La finalul anului 2024, România a transpus Directiva NIS2 – securizarea rețelelor și a sistemelor informatice, în legislația națională prin Ordonanța de Urgență nr. 155/2024, actualizată ulterior prin Legea nr. 124/2025. Acest act normativ stabilește cadrul juridic și instituțional pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil și înlocuiește vechea Lege 362/2018 care transpunea prima directivă NIS.
Ce înseamnă asta în practică? Înseamnă că 18 sectoare critice, 11 cu importanță critică ridicată și 7 cu importanță critică, de la energie și transport până la gestionarea deșeurilor și cercetare, au acum obligