Legislaţie
Construcţii
Mediu
MAI
Dezbatere publică
Handicap
Propuneri legislative
Webinarii
Apicol
Auto
Educaţie
Necategorizat
Acciza
Infografice
Călătorii
Asigurări
Proiect de modificare legislativă
Proiect de ordin
Avocați
Agenția Națională de Administrare Fiscală
Specialişti
Cetăţenie
Comunicate
Utile
Asistenţă socială
Publicitate
Timp liber
Concursuri şi examene
Video
Instituţii
Taxe
Fiscal
Alimentaţie publică
Stare de alerta
Invățământ
Alocaţia de stat
Alerte
HR & Muncă
Jurisprudenţă UE
Evenimente
Program finanţare
Legislaţie UE
Ajutor de stat
Proceduri legislative
Jurisprudență
COVID19
GDPR
Agricol
Contravenţie
Electoral
Taxa pe valoare adăugată
Stare de urgenta>Stare de alerta
Instituţii publice
Bancar
Circulație
Executare silită
Energie
Comunitate
Proiect de lege
Transport
Consultare publică
Interes public
Stare de urgenta>Somaj tehnic
Iniţiative legislative
Compensaţii
Ajutor de minimis
Imobiliar
Indemnizaţie
Turism
Vamal
Familie
Sport
Financiar-Contabil
Republicare
Împrumut
Administrație
Minor
Cazier
Salarizare
Social
RO-Alert
REVISTĂ
Silvic
Proiect de hotărâre
Juridic
Aviație
Protecţie socială
Asigurări sociale
Ştiri
Legislaţie curentă
Proiect legislativ
Campanie Paşti 2014
Proiect de ordonanţă
Investiţii
IMM
Insolvenţă
Pensii
Finanţare
Autoritatea Electorală Permanentă
Reexaminare
Apărare Națională
Muncă
Justiție
Modificări legislative
Jocuri de noroc
Alegeri
Drepturi de autor
Dobânzi
Digitalizare
Ajutor Social
Strategie Națională
Egalitate de Șanse
ANPC
Violenţă domestică
Diaspora
Buget
Stare de urgenta
Penal
Sănătate

7 acte legislative esențiale pentru securitatea cibernetică în Uniunea Europeană

Digitalizare
Marian Orzata
03 februarie 2025 8 min read
1. Directiva NIS 2 – aplicabilă din 17 octombrie 2024
Într-o lume în care atacurile cibernetice devin tot mai sofisticate şi frecvente, Uniunea Europeană a adoptat seturi de reglementări menite să protejeze infrastructurile critice, datele personale şi ecosistemele digitale. De la protecția sectoarelor esențiale prin Directiva NIS2, la securizarea produselor digitale prin Cyber Resilience Act (CRA) la întărirea rezilienței sectorului financiar prin Digital Operațional Resilience Act (DORA), Europa își consolidează apărarea cibernetică. Aceste măsuri nu sunt singure. Regulamente precum GDPR, EIDAS 2.0, sau Ai Act joacă de asemenea, un rol esențial în protejarea utilizatorilor şi companiilor de riscuri digitale. Dar ce înseamnă aceste reglementări în practică? Cine trebuie să le implementeze şi cum ne influențează viața de zi cu zi? Fără a epuiza acest vast subiect, articolul doar trece în revistă principalele acte legislative europene privind securitatea cibernetică şi impactul lor asupra  economiei digitale. Directiva nr. 2555/2022 privind securitatea cibernetică, cunoscută ca Directiva NIS2, vizează îmbunătățirea măsurilor de securitate cibernetică în sectoare esențiale. Aceasta extinde sfera de aplicare de la 7 sectoare (conform NIS1) la 18 sectoare critice și impune sancțiuni de până la 10 milioane de euro sau 2% din cifra de afaceri pentru nerespectare. NIS2 împarte entitățile în două grupuri: „esențiale” și „importante”. Obligațiile de conformitate se aplică ambelor, dar entitățile esențiale trebuie să urmeze reguli mai stricte. Printre sectoarele de importanță critică menționăm: energie, transport, infrastructură bancară, sănătate, infrastructură digitală, apă potabilă, guvern și altele. Directiva NIS2 creează o rețea de echipe naționale CSIRT pentru a răspunde rapid și eficient atacurilor cibernetice. Aceste echipe cooperează la nivel european, iar Agenția ENISA coordonează schimbul de informații pentru o protecție mai bună. La nivel național Directiva NIS2 a fost transpusă prin O.U.G. nr. 155/2024 iar securitatea cibernetică este gestionată de Directoratul Național de Securitate Cibernetică (DNSC) și Centrul Național de Gestionare a Crizelor de Securitate Cibernetică (CNGCSC), care se ocupă de incidentele de mare amploare. CSIRT-urile monitorizează amenințările, emit alerte rapide, oferă asistență în caz de incidente și efectuează investigații pentru identificarea vulnerabilităților. Aceste echipe sunt esențiale pentru protejarea organizațiilor publice și private în fața atacurilor cibernetice.

