Irina Macovei, avocat și Head of Intellectual Property and Technology la Casa de Avocatură DLA Piper România, a explicat în cadrul emisiunii ZF Live că noua legislație de securitate cibernetică va impune răspunderea personală a directorilor generali și financiari din companiile mari și mijlocii din sectoarele critice.
Schimbarea majoră nu este una tehnică, ci de responsabilitate: în cazul unui incident cibernetic, conducerea va trebui să demonstreze că a fost conformă și că problema a fost cauzată de un atacator foarte sofisticat. În caz contrar, aceștia pot fi trași la răspundere și sancționați cu amenzi de până la 10 milioane de euro sau un procent din cifra de afaceri.
Ordonanța de urgență 155/2024, adoptată la finalul anului 2024, transpune directiva europeană NIS2 în legislația românească și stabilește cadrul pentru răspunderea organelor de conducere. Aceasta nu prevede răspundere automată pentru fiecare incident, ci se analizează cazul de caz, în funcție de implicarea și reaua-voință a conducerii.
Impactul noii legislații asupra companiilor din România
Irina Macovei a subliniat că România a fost printre primele state din Uniunea Europeană care a pregătit legislația, însă decalajul rămâne la nivelul implementării și conformității în rândul companiilor mai mici sau cu amprentă locală. În special, sectorul de energie, sănătate, producție și utilități trebuie să își adapteze rapid politicile și procedurile.
- Legislația stabilește amenzi de până la 10 milioane de euro sau un procent din cifra de afaceri
- Responsabilitatea personală a conducerii pentru incidentele cibernetice
- Analiza cazurilor se face în funcție de implicarea și intenția conducerii
- România a fost printre primele țări din UE care a transpus directiva NIS2
- Decalajul major este în zona de conformitate a companiilor mici
De ce trebuie să răspundă personal conducerea companiilor
Irina Macovei a explicat că răspunderea personală a directorilor se justifică prin faptul că aceștia sunt cei care alocă fondurile și decid asupra politicilor de securitate. În cazul unui incident, dacă nu se demonstrează implicarea sau dacă s-a acționat cu bună-credință, conducerea nu va fi trasă la răspundere.
Această reglementare vizează să crească nivelul de implicare și responsabilitate în domeniul securității cibernetice, fiind o măsură menită să reducă riscurile și să asigure protecția infrastructurii critice din România.
Reacțiile oficiale și analizele din piață indică faptul că această legislație va determina o schimbare semnificativă în modul în care companiile gestionează riscurile cibernetice, iar conducerea va fi direct responsabilă pentru implementarea măsurilor de securitate.
