Cine poate fi sancționat de DNSC? Entitățile vizate de OUG 155/2024

Cuprins

Mă gândesc adesea, când citesc știrile despre atacuri cibernetice și amenzi usturătoare, la felul în care oamenii își imaginează că funcționează lucrurile în România, la distanța enormă dintre percepția publicului și realitatea juridică precisă, geometrică, a textelor de lege. Văd în grupurile de antreprenori pe Facebook – acolo unde oamenii își strigă fricile și neînțelegerile în majuscule – mesaje disperate: "Am primit un email suspect, mă amendează DNSC?", "Avem 15 angajați, trebuie să raportăm la DNSC?", "Facem comerț online, suntem vizați de OUG 155?" și realizez că există o confuzie profundă, aproape existențială, despre cine poate fi efectiv sancționat de Directoratul Național de Securitate Cibernetică.

resized dnsc🎧 Ascultă rezumatul audio dialogat în RO și EN

Așa că, înainte de a intra în detaliile tehnice și juridice – și vor fi multe, pentru că altfel nu putem înțelege cu adevărat despre ce vorbim – vreau să spun foarte clar, de la început, adevărul simplu care îi va liniști pe mulți: DNSC poate aplica sancțiuni EXCLUSIV entităților esențiale și importante din sectoare critice. Nu oricărei companii. Nu oricărui SRL cu zece angajați care are un site web. Ci doar unor categorii foarte precise de organizații, definite prin criterii clare în Ordonanța de Urgență 155/2024, care transpune în legislația românească Directiva europeană NIS2.

Și totuși, chiar această clarificare – care ar trebui să fie liniștitoare – deschide alte întrebări, mai profunde, mai complexe: cine sunt aceste entități esențiale și importante? Ce înseamnă, concret, că activitatea ta are impact strategic? Cum determini dacă pragurile te vizează? Și, mai ales, ce obligații ai, ce sancțiuni riști, ce trebuie să faci pentru a fi în regulă cu legea?

1. Cine poate fi sancționat de DNSC? Anatomia entităților vizate

Să începem cu fundamentul, cu piatra de temelie a întregii construction juridice: OUG 155/2024 stabilește două categorii distincte de entități care pot fi sancționate – entitățile esențiale și entitățile importante. Diferența dintre ele nu este doar administrativă, nu este doar o chestiune de etichetare birocratică, ci reflectă o ierarhizare precisă, aproape chirurgicală, a riscului și impactului pe care o breșă de securitate cibernetică în sistemele lor l-ar avea asupra societății românești.

Entitățile esențiale sunt acele organizații – companii, instituții publice, operatori de infrastructură – a căror compromitere ar avea consecințe devastatoare la nivel național. Gândește-te la ele ca la artere principale ale organismului social: dacă se blochează, întregul sistem suferă imediat, dramatic, potențial ireversibil. Sunt companiile care asigură energia electrică pentru întreaga țară, băncile sistemice care gestionează economiile a milioane de români, spitalele universitare unde se fac intervenții chirurgicale complexe salvatoare de vieți, aeroporturile prin care trec sute de mii de pasageri lunar.

Criteriile de încadrare pentru entitățile esențiale sunt stabilite clar în anexele OUG 155/2024 și combină trei elemente: sectorul de activitate (trebuie să fie unul dintre cele considerate critice), dimensiunea organizației (de obicei peste 250 de angajați sau cifră de afaceri și bilanț contabil peste praguri substanțiale) și impactul strategic al serviciului furnizat. Nu este suficient să îndeplinești doar unul sau două dintre aceste criterii – trebuie să le îndeplinești pe toate simultan pentru a intra în categoria celor esențiali.

Să luăm exemple concrete, pentru că altfel rămânem în abstracțiune: Transgaz, operatorul sistemului național de transport gaze naturale, este fără dubiu o entitate esențială – are peste 2.500 de angajați, gestionează aproape 14.000 de kilometri de conducte prin care circulă gazele naturale care încălzesc casele românilor iarna, alimentează centralele electrice, susțin industria. O breșă de securitate cibernetică în sistemele SCADA ale Transgaz ar putea, teoretic, opri furnizarea de gaze, cu impact imediat asupra a milioane de gospodării și sute de companii industriale.

Sau gândește-te la Transelectrica, operatorul național al sistemului de transport energie electrică: cei aproximativ 2.000 de angajați ai companiei gestionează echilibrul într-o rețea unde oferta și cererea trebuie să se potrivească în fiecare secundă, unde o deconectare necontrolată ar putea duce la blackout-uri în cascadă. Sistemele lor informatice nu sunt simple instrumente administrative – sunt componente vitale ale infrastructurii energetice naționale.

În sectorul bancar, băncile cu active semnificative – vorbim de instituții precum BCR, BRD, Banca Transilvania, care gestionează împreună sute de miliarde de lei – sunt evident entități esențiale. Un atac cibernetic reușit asupra sistemelor lor ar putea bloca plăți, ar putea șterge date despre conturi, ar putea genera panică financiară cu repercusiuni economice greu de cuantificat.

În domeniul sănătății, spitalele universitare și centrele medicale regionale de referință – unde se fac transplanturi, intervenții neurochirurgicale complexe, tratamente oncologice avansate – sunt la fel entități esențiale. Un atac de tip ransomware care blochează sistemele unui astfel de spital nu este doar o neplăcere administrativă – poate însemna operații amânate, diagnostice întârziate, în cazuri extreme, chiar vieți pierdute.

Entitățile importante, pe de altă parte, sunt organizații a căror compromitere ar avea impact semnificativ, dar mai degrabă regional sau sectorial decât național. Sunt ca venele și capilarele sistemului – esențiale pentru funcționarea normală, dar a căror blocare nu oprește inima. Criteriile de încadrare sunt similare cu cele pentru entitățile esențiale, dar pragurile sunt mai mici: de obicei între 50 și 250 de angajați, cifre de afaceri și bilanțuri mai reduse, impact predominant local sau regional.

Companiile de curierat precum FAN Courier, Cargus sau DPD România sunt exemple excelente de entități importante: au sute sau mii de angajați, gestionează fluxuri logistice complexe, deservesc mii de companii și sute de mii de consumatori. Un atac cibernetic asupra sistemelor lor ar deranja serios comerțul electronic românesc, ar întârzia livrări, ar afecta afaceri – dar nu ar paraliza țara în același mod în care ar face-o compromiterea rețelei electrice naționale.

Furnizori regionali de utilități – companiile județene de apă și canalizare din orașe mai mici, operatori locali de transport public, spitale orășenești (nu universitare) – intră de regulă în categoria entităților importante. Impactul unui incident la nivelul lor este real și semnificativ pentru comunitățile pe care le deservesc, dar rămâne circumscris geografic.

Și acum, partea care îi va liniști pe foarte mulți dintre cei care citesc acest text: dacă ai un SRL cu treizeci de angajați care face dezvoltare software pentru clienți privați, dacă ai o firmă de consultanță IT cu cincisprezece angajați, dacă rulezi un magazin online de produse electronice cu douăzeci de salariați – NU intri sub incidența OUG 155/2024, indiferent cât de mult depinzi de tehnologie, indiferent câte date personale procesezi. Securitatea cibernetică este importantă pentru tine din motive practice și de business – și GDPR-ul te obligă oricum la măsuri de protecție a datelor personale – dar DNSC nu te poate sancționa pentru neconformitate cu cerințele NIS2.

Pentru a înțelege mai bine distincția, iată un tabel comparativ:

CriteriuEntități esențialeEntități importanteEntități nevizate
Angajați De regulă > 250 De regulă 50-250 Sub praguri sau sector necritc
Impact incident Național, devastator Regional, semnificativ Local, limitat
Exemple sectoare Transport energie, bănci sistemice, spitale universitare Curierat, utilități locale, farmacii mari IMM-uri diverse sectoare
Sancțiuni maxime 1.000.000 lei sau 2% CA 500.000 lei sau 1% CA Nu se aplică sancțiuni DNSC

2. Sectoarele critice vizate: harta vulnerabilităților naționale

Când citesc lista sectoarelor critice din OUG 155/2024, văd mai mult decât o enumerare administrativă – văd o hartă a vulnerabilităților noastre colective, un inventar al dependențelor pe care le-am creat în procesul de modernizare, o radiografie a punctelor unde societatea românească este cel mai fragil interconectată prin fire digitale invizibile.

Sectorul energiei stă în vârf nu întâmplător, ci pentru că energia electrică și gazele naturale sunt sângele care pompează prin venele economiei moderne. Transgaz și Transelectrica, pe care le-am menționat deja, sunt doar vârful icebergului. Sub ele există zeci de companii de distribuție regionale – Delgaz Grid în Moldova, E-Distribuție în majoritatea țării, DEER în București – toate cu sisteme SCADA complexe, toate cu rețele digitale care controlează transformatoare, stații de distribuție, puncte de măsurare. Apoi sunt producătorii: Complexul Energetic Oltenia cu centralele sale pe cărbune, Nuclearelectrica cu reactoarele de la Cernavodă, Hidroelectrica cu cascadele sale de hidrocentrale pe Olt, Argeș, Bistrița. Fiecare dintre acestea operează sisteme informatice sofisticate care controlează turbine, generatoare, sisteme de răcire – sisteme care, dacă ar fi compromise, ar putea duce de la opriri nedorite la, în scenarii extreme, daune fizice ale echipamentelor.

