8 Aleksandr Sergheevici Puskin, Bucharest, District 1, PC 011996, Romania
(+4) 031 426 0745
 
Nomenius
ArticlesJanuary 10, 20250

Directiva NIS2, aplicable en Rumanía

Rumanía ha dado otro paso en la alineación de su legislación nacional con las normas de la UE mediante la transposición de la Directiva sobre Seguridad de Redes e Información (NIS2), que actualiza y refuerza las medidas en el ámbito de la ciberseguridad. La transición de NIS1 a NIS2 implica una serie de transformaciones en la regulación y gestión de la ciberseguridad.

Así, el Gobierno de Rumanía adoptó la Ordenanza de Emergencia núm. 155/2024 para transponer en la legislación nacional la Directiva (UE) 2022/2555 sobre medidas para un nivel común elevado de ciberseguridad en la Unión (Directiva NIS2). Esta directiva representa un pilar esencial en la estrategia de la Unión Europea para aumentar la resiliencia cibernética y fue diseñada para abordar las vulnerabilidades y amenazas cada vez más complejas en el espacio digital.

Mediante la Ordenanza núm. 155/2024, Rumanía ha armonizado su legislación nacional con estas disposiciones, fortaleciendo así la protección de infraestructuras críticas y redes esenciales para el funcionamiento de la economía y la sociedad. Además, la OUG 155/2024 deroga y reemplaza, con excepción de dos capítulos, las disposiciones anteriores de la Ley núm. 362/2018, que regulaba la implementación de la Directiva NIS1.

Las principales disposiciones de la Ordenanza núm. 155/2024 incluyen:

  1. Ampliación del alcance: Introducción de una lista extendida de sectores y subsectores sujetos a los requisitos de ciberseguridad. Las normas de ciberseguridad son obligatorias en los siguientes sectores:
    • Sectores críticos (11 sectores y 9 subsectores): energía (electricidad, calefacción y refrigeración centralizada, petróleo, gas, hidrógeno), transporte (aéreo, ferroviario, marítimo, terrestre), sector bancario, mercados financieros, salud, agua potable, aguas residuales, infraestructura digital, administración pública, gestión de servicios TIC (B2B) y actividades espaciales.
    • Sectores de importancia mayor (7 sectores principales y 6 subsectores): servicios postales y de mensajería, gestión de residuos, fabricación, producción y distribución de productos químicos, producción, procesamiento y distribución de alimentos, fabricación general (dispositivos médicos, ordenadores, productos electrónicos y ópticos, equipos eléctricos, maquinaria y equipos, vehículos, remolques y semirremolques, equipos de transporte), proveedores digitales (mercados, motores de búsqueda, plataformas de redes sociales) e investigación.

    NIS2 divide las entidades objetivo en dos categorías:

