Securitatea cibernetică din România între firme, legislații și clienți. Care îți sunt drepturile și obligațiile, conform GDPR, DORA și NIS 2
Într-o eră digitalizată, securitatea cibernetică nu mai este doar o preocupare tehnică, ci un element esențial al oricărei strategii de business. Uniunea Europeană a adoptat mai multe reglementări pentru a asigura un nivel ridicat de protecție a sistemelor informatice și a datelor personale, printre care Directiva NIS 2, Regulamentul DORA și binecunoscutul GDPR. Aceste acte normative stabilesc obligații clare pentru companii și instituții, dar și drepturi pentru utilizatori.
Directiva NIS 2 și impactul său asupra firmelor
Directiva NIS 2 (Directiva UE 2022/2555) impune reguli stricte pentru protecția rețelelor și a sistemelor informatice. Aceasta a fost transpusă în legislația românească prin OUG 155/2024, în vigoare din 31 decembrie 2024, și se aplică unui spectru larg de entități esențiale și importante, printre care:
Sectoare critice: energie, transporturi, sănătate, finanțe, infrastructură digitală.
Furnizori de servicii digitale: platforme online, servicii de cloud, centre de date.
Servicii de gestionare a deșeurilor, poștale, de curierat și cercetare.
Obligațiile companiilor includ implementarea unor politici de securitate, raportarea incidentelor cibernetice și cooperarea cu autoritățile de reglementare.
Regulamentul DORA: protecția industriei financiare
DORA (Regulamentul UE 2554/2022) se concentrează pe reziliența operațională digitală în sectorul financiar. Instituțiile financiare trebuie să adopte măsuri specifice, precum:
Monitorizarea și raportarea incidentelor cibernetice.
Teste regulate de reziliență pentru a evalua capacitatea de apărare a infrastructurii digitale.
Colaborarea cu autoritățile și alte entități financiare pentru securitatea sistemului bancar.
Acest regulament a fost comparat cu GDPR datorită impactului major asupra industriei și a sancțiunilor severe pentru nerespectarea prevederilor.
GDPR și protecția datelor personale
Regulamentul General privind Protecția Datelor (GDPR), aplicabil din 2018, rămâne un pilon esențial al securității cibernetice. Acesta garantează drepturile utilizatorilor privind datele lor personale și obligă firmele să asigure:
Transparență în colectarea și prelucrarea datelor.
Securitate sporită pentru prevenirea scurgerilor de informații.
Obligația de notificare a autorităților și utilizatorilor în cazul unor breșe de securitate.
Încălcarea normelor GDPR poate atrage amenzi de până la 4% din cifra de afaceri anuală a companiei.
Ce drepturi și obligații ai ca utilizator și firmă
Interacțiunea dintre aceste reglementări determină responsabilități clare atât pentru companii, cât și pentru utilizatori:
Pentru firme:
Să implementeze măsuri adecvate de protecție a datelor și sistemelor IT.
Să asigure documentarea și raportarea incidentelor de securitate.
Să instruiască angajații în domeniul securității cibernetice.
Pentru utilizatori:
Dreptul de a fi informat despre modul în care sunt utilizate datele personale.
Dreptul la ștergerea datelor („dreptul de a fi uitat”).
Posibilitatea de a solicita acces și rectificare a informațiilor personale.
În concluzie, securitatea cibernetică în România este reglementată printr-un cadru legal complex, menit să protejeze atât firmele, cât și utilizatorii finali. Respectarea acestor reglementări este esențială pentru protejarea datelor și evitarea sancțiunilor, conform Juridice.ro.