Modificări esențiale în noua lege privind Directiva NIS 2: trei aspecte cruciale pentru companii din 10 iulie 2025

luni, 14 iulie 2025, 10:27•

Foto: Deloitte România

Validarea legislativă a măsurilor stipulate în OUG 155/2024, act prin care se transpune Directiva NIS (Network and Information Security) 2 la nivel național, a fost realizată prin publicarea Legii 124/2025 în Monitorul Oficial pe 7 iulie 2025. Această lege va intra în vigoare pe 10 iulie 2025 și reprezintă un pas semnificativ în consolidarea securității cibernetice pentru rețele și sisteme informatice din România.

Legea 124/2025 aduce noutăți importante pe lângă măsurile stabilite prin OUG 155/2024, pe care entitățile esențiale și importante trebuie să le ia în considerare. Printre cele mai relevante actualizări se numără includerea a două noi categorii de entități din domeniul sănătății care vor trebui să respecte legislația NIS 2. Entitățile cu autorizații de distribuție a medicamentelor, conform art. 803 din Legea nr. 95/2006, sunt obligate să se conformeze standardelor de securitate cibernetică stipulate în noua lege. De asemenea, companiile implicate în comerțul cu ridicata și cu amănuntul al produselor farmaceutice, conform diviziunilor CAEN 4646 și 4773, sunt acum incluse în categoria subiecților care trebuie să respecte Legea 124/2025.

O altă noutate din Legea 124/2025 este clarificarea definiției incidentului semnificativ de securitate cibernetică. Conform legii, un astfel de incident se caracterizează prin îndeplinirea unei condiții din următoarele, fără a fi necesar să se manifeste simultan. Prima condiție se axează pe capacitatea incidentului de a provoca perturbări operaționale semnificative sau pierderi financiare substanțiale pentru entitate. A doua condiție vizează impactul potențial al incidentului asupra altor entități, generând prejudicii materiale sau reputaționale.

Legea 124/2025 nu se limitează la sectorul sănătății, ci și sectorul alimentar beneficiază de modificări importante. Noua legislație extinde definiția sectorului pentru a include producția, procesarea și distribuția alimentelor ca domenii activitate vizate de Directiva NIS 2. Aceasta abordare permite o identificare mai flexibilă a entităților din acest sector, nemaifiind restricționată la cele care efectuează toate aceste activități cumulative. Această extensie va facilita aplicarea eficientă a legislației în domeniul securității cibernetice.

Noul cadru legislativ nu doar că răspunde provocărilor legate de securitatea cibernetică, ci și promovează o colaborare sporită între diverse entități și instituții la nivel național. Prin integrarea acestor noi categorii de entități în cadrul legislației dedicate Directivei NIS 2, adopția Legii 124/2025 are ca scop crearea unui mediu mai sigur, care să sprijine dezvoltarea tehnologică sustenabilă și protejarea datelor sensibile.

Opinion piece by Octavian Popa, Cyber Strategy Manager, Deloitte România, and Silvia Axinescu, Senior Managing Associate, Reff & Asociații | Deloitte Legal