Ghid cuprinzător pentru avocații și firmele juridice care gestionează litigii sensibile și date de tranzacții, fiind clasificate ca entități importante conform Anexei II a Legii 362/2022. Aflați obligațiile dvs. de securitate cibernetică și cum să implementați controale eficiente pentru a proteja datele sensibile ale clienților.
Firmele juridice și furnizorii de servicii legale din România care gestionează litigii complexe, tranzacții de fuziuni și achiziții, sau care dețin acces la date confidențiale ale clienților și au efecte semnificative asupra continuității serviciilor juridice sunt clasificate ca entități importante sub NIS2. Această clasificare se aplică indiferent de mărimea firmei, dacă serviciile oferite sunt critice pentru sectorul justiției și economia țării.
Firmele juridice trebuie să implementeze controale tehnice și organizatorice pentru a proteja corespondenţa, documentele de strategie processuală și comunicările confidențiale dintre avocați și clienți. Această protecție include criptarea end-to-end a mesajelor, acces restricționat prin autentificare multifactor și jurnalizarea tuturor acceselor la documente sensibile. Nerespectarea acestei obligații poate expune privilegiul avocat-client și atrage sancțiuni DNSC de până la 10 milioane de lei.
Sistemele de descoperire electronică și platformele de management al dosarelor folosite în litigii trebuie să includă criptare la rest și în tranzit, control de acces granular și autentificare multifactor pentru toți utilizatorii. Auditurile de securitate trimestriale sunt obligatorii pentru a identifica vulnerabilități în sistemele care gestionează volume mari de documente confidențiale. Orice incident de securitate pe aceste platforme trebuie raportat DNSC în termen de 72 de ore dacă afectează continuitatea unui litigiu important sau o tranzacție.
Firmele juridice trebuie să raporteze DNSC orice incident de securitate care ar putea afecta confidențialitatea dosarelor în litigiu, integritatea documentelor de M&A sau calendarul unei tranzacții. Raportul inițial se depune în termen de 72 de ore, urmat de un raport detaliat în 30 de zile. Pragul de raportare este mai scăzut pentru firme juridice decât pentru alte sectoare, datorită sensibilității datelor și impactului potențial asupra justiției și pieții.
Contractele cu furnizorii de software juridic (case management systems, platforms de facturare, servicii cloud) trebuie să includă clauze explicite privind securitatea cibernetică, criptarea datelor și conformitatea cu NIS2. Auditurile anuale de conformitate și evaluări de risc sunt obligatorii pentru toți furnizorii critici. Firmele juridice sunt responsabile pentru breșele de securitate ale furnizorilor lor și trebuie să aibă dreptul de acces la rapoartele de audit de securitate.
Fiecare firmă juridică importantă trebuie să dezvolte și să testeze anual planuri detaliate de răspuns la incidente cibernetice și de recuperare operațională. Planurile trebuie să specifice: timpii de recuperare maximale acceptabili (RTO) de cel mult 24 de ore pentru sistemele care gestionează litigii active, responsabilități clare ale echipei și proceduri de comunicare cu clienții și autorități. Documentația acestor planuri trebuie prezentată DNSC la cerere.
Firmele juridice au obligații mai stricte datorită naturii sensibile a datelor: privilegiu avocat-client, documente de litigiu și informații de tranzacții. Pragul de raportare a incidentelor este mai scăzut și include și impactul asupra continuității proceselor judiciare, nu doar asupra operațiunilor comerciale. DNSC atenționează specific că breșele care expun strategia juridică sau calendarul unui litigiu sunt considerate critice.
Criptarea la rest trebuie aplicată la nivel de bază de date și sistem de fișiere, cu chei de criptare stocate separat și gestionate prin sisteme dedicate. Fiecare dosar trebuie să aibă metadate despre nivelul de clasificare (confidențial, foarte confidențial, privilegiu avocat-client) și doar utilizatorii autorizați trebuie să poată accesa cheile de decriptare. Auditurile regulate trebuie să verifice că niciun document confidențial nu este stocatneencriptat pe dispozitive personale sau servicii cloud neautorizate.
O firmă juridică care nu raportează DNSC un incident de securitate în termen de 72 de ore riscă o amendă administrativă de până la 10 milioane de lei sau 2% din cifra de afaceri anuală globală, oricare dintre acestea este mai mare. Dacă incidentul expune datele privilegiate ale unui client și afectează un litigiu, penalitățile pot atinge 20 milioane de lei. În plus, DNSC poate suspenda autorizarea de a procesa date personale până când conformitatea este demonstrată.