2. Actul UE privind reziliența operațională digitală (DORA)

Regulamentul DORA nr. 2554/2022, în vigoare din 16 ianuarie 2023 și aplicabil din 17 ianuarie 2025, are scopul de a întări securitatea IT a instituțiilor financiare, precum băncile și companiile de asigurări, pentru a preveni întreruperile operaționale care ar putea afecta economiile întregi. Atacurile cibernetice sofisticate pot declanșa efecte în lanț, punând în pericol stabilitatea piețelor financiare. DORA asigură că sectorul financiar poate face față oricărei amenințări digitale, protejând infrastructura critică. DORA se aplică instituțiilor financiare, precum băncile, firmele de investiții și asigurări, dar și furnizorilor de servicii TIC care sunt esențiali pentru sectorul financiar. DORA acoperă managementul riscurilor TIC, testarea digitală a rezistenței operaționale, raportarea incidentelor majore, supravegherea furnizorilor terți critici. Autoritățile Europene de Supraveghere (EBA, ESMA, EIOPA) monitorizează aplicarea regulamentului și supraveghează furnizorii critici de servicii TIC, asigurându-se că sectorul financiar rămâne rezilient în fața riscurilor digitale.

3. Cyber Resilience Act (CRA) – Reguli mai stricte pentru securitatea produselor digitale

Regulamentul CRA (nr. 2847/2024) stabilește cerințe de securitate cibernetică pentru produsele hardware și software vândute în UE, punând accent pe reducerea riscurilor de securitate pe tot parcursul ciclului de viață al acestora. Produsele digitale devin ținte tot mai frecvente ale atacurilor cibernetice, iar CRA protejează consumatorii și afaceri, ridicând standardele de securitate pentru a preveni costuri economice mari. Principalele obligații ale CRA
  • Securitate continuă: Producătorii trebuie să asigure actualizări de securitate pe durata vieții produselor.
  • Evaluare obligatorie: Produsele critice pentru securitate cibernetică vor fi certificate înainte de a fi vândute.
  • Marcajul CE: Indică produsele care respectă cerințele CRA, simplificând identificarea celor sigure.
CRA se aplică produselor conectate la dispozitive sau rețele, cu excepții pentru software-ul open-source și anumite produse reglementate deja. CRA a intrat în vigoare în 2024 dar este aplicabil din 2027 cu excepția unor de raportare și respectiv de notificare, care sunt valabile din 2026.

4. Actul UE privind Inteligența Artificială (AI)

Regulamentul (UE) 2024/1689, cunoscut ca Actul UE AI, stabilește norme pentru utilizarea responsabilă a inteligenței artificiale (IA) în UE, protejând sănătatea, siguranța și drepturile fundamentale ale cetățenilor. De ce este important? Actul asigură adoptarea unor tehnologii AI fiabile, minimizând riscurile pentru societate, iar sistemele de IA vor fi reglementate pe patru nivele de risc: inacceptabil, ridicat, limitat și minim. Sisteme de risc ridicat Printre aplicațiile IA cu risc ridicat se numără:
  • Infrastructuri critice (transporturi, energie)
  • Educație și recrutare (notarea examenelor, selecția CV-urilor)
  • Sănătate (chirurgie asistată de IA)
  • Servicii financiare (evaluarea bonității)
  • Aplicații în justiție și securitate (analiza probelor, controlul migrației)
Practicile interzise Sunt interzise sistemele IA care:
  • Manipulează comportamentele persoanelor (de exemplu, jucării care încurajează comportamente periculoase)
  • Clasifică oameni pe baza caracteristicilor personale (ex: scor social)
  • Folosesc recunoașterea facială în timp real sau analize predictive în activitățile polițienești.
Intrare în vigoare Actul a intrat în vigoare în august 2024 și va fi aplicabil în general din 2 august 2026. Unele reglementări, cum ar fi educația în domeniul IA și practicile interzise, vor fi aplicate mai devreme, în februarie 2025.

5. Regulamentul de înființare a Rețelei și a Centrului european de competențe privind securitatea cibernetică (ECCC) – cu sediul la București.

Regulamentul (UE) 2021/887 a creat ECCC, cu sediul la București, și Rețeaua de Centre Naționale de Coordonare (CNC), esențiale pentru protejarea securității cibernetice în Uniunea Europeană, activând din 28 iunie 2021. Obiectivele ECCC ECCC sprijină cercetarea, dezvoltarea infrastructurii digitale și apărarea cibernetică, având ca scop crearea unui mediu digital sigur și inovator. Împreună cu CNC-urile din fiecare stat membru, ECCC asigură colaborarea între statele UE și sectorul privat pentru o securitate cibernetică mai robustă. Finanțare și programe ECCC beneficiază de fonduri prin programele „Europa Digitală” (1,3 miliarde EUR) și „Orizont Europa” (119 milioane EUR în 2023/2024), concentrându-se pe întărirea măsurilor de securitate cibernetică și protecția infrastructurilor digitale.