Transportul este al doilea sector vital, și aici complexitatea este uimitoare. CFR Călători și CFR Marfă, cu sistemele lor de management al traficului feroviar, de vânzare a biletelor, de urmărire a vagoanelor. Metroul București, Metrorex, cu sistemele automate de control al trenurilor, cu centralele de comandă care asigură că două trenuri nu se vor intersecta niciodată pe aceeași porțiune de șină. Aeroporturile – Henri Coandă București, Cluj, Timișoara, Iași – cu sistemele lor de management al traficului aerian, cu bazele de date ale pasagerilor, cu controlul accesului în zone securizate. Porturile maritime de la Constanța, cu terminalele de containere automatizate, cu sistemele de urmărire a navelor. Companiile de transport public din orașele mari – STB București, RATBV Brașov, CTP Cluj – cu sistemele GPS de monitorizare a autobuzelor și tramvaielor, cu aplicațiile de informare a călătorilor în timp real.

În sectorul bancar și al infrastructurii piețelor financiare, vorbim despre coloana vertebrală a economiei monetare. Băncile mari – BCR cu peste 2 milioane de clienți, BRD, Banca Transilvania, ING, Raiffeisen – procesează zilnic miliarde de lei în tranzacții. Sistemele lor nu sunt simple baze de date – sunt ecosisteme complexe care verifică identități, autorizează plăți, detectează fraudă, comunică cu Banca Națională, cu sistemele internaționale SWIFT, cu procesatori de carduri precum Visa și Mastercard. Un atac reușit asupra sistemelor unei bănci majore ar putea, în teorie, să ducă la pierderea încrederii în întregul sistem bancar românesc.

Sectorul apei potabile este unul pe care îl luăm de-a gătata până când dai să deschizi robinetul și nu curge nimic. Compania de Apă București, Aquatim Timișoara, Apă-Canal Sibiu, companiile județene din toată țara – toate operează stații de pompare controlate digital, stații de epurare cu procese automate complexe, rețele de senzori care monitorizează presiunea, calitatea, debitele. Compromiterea sistemelor lor ar putea duce de la simpla întrerupere a furnizării la, în scenarii mai severe, contaminarea rețelelor sau daune asupra echipamentelor de pompare.

În domeniul sănătății, pandemia COVID-19 ne-a arătat cu brutalitate cât de mult depindem de sistemele informatice medicale. Spitalele universitare – Fundeni, Floreasca, Universitar București, Cluj, Iași – au sisteme electronice de management al pacienților, baze de date cu istorice medicale, echipamente medicale conectate în rețea (de la aparate RMN și CT la ventilatoare și pompe de perfuzie), sisteme de programare și facturare. Un atac de tip ransomware – cum s-a întâmplat deja la spitale din Germania, SUA, Franța – poate paraliza complet activitatea medicală, poate pune vieți în pericol direct.

Infrastructura digitală – furnizorii de telecomunicații (Orange, Vodafone, Digi, Telekom), operatorii de centre de date, furnizorii de servicii cloud, registrul de domenii .ro – este meta-infrastructură: infrastructura care susține toate celelalte infrastructuri. Când rețeaua Orange a avut probleme în 2023, milioane de români au rămas fără telefonie și internet – și au realizat brusc cât de mult depind de acea conectivitate pentru plăți, pentru navigație GPS, pentru munca de acasă, pentru tot.

Și apoi este administrația publică centrală – ministerele, agențiile naționale, sistemele informatice care gestionează identități, permise, certificate, raportări fiscale. Aici vorbim despre ANAF cu sistemele de colectare a impozitelor, despre Ministerul de Interne cu bazele de date ale populației, despre sistemul de sănătate cu platforma de programări și rețete electronice. Compromiterea unor astfel de sisteme nu doar că ar paraliza activitatea guvernamentală – ar putea expune date sensibile despre zeci de milioane de cetățeni.

Lista completă include și alte sectoare: gestionarea deșeurilor (companiile mari de salubrizare), industria alimentară (lanțurile mari de producție și distribuție), producția și distribuția de substanțe chimice (fabrici de îngrășăminte, rafinării), serviciile poștale (Poșta Română cu rețeaua sa națională), cercetarea (institute cu proiecte sensibile din domeniul nuclear, biologic, militar).

Ceea ce leagă toate aceste sectoare nu este doar dependența lor de tehnologie – orice companie modernă depinde de tehnologie – ci faptul că compromiterea sistemelor lor ar avea consecințe care depășesc granițele organizației, afectând mii sau milioane de oameni, perturbând lanțuri întregi de aprovizionare, creând efecte în cascadă greu de prezis și de controlat.

Și aici este esențial să înțelegem: dacă nu activezi într-unul dintre aceste sectoare SAU dacă activezi într-unul dintre ele dar ești sub pragurile de dimensiune și impact, DNSC nu te poate sancționa. Un restaurant care folosește un sistem informatic pentru comenzi nu este vizat. O firmă mică de transport rutier cu zece TIR-uri nu este vizată. Un cabinet medical privat cu trei medici nu este vizat. Chiar dacă toate aceste entități ar trebui, din motive practice de siguranță și protecție a datelor, să aibă măsuri de securitate cibernetică – nu cad sub incidența sancțiunilor DNSC pentru neconformitate cu OUG 155/2024.

3. Obligațiile care pot atrage sancțiuni: cartea de sarcini a securității cibernetice

Când citesc textul OUG 155/2024 – și l-am citit complet, cu toate anexele, de câteva ori, pentru că altfel nu pot scrie despre el cu conștiința curată – văd o construcție juridică remarcabil de detaliată, care încearcă să traducă în limbaj normativ ceva extrem de dificil: cum să protejezi sisteme informatice complexe împotriva unor amenințări care evoluează continuu, care se adaptează, care găsesc mereu noi vulnerabilități.

Obligațiile pe care le stabilește ordonanța pentru entitățile esențiale și importante nu sunt arbitrare, nu sunt birocratice gratuit – sunt destilarea a decenii de experiență în securitate cibernetică, a nenumărate incidente și breach-uri analizate, a lecțiilor învățate dureros de organizații care au crezut că sunt protejate și nu erau.

Evaluarea riscurilor de securitate cibernetică este fundamentul întregii construcții. Nu poți proteja ce nu înțelegi, nu poți apăra ce nu ai cartografiat. Entitatea vizată trebuie să realizeze – și să actualizeze periodic – o evaluare completă, sistematică, a tuturor riscurilor cibernetice la care sunt expuse sistemele sale informatice. Aceasta înseamnă să inventariezi toate activele IT (servere, workstation-uri, dispozitive mobile, echipamente industriale conectate, baze de date, aplicații), să identifici vulnerabilitățile fiecăruia (software neactualizat, configurări nesigure, lipsă de criptare), să analizezi amenințările probabile (de la atacuri generice de tip phishing până la atacuri țintite sponsorizate de state), și să calculezi riscul rezidual – probabilitatea ca o amenințare să exploateze o vulnerabilitate înmulțită cu impactul pe care l-ar avea.

Această evaluare nu poate fi făcută o dată și uitată într-un sertar. Peisajul amenințărilor se schimbă constant – astăzi apare o nouă vulnerabilitate zero-day în software-ul pe care îl folosești, mâine un grup de atacatori dezvoltă o nouă tehnică de intruziune, poimâine organizația ta implementează un nou sistem care introduce noi riscuri. Evaluarea trebuie refăcută cel puțin anual și ori de câte ori apar schimbări semnificative în infrastructura IT sau în mediul de amenințări.

Pe baza acestei evaluări, entitatea trebuie să implementeze măsuri tehnice și organizaționale adecvate pentru a gestiona riscurile identificate. Și aici ajungem la miezul securității cibernetice practice, la lucrurile concrete care fac diferența dintre un sistem vulnerabil și unul rezilient.

Backup-urile și planurile de continuitate a activității sunt poate cea mai fundamental importantă măsură. În era atacurilor de tip ransomware – când atacatorul criptează toate datele tale și îți cere zeci sau sute de mii de euro pentru cheia de decriptare – capacitatea de a restaura sistemele din backup-uri curate este diferența dintre o neplăcere de câteva ore și o catastrofă care poate închide compania. Dar backup-urile nu pot fi făcute oricum: trebuie să fie offline sau air-gapped (fizic deconectate de rețea), astfel încât atacatorul să nu le poată cripta și pe ele; trebuie testate periodic pentru a te asigura că restaurarea funcționează efectiv; trebuie să existe copii în locații geografice diferite pentru protecție împotriva dezastrelor fizice.

