformitate rezolvate şi nu va fi nevoie de întocmirea unui plan de remediere, lucru care va necesita transmiterea acestuia către autoritatea națională (DNSC).

Cum poate ajuta Deloitte?

Deloitte România poate ajuta entitățile vizate de OUG 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor şi sistemelor informatice din spațiul cibernetic național civil cu:

• analiza privind aplicabilitatea legislației;
• analiza privind identificarea zonelor de neconformitate (Gap Assessment);
• remedierea eventualelor neconformități identificate (actualizarea sau creare de la zero a unor politici, proceduri, definire de fluxuri, etc);
• oferirea de asistență în procesul de notificare a DNSC pentru înregistrarea drept entitate esențială sau importantă;
• oferirea de asistență în realizarea celor doua self-assessment-uri formale ce vor fi transmise către DNSC la 60, respectiv 120 de zile de la data emiterii decizie de înregistrare;
• realizarea unui audit de securitate impus de legislația NIS2. Pentru întrebări suplimentare cu privire la aspectele menționate în această alertă, nu ezitați să ne contactați:

Andrei Ionescu - Consulting Market Leader, Deloitte România, şi liderul practicii de securitate cibernetică din Europa Centrală (aionescu@deloittece.com)

Raluca Anton - Cyber Strategy Senior Manager, Deloitte România (ranton@deloittece.com)

Octavian Popa - Cyber Strategy Manager, Deloitte România (ocpopa@deloittece.com)

Silvia Axinescu - Senior Managing Associate, Reff & Associates | Deloitte Legal (maxinescu@reff-associates.ro)

Corina Damaschin - Senior Associate, Reff & Associates | Deloitte Legal (cdamaschin@reff-associates.ro)