Opinii

Validarea legislativa a masurilor prevazute de OUG 155/2024, act normativ care transpune Directiva NIS ( Network and Information Security ) 2 la nivel local, a avut loc prin publicarea in Monitorul Oficial in data de 7 iulie 2025 a Legii 124/2025. Acest act normativ a intrat in vigoare incepand cu 10 iulie 2025 si marcheaza un nou pas important in intarirea securitatii cibernetice pentru retelele si sistemele informatice din spatiul national civil.

In completarea masurilor stabilite prin OUG 155/2024, Legea 124/2025 aduce o serie de noutati pe care entitatile esentiale si importante ar trebui sa le ia in considerare. Una dintre cele mai importante actualizari aduse prin Legea 124/2025 este introducerea a doua noi categorii de entitati in sectorul sanatatii care se vor supune legislatiei NIS 2. Astfel, entitatile care detin autorizatii de distributie a medicamentelor, conform art. 803 din Legea nr. 95/2006 republicata, vor trebui sa se alinieze standardelor de securitate cibernetica prevazute de noua legislatie. De asemenea, companiile care desfasoara activitati economice in domeniul comertului cu ridicata si cu amanuntul al produselor farmaceutice , conform diviziunilor 4646 si 4773 din CAEN Rev. 3, sunt acum incluse in categoria entitatilor care trebuie sa se conformeze Legii 124/2025.

Un alt aspect de noutate inclus in Legea 124/2025 consta in definirea clara a ceea ce este considerat a fi un incident semnificativ de securitate cibernetica . Potrivit legislatiei, un incident semnificativ se caracterizeaza prin indeplinirea a cel putin una dintre urmatoarele conditii, fara a fi nevoie ca acestea sa se manifeste cumulativ . Prima conditie presupune determinarea modului in care incidentul a provocat sau are potentialul de a provoca perturbari operationale grave ale serviciilor sau pierderi financiare semnificative pentru entitatea in cauza. A doua conditie implica potentialul incidentului de a afecta alte persoane fizice sau juridice, cauzand prejudicii materiale sau de alta natura, precum cele de reputatie.

Pe langa sectorul sanatatii, si sectorul alimentar este vizat de unele noutati incluse in Legea 124/2025. Actul normativ propune o completare in denumirea sectorului pentru a include productia, prelucrarea si/sau distributia de alimente printre domeniile de activitate impactate de Directiva NIS 2. Acest lucru permite identificarea entitatilor din sector intr-o maniera mai flexibila, demersul nefiind restrans la cele care realizeaza toate aceste activitati in mod cumulativ . Aceasta completare faciliteaza o mai buna aplicare a legislatiei in materie de securitate cibernetica.

Legislatia recent adoptata nu doar ca raspunde necesitatilor emergente legate de securitatea cibernetica, dar promoveaza si o colaborare consolidata intre diferite entitati si institutii la nivel national. Prin integrarea acestor noi categorii de entitati in legislatia privind Directivei NIS 2, adoptarea Legii 124/2025 urmareste crearea unui mediu mai sigur, care sa sprijine dezvoltarea tehnologica durabila si protejarea datelor de interes.

Material de opinie de Octavian Popa, Cyber Strategy Manager, Deloitte Romania, si Silvia Axinescu, Senior Managing Associate, Reff & Asociatii | Deloitte Legal