Planul de continuitate merge dincolo de simple backup-uri. Înseamnă să ai proceduri documentate pentru ce faci în primele minute după detectarea unui incident, cine trebuie alertat, cum comunici cu angajații și cu clienții, cum izolezi sistemele compromise pentru a preveni răspândirea, cum restaurezi serviciile în ordinea priorităților. Un spital, de exemplu, trebuie să aibă planuri pentru cum continuă activitatea medicală critică chiar dacă sistemele informatice sunt complet indisponibile – revenirea la procese manuale, la fișe pe hârtie, la comunicare telefonică.

Gestionarea vulnerabilităților înseamnă un proces continuu, aproape obsesiv, de identificare și remediere a slăbiciunilor din sistemele tale. Software-ul pe care îl folosești – de la sistemul de operare la aplicațiile business, de la firmware-ul routerelor la librăriile folosite de programatori – este scris de oameni și conține inevitabil erori, unele dintre care pot fi exploatate pentru atacuri. Producătorii descoperă aceste vulnerabilități (sau le descoperă cercetătorii de securitate și le raportează) și publică patch-uri – actualizări care corectează problema. Între momentul în care vulnerabilitatea este făcută publică și momentul în care o corectezi, sistemul tău este vulnerabil cunoscut, și atacatorii scanează internetul căutând sisteme care nu au fost actualizate.

Am văzut organizații compromise pentru că rulau versiuni de Windows Server din 2008, neactualizate de ani, cu zeci de vulnerabilități cunoscute și exploatate activ. Am văzut servere web cu CMS-uri (WordPress, Joomla, Drupal) care nu fuseseră actualizate de luni sau ani, devenind ținte ușoare pentru atacuri automate.

Controlul accesului și gestionarea identităților se referă la cine poate accesa ce în sistemele tale și cum dovedește că este cine pretinde că este. Principiul privilegiului minim dictează că fiecare utilizator (om sau sistem) ar trebui să aibă doar accesul necesar pentru a-și face treaba, nimic mai mult. Un angajat din departamentul de vânzări nu trebuie să aibă acces la baza de date cu informații financiare sensibile. Un administrator de sistem trebuie să folosească un cont normal pentru activități de zi cu zi și să activeze privilegiile de administrator doar când este absolut necesar.

Autentificarea cu factor multiplu (MFA) – care cere nu doar o parolă ci și un cod dintr-o aplicație sau un token fizic – este astăzi esențială pentru protejarea conturilor cu privilegii. Am văzut prea multe breșe de securitate care au început cu un atacator obținând parola unui administrator printr-un atac de phishing, conectându-se cu acea parolă și obținând control complet asupra sistemelor. Dacă ar fi fost activat MFA, atacul ar fi eșuat chiar dacă parola fusese compromisă.

Criptografia datelor – atât în tranzit (când sunt transmise prin rețea) cât și în repaus (când stau pe discuri) – protejează confidențialitatea chiar dacă atacatorul reușește să intercepteze traficul sau să fure un hard disk. Certificatele SSL/TLS pentru site-uri web, VPN-uri pentru conexiuni la distanță, criptarea bazelor de date sensibile – toate acestea fac diferența dintre date care pot fi citite imediat de atacator și date care rămân inaccesibile chiar după compromise.

Dar măsurile tehnice, oricât de sofisticate, nu sunt suficiente dacă nu sunt susținute de măsuri organizaționale adecvate. Securitatea cibernetică nu este doar tehnologie – este și oameni, și procese, și cultură organizațională.

Desemnarea unui responsabil pentru securitate cibernetică – fie angajat, fie funcție cumulată cu alte responsabilități în organizații mai mici – asigură că cineva are în fișa postului explicit să se ocupe de aceste aspecte, să monitorizeze amenințările, să coordoneze implementarea măsurilor, să raporteze către management. Această persoană nu trebuie să fie neapărat un expert tehnic profund – poate fi susținută de furnizori specializați externi – dar trebuie să aibă autoritatea și resursele necesare pentru a-și face treaba.

Formarea și conștientizarea angajaților este poate cea mai importantă măsură organizațională. Majoritatea breach-urilor de securitate încep cu un angajat care dă click pe un link malițios într-un email de phishing, sau care folosește o parolă slabă reutilizată de pe alte site-uri, sau care lasă deblcat un laptop cu acces la sistem critic într-o zonă publică. Angajații trebuie să înțeleagă, la nivel visceral, că fiecare dintre ei este o potențială poartă de intrare pentru atacatori. Trebuie instruiți să recunoască emailuri de phishing, să folosească parole puternice unice, să raporteze imediat comportamente suspecte ale sistemelor.

Și aceste instruiri nu pot fi o prezentare PowerPoint de o oră făcută o dată pe an. Trebuie să fie continue, angajante, adaptate la realitățile specifice ale organizației. Simulări de phishing – unde trimiți angajaților emailuri false de test și vezi cine dă click – pot fi extrem de educative, mai ales când sunt urmate de feedback constructiv, nu de sancțiuni punitive.

Proceduri pentru gestionarea incidentelor de securitate trebuie documentate, testate prin simulări, și cunoscute de toată lumea relevantă. Când detectezi un incident – un malware pe un workstation, un login suspect, o cerere neobișnuită de transfer de bani – fiecare secundă contează. Trebuie să știi imediat cine alertezi (responsabilul de securitate, IT, management), cum izolezi sistemul compromis pentru a preveni răspândirea, ce dovezi păstrezi pentru analiză forensică ulterioară, cum comunici intern și extern.

Am văzut organizații care și-au înrăutățit dramatic situația după un incident pentru că au reacționat haotic – au șters loguri importante în încercarea de a "curăța" sistemul, au lăsat atacatorii să acționeze nedetectați timp de zile sau săptămâni, au pierdut oportunitatea de a limita daunele prin acțiune rapidă coordonată.

Și toate aceste măsuri trebuie auditate și testate periodic. Nu este suficient să scrii politici frumoase de securitate dacă nimeni nu le respectă în practică. Nu este suficient să ai un plan de backup dacă nu îl testezi niciodată și descoperi, în mijlocul unei crize reale, că restaurarea nu funcționează. Auditurile interne și externe, testele de penetrare (unde profesioniști autorizați încearcă să hackuiască sistemele tale pentru a identifica vulnerabilități), simulările de incidente – toate acestea transformă securitatea din teorie în realitate funcțională.

Dar există o obligație care depășește perimetrul organizației tale și te conectează direct cu ecosistemul național de securitate cibernetică: obligația de raportare a incidentelor către DNSC.

Aici termenele sunt precise, nenegociabile, și nerespectarea lor poate atrage sancțiuni severe. Când detectezi un incident semnificativ de securitate cibernetică – și ordonanța definește ce înseamnă "semnificativ" prin criterii legate de numărul de utilizatori afectați, durata perturbării, tipul datelor compromise – ai 24 de ore pentru a transmite o alertă inițială către DNSC. Nu trebuie să ai toate detaliile, nu trebuie să fi finalizat investigația – trebuie doar să informezi că a avut loc un incident, care este impactul preliminar, ce măsuri imediate ai luat.

Apoi, în 72 de ore de la detectarea inițială, trebuie să transmiți un raport de incident mai detaliat: ce s-a întâmplat exact, ce sisteme au fost afectate, care sunt cauzele identificate, ce măsuri de remediere ai implementat sau planifici.

Și dacă incidentul este în curs sau are ramificații care se dezvoltă în timp, există obligații de raportare intermediară și finală, până când situația este complet rezolvată și lecțiile au fost învățate.

De ce sunt aceste termene atât de stricte? Pentru că DNSC nu vrea să știe despre incidentul tău doar dintr-o curiozitate birocratică. Vrea să poată emite alertări către alte entități care ar putea fi vizate de același tip de atac, să coordoneze răspunsul la nivel național dacă este cazul, să înțeleagă pattern-urile atacurilor pentru a dezvolta strategii de apărare mai bune. Încălcarea acestor termene nu este un detaliu procedural minor – este o subminare a sistemului național de reziliență cibernetică.

Mă gândesc uneori la absurditatea situației în care ne aflăm: trăim într-o lume unde sisteme critice care susțin viața de zi cu zi a milioane de oameni sunt operate de organizații care, în multe cazuri, nu au o înțelegere profundă a amenințărilor cibernetice, nu au budgetele sau expertiza necesare pentru a se proteja adecvat, și sunt lăsate să navigheze singure într-un peisaj de amenințări din ce în ce mai sofisticate. OUG 155/2024 încearcă să schimbe această situație, impunând un nivel minim de maturitate în securitate cibernetică. Dar implementarea efectivă – transformarea textului de lege în practică reală – va depinde de resurse, de instruire, de suport din partea statului și a industriei de securitate cibernetică.

4. Sancțiunile aplicate: prețul neconformității

Când vorbesc cu antreprenori despre conformare legislativă – fie că e vorba de GDPR, de legislația muncii, de norme de mediu sau de securitate cibernetică – întâlnesc adesea o atitudine pe care o înțeleg visceral dar pe care o consider profund greșită: calculul cinic al probabilității de control înmulțit cu valoarea potențială a amenzii, comparat cu costul conformării. "Câte șanse sunt să fiu controlat? Cât de mare poate fi amenda? Cât mă costă să fiu în regulă? Merită riscul?"

