Securitatea cibernetică. Efectele verticale și orizontale ale Ordonanței de urgență nr. 155/2024

 

---

Universuljuridic.ro PREMIUM

Aici găsiți informaţiile necesare desfăşurării activităţii dvs. profesionale.

Universuljuridic.ro PREMIUM pune la dispoziția profesioniștilor lumii juridice un prețios instrument de pregătire profesională. Oferim un volum vast de conținut: articole, editoriale, opinii, jurisprudență și legislație comentată, acoperind toate domeniile și materiile de drept. Clar, concis, abordăm eficient problematicile actuale, răspunzând scenariilor de activitate din lumea reală, în care practicienii activează.

Testează ACUM beneficiile Universuljuridic.ro PREMIUM prin intermediul abonamentului GRATUIT pentru 7 zile!

🔑Vreau cont PREMIUM!

---

---

 

În ultimele zile ale anului 2024, Guvernul României a adoptat Ordonanța de urgență nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil (O.U.G. nr. 155/2024). Această ordonanță de urgență transpune, cu întârziere, Directiva 2022/2555 a Parlamentului European și a Consiliului din 14 decembrie 2022 privind măsuri pentru un nivel comun ridicat de securitate cibernetică în Uniune, de modificare a Regulamentului (UE) nr. 910/2004 și a Directivei (UE) 2018/1972 și de abrogare a Directivei (UE) 2016/1148, directivă cunoscută sub denumirea de NIS 2.

Directiva NIS 2 a fost adoptată la un interval relativ scurt de timp după precedenta directivă în materie de securitate cibernetică, respectiv Directiva 2016/1148 sau NIS 1. Transformarea digitală rapidă a depășit însă cerințele de securitate din Directiva NIS 1 și o reevaluare a acestui cadru legislativ a devenit necesară. Directiva NIS 2 își propune o nouă abordare cu privire la nivelul de securitate cibernetică, dar și o extindere a sferei sale de aplicare.

Cu privire la sfera sa de aplicare, spre deosebire de Directiva NIS 1, care se aplica doar operatorilor de servicii esențiale, Directiva NIS 2 transpusă prin O.U.G. nr. 155/2024 se extinde și devine incidentă atât pentru entitățile esențiale cât și pentru entitățile importante, aceasta fiind întreprinderile mari și mijlocii ce activează în anumite sectoare. Un registru al acestor entități este păstrat de către Directoratul Național de Securitate Cibernetică („DNSC”).

O.U.G. nr. 155/2024  urmărește o abordare proactivă, preventivă în fața riscurilor ce țin de securitatea cibernetică spre deosebire de vechea legislație care avea mai degrabă o abordare reactivă. Unul dintre principiile ce va guverna aplicarea O.U.G. nr. 155/2024 este cel al responsabilizării și al conștientizării înțeles drept efortul continuu derulat de entitățile de drept public și privat în conștientizarea rolului și responsabilității individuale pentru atingerea unui nivel comun ridicat de securitate cibernetică la nivel național. Art. 11 din aceeași ordonanță impune entităților destinatare să ia măsuri tehnice, operaționale și organizatorice proporționale și adecvate pentru a identifica, evalua și gestiona riscurile aferente securității rețelelor și a sistemelor informatice pe care acestea le utilizează în desfășurarea activităților lor sau furnizarea serviciilor lor, precum și pentru a elimina sau, după caz, a reduce efectele incidentelor asupra destinatarilor serviciilor lor și asupra altor servicii. Cunoașterea riscurilor devine astfel o componentă esențială a securității cibernetice, iar simpla pasivitate nu este permisă, ci entitățile trebuie să adopte măsuri de gestionare a riscurilor. Vom vedea în cuprinsul acestui articol că această obligație are efecte semnificative și pe planul orizontal al relațiilor de afaceri.

