La 20 august, autoritățile au publicat cerințele privind procesul de notificare pentru înregistrarea entităților esențiale și importante (Cerințele) în registrul (Registrul) gestionat de Directoratul Național de Securitate Cibernetică (DNSC). DNSC acționează ca autoritate competentă și supraveghează aplicarea măsurilor menite să asigure un nivel comun ridicat de securitate cibernetică.

Ordonanța stabilește cadrul juridic și instituțional, măsurile și mecanismele necesare pentru a garanta securitatea cibernetică la nivel național. DNSC verifică notificările făcute și încadrarea companiilor în condițiile prevăzute de Ordonanță și le înscrie în Registru. Prevederile transpun cerințele Directivei (UE) 2022/2555 (NIS 2) privind măsurile necesare pentru a asigura un nivel comun ridicat de securitate cibernetică în Uniune.

Cerințele aplică art. 18 din Ordonanță și obligă entitățile vizate de lege să notifice DNSC pentru a fi înregistrate în Registrul Entităților Esențiale și Importante. Entitățile trebuie să trimită notificările întocmite conform Ordinului Directorului DNSC nr. 1/2025 cel târziu până la 22 septembrie 2025. Legislația română diferențiază între entitățile esențiale și cele importante în funcție de rolul lor strategic și de impactul pe care o eventuală perturbare a serviciilor îl poate produce asupra societății și economiei.

Entitățile esențiale includ, în primul rând, administrația publică centrală și organizațiile care activează în sectoarele critice precum energia, transporturile, sectorul bancar, infrastructurile pieței financiare, sănătatea, apa potabilă și apele uzate, infrastructura digitală, serviciile TIC, administrația publică și spațiul. Tot în această categorie intră entitățile identificate drept critice prin legislația privind reziliența, furnizorii de servicii DNS, registrele TLD și prestatorii de servicii de încredere calificați.

De asemenea, legea califică drept esențiale întreprinderile mari care activează în sectoarele critice enumerate mai sus și în sectoarele cu importanță critică precum servicii poștale și de curierat, gestionarea deșeurilor, industria chimică, industria alimentară, fabricarea diferitelor tipuri de echipamente, furnizorii digitali și organizațiile de cercetare, dar și întreprinderile mijlocii care furnizează rețele publice sau servicii de comunicații electronice ori servicii de securitate gestionată. Aceste entități se caracterizează printr-un rol strategic major deoarece furnizează servicii a căror perturbare ar putea afecta grav siguranța, securitatea sau sănătatea publică și ar putea genera riscuri sistemice cu impact inclusiv transfrontalier.

Prin contrast, entitățile importante sunt organizații care, deși nu se califică drept esențiale, furnizează servicii relevante pentru funcționarea societății și economiei. În această categorie intră întreprinderile mari și mijlocii care activează în sectoarele esențiale și de importanță critică, dar nu îndeplinesc criteriile de clasificare ca esențiale. Tot aici se încadrează și furnizorii de rețele publice de comunicații electronice și prestatorii de servicii de încredere. Impactul perturbării activității lor este semnificativ, însă de regulă mai redus sau mai localizat decât în cazul entităților esențiale.

Astfel, distincția dintre cele două categorii se bazează pe nivelul de risc și de impact: entitățile esențiale au un rol strategic fundamental, iar perturbarea activității lor poate afecta securitatea și stabilitatea la scară largă, inclusiv transfrontalieră, în timp ce entitățile importante au o relevanță semnificativă, dar cu un impact mai limitat, de regulă la nivel național sau sectorial.

Totuși, din modul de formulare ales de legiuitor, există o suprapunere între elementele de identificare a celor două tipuri de entități, recte entități esențiale – art. 5, alin. (1) , lit. b) – și entitățile importante – art. 6, alin. 2), lit. a). Aceasta a înțeles să analizeze caracterul esențial ori important din perspectiva acelorași criterii, prevăzute pe larg la art. 9 respectiv dacă: a) entitatea este singurul furnizor al unui serviciu care este esențial pentru susținerea unor activități societale şi economice critice;
b) perturbarea serviciului furnizat de entitate ar putea avea un impact semnificativ asupra siguranței publice, a securității publice sau a sănătății publice;
c) perturbarea serviciului furnizat de entitate ar putea genera un risc sistemic semnificativ, în special pentru sectoarele în care o astfel de perturbare ar putea avea un impact transfrontalier;
d) entitatea este critică datorită importanței sale specifice la nivel național sau regional pentru sectorul sau tipul de servicii în cauză sau pentru alte sectoare interdependente.

Or, dacă analizăm aceeași entitate din perspectiva acelorași condiții, cum putem avea expectanța rezonabilă de a obține rezultate diferite? În plus, distincția dintre cele două elemente de identificare nu constă nici în dimensiunea acestora, întrucât atât în cazul categoriei entităților esențiale, cât și în cazul celei a entităților importante se face referire la sintagma „entitățile din anexele 1 și 2, indiferent de dimensiunea acestora”. În acest mod, prevederea creează confuzie la delimitarea entităților importante de cele esențiale. Rămâne de văzut modalitatea prin care DNSC va considera să delimiteze aceste trăsături în practică.

DNSC a prevăzut două mecanisme de notificare pentru a facilita procesul de identificare și calificare a unei entități ca esențială sau importantă, conform prevederilor Ordonanței, pe care urmează să le pună în funcțiune în perioada următoare:

• Instrumentul NIS2@RO, un instrument digital de evaluare și generare a datelor de notificare;
• Platforma NIS2@RO, o platformă destinată înrolării, informării și cooperării între entități și autoritate.

Întrucât aceste mecanisme pentru facilitarea comunicării între entități și DNSC încă nu sunt disponibile, momentan entitățile pot transmite notificările întocmite conform ordinului exclusiv la adresa electronică Această adresă de email este protejată contra spambots. Trebuie să activați JavaScript pentru a o vedea. și, doar în cazuri excepționale, prin depunere fizică la sediul DNSC.

Formularul de notificare este prevăzut în Anexa Ordinului și are șase secțiuni — Date generale, Date specifice, Situații specifice, Documente anexate, Evaluare preliminară și Reprezentare entitate.

După ce confirmă primirea cererii, DNSC analizează notificarea și documentele anexate pentru a verifica respectarea cerințelor legale. În termen de 60 de zile pentru entitățile esențiale și 150 de zile pentru entitățile importante, DNSC emite decizia prin care confirmă calitatea notificatorului de entitate esențială sau importantă și dispune înscrierea acestuia în Registru, în conformitate cu art. 18 alin. (4) și (5) din Ordonanță.

Dacă entitățile din sectoarele vizate nu respectă obligația de notificare, acestea săvârșesc o contravenție. DNSC aplică sancțiuni cu amendă între 1.500 și 500.000 lei pentru entitățile esențiale și între 1.000 și 300.000 lei pentru entitățile importante.

Co-autori:
Ioana Chiper Zah
Tatiana Țapu