În cazul securității cibernetice, acest calcul este nu doar imoral – pentru că pune în balanță bani cu siguranța oamenilor și a datelor lor – dar și prost făcut, pentru că nu ia în considerare costurile reale ale unui incident de securitate: pierderea de date care poate fi ireversibilă, întreruperea activității pentru zile sau săptămâni, daune reputaționale care pot distruge încrederea clienților acumulată în ani, costuri de investigație și remediere care pot depăși cu mult prețul măsurilor preventive, potențiale acțiuni în justiție din partea celor afectați.

Dar pentru că, realist, sancțiunile DNSC sunt un factor în ecuația conformării, să le analizăm cu claritatea pe care o merită.

OUG 155/2024 stabilește o gradare a sancțiunilor care reflectă gravitatea încălcărilor și impactul potențial al acestora. Nu toate încălcările atrag aceeași sancțiune – există o proporționalitate, o ierarhizare care încearcă să distingă între erori minore, remediabile rapid, și neglijențe grave care pun în pericol securitatea națională.

Avertismentele sunt prima treaptă, rezervate pentru încălcări mai puțin grave sau pentru situații în care entitatea demonstrează bună-credință și se angajează să remedieze rapid problema. De exemplu, dacă la un control DNSC descoperă că o entitate nu și-a actualizat documentația de evaluare a riscurilor în ultimul an – o omisiune proceduală, nu o vulnerabilitate tehnică critică – poate aplica un avertisment cu termen de conformare: "Aveți 30 de zile să actualizați evaluarea riscurilor și să ne prezentați dovada."

Avertismentele nu sunt doar gesturi simbolice. Rămân în evidențele DNSC și, în cazul unor controale ulterioare care descoperă persistența problemelor sau apariția altora noi, demonstrează un pattern de neconformare care va duce la sancțiuni mai severe.

Amenzile contravenționale sunt instrumentul principal de sancționare și aici scala este, mărturisesc, destul de intimidantă.

Pentru entitățile esențiale, amenzile variază de la 100.000 lei la 1.000.000 lei, sau, dacă este mai mare, 2% din cifra de afaceri anuală totală realizată în anul fiscal precedent. Să descompunem aceste cifre pentru a înțelege ce înseamnă în realitate.

O sută de mii de lei – minimul absolut – reprezintă aproximativ 20.000 de euro. Pentru o companie mare, sistemică, este o sumă care se va vedea în buget dar nu va provoca probleme existențiale. Dar pentru o companie de utilități regională, care poate avea marje de profit mici și buget limitat, poate însemna renunțări la investiții planificate sau amânări de proiecte.

Un milion de lei – maximul fix – înseamnă aproximativ 200.000 de euro. Este o sumă care va doare chiar și pentru companii mari și profitabile. Dar adevărata țeapă vine din alternativa "2% din cifra de afaceri anuală".

Să luăm un exemplu concret: BCR, una dintre cele mai mari bănci din România, a raportat o cifră de afaceri (venituri totale) de aproximativ 8 miliarde lei în 2023. Două procente din această sumă înseamnă 160 de milioane de lei – aproximativ 32 de milioane de euro. Este o sumă care va atrage atenția consiliului de administrație, a acționarilor, a presei financiare. Este o sumă care poate afecta rating-ul de credit, încrederea investitorilor, valoarea acțiunilor.

Pentru entitățile importante, scala este mai blândă dar încă semnificativă: 50.000 lei la 500.000 lei, sau 1% din cifra de afaceri anuală dacă aceasta este mai mare.

Cincizeci de mii de lei – aproximativ 10.000 euro – este minimul care va atrage atenția oricărei companii, chiar și una profitabilă. Cinci sute de mii de lei – 100.000 euro – este o sumă care, pentru o companie medie cu marje restrânse, poate însemna diferența dintre un an profitabil și unul cu pierderi.

Și din nou, alternativa procentuală poate fi mai dură. O companie regională de curierat cu cifră de afaceri de 100 de milioane lei pe an – o dimensiune rezonabilă pentru domeniu – ar putea primi o amendă de 1% din CA, adică un milion de lei, depășind maximul fix de 500.000 lei.

Dar cum se stabilește concret cuantumul amenzii? Nu este arbitrar, nu este la cheremul inspectorului care face controlul. OUG 155/2024 și normele metodologice de aplicare (care vor fi emise) stabilesc criterii clare de individualizare:

Gravitatea încălcării – Nu este la fel să nu ai implementat MFA pe conturile de administrator (o măsură tehnică specifică, remedială relativ rapid) cu a nu avea deloc un plan de continuitate a activității în caz de incident major (o lipsă strategică, sistemică). Nu este la fel să întârzii cu două zile raportarea unui incident minor cu a nu raporta deloc un incident grav care a afectat servicii critice pentru mii de utilizatori.

Impactul efectiv sau potențial – Dacă în urma unui incident cauzat de măsuri de securitate inadecvate au fost compromise date personale ale a 100.000 de clienți, sau dacă servicii critice au fost indisponibile timp de trei zile, impactul real va agrava sancțiunea. Chiar dacă impactul efectiv a fost limitat, dar un audit tehnic descoperă vulnerabilități care ar fi putut, într-un scenariu alternativ, să ducă la consecințe catastrofale, potențialul de daună va fi luat în considerare.

Durata încălcării – O vulnerabilitate critică care a existat timp de două săptămâni până a fost descoperită și remediată este diferită de una care a persistat luni sau ani în ciuda alertărilor și recomandărilor.

Caracterul intenționat sau din culpă – Dacă entitatea a ignorat în mod conștient și repetat recomandări ale DNSC, dacă a alocat în mod deliberat resurse insuficiente pentru securitate cibernetică în ciuda avertizărilor, caracterul intenționat sau din culpă gravă va agrava sancțiunea. Pe de altă parte, dacă încălcarea a rezultat dintr-o eroare de bună-credință sau dintr-o situație neprevăzută, iar entitatea a acționat prompt pentru remediere, circumstanțele atenuante vor fi luate în considerare.

Conduita entității în timpul și după incident – O entitate care, după detectarea unei încălcări sau a unui incident, cooperează complet cu DNSC, raportează transparent, implementează rapid măsuri corective, își asumă responsabilitatea și comunică deschis cu cei afectați, va primi o considerare mai favorabilă decât una care încearcă să ascundă problema, să minimalizeze impactul, să obstrucționeze investigația.

Beneficiile obținute din încălcare – Dacă entitatea a economisit bani semnificativi prin nealocarea resurselor necesare pentru securitate cibernetică, sau dacă încălcarea i-a adus un avantaj competitiv neloial față de concurenți care s-au conformat, acest aspect va fi luat în considerare în stabilirea cuantumului.

Dar amenzile nu sunt singurele sancțiuni posibile. DNSC poate dispune și măsuri complementare, care în unele cazuri pot fi mai dureroase decât amenzi financiare:

Obligarea la implementarea unor măsuri corective în termen precis – "Aveți 60 de zile să implementați MFA pe toate conturile cu privilegii administrative, să actualizați toate sistemele la ultima versiune de securitate, să configurați backup-uri offline și să ne prezentați dovezi de conformare." Această obligație vine adesea cu amenințarea unor sancțiuni și mai severe dacă termenul nu este respectat.

Suspendarea temporară a activității sau a unor componente ale acesteia – măsură extremă, rezervată situațiilor în care continuarea activității în condițiile vulnerabilităților existente ar pune în pericol grav siguranța publică sau securitatea națională. Imaginează-ți un operator de infrastructură critică energetică căruia i se descoperă vulnerabilități atât de grave încât continuarea operării sistemelor ar putea duce la un dezastru – DNSC poate dispune suspendarea până la remedierea problemelor. Impactul economic și social al unei astfel de măsuri este colosal, și tocmai de aceea este folosită doar în ultimă instanță.

Publicarea sancțiunii – nu pare mult în comparație cu amenzile de sute de mii de euro, dar pentru o companie cotată la bursă, pentru o bancă care depinde de încrederea depunătorilor, pentru un spital care depinde de încrederea pacienților, publicarea faptului că a fost sancționată pentru măsuri de securitate inadecvate poate avea consecințe reputaționale devastatoare. Clienții își vor retrage banii, pacienții vor alege alte spitale, partenerii de afaceri vor reconsidera relațiile. Dauna indirectă poate depăși cu mult valoarea amenzii directe.

