Acest ghid este destinat autorităților centrale și locale, municipalităților și agenților publici care administrează servicii digitale critice pentru cetățeni. Veți afla care sunt obligațiile dumneavoastră sub NIS2/Legea 362/2022, cum să identificați sistemele în ambitul de aplicare și pașii practici pentru atingerea conformității până în 2026.
Toate autoritățile administrației centrale, indiferent de dimensiune, entitățile administrației publice locale (consilii județene, municipale, comune) care operează servicii digitale pentru cetățeni, și agenții publice cu responsabilități în domenii critice (sănătate digitală, educație online, servicii fiscal-vamale, registre naționale) trebuie să se conformeze NIS2. Nu există prag de dimensiune — conformitatea este obligatorie în mod universal pentru sectorul public.
Autoritățile publice trebuie să instaureze și mențină un SMSI documentat, proporțional cu riscurile identificate. Acesta include: politici de securitate, controlul accesului, criptarea datelor sensibile ale cetățenilor, gestionarea incidentelor și planuri de continuitate. Pentru instituțiile publice mari, este recomandabil ca SMSI să fie certificat conform ISO/IEC 27001 sau să utilizeze framework-uri dedicate sectorului public.
Orice atac cibernetic care afectează furnizarea de servicii publice esențiale (portaluri e-governo, baze de date cu înregistrări civile, sisteme de utilități) trebuie raportate Autorității Naționale pentru Protecția Datelor și DNSC în termen de 24 de ore. Raportarea trebuie să includă natura incidentului, sistemele afectate, numărul de cetățeni impactați și măsurile de remediere implementate.
Autoritățile publice trebuie să includ clauze de securitate cibernetică în contractele cu furnizorii de software și integratorii de sisteme. Aceștia trebuie să demonstreze controluri de securitate, să notifice orice vulnerabilități descoperite, și să asigure actualizări de securitate regulate. Evaluarea conformității furnizorilor cu cerințele NIS2 devine parte integrantă a procesului de achiziție publică.
Toți funcționarii și angajații autorităților publice care au acces la sisteme digitale trebuie instruiți anual în materie de securitate cibernetică, gestionarea parolelor, identificarea tentativelor de phishing și protecția datelor personale ale cetățenilor. Instruirea trebuie să fie documentată și adaptată rolului fiecărui angajat. Conducerea instituției trebuie să primească instruire specifică pe aspecte de risc și răspundere.
Autoritățile publice trebuie să întocmească o evidență completă a tuturor sistemelor IT care gestionează servicii publice esențiale sau date sensibile ale cetățenilor. Pentru fiecare sistem, trebuie documentate versiunile software, configurațiile de securitate, datele de suport și proprietarii responsabili. Inventarul trebuie revizuit trimestrial și actualizat la orice schimbări.
Da, conform Legii 362/2022, conformitatea NIS2 este obligatorie pentru toate autoritățile administrației centrale și locale, fără prag de dimensiune. Município și consiliile județene sunt considerate entități esențiale sub Anexa I. Chiar și administrațiile locale mici cu servicii digitale destinate cetățenilor trebuie să implementeze controlurile de securitate cerute.
Incidentele grave trebuie raportate în termen de 24 de ore Autorității Naționale pentru Protecția Datelor și DNSC. Un incident este considerat grav dacă afectează disponibilitatea, integritatea sau confidențialitatea serviciilor publice esențiale, sau dacă compromise date personale ale unui număr semnificativ de cetățeni. Întârzierile în raportare pot rezulta în sancțiuni administrative și penalizări financiare.
DNSC poate aplica sancțiuni administrative de până la 5% din bugetul anual al autorității, sau până la 2.000.000 EUR, pentru nerespectarea obligațiilor majore (SMSI deficient, raportare incidente neglijentă, securitate lanț aprovizionare). Autoritățile care nu demonstrează progres către conformitate vor fi supuse auditurilor anuale și riscă restricții în accesarea fondurilor europene pentru digitalizare.