Who am I?

Who am I?
Petru-Lucian Giurcă, expert în securitate cibernetică, misiunea mea este să consolidez reziliența organizațională împotriva unui peisaj de amenințări în continuă evoluție. Abordez securitatea informațiilor și continuitatea afacerii printr-o abordare holistică, orientată spre conformitate și proactivă. Această abordare este fundamentată pe expertiza mea aprofundată în implementarea și auditarea standardelor internaționale ISO 27001 (pentru sistemele de management al securității informației) și ISO 22301 (pentru sistemele de management al continuității afacerii), precum și pe înțelegerea și aplicarea directivelor de reglementare de ultimă generație, cum ar fi NIS 2, pentru a asigura o conformitate robustă și o reziliență cibernetică sporită.
Directiva NIS2: Cadrul European pentru Securitatea Cibernetică
Directiva NIS2 a fost publicată în Jurnalul Oficial al UE la 16 decembrie 2022 și a intrat în vigoare pe 5 ianuarie 2023. Statele membre au avut la dispoziție 21 de luni pentru transpunerea acesteia în legislația națională, cu termen limită 16 octombrie 2024. 
În ceea ce privește România, transpunerea directivei europene s-a realizat prin adoptarea Ordonanței de Urgență a Guvernului nr. 155/2024, act normativ ulterior modificat și completat prin Legea nr. 124/2025. 
Obiectivul principal al NIS2 rămâne creșterea nivelului general de securitate cibernetică în Uniunea Europeană, prin actualizarea și consolidarea legislației existente, pentru a face față amenințărilor cibernetice în continuă evoluție.
Obiectivele și Structura Directivei NIS2
Obiective Specifice
Extinderea ariei de aplicare
Îmbunătăţirea gestionării riscurilor
Consolidarea cerințelor de securitate
Îmbunătăţirea cooperării
Creșterea gradului de conștientizare
Structura Directivei
CAPITOLUL I: Dispoziții generale (Art.1-6)
CAPITOLUL II: Cadre coordonate în materie de securitate cibernetică (Art.7-13)
CAPITOLUL III: Cooperare la nivelul Uniunii și la nivel internațional (Art.14-19)
CAPITOLUL IV: Măsuri de gestionare a riscurilor și obligații de raportare (Art.20-25)
CAPITOLELE V-IX: Jurisdicție, schimb de informații, supraveghere și dispoziții finale
Comparație între NIS1 și NIS2
NIS1 (2016/1148)
Prima directivă UE pentru securitatea rețelelor și informației
Acoperă operatorii de servicii esențiale (OSE) și furnizorii de servicii digitale (DSP)
Cadru flexibil pentru identificarea OSE
Raportarea incidentelor bazată pe impactul asupra continuității serviciilor
Nu include sancțiuni specifice la nivel UE
NIS2 (2022/2555)
Actualizare și extindere a directivei originale
Redefinește scopul pentru entități esențiale și importante
Impune reguli mai stricte și criterii uniforme
Raportare în două faze (inițială și finală)
Stabilește sancțiuni minime la nivelul UE
Include cerințe detaliate pentru managementul riscului
Extinderea Domeniului de Aplicare
Directiva NIS2 se aplică entităților publice sau private menționate în anexele I și II, care se califică drept întreprinderi mijlocii conform Recomandării 2003/361/CE sau care depășesc plafoanele pentru întreprinderile mijlocii.
Sectoare cu Importanță Critică Ridicată (Anexa I)
Energie (electricitate, încălzire, petrol, gaze, hidrogen)
Transport (aerian, feroviar, pe apă, rutier)
Sectorul bancar și infrastructuri ale pieței financiare
Sănătate, apă potabilă și apă uzată
Infrastructură digitală și servicii TIC gestionate
Administrație publică și spațiu
Alte Sectoare de Importanță Critică (Anexa II)
Servicii poștale și de curierat
Gestionarea deșeurilor
Substanțe chimice și alimente
Fabricare (dispozitive medicale, computere, echipamente)
Furnizori digitali (piețe online, motoare de căutare)
Cercetare
Entitățile sunt clasificate în două categorii: entități esențiale și entități importante, cu cerințe diferențiate.