Iată un tabel care sintetizează sancțiunile posibile:

Tip încălcareEntitate esențialăEntitate importantăMăsuri complementare
Neimplementare măsuri tehnice 100.000-1.000.000 lei sau 2% CA 50.000-500.000 lei sau 1% CA Obligarea la conformare în termen
Neraportare incident în termen 200.000-1.000.000 lei sau 2% CA 100.000-500.000 lei sau 1% CA Publicare sancțiune
Obstrucționare control DNSC 300.000-1.000.000 lei sau 2% CA 150.000-500.000 lei sau 1% CA Posibilă suspendare temporară
Vulnerabilități critice persistente Până la maximul legii Până la maximul legii Suspendare până la remediere

Și pentru a încheia această secțiune cu o notă pe care o consider esențială: scopul sancțiunilor nu este să genereze venituri la bugetul de stat sau să pedepsească entitățile. Scopul este să creeze un stimulent puternic, incontestabil, pentru conformare. Într-o lume ideală, DNSC nu ar aplica niciodată nicio amendă, pentru că toate entitățile vizate ar fi conforme voluntar. Dar trăim în lumea reală, unde resursele sunt limitate, unde prioritizarea este o artă dificilă, unde tentația de a amâna investițiile în securitate – care nu generează profit direct, care sunt "invizibile" când funcționează – este puternică. Sancțiunile fac securitatea cibernetică imposibil de ignorat.

5. Verifică dacă ești vizat: navigarea labirintului conformității

Există o anxietate specifică pe care o văd la antreprenori când se confruntă cu legislație nouă, complexă, cu implicații potențial semnificative: anxietatea de a nu ști dacă te privește sau nu. Este ca și cum ai fi în ceață legislativă, încercând să ghicești dacă drumul pe care mergi te duce spre zona reglementată sau ocolește în afara ei.

În cazul OUG 155/2024, această anxietate este amplificată de faptul că media, consultanții, chiar și unele comunicări oficiale vagi, creează impresia că "toate companiile care folosesc IT" sau "toate companiile cu date personale" sunt vizate. Nu este adevărat. Dar cum determini cu certitudine dacă compania ta intră sau nu sub incidența acestei ordonanțe?

Iată un checklist metodic, pas cu pas, care te va ajuta să răspunzi la această întrebare:

Pas 1: Sector de activitate

Consultă lista sectoarelor critice din Anexa 1 și Anexa 2 ale OUG 155/2024. Activitatea ta principală (codul CAEN principal) se regăsește în vreunul dintre aceste sectoare?

□ Energie (producție, transport, distribuție electricitate sau gaze naturale)
□ Transport (feroviar, aerian, naval, rutier pentru transport public)
□ Sectorul bancar și infrastructura piețelor financiare
□ Infrastructura piețelor financiare
□ Sănătate (spitale, laboratoare, producători dispozitive medicale)
□ Apă potabilă (producție, distribuție)
□ Infrastructură digitală (telecomunicații, DNS, TLD, centre de date, CDN, cloud, platforme digitale mari)
□ Administrație publică (instituții centrale, registre naționale)
□ Spațiu (operatori sateliți, stații terestre)
□ Servicii poștale și de curierat
□ Gestionare deșeuri
□ Producție, prelucrare, distribuție produse chimice
□ Producție, prelucrare, distribuție alimente
□ Producție dispozitive medicale critice
□ Producție echipamente electronice, calculatoare
□ Producție vehicule, aeronave, nave
□ Cercetare (institute cu activități în domenii sensibile)

Dacă ai bifat DA la vreunul dintre aceste sectoare, treci la pasul 2. Dacă toate răspunsurile sunt NU, compania ta NU este vizată de OUG 155/2024 din perspectiva sancțiunilor DNSC. Poți să te oprești aici – deși implementarea voluntară a măsurilor de securitate cibernetică rămâne o idee bună.

Pas 2: Dimensiunea organizației

Chiar dacă activezi într-un sector critic, trebuie să îndeplinești și criterii de dimensiune. Acestea variază ușor în funcție de sector, dar regula generală este:

Pentru entități esențiale:
□ Peste 250 de angajați
SAU
□ Cifră de afaceri anuală > 50 milioane euro ȘI bilanț > 43 milioane euro

Pentru entități importante:
□ Între 50 și 250 de angajați
SAU
□ Cifră de afaceri anuală între 10 și 50 milioane euro

(Notă: Pragurile exacte pot varia în funcție de sector – consultă anexele OUG pentru detalii specifice sectorului tău.)

Dacă îndeplinești criteriile de dimensiune pentru categoria ta de sector, treci la pasul 3. Dacă nu le îndeplinești, compania ta NU este vizată.

Pas 3: Impact strategic

Chiar dacă ai bifat sectorul și dimensiunea, mai există o verificare: activitatea ta are impact strategic? Această evaluare este mai calitativă și poate necesita consultare cu un specialist sau chiar cu DNSC în cazuri limită.

Întrebări orientative:

□ Serviciile tale sunt esențiale pentru funcționarea altor sectoare critice?
□ O întrerupere a serviciilor tale ar afecta mai mult de X mii de utilizatori finali? (X variază – pentru energie sau apă poate fi zeci sau sute de mii, pentru alte sectoare poate fi mai puțin)
□ Activitatea ta este singulară în regiune sau există alternative ușor accesibile?
□ Operezi infrastructură care, dacă ar fi compromisă, ar putea pune în pericol viața, sănătatea sau siguranța publică?

Dacă răspunsurile la majoritatea acestor întrebări sunt DA, probabil ești într-adevăr o entitate vizată.

Pas 4: Verificare în registrul oficial

OUG 155/2024 prevede că DNSC va întocmi și publica un Registru național al entităților esențiale și importante. Acest registru – când va fi operațional și public (estimativ în cursul anului 2025) – va fi instrumentul definitiv de verificare.

Până atunci, dacă ai dubii, poți solicita o poziție oficială de la DNSC prin adresa de contact publicată pe site-ul lor, prezentând situația companiei tale și cerând o clarificare dacă intri sau nu sub incidența ordonanței.

Studii de caz pentru clarificare:

CAZ 1: Spital Clinic Județean – Entitate esențială

  • Sector: Sănătate
  • Dimensiune: 850 angajați, cifră de afaceri ~150 milioane lei/an
  • Impact: Deservește întregul județ, servicii de urgență 24/7, singura unitate cu ATI în regiune
  • Concluzie: VIZAT – Entitate esențială

Obligații: Implementare completă măsuri tehnice și organizaționale, raportare incidente, desemnare responsabil securitate cibernetică, audituri anuale.

CAZ 2: FAN Courier – Entitate importantă

  • Sector: Servicii poștale și curierat
  • Dimensiune: ~3.000 angajați, cifră de afaceri ~500 milioane lei/an
  • Impact: Zeci de mii de clienți business, sute de mii de consumatori, acoperire națională
  • Concluzie: VIZAT – Entitate importantă

Obligații: Implementare măsuri tehnice și organizaționale proporționale, raportare incidente, desemnare responsabil securitate.

CAZ 3: Cabinet medical privat – NU este vizat

  • Sector: Sănătate, dar sub praguri
  • Dimensiune: 3 medici, 5 asisente, 2 registratoare = 10 angajați total
  • Impact: Deservește câteva sute de pacienți lunar, există numeroase alternative în zonă
  • Concluzie: NU este vizat de OUG 155/2024

Totuși: Rămân aplicabile obligațiile GDPR pentru protecția datelor medicale personale (ANSPDCP), iar implementarea unor măsuri de bază de securitate cibernetică este recomandată din prudență profesională.

CAZ 4: SRL dezvoltare software custom – NU este vizat

  • Sector: IT, dar nu infrastructură digitală critică (nu e furnizor telecom, nu operează centre de date pentru terți, nu e platformă digitală cu > 45 milioane utilizatori UE)
  • Dimensiune: 35 angajați, cifră de afaceri ~8 milioane lei/an
  • Impact: Clienți privați, proiecte specifice, nu infrastructură critică
  • Concluzie: NU este vizat de OUG 155/2024

Notă: Dacă acest SRL ar presta servicii pentru entități vizate (de ex., dezvoltă și menține sistemul informatic al unui spital esențial), atunci contractele cu acele entități vor impune, prin clauze contractuale, cerințe de securitate cibernetică – dar nu direct din OUG 155, ci ca obligații derivate din contracte.

Mă gândesc la câți antreprenori și-au pierdut somnul în ultimele luni citind titluri alarmiste despre "amenzi uriașe pentru securitate cibernetică" fără să realizeze că, de fapt, compania lor de consultanță cu douăzeci de angajați sau cafeneaua lor cu sistem POS digital nu sunt deloc vizate. Este o anxietate inutilă, generată de comunicare vagă și senzaționalism mediatic.

Pe de altă parte, am văzut și companii care AR trebui să fie îngrijorate – operatori regionali de utilități, furnizori de servicii critice – care nu realizează încă că noua legislație se aplică direct lor și că timpul pentru conformare nu este nelimitat.

Verificarea metodică, pas cu pas, este antidotul pentru ambele situații: îți oferă certitudinea că știi unde stai și ce trebuie să faci.

6. Pași practici pentru conformare: de la anxietate la acțiune

Dacă ai ajuns până aici în text și ai determinat că da, compania ta intră sub incidența OUG 155/2024 ca entitate esențială sau importantă, probabil simți o mixtura de emoții: poate puțină teamă față de complexitatea obligațiilor, poate frustrare față de costurile și efortul necesar, poate rezignare în fața inevitabilului, dar – sper – și o doză de determinare de a face lucrurile bine.