6. Regulamentul UE privind ENISA și certificarea securității cibernetice

Regulamentul (UE) 2019/881 întărește securitatea cibernetică în două direcții majore: Rolul ENISA: Agenția Europeană pentru Securitate Cibernetică (ENISA) devine un organism independent cu mandat permanent, sprijinind statele membre și instituțiile UE în combaterea amenințărilor cibernetice. Certificarea europeană în securitate cibernetică: Produsele și serviciile TIC sunt evaluate și certificate pentru a garanta un nivel ridicat de siguranță digitală, pe trei nivele: de bază, substanțial și ridicat. ENISA contribuie la prevenirea și detectarea amenințărilor, susține echipele naționale CSIRT și promovează colaborarea în securitatea cibernetică la nivel UE. De asemenea, dezvoltă certificarea europeană pentru produsele și serviciile TIC, înlocuind sistemele naționale și creând un cadru unic la nivelul Uniunii.

7. Regulamentul eIDAS - Identificare Electronică, Autentificare și Servicii de Încredere

eIDAS (Regulamentul (CE) 910/2014) oferă un cadru legal pentru utilizarea serviciilor de identificare electronică și de încredere, asigurând validitatea juridică a tranzacțiilor digitale, similar celor pe suport de hârtie. ENISA sprijină implementarea eIDAS prin recomandări tehnice, promovarea interoperabilității și creșterea conștientizării asupra beneficiilor identității digitale. eIDAS 2.0 Noua versiune, eIDAS 2.0 (Reg. 1183/2024), adaugă servicii de încredere pentru tranzacții digitale sigure, inclusiv semnătura digitală, sigilii electronice, autentificarea site-urilor web și identificarea electronică la distanță. Portofele Digitale și Identități Reutilizabile Introducerea Portofelului European de Identitate Digitală (EUDI Wallet), care permite gestionarea sigură a documentelor oficiale, protejează datele personale prin criptografie și tehnologia blockchain. Securitatea Cibernetică a eIDAS Securitatea este esențială pentru eIDAS 2.0. Măsurile includ criptare avansată, autentificare strictă și monitorizare continuă, pentru protejarea datelor personale și combaterea atacurilor cibernetice. Interoperabilitatea între statele membre eIDAS 2.0 garantează interoperabilitatea identităților digitale în UE, prin protocoale standardizate și cooperare transfrontalieră, reducând barierele birocratice.

Bonus: Comunitatea cibernetică

Un aspect interesant al securității cibernetice în constituie colaborarea în cadrul comunitățiilor cibernetice, care include diverse organizații și inițiative. Centrele de schimb de informații și analiză (ISAC-uri) facilitează colaborarea între sectoarele economiei pentru a întări securitatea. Comisia Europeană contribuie activ prin Centrul Comun de Cercetare (JRC), care a dezvoltat o taxonomie de securitate cibernetică, standardizând astfel terminologia utilizată în domeniu. De asemenea, Organizația Europeană pentru Securitate Cibernetică (ECSO), creată în 2016, sprijină parteneriatele public-private și reunește peste 250 de membri din industria și cercetarea în securitate cibernetică. Un alt punct esențial este promovarea diversității, în special a femeilor, în acest sector. Comisia a înființat Registrul Women4Cyber, pentru a susține vizibilitatea femeilor talentate și a le încuraja participarea activă în domeniul securității cibernetice.

Menționăm mai jos principalele acte normative care reglementează securitatea cibernetică la nivel național:

Ordonanţa de urgenţă nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a reţelelor şi sistemelor informatice din spaţiul cibernetic naţional civil Legea nr. 58/2023 privind securitatea şi apărarea cibernetică a României, precum şi pentru modificarea şi completarea unor acte normative Regulamentul pentru atestarea şi verificarea auditorilor de securitate cibernetică aprobat prin Ordinul SGG nr. 559/2021 Regulamentul nr. 6/2022 privind cadrul de desfăşurare a testelor de rezilienţă cibernetică TIBER-RO Hotărârea de Guvern nr. 1.321/2021, privind aprobarea Strategiei de Securitate Cibernetică a României pentru 2022-2027 și a Planului de Acțiune pentru implementare. OUG 104/2021 – Instituie DNSC și dezvoltă arhitectura instituțională. Legea 163/2021 – Reglementează infrastructurile IT&C și implementarea rețelelor 5G. Ordinul nr. 203/2021 pentru aprobarea Normelor privind protecţia instalaţiilor nucleare împotriva ameninţărilor cibernetice Legea nr. 362/2018 – Reglementează securitatea rețelelor și sistemelor informatice pentru operatorii de servicii esențiale și furnizorii de servicii digitale. Vezi aici alte articole despre securitatea cibernetică

Noua platformă de informare juridică dezvoltată de Indaco este aici!

După trei decenii de experiență în dezvoltarea soluțiilor juridice, Indaco Systems prezintă lege6.ro, o nouă platformă guvernată de AI, care se auto-îmbunătățește zilnic

lege6 logo