NIS2 si implicatiile pentru Romania
Directiva (UE) 2022/2555 privind masuri pentru un nivel comun ridicat de securitate cibernetica in Uniune — cunoscuta drept NIS2 — a trebuit transpusa in legislatia nationala pana pe 17 octombrie 2024. Romania a adoptat modificarile necesare la Legea 362/2018 privind asigurarea unui nivel comun ridicat de securitate a retelelor si sistemelor informatice, extinzand sfera de aplicare de la circa 250 de operatori de servicii esentiale la peste 2.000 de entitati, atat din sectorul public, cat si din cel privat.
NIS2 introduce obligatii semnificativ mai stricte decat predecesoarea sa: notificarea incidentelor catre DNSC (Directia Nationala de Securitate Cibernetica) in maximum 24 de ore de la detectare, implementarea unui management al riscului cibernetic documentat, testarea periodica a sistemelor si raspunderea personala a conducerii executive pentru conformitate. Amenzile pentru neconformare pot ajunge la 10 milioane de euro sau 2% din cifra de afaceri globala.
Peisajul amenintarilor in 2025
DNSC a publicat in raportul anual 2024 date ingrijoratoare: Romania a inregistrat peste 4.700 de incidente cibernetice semnificative, in crestere cu 43% fata de 2023. Sectoarele cel mai afectate au fost sanatatea (18% din incidente), administratia publica (22%) si sectorul financiar-bancar (15%). Atacurile de tip ransomware au reprezentat 31% din incidente, cu o valoare medie a rascumpararii solicitate de 2,3 milioane de dolari.
Contextul geopolitic amplifica riscul: Romania, ca stat NATO de prima linie, este tinta frecventa a atacurilor atribuite actorilor statali rusi si bielorusi. Atacurile hibride combina dezinformarea cu perturbarea infrastructurii digitale, vizand in special perioadele electorale si crizele politice.
Capacitatile nationale: realitati si deficite
DNSC, infiintata in 2021, a reprezentat un pas inainte in arhitectura institutionala a cybersecuritatii romane. Cu un personal de circa 300 de specialisti si un centru CERT-RO operational, agentia opereaza la limita capacitatii in conditiile cresterii accelerate a volumului de incidente. Finantarea din PNRR prevede investitii de 200 de milioane de euro in capacitati nationale de cybersecurity pana in 2026, dar ritmul cheltuirii este lent.
Deficitul de specialisti in securitate cibernetica este estimat la 8.000-10.000 de profesionisti la nivel national. Universitatile romanesti formeaza anual circa 1.200 de absolventi cu competente relevante, o cifra insuficienta raportat la cerere. Salariile din sectorul public nu pot concura cu ofertele companiilor private si multinationale, generand o migratie constanta a expertilor catre sectorul privat si catre alte state europene.
Recomandari pentru consolidarea rezilientei cibernetice
Prioritatea imediata o reprezinta implementarea completa a registrului national de entitati NIS2 si realizarea auditurilor de conformitate initiale. In paralel, Romania trebuie sa accelereze crearea unui fond national de garantare a investitiilor in cybersecurity pentru IMM-uri, care sunt categoria cel mai putin pregatita pentru noile cerinte. Pe termen mediu, integrarea Romania in retelele europene de schimb de informatii despre amenintari (ENISA, EU-CERT) trebuie sa devina o prioritate diplomatica si operationala.