Pentru că, în ciuda tuturor criticilor pe care le pot aduce modului în care a fost comunicată și implementată această legislație, în ciuda anxietății pe care o generează, în ciuda costurilor pe care le impune, există un adevăr fundamental pe care nu îl pot nega: măsurile de securitate cibernetică pe care le cere OUG 155/2024 sunt, în marea lor majoritate, lucruri pe care orice organizație care operează sisteme IT critice AR TREBUI să le facă oricum, independent de orice obligație legală, pur și simplu din prudență, din responsabilitate față de cei pe care îi deservește, din interes propriu de supraviețuire într-o lume digitală din ce în ce mai ostilă.

Așa că să transformăm anxietatea în acțiune, să descompunem marea provocare a conformării în pași concreți, realizabili, care te vor duce, progresiv, de la starea actuală – oricare ar fi ea – la o poziție de conformitate și, mai important, de reziliență reală în fața amenințărilor cibernetice.

Pas 1: Evaluarea imediată a stării actuale – Știi unde stai

Prima întrebare pe care trebuie să ți-o pui nu este "ce trebuie să fac?" ci "unde sunt acum?" Nu poți planifica o călătorie fără să știi punctul de plecare.

Organizează o autoevaluare onestă, fără autocenzură a posturii tale actuale de securitate cibernetică. Această evaluare poate fi făcută intern, de echipa ta IT cu susținerea responsabilului de securitate (dacă există), sau poate fi delegată unui consultant extern specializat – alegerea depinde de complexitatea infrastructurii tale și de expertiza internă disponibilă.

Inventariază toate activele IT critice:

  • Servere fizice și virtuale (câte, unde sunt localizate, ce aplicații rulează)
  • Workstation-uri și laptopuri (câte dispozitive, cine le folosește, ce acces au la sisteme critice)
  • Dispozitive mobile (telefoane, tablete) cu acces la email corporativ sau aplicații business
  • Echipamente de rețea (routere, switch-uri, firewall-uri)
  • Echipamente industriale conectate (SCADA, PLC-uri, senzori IoT) dacă operezi infrastructură fizică
  • Baze de date (unde sunt stocate, ce conțin, cine are acces)
  • Aplicații business critice (ERP, CRM, sisteme de facturare, platforme de servicii pentru clienți)
  • Servicii cloud folosite (unde sunt datele, cine are acces, ce backup-uri există)

Identifică vulnerabilitățile evidente:

  • Software neactualizat (sisteme de operare care nu mai primesc patch-uri de securitate, aplicații cu versiuni vechi cunoscute pentru vulnerabilități)
  • Parole slabe sau reutilizate (administratori care folosesc aceeași parolă de ani, conturi fără MFA)
  • Lipsa backup-urilor (sau backup-uri care nu au fost testate niciodată pentru a verifica dacă restaurarea funcționează)
  • Absența planurilor de răspuns la incidente (nimeni nu știe ce să facă dacă diseară, la 23:00, un angajat sună să spună că a dat click pe un link suspect și acum sistemul lui afișează un mesaj de ransomware)
  • Angajați neinstruiți (ultima instruire de securitate a fost acum trei ani sau niciodată)
  • Loguri neactivate sau nerevizuite (sistemele generează log-uri ale activităților, dar nimeni nu le verifică niciodată, astfel încât un atacator ar putea acționa nedetectat săptămâni întregi)

Documentează gap-ul față de cerințele OUG 155/2024:

Ia lista de obligații din ordonanță – măsurile tehnice, organizaționale, procedurile de raportare – și marchează pentru fiecare: Implementat complet / Implementat parțial / Neimplementat.

Această gap analysis îți va oferi harta clară a drumului care te așteaptă. Și, aproape sigur, va fi descurajantoare la prima vedere. Am văzut organizații care, la prima evaluare, descoperă că sunt conforme cu poate 20-30% din cerințe. Nu este un motiv de panică – este punctul de plecare realist de la care începi să construiești.

Pas 2: Prioritizarea măsurilor – Nu poți face totul simultan

Dacă gap analysis-ul tău arată zeci sau sute de deficiențe, prima tentație va fi să te simți copleșit și să nu faci nimic. Sau să încerci să faci totul simultan, să te răspândești pe toate fronturile, să cheltuiești haotic, și să nu finalizezi nimic bine.

Ambele extreme sunt greșite. Trebuie să prioritizezi pe baza a trei criterii:

Criticitatea riscului: Care vulnerabilități, dacă ar fi exploatate, ar cauza cele mai grave consecințe? Un server public cu o vulnerabilitate cunoscută care permite execuție de cod la distanță trebuie remediat IMEDIAT, chiar dacă asta înseamnă să lucrezi toată noaptea. O lipsă de formare a angajaților despre phishing este importantă, dar poate fi remediată progresiv în următoarele luni.

Ușurința și costul implementării: Unele măsuri sunt rapid și ieftin de implementat – activarea MFA pe conturile de administrator poate fi făcută într-o după-amiază și costă zero sau aproape zero. Alte măsuri – cum ar fi construirea unui centru secundar de date pentru disaster recovery – pot costa sute de mii de euro și necesita luni de proiectare și implementare.

Obligațiile legale explicite: Unele cerințe din OUG 155 au termene sau sunt explicit verificate în controale – de exemplu, desemnarea formală a unui responsabil pentru securitate cibernetică, sau raportarea incidentelor în termenele stabilite. Acestea trebuie bifate mai întâi, chiar dacă nu sunt tehnic cele mai critice din perspectiva riscului pur.

O matrice de prioritizare poate arăta astfel:

MăsurăImpact riscUșurință implementarePrioritate
Activare MFA pe conturi admin Ridicat Ușoară, imediată URGENT
Actualizare sisteme la ultimele patch-uri Ridicat Medie, 1-2 săptămâni URGENT
Implementare backup offline testat Critic Medie, 1 lună URGENT
Desemnare formală responsabil securitate Legal obligatoriu Imediată URGENT
Plan documentat răspuns incidente Ridicat Medie, 2-4 săptămâni RIDICAT
Instruire angajați phishing Mediu Ușoară, continuă RIDICAT
Audit extern complet Mediu Complexă, 3-6 luni MEDIU
Centru secundar date disaster recovery Ridicat Complexă, costisitoare, 6-12 luni MEDIU-SCĂZUT

Pas 3: Alocarea resurselor – Timpul, banii și oamenii

Securitatea cibernetică nu se întâmplă prin dorință sau prin declarații de intenție. Se întâmplă prin alocarea concretă, nenegociabilă, de resurse: timp, bani, oameni.

Bugetul: Cât costă, realist, să devii conform? Depinde enorm de starea actuală și de complexitatea infrastructurii. O companie cu o infrastructură IT relativ simplă, cu câteva zeci de angajați, poate avea nevoie de 50.000-100.000 euro pentru consultanță inițială, implementare măsuri tehnice de bază, instruire, și primul an de mentenanță. O companie mare, cu infrastructură complexă distribuită, cu sute sau mii de angajați, poate avea nevoie de bugete de ordinul sutelor de mii sau chiar milioanelor de euro pentru conformare completă.

Aceste costuri includ: licențe software de securitate (antivirus/EDR, firewall next-gen, sisteme de backup, soluții de monitorizare și logare), servicii profesionale (consultanță pentru evaluare și strategie, implementare tehnică, testare de penetrare, audit), formare angajați (programe de conștientizare, certificări pentru echipa IT), hardware adițional (servere pentru backup, echipamente de rețea upgrades), și eventual angajarea sau externalizarea unui responsabil de securitate cibernetică.

Timpul: Conformarea nu se întâmplă într-o săptămână sau o lună. Planifică realist 6-18 luni pentru conformare substanțială, în funcție de complexitate. Primele 1-3 luni vor fi pentru evaluare, strategie, și implementarea măsurilor urgente (quick wins care reduc riscurile critice imediate). Următoarele 3-12 luni vor fi pentru implementare sistematică, testare, ajustări, instruire. Și apoi urmează mentenanța continuă – securitatea cibernetică nu este un proiect cu final, este un proces permanent.

Oamenii: Ai nevoie de cineva care să conducă acest efort. Poate este CTO-ul sau șeful IT-ului, poate este un responsabil de securitate nou-angajat, poate este un consultant extern care vine regulat să coordoneze și să verifice progresul. Indiferent de structura aleasă, trebuie să existe o persoană cu autoritate, cu timp alocat specific pentru asta (nu ceva făcut "când mai apucă" între alte sarcini), și cu accesul necesar la management pentru a obține resurse și decizii.

Pas 4: Implementarea efectivă – De la plan la realitate

Cu prioritățile stabilite și resursele alocate, începe munca concretă de implementare. Și aici vreau să subliniez ceva pe care l-am văzut ignorat în prea multe proiecte de conformare: documentează totul.

Nu este suficient să implementezi măsuri tehnice dacă nu poți dovedi, într-un control DNSC, că le-ai implementat. Aceasta înseamnă:

Politici și proceduri scrise:

  • Politica de securitate a informației (documentul "umbrelă" care stabilește principiile generale)
  • Proceduri operaționale standard pentru gestionarea utilizatorilor, administrarea sistemelor, backup și restaurare, răspuns la incidente
  • Planul de continuitate a activității în caz de incident major
  • Registrul de active IT (inventarul complet, actualizat)
  • Registrul de riscuri identificate și măsuri de mitigare aplicate
  • Registrul de incidente de securitate (chiar dacă nu ai avut încă incidente raportabile la DNSC, documentează toate incidentele minore interne – te vor ajuta să înveți și să îmbunătățești)

Dovezi de implementare tehnică:

  • Screenshot-uri sau rapoarte din sisteme care arată că MFA este activat, că backup-urile rulează și sunt testate, că patch-urile sunt la zi
  • Rapoarte din scan-uri de vulnerabilități care arată îmbunătățirea în timp
  • Loguri ale testărilor de restaurare din backup (dovada că nu doar faci backup, ci și verifici că funcționează)

Dovezi de formare și conștientizare:

  • Registrul de prezență la sesiunile de instruire
  • Certificate de completare a modulelor de e-learning
  • Rezultatele simulărilor de phishing (cât la sută din angajați au dat click în primul test, cum s-a îmbunătățit procentul după instruire)

Toate acestea nu sunt birocratizare inutilă. Sunt dovada ta, în fața unui inspector DNSC sau în fața unui auditor, că tu ai făcut ce trebuia făcut. Sunt și baza pentru îmbunătățire continuă – dacă nu măsori, nu poți îmbunătăți.

Pas 5: Testarea și validarea – Verifică că funcționează înainte să ai nevoie

Am văzut prea multe companii care aveau "pe hârtie" planuri perfecte de continuitate, backup-uri configurate frumos, proceduri detaliate de răspuns la incidente – și când a venit prima criză reală, au descoperit că nimic nu funcționează cum credeau.

Backup-urile erau corupte și nu puteau fi restaurate. Planul de continuitate presupunea contactarea unor persoane care nu mai lucrau în companie de doi ani. Procedura de izolare a unui sistem compromis necesita acces fizic la un server care între timp fusese mutat într-un centru de date extern unde nimeni din echipa actuală nu avea acces.

Testează regulat, metodic, în condiții cât mai apropiate de realitate:

  • Table-top exercises: Aduni echipa relevantă (IT, management, comunicare) și parcurgi verbal un scenariu de incident: "Astăzi, luni dimineață la 9:00, sistemul principal de producție afișează un mesaj de ransomware. Ce faci?" Fiecare participant explică ce acțiuni ar întreprinde, în ce ordine, cine ar contacta. Identifici rapid lacunele în plan.
  • Simulări tehnice: Încerci efectiv să restaurezi un server critic dintr-un backup. Încerci să rulezi aplicațiile critice pe sistemul de backup/disaster recovery. Testezi dacă poți izola un segment de rețea infectat fără să afectezi segmentele curate.
  • Testări de penetrare (penetration testing): Angajezi profesioniști autorizați să încerce să hackuiască sistemele tale, exact cum ar face un atacator real. Raportul lor va identifica vulnerabilități pe care tu și echipa ta nu le-ați văzut. Este ca și cum ai angaja un hoț profesionist să încerce să spargă casa ta și să îți spună toate slăbiciunile pe care le-a găsit, înainte ca un hoț adevărat să le exploateze.

Aceste testări nu sunt "nice to have" – sunt esențiale. Și OUG 155/2024 le cere explicit, periodic.

Pas 6: Îmbunătățirea continuă – Nu te opri la conformare minimă

Conformarea cu cerințele minime legale este un prag, nu un tavan. Odată ce ai bifat toate cerințele OUG 155/2024, nu te opri acolo cu automulțumire. Peisajul amenințărilor evoluează continuu. Tehnicile de atac de azi vor fi depășite mâine de tehnici noi, mai sofisticate. Vulnerabilitățile de azi vor fi corectate, dar altele noi vor fi descoperite.

Securitatea cibernetică este un proces evolutiv, adaptativ, care cere vigilență și învățare constantă:

  • Abonează-te la buletine de securitate relevante pentru industriei tale (CERT-RO, ENISA)
  • Participă sau trimite echipa la conferințe și training-uri de securitate
  • Monitorizează incidentele din industrie și învață din greșelile altora
  • Revizuiește și actualizează anual (sau ori de câte ori apar schimbări majore) evaluarea de riscuri și măsurile implementate
  • Tratează fiecare incident intern minor ca pe o oportunitate de învățare – ce a mers prost, cum prevenim repetarea

Și, poate cel mai important: cultivă o cultură organizațională în care securitatea nu este vista ca sarcina exclusivă a departamentului IT, ci ca responsabilitate partajată de toată lumea. Când fiecare angajat – de la CEO la receptioner – înțelege că el sau ea poate fi linia de apărare care previne un breach devastator, sau poate fi vulnerabilitatea care deschide poarta atacatorilor, comportamentele se schimbă. Parolele devin mai puternice. Emailurile suspecte sunt raportate, nu deschise. Dispozitivele nu sunt lăsate nesupraveghiate în spații publice.

Mă aflu acum la sfârșitul acestui text lung, poate prea lung pentru mulți cititori, și mă gândesc la cât de mult am încercat să cuprind, la câte nuanțe am vrut să transmit. OUG 155/2024 este mult mai mult decât o listă de obligații birocratice și o grilă de amenzi. Este o încercare – imperfectă, perfectibilă, dar necesară – de a forța societatea românească să ia în serios vulnerabilitățile pe care le-a creat prin digitalizare rapidă fără investiții proporționale în securitate.

Pentru cei dintre voi care ați citit până aici și ați descoperit că nu sunteți vizați de această ordonanță, sper că mesajul pe care îl luați nu este "putem ignora securitatea cibernetică". Sper că este "avem libertatea să implementăm măsuri de securitate potrivite nevoilor noastre, fără presiunea sancțiunilor imediate, dar cu înțelegerea că protejarea sistemelor și datelor noastre este responsabilitatea noastră morală și practică".

Pentru cei care sunteți vizați – entitățile esențiale și importante care vor fi controlate, care pot fi sancționate, care poartă povara conformării – vă înțeleg frustrarea și anxietatea. Dar vă rog să vedeți dincolo de costurile imediate și să înțelegeți că aceste măsuri vă protejează nu doar de amenzi, ci de scenarii mult mai rele: pierderea completă a datelor critice, întreruperi ale activității care durează săptămâni, daune reputaționale ireversibile, potențiale răspunderi legale față de cei afectați de breach-uri.

Conformarea cu OUG 155/2024 nu vă face invulnerabili. Nicio măsură de securitate nu poate garanta protecție absolută împotriva unui atacator suficient de determinat, suficient de bine finanțat, suficient de creativ. Dar vă face mult mai rezilient. Vă face o țintă mai dificilă, mai puțin atractivă pentru atacatorii care caută vulnerabilități ușoare. Vă dă instrumentele pentru a detecta atacuri în stadii incipiente, pentru a răspunde rapid, pentru a limita daunele, pentru a recupera.

Și, la final, contribuiți la ceva mai mare: la construirea unui ecosistem național de securitate cibernetică în care instituțiile și companiile critice ale României nu mai sunt insulițe izolate, fiecare luptându-se singură cu amenințări care le depășesc capacitățile, ci parte dintr-o rețea informată, coordonată, care învață din experiențele reciproce, care se avertizează mutual despre amenințări emergente, care crește în maturitate colectivă.

Este o viziune optimistă, recunosc. Realitatea implementării va fi mai dezordonată, mai frustrantă, cu resurse insuficiente, cu înțelegere inegală, cu rezistență la schimbare. Dar alternativa – să continuăm așa cum am fost, vulnerabili și inconștienți de vulnerabilitatea noastră – nu mai este acceptabilă într-o lume în care războaiele și competițiile geopolitice se poartă tot mai mult în spațiul cibernetic, în care actori statali și criminali înarmuți tehnologic caută neîncetat noi ținte de compromis.

Așa că, indiferent dacă ești vizat direct de OUG 155/2024 sau nu, indiferent dacă privești această legislație ca pe o povară sau ca pe o oportunitate, îți propun să faci un prim pas concret astăzi: evaluează starea actuală a securității tale cibernetice cu onestitate brutală, identifică cel puțin trei vulnerabilități critice, și începe să le remediezi. Pas cu pas, progresiv, metodic.

Pentru că securitatea, în fond, nu este despre perfecțiune. Este despre reziliență. Despre capacitatea de a absorbi loviturile, de a te recupera, de a învăța, de a deveni mai puternic după fiecare provocare. Și asta este valabil atât pentru organizații, cât și pentru oamenii care le conduc.

