Legea nr. 124 din 7 iulie 2025, publicată în Monitorul Oficial nr. 638 din 7 iulie 2025, aprobă Ordonanța de urgență a Guvernului nr. 155/2024 privind instituirea cadrului național pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic civil. Noua reglementare aduce o serie de modificări și completări semnificative, menite să întărească capacitatea statului de a preveni, detecta și gestiona incidentele de securitate cibernetică. Acestea își produc efectele începând cu 10 iulie 2025.

     Printre noutățile esențiale introduse de lege, merită menționate:

1. Clarificarea relației cu alte acte normative

     Art. 2 alin. (5) din ordonanța de urgență precizează că prevederile ordonanței se aplică fără a aduce atingere normelor privind:

• protecția datelor cu caracter personal (Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor),
• comunicațiile electronice (Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice),
• Codul penal și alte reglementări privind reziliența entităților critice.

2. Protejarea confidențialității

     Art. 3 din același act normativ introduce prevederi prin care DNSC (Directoratul Național de Securitate Cibernetică) protejează interesele comerciale și de securitate ale entităților supravegheate, iar informațiile furnizate nu sunt considerate de interes public (exceptate de la Legea nr. 544/2001 privind liberul acces la informaţiile de interes public).

3. Formarea conducătorilor și responsabilizarea entităților

     Conform art. 14 din O.U.G. nr. 155/2024, conducerea entităților esențiale/importantă trebuie să urmeze formare profesională acreditată. Desemnarea responsabililor cu securitatea rețelelor trebuie realizată în 30 de zile de la comunicarea deciziei DNSC.

     În materie de raportări și incidente, modificările aduse art. 15 stabilesc criterii clare pentru definirea incidentelor semnificative. În plus, sunt consolidate obligațiile privind raportarea către ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică) și revizuirea periodică a datelor privind entitățile supravegheate (art. 18).

     Referitor la sancțiuni și contravenții, art. 60 prevede o schemă detaliată de sancționare, în funcție de gravitatea faptei și de categoria entității (esențială sau importantă). Amenzile ajung până la:

• 10.000.000 euro sau 2% din cifra de afaceri mondială pentru entitățile esențiale,
• 7.000.000 euro sau 1,4% din cifra de afaceri mondială pentru cele importante.

     Sunt reglementate expres obligațiile privind remedierea vulnerabilităților informatice (art. 36), obligativitatea de a transmite acte doveditoare privind implementarea măsurilor (art. 47), precum și sancțiunile suplimentare pentru obstrucționarea activității DNSC sau pentru furnizarea de date false. În același timp, legea redefinește categoriile de entități supravegheate prin actualizarea anexelor privind sectoarele critice, cu accent pe sectorul sănătății (producători farmaceutici, laboratoare, distribuitori), infrastructura digitală (cloud, DNS, servicii de comunicații), dar și pe producția și distribuția de alimente.

     Astfel, prin Legea nr. 124/2025, România consolidează cadrul legal privind protecția spațiului cibernetic civil, impunând standardizare, trasabilitate și responsabilitate în gestionarea riscurilor cibernetice. Noile obligații vin cu sancțiuni serioase, dar și cu mecanisme clare de prevenție și colaborare instituțională.

Textul Ordonanței de Urgență nr. 155 din 30 decembrie 2024 privind instituirea unui cadru pentru securitatea cibernetică a reţelelor şi sistemelor informatice din spaţiul cibernetic naţional civil, consolidat la zi, disponibil AICI