Cerințe de Conformitate: Măsuri de Gestionare a Riscurilor
Articolul 21 stabilește măsurile obligatorii de gestionare a riscurilor în materie de securitate cibernetică, care includ cel puțin:
Politici și Analiză
Politici referitoare la analiza riscurilor și securitatea sistemelor informatice
Gestionare
Gestionarea incidentelor, continuitatea activității și gestionarea crizelor
Securitate Extinsă
Securitatea lanțului de aprovizionare și în achiziționarea sistemelor
Practici și Formare
Igienă cibernetică, criptografie și securitatea resurselor umane
Obligații de Raportare a Incidentelor
Conform Articolului 23, entitățile trebuie să raporteze incidentele semnificative în următoarele termene:
1
24 de ore
Avertizare timpurie de la data la care au luat cunoștință de incidentul semnificativ
2
72 de ore
Notificare a incidentului cu evaluare inițială a gravității, impactului și indicatorilor de compromitere
3
La cerere
Raport intermediar privind actualizarea relevantă a situației
4
Maximum 1 lună
Raport final detaliat cu descrierea incidentului, tipul amenințării, măsurile aplicate și impactul
Supravegherea și Sancțiunile
Autoritățile competente (DNSC) își exercită sarcinile de supraveghere prin:
Inspecții la fața locului
Audituri de securitate periodice și ad-hoc
Scanări de securitate
Cereri de informații și acces la date
Cereri de dovezi privind implementarea politicilor
Sancțiuni Administrative
Încălcarea articolelor 21 sau 23 atrage amenzi administrative:
10M€
Entități Esențiale
Sau cel puțin 2% din cifra de afaceri mondială totală anuală
7M€
Entități Importante
Sau cel puțin 1,4% din cifra de afaceri mondială totală anuală
Implementarea Directivei NIS2 în Organizații
Ciclul PDCA (Plan-Do-Check-Act) poate fi utilizat pentru implementarea eficientă a Directivei NIS2:
Plan
Stabilirea contextului, evaluarea riscurilor, dezvoltarea strategiei
Do
Implementarea măsurilor de securitate și a controalelor
Check
Monitorizarea, măsurarea și evaluarea eficacității
Act
Îmbunătățirea continuă a sistemului de management
Beneficiile cheie includ: abordare structurată, decizii bazate pe date, testarea soluțiilor, promovarea culturii de îmbunătățire continuă și atingerea eficientă a obiectivelor.
Studii de Caz și Bune Practici
Nivel Organizațional
Guvernanță și asumare
Politici și strategii formale
Responsabilități stabilite și comunicate
Procese standardizate
Conformitate cu regulamente și standarde
Nivel Uman
Conștientizarea personalului
Responsabilitate individuală
Aptitudini de securitate cibernetică
Training specializat
Aderare la politici și proceduri
Nivel Tehnic
Infrastructură securizată
Managementul riscului
Securitatea proceselor esențiale
Securitatea sistemelor
Măsuri de protecție și întreținere
Implementarea acestor practici trebuie adaptată la specificul organizației, dimensiunea și sectorul de activitate, asigurând o abordare echilibrată între aspectele organizaționale, umane și tehnice.
Referințe și Surse
Această secțiune conține referințe la documente oficiale și surse relevante pentru Directiva NIS2, esențiale pentru înțelegerea și implementarea măsurilor de securitate cibernetică.
Directiva (UE) 2022/2555 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică la nivelul Uniunii, de modificare a Regulamentului (UE) nr. 910/2014 și a Directivei (UE) 2018/1972, și de abrogare a Directivei (UE) 2016/1148 (Directiva NIS). Disponibilă pe EUR-Lex.
Ghiduri de implementare națională: Legislația și orientările specifice adoptate de statele membre ale Uniunii Europene pentru transpunerea Directivei NIS2 în legislația națională. Pentru detalii, consultați sursele oficiale ale autorităților naționale relevante în domeniul securității cibernetice din țara dumneavoastră.
Publicații oficiale ale Comisiei Europene și ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică): Documente explicative, analize de impact și rapoarte privind aplicarea și evoluția politicilor de securitate cibernetică la nivelul UE.
Standarde și cadre de securitate cibernetică: Standarde internaționale precum ISO/IEC 27001 sau cadre precum NIST Cybersecurity Framework, relevante pentru implementarea tehnică a cerințelor Directivei NIS2.