    • Entidades esenciales: Entidades de la administración pública central, proveedores de servicios DNS, proveedores de servicios de confianza calificados y cualquier otra entidad clasificada como esencial según los anexos de la ordenanza (por ejemplo, energía, transportes, sector bancario, infraestructura de mercados financieros, salud, suministro de agua, infraestructura digital, etc.).
    • Entidades importantes: Entidades organizadas según su tamaño (grandes y medianas), que prestan servicios considerados críticos pero que no se incluyen en la categoría de entidades esenciales (por ejemplo, operadores de gestión de residuos, servicios postales y de mensajería, producción de alimentos, etc.).
  2. Obligaciones aumentadas para operadores esenciales y proveedores de servicios digitales, quienes deben implementar sistemas avanzados de gestión de riesgos cibernéticos, planes de continuidad empresarial y recuperación, y medidas para informar incidentes de seguridad en un máximo de 24 horas desde su descubrimiento.
  3. Establecimiento de un marco de cooperación en ciberseguridad, que incluye un mecanismo nacional de coordinación a través de la Autoridad Nacional para la Administración y Regulación en Comunicaciones (ANCOM) y el Centro Nacional de Respuesta a Incidentes de Seguridad Cibernética (CERT-RO), así como la colaboración con otros estados miembros de la UE mediante la red CSIRTs (Equipos de Respuesta a Incidentes de Seguridad Cibernética).El DNSC (Directorado Nacional de Seguridad Cibernética) sigue siendo la autoridad nacional con competencias principales en materia de ciberseguridad. El papel del DNSC incluye coordinar, monitorear y garantizar la implementación de las medidas previstas en la directiva NIS2, evaluar la conformidad de las entidades esenciales e importantes, gestionar los incidentes cibernéticos y aplicar sanciones en caso de incumplimiento.
  4. Sanciones más severas por incumplimiento: Si no se cumplen los requisitos, el DNSC y otras autoridades competentes pueden imponer multas de hasta el 1,4% de la facturación anual para las entidades importantes y el 2% para las esenciales, con límites máximos de 7,000,000 de euros y 10,000,000 de euros, respectivamente. También se pueden tomar medidas adicionales, como la suspensión temporal de ciertas actividades, la prohibición provisional de ocupar cargos de dirección o la obligación de remediar las vulnerabilidades identificadas e informar a los clientes afectados.
  5. Educación y formación obligatoria en ciberseguridad: Tanto las instituciones públicas como las entidades privadas deben organizar programas regulares de capacitación para sus empleados a fin de concienciar sobre los riesgos y la importancia de la ciberseguridad, implementar prácticas fundamentales de protección probadas, aumentar la concienciación pública sobre los riesgos cibernéticos (incluidos los ataques de tipo phishing), reevaluar constantemente sus capacidades de defensa cibernética e integrar soluciones tecnológicas avanzadas, como la inteligencia artificial, para fortalecer la seguridad interna de redes y sistemas de información.
  6. Seguridad de la cadena de suministro, reconociendo que los riesgos cibernéticos no solo provienen del interior de las organizaciones, sino también de las relaciones con proveedores y socios comerciales, especialmente en el sector TIC.
  7. Mayor organización de un sistema interno de gestión de seguridad, que incluye la obligación de informar incidentes cibernéticos que afecten significativamente la continuidad del servicio dentro de las 24-72 horas desde la identificación de un incidente relevante y una evaluación final después de 30 días a través de la plataforma nacional para informar incidentes de seguridad cibernética (PNRISC). Además, la directiva transpuesta establece varios parámetros (número de usuarios afectados, duración, área de impacto) para determinar si un incidente es lo suficientemente significativo como para ser reportado. Dado que la directiva pone un énfasis especial en la cooperación y el intercambio de información, la notificación final debe proporcionar una descripción detallada del incidente, incluida su gravedad e impacto, tipo de amenaza, causas y medidas adoptadas para resolver la situación.Las entidades también deberán designar a una persona responsable de la seguridad de redes y sistemas de información. También se establecen obligaciones de auditoría, incluida la realización de auditorías periódicas de ciberseguridad (o ad hoc, a solicitud del DNSC) para las entidades involucradas.

La adopción de la Ordenanza de Emergencia núm. 155/2024 se produce en el contexto de un panorama cibernético cada vez más complejo y amenazante, con el objetivo de contribuir al aumento del nivel de protección para infraestructuras críticas y servicios esenciales, reducir el impacto de los ciberataques en la economía y la sociedad y alinear a Rumanía con los estándares europeos e internacionales en seguridad digital.

Aunque la transposición de la Directiva NIS2 mediante la Ordenanza de Emergencia núm. 155/2024 implica desafíos significativos, desde los altos costos de implementación de las medidas de ciberseguridad hasta la necesidad de desarrollar competencias técnicas y recursos humanos calificados, con la aplicación adecuada de las nuevas regulaciones, el sistema de Rumanía se volverá más resiliente frente a los ciberataques y más competitivo en el ámbito digital a nivel europeo.

Para obtener más información o realizar consultas adicionales, no dude en ponerse en contacto con nosotros:

➡ Teléfono: (+4) 031 426 0745
📧 Correo electrónico: office@grecupartners.ro

Estamos aquí para ayudar y brindar apoyo legal para todas sus necesidades. Esperamos con interés hablar con usted.

Abogada Mihaela Murariu

Share

Leave a Reply

Your email address will not be published. Required fields are marked *

previous
Uso de imagenes de camaras de video en investigaciones disciplinarias de empleados
next
Nuevas normas en la relación comerciante-consumidor

Suscríbete a nuestro boletín

Newsletter Subscription

    https://grecupartners.es/wp-content/uploads/2022/10/Logo_c.png
    (+4) 031 426 0745
    office@grecupartners.ro
    8 Aleksandr Sergheevici Puskin, Bucharest, District 1, PC 011996, Romania

    Experiencia

    Puede seguirnos en:

    Más de 16 años de experiencia en el campo del derecho mercantil. Nuestros clientes nos recomiendan.