Obligații directe în sarcina organelor de conducere. Entitățile esențiale și importante sunt persoane juridice, ficțiuni juridice ale dreptului, de aceea au fost instituite o serie de obligații direct în sarcina organelor de conducere ale acestor entități, precum:

– obligația de a adopta măsurile de gestionare a riscurilor de securitate cibernetică, de punere în aplicare a ordinelor adoptate de autoritățile cu competențe în domeniu, de a supraveghea punerea lor în aplicare și de a răspunde pentru încălcarea lor;

– obligația de a urma cursuri de formare profesională acreditate în vederea asigurării unui nivel suficient de cunoștințe și competențe pentru a identifica riscurile și a evalua practicile de gestionare a riscurilor de securitate cibernetică, precum și impactul acestora asupra serviciilor furnizate de entitate. Norma juridică nu excelează la capitolul claritate, întrucât nu prevede dacă acele cursuri de formare profesională trebuie finalizate cu succes sau nu;

– obligația de a stabili mijloacele permanente de contact, de a asigura alocarea resurselor necesare pentru punerea în aplicare a măsurilor de gestionare a riscurilor de securitate cibernetică și, după caz, desemnarea responsabililor cu securitatea rețelelor și sistemelor informatice care au rolul de a implementa și supraveghea măsurile de gestionare a riscurilor de securitate cibernetică la nivelul entității.

Adunarea generală nu este considerată un organ de conducere în înțelesul O.U.G. nr. 155/2024, astfel că asociații sau acționarii, deși ar trebui să fie interesați de respectarea integrității cibernetice a afacerii lor, nu sunt supuși obligațiilor de mai sus.

Măsuri ce pot fi luate față de organele de conducere. În cazul nerespectării obligațiilor ce le revin organele de conducere în temeiul O.U.G. nr. 155/2024 sunt identificate deficiențe ce nu sunt remediate, DNSC poate sesiza autoritățile competente pentru a impune interdicția temporară de a exercita funcția de conducere la nivel de director executiv sau de reprezentant legal.  Observăm că reziliența cibernetică devine un obiectiv important pentru legiuitor care își arogă mecanisme intruzive în viața societăților mergând până la impunerea de interdicții temporare de a exercita o funcție ce presupune reprezentarea legală.

O.U.G. nr. 155/2024  are însă consecințe nu doar în plan vertical, adică în raport cu autoritățile statului care pot aplica sancțiuni contravenționale dar și în plan orizontal, adică în relațiile de afaceri derulate de către entitățile esențiale și importante. Pe plan orizontal consecințele pecuniare ar putea fi obligarea respectivelor entități la plata de daune-interese.

Pe plan contractual. Contractele pe care entitățile esențiale și importante le încheie obligă nu doar la ceea este expres stipulat ci, după cum arată art. 1272 Cod Civil, și la toate urmările pe care practicile statornicite între părți, uzanțele, legea sau echitatea le dau respectivului contract. O.U.G. nr. 155/2024 obligă entitățile esențiale și importante să identifice, să evalueze, să gestioneze riscurile și să ia măsurile proporționale pentru atingerea unui nivel de securitate cibernetică. Pe parcursul executării contractului, pot apărea incidente de securitate cibernetică care pot compromite autenticitatea comunicațiilor e-mail, pot conduce la neexecutarea întocmai a obligațiilor contractuale etc.

Calificarea unui astfel de incident drept caz fortuit, pentru a se obține exonerarea de răspundere contractuală, va trebui realizată prin prisma respectării cerințelor prevăzute de O.U.G. 155/2024. În măsura în care riscul nu a fost identificat, deși era identificabil sau măsurile nu au fost luate ori au fost luate necorespunzător, atunci cel mai probabil concluzia va fi aceea că incidentul nu are natura unui caz fortuit, apt să exonereze de răspunderea contractuală, iar partea afectată de incidentul de securitate cibernetică, pe lângă suportarea consecințelor păguboase ale acestui incident, va trebui să achite și eventuale daune-interese către partenerul contractual.

Pe plan delictual. În situația în care un incident de securitate cibernetică ar cauza pagube unor persoane terțe se ridică problemă răspunderii entității. O.U.G. nr. 155/2024 are efecte cu privire la analizarea condițiilor faptei ilicite și ale vinovăției. Codul civil, la art. 1349, obligă orice persoană să respecte regulile de conduită pe care legea sau obiectul locului le impune. În cazul entităților esențiale și importante, O.U.G. nr. 155/2024 impune anumite reguli de conduită, printre acestea enumerându-se identificarea riscurilor cibernetice și luarea măsurilor corespunzătoare. Nerespectarea acestor reguli de conduită poate conduce la calificarea omisiunii drept faptă ilicită, iar această atitudine pasivă în fața cerințelor de securitate cibernetică poate fi calificată drept una culpabilă.

În concluzie, dincolo de sancțiunile contravenționale care pot fi aplicate de către autoritățile statului, nerespectarea regulilor de securitate cibernetică pot expune entitățile esențiale și importante la pretenții din partea persoanelor vătămate.