Securitatea cibernetică devine obligație legală extinsă - OUG nr. 155/2024. Autorităţi publice şi companii vizate

Written By Oana Lup

Ordonanță de urgență nr. 155/2024 instituie cadrul juridic și instituțional necesar asigurării unui nivel comun ridicat de securitate cibernetică în spațiu cibernetic național civil, stabilind obligațiile concrete pentru acele entități a căror activitate prezintă relevanță sistemică din perspectiva continuității serviciilor esențiale și a protejării interesului public.

Ordonanța reglementează măsurile de gestionare a riscurilor de securitate cibernetică, obligațiile de raportare a incidentelor, dar și stabilirea cadrului de cooperare la nivel național și internațional. De asemenea, prin ordonanță este desemnat Directoratul Național de Securitate Cibernetic, drept autoritate competentă în materie.

Domeniul de aplicare al OUG nr. 155/2024 este determinat, în principal, prin raportare la art. 7 care prevede faptul că ordonanța se aplică entităților din sectoarele prevăzute în anexele 1[1] și 2[2], ce sunt înființate și înregistrate pe teritoriul României. În această sferă de aplicabilitate, legiuitorul face o distincție între entitățile esențiale ce sunt prevăzute de art. 5 al prezentei ordonanțe, respectiv entități importante, prevăzute de art. 6.

Sunt considerate a fi entități esențiale:

-       entitățile administrației publice centrale din sectoarele de importanță critică,

-       entitățile identificate ca entități critice potrivit legislației speciale,

-       furnizorii de servicii DNS,

-       prestatorii de servicii de încredere calificați,

-       registrele de nume TLD,

-       întreprinderile mari care își desfășoară activitatea în sectoarele prevăzute în anexa nr. 1,

-       anumite întreprinderi mijlocii care furnizează rețele sau servicii de comunicații electronice, furnizori de servicii de comunicaţii electronice destinate publicului ori furnizori de servicii de securitate gestionate.

Entitățile importante sunt, potrivit art. 6 al acestui act normativ, acele întreprinderi mari și mijlocii[3] care activează în sectoarele prevăzute în anexele nr. 1 și 2 și care nu sunt calificate drept entități esențiale, precum și alte categorii expres menționate de lege. Determinarea dimensiunii acestor entități se realizează în temeiul art. 8, prin raportare la criteriile stabilite de Legea nr. 346/2004, privind stimularea înființării și dezvoltării întreprinderilor mici și mijlocii.

În plus, art. 9 aduce în atenție niște criterii de impact care determină dacă o entitate poate fi clasificată drept una esențială sau importantă, anume:

-       daca entitatea este singurul furnizor al unui serviciu indispensabil pentru desfășurarea unor activități societale și economice critice,

-       dacă perturbarea serviciilor sale ar putea genera efecte semnificative asupra siguranței publice, a securității publice sau a sănătății publice.

-       perturbarea serviciului furnizat de către entitate ar putea genera un risc sistemic semnificativ, inclusiv cu impact transfrontalier

-       dacă entitatea este critică datorită importanței sale specifice la nivel național sau regional pentru sectorul sau tipul de servicii în cauză.

               Evaluarea impactului generat de perturbarea serviciului furnizat de entitate este realizată potrivit art. 10, în funcție de criterii obiective ce vizează, printre altele, amploarea prejudiciului, dimensiunea efectelor și interdependențele sectoriale.

Așadar, ordonanța este aplicabilă autorităților publice și operatorilor economici din sectoare de importanță critică și din alte domenii relevante pentru securitatea cibernetică, în măsura în care aceștia sunt calificați drept entități esențiale sau importante potrivit criteriilor legale. Încadrarea în una dintre aceste categorii atrage incidența obligațiilor prevăzute de prezenta ordonanță, respectiv adoptarea măsurilor tehnice, operaționale și organizatorice adecvate nivelului de risc, efectuarea auditului de securitate cibernetică și raportarea incidentelor semnificative.

 

Prezentul material este redactat de Maria Dindelegan, intern în cadrul echipei Highline LHB Law Firm.


[1]ANEXA nr. 1:Sectoare cu o importanţă critică ridicată –  https://legislatie.just.ro/Public/DetaliiDocumentAfis/293121  

[2] ANEXA nr. 2:Alte sectoare de importanţă critică - https://legislatie.just.ro/Public/DetaliiDocumentAfis/293121

[3] (1)           O entitate este considerată întreprindere mare dacă depăşeşte criteriile stabilite pentru întreprinderile mijlocii astfel cum sunt prevăzute la art. 4 alin. (1) lit. c) din Legea nr. 346/2004 privind stimularea înfiinţării şi dezvoltării întreprinderilor mici şi mijlocii, cu modificările şi completările ulterioare, fără a fi aplicate însă dispoziţiile art. 45 din aceeaşi lege.

(2)              O entitate este considerată întreprindere mijlocie dacă îndeplineşte criteriile prevăzute la art. 4 alin. (1) lit. c) din legea prevăzută la alin. (1), fără a fi aplicate însă dispoziţiile art. 45 din aceeaşi lege.

Oana Lup
Next

Înalta Curte admite recursul nostru şi trimite spre rejudecare cauza privind obligarea Ministerului Sănătății la organizarea concursului național pentru managerii generali ai serviciilor de ambulanță