Irina Macovei, avocat și Head of Intellectual Property and Technology la Casa de Avocatură DLA Piper România, a explicat în cadrul emisiunii ZF Live că noua legislație de securitate cibernetică din România aduce o schimbare majoră în responsabilitatea conducerii companiilor mari și mijlocii din sectoarele critice.
Potrivit acesteia, cea mai importantă noutate nu este una tehnică, ci ține de răspunderea personală a directorilor generali și financiari. Aceștia vor deveni direct răspunzători pentru incidentele cibernetice, iar sancțiunile pot ajunge până la 10 milioane de euro, sau un procent din cifra de afaceri. Această schimbare a fost stabilită prin Ordonanța de urgență 155/2024, care transpune directiva europeană NIS2, adoptată de Directoratul Național de Securitate Cibernetică la finalul anului 2024.
Responsabilitatea personală a conducerii în noua legislație de securitate cibernetică
Irina Macovei a subliniat că, în cazul unui incident cibernetic, răspunderea nu este automată pentru fiecare situație, ci se analizează de la caz la caz. Se va lua în considerare lipsa de implicare sau reaua-voință a conducerii, precum și modul în care au fost gestionate măsurile de securitate.
- Amendă de până la 10 milioane de euro sau procent din cifra de afaceri
- Responsabilitate directă pentru directorii generali și financiari
- Analiza cazurilor pentru stabilirea răspunderii
- Se aplică companiilor din sectoare critice precum energie, sănătate, producție și utilități
Stadiul implementării și conformitatea în România
Irina Macovei a precizat că România s-a poziționat printre primele state din Uniunea Europeană în ceea ce privește legislația privind securitatea cibernetică. Cu toate acestea, decalajul rămâne la nivelul companiilor mai mici sau cu amprentă locală, în special în zona de conformitate, nu neapărat pe cea tehnică.
Ea a explicat că răspunsul unui director general, că nu se pricepe și că poate doar să aloce fonduri, nu îl exonerează de răspundere. În opinia sa, conducerea trebuie să fie implicată direct, pentru că ea decide alocarea resurselor și implementarea măsurilor de securitate.
Astfel, noua legislație aduce o responsabilizare mai mare a conducerii, în contextul în care incidentele cibernetice pot avea consecințe financiare și reputaționale semnificative. Autoritățile române au stabilit un cadru clar pentru sancțiuni, dar și pentru responsabilitatea personală, în încercarea de a crește nivelul de securitate în mediul de afaceri.