Concluzie

Stau acum, la sfârșitul acestui text, și mă gândesc la paradoxul ciudat al scrierii despre legi și amenzi și obligații tehnice într-o lume care se mișcă atât de repede încât textul de lege abia promulgat este deja, în parte, depășit de realitatea amenințărilor pe care încearcă să le gestioneze. OUG 155/2024 nu este un răspuns final, nu este o soluție completă – este doar un prim pas, un efort stângaci poate, dar necesar, de a forța organizațiile care țin în mâini infrastructura vitală a țării să ia în serios fragilitatea sistemelor digitale pe care le-am construit fără să ne gândim suficient la consecințe.

Pentru majoritatea cititorilor – și sper că am reușit să fiu suficient de clar în această privință – acest text nu vă privește direct. Companiile voastre, firmele voastre, afacerile voastre nu vor fi controlate de DNSC, nu veți primi amenzi pentru neconformitate cu această ordonanță specifică. Dar asta nu înseamnă că securitatea cibernetică poate fi ignorată. Înseamnă doar că aveți libertatea de a o aborda în ritmul și în modul care vi se potrivește, fără presiunea imediată a sancțiunilor.

Pentru cei care sunteți vizați – și știți acum, după parcurgerea checklist-ului, dacă sunteți sau nu – mesajul meu final este simplu: nu priviți conformarea ca pe o corvoadă birocratică impusă de un stat suprareglementarist, ci ca pe o investiție în reziliența proprie, în capacitatea de a supraviețui și de a prospera într-o lume din ce în ce mai ostilă digital. Costurile sunt reale, efortul este substanțial, dar alternativa – să rămâneți vulnerabili și să descoperiți asta în cel mai prost moment posibil – este inacceptabilă.

Și pentru toți: securitatea cibernetică nu este doar tehnologie și nu este doar despre respectarea legii. Este despre responsabilitate – responsabilitatea de a proteja datele și sistemele încredințate nouă, responsabilitatea față de oamenii care depind de serviciile noastre, responsabilitatea de a nu deveni vulnerabilitatea prin care atacatorii pătrund în ecosistemul național. Este despre maturitate digitală colectivă, pe care România, ca societate, abia începe să o construiască.

Bibliografie și surse legislative

Legislație primară:

Ordonanța de Urgență nr. 155/2024 privind măsuri de realizare a unui nivel comun ridicat de securitate cibernetică pe teritoriul României, publicată în Monitorul Oficial nr. 1231/23.12.2024
Accesibilă integral la: https://legislatie.just.ro/public/DetaliiDocument/293121

Directiva (UE) 2022/2555 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune (Directiva NIS 2)
Accesibilă la: https://eur-lex.europa.eu/eli/dir/2022/2555/oj

Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal (GDPR) – pentru context complementar despre protecția datelor
Accesibilă la: https://eur-lex.europa.eu/eli/reg/2016/679/oj

Documente oficiale și ghiduri:

Directoratul Național de Securitate Cibernetică (DNSC)
Site oficial: https://dnsc.ro
(Ghiduri metodologice și precizări interpretative vor fi publicate progresiv pe site-ul oficial)

Agenția Națională pentru Siguranța Sistemelor Informatice (ANSSI) - ghiduri și rapoarte despre securitate cibernetică în România

Agenția Uniunii Europene pentru Securitate Cibernetică (ENISA)
Site oficial: https://www.enisa.europa.eu
Ghiduri sectoriale și bune practici pentru implementarea NIS2

Documente de referință internaționale:

NIST Cybersecurity Framework (Institutul Național de Standarde și Tehnologie, SUA)
Cadru conceptual pentru gestionarea riscurilor de securitate cibernetică

ISO/IEC 27001:2022 - Standard internațional pentru sistemele de management al securității informației

CIS Critical Security Controls - Set de măsuri prioritare de securitate cibernetică dezvoltat de Center for Internet Security

Resurse academice și rapoarte de industrie:

CERT-RO - Rapoarte anuale despre incidente de securitate cibernetică în România
Site oficial: https://cert.ro

Ponemon Institute - "Cost of a Data Breach Report" (rapoarte anuale despre costurile breach-urilor de securitate)

Verizon - "Data Breach Investigations Report" (rapoarte anuale despre pattern-urile atacurilor cibernetice)

Notă metodologică

Despre abordarea acestui text:

Am scris acest articol pornind de la o frustrare pe care o văd recurentă în spațiul public românesc: confuzia despre cine este efectiv vizat de noile reglementări de securitate cibernetică, anxietatea nejustificată a multor antreprenori care cred că vor fi sancționați pentru activități normale de business, și, pe de altă parte, complacența periculoasă a unor entități care ar trebui să fie îngrijorate dar nu realizează încă că legislația se aplică direct lor.

Am ales o abordare care combină rigoarea juridică - citarea exactă a sursei legislative, explicarea criteriilor tehnice de încadrare - cu accesibilitatea narativă, folosind exemple concrete din economia românească, studii de caz, și un ton care încearcă să liniștească fără a minimiza, să alerteze fără a crea panică nejustificată.

Limitări și precauții interpretative:

Acest text a fost redactat în februarie 2025, la aproximativ două luni după publicarea OUG 155/2024 în Monitorul Oficial. La momentul redactării:

  • Normele metodologice de aplicare a ordonanței nu fuseseră încă emise de DNSC
  • Registrul național al entităților esențiale și importante nu era încă operațional
  • Nu existau încă cazuri concrete de controale DNSC și sancțiuni aplicate în baza noii legislații
  • Interpretările juridice ale unor prevederi mai ambigue nu fuseseră încă clarificate prin practică administrativă sau jurisprudență

Ca atare, unele precizări din acest text - în special cele legate de procedurile exacte de control, de criteriile de individualizare a amenzilor, de termenele de conformare - sunt bazate pe textul ordonanței și pe analogia cu practici similare din alte domenii reglementate, nu pe cazuistică reală în aplicarea OUG 155/2024.

Cititorii care doresc să ia decizii concrete de conformare sunt îndemnat să:

  1. Consulte periodic site-ul oficial DNSC pentru actualizări și ghiduri metodologice
  2. Solicite, în cazuri limită, poziția oficială a DNSC despre încadrarea lor
  3. Apeleze la consultanți specializați în securitate cibernetică și conformare legislativă
  4. Monitorizeze evoluția practicii administrative și eventualele modificări legislative

Despre stilul narativ:

Am ales deliberat un stil care se abate de la neutralitatea obișnuită a textelor juridice sau tehnice. Folosesc persoana întâi, îmi exprim frustrările și opiniile, integrez reflecții personale despre anxietatea conformării legislative și despre absurditatea unor situații birocratice.

Această alegere nu este gratuită. Cred că textele despre lege și conformare sunt citite, în realitate, de oameni anxioși, confuzi, copleșiți de complexitatea sistemului - nu de specialiști juridici care citesc din plăcere academică. Am vrut să scriu un text care vorbește direct acestor oameni, care recunoaște emoțiile lor, care încearcă să transforme ceața legislativă în claritate acționabilă.

Dacă abordarea a funcționat - dacă ați ajuns până aici și înțelegeți mai clar dacă sunteți sau nu vizați, ce trebuie să faceți, de ce contează - atunci mi-am îndeplinit scopul. Dacă nu, dacă rămâneți confuzi sau dacă stilul personal v-a deranjat, îmi cer scuze și vă îndrept către textul oficial al ordonanței și către ghidurile tehnice care vor urma.

Mulțumiri:

Specialiștilor în securitate cibernetică și consultanților legali cu care am discutat despre interpretările practice ale OUG 155/2024, deși responsabilitatea pentru orice erori sau impreciziuni din text rămâne exclusiv a mea.

Data ultimei actualizări a acestui document: Februarie 2025

Disclaimer legal: Acest articol are scop pur informativ și educativ. Nu constituie consultanță juridică sau tehnică specifică. Pentru decizii concrete de conformare, consultați specialiști autorizați și surse oficiale.

Detalii
Scris de: Petru Cojocaru
Categorie: Realizare website și promovare
Read Time: 67 mins
Accesări: 230

Notă: selectarea informațiilor și structurarea articolelor a fost realizată cu diverse aplicații AI. Informațiile furnizate de orice agent AI, trebuie verificate, vedeți motivele și înțelegeți ”On Bullshit” halucinațiile artificiale.
Noutăți: categoria ”Neo, de aici viitorul nu este scris... ” sau ”Scrisoare către fiul meu” material pentru profesori, părinți și adolescenți.Neo de aici viitorul nu este scris. O scrisoare de la tată la fiu despre libertatea în era digitală. O meditație asupra momentului în care tatăl realizează că fiul său trăiește într-o lume pe care generația sa nu a prevăzut-o.

Categorii TAG

Informare !

Prezența online - o necesitate

Site-ul este în dezvoltare, pentru a accesa varianta veche accesați adresa:

vechi.servicii-web-alex.com

Detalii contact adăugare advertoriale din categoria topicul existent

info@servicii-web-alex.com

Abonare

Oferta de servicii Web

Ultimile articole adăugate

Astăzi: 42
Ieri: 175
Săptămâna curentă: 598
Săptămâna trecută: 507
Luna curentă: 497
Last Month: 1,447
  • Afișări articole 268691