Validarea legislativă a măsurilor prevăzute de OUG 155/2024, act normativ care transpune Directiva NIS (Network and Information Security) 2 la nivel local, a avut loc prin publicarea în Monitorul Oficial în data de 7 iulie 2025 a Legii 124/2025. Acest act normativ a intrat în vigoare începând cu 10 iulie 2025 şi marchează un nou pas important în întărirea securităţii cibernetice pentru reţelele şi sistemele informatice din spaţiul naţional civil.

În completarea măsurilor stabilite prin OUG 155/2024, Legea 124/2025 aduce o serie de noutăţi pe care entităţile esenţiale şi importante ar trebui să le ia în considerare. Una dintre cele mai importante actualizări aduse prin Legea 124/2025 este introducerea a două noi categorii de entităţi în sectorul sănătăţii care se vor supune legislaţiei NIS 2. Astfel, entităţile care deţin autorizaţii de distribuţie a medicamentelor, conform art. 803 din Legea nr. 95/2006 republicată, vor trebui să se alinieze standardelor de securitate cibernetică prevăzute de noua legislaţie. De asemenea, companiile care desfăşoară activităţi economice în domeniul comerţului cu ridicata şi cu amănuntul al produselor farmaceutice, conform diviziunilor 4646 şi 4773 din CAEN Rev.

3, sunt acum incluse în categoria entităţilor care trebuie să se conformeze Legii 124/2025.

Un alt aspect de noutate inclus în Legea 124/2025 constă în definirea clară a ceea ce este considerat a fi un incident semnificativ de securitate cibernetică. Potrivit legislaţiei, un incident semnificativ se caracterizează prin îndeplinirea a cel puţin una dintre următoarele condiţii, fără a fi nevoie ca acestea să se manifeste cumulativ. Prima condiţie presupune determinarea modului în care incidentul a provocat sau are potenţialul de a provoca perturbări operaţionale grave ale serviciilor sau pierderi financiare semnificative pentru entitatea în cauză. A doua condiţie implică potenţialul incidentului de a afecta alte persoane fizice sau juridice, cauzând prejudicii materiale sau de alta natură, precum cele de reputaţie.

Pe lângă sectorul sănătăţii, şi sectorul alimentar este vizat de unele noutăţi incluse în Legea 124/2025. Actul normativ propune o completare în denumirea sectorului pentru a include producţia, prelucrarea şi/sau distribuţia de alimente printre domeniile de activitate impactate de Directiva NIS 2. Acest lucru permite identificarea entităţilor din sector într-o manieră mai flexibilă, demersul nefiind restrâns la cele care realizează toate aceste activităţi în mod cumulativ. Această completare facilitează o mai bună aplicare a legislaţiei în materie de securitate cibernetică.

Legislaţia recent adoptată nu doar că răspunde necesităţilor emergente legate de securitatea cibernetică, dar promovează şi o colaborare consolidată între diferite entităţi şi instituţii la nivel naţional. Prin integrarea acestor noi categorii de entităţi în legislaţia privind Directivei NIS 2, adoptarea Legii 124/2025 urmăreşte crearea unui mediu mai sigur, care să sprijine dezvoltarea tehnologică durabilă şi protejarea datelor de interes.

Material de opinie de Octavian Popa, Cyber Strategy Manager, Deloitte România, şi Silvia Axinescu, Senior Managing Associate, Reff & Asociaţii | Deloitte Legal