România a oficializat transpunerea Directivei europene NIS 2 prin publicarea Legii 124/2025, în vigoare din 10 iulie 2025. Această lege întărește cerințele privind securitatea cibernetică pentru companiile care operează rețele și sisteme informatice esențiale, extinzând domeniul de aplicare către sectoare economice sensibile.
Noutățile esențiale aduse de Legea 124/2025:
➡️ Sectorul sănătății se extinde: sunt incluse și companiile care dețin autorizații de distribuție a medicamentelor, precum și cele din comerțul cu ridicata și amănuntul de produse farmaceutice (CAEN 4646 și 4773).
➡️ Definirea clară a incidentului semnificativ de securitate cibernetică: Legea precizează că orice incident care generează sau poate genera pierderi financiare majore ori afectează terți este raportabil, chiar dacă nu provoacă daune cumulative.
➡️ Sectorul alimentar intră sub reglementare: producția, prelucrarea și distribuția de alimente sunt expres menționate, fără condiția ca firmele să desfășoare toate aceste activități în mod cumulativ.
„Legislația recent adoptată nu doar că răspunde necesităților emergente legate de securitatea cibernetică, dar promovează și o colaborare consolidată între diferite entități și instituții la nivel național.”
— Octavian Popa, Cyber Strategy Manager, Deloitte România
Legea 124/2025 completează măsurile prevăzute de OUG 155/2024, stabilind reguli clare pentru raportarea incidentelor și pentru responsabilitățile companiilor esențiale sau importante din economia României.
Prin această reglementare, România face un nou pas în consolidarea protecției datelor și a infrastructurilor critice, aliniindu-se standardelor europene în materie de securitate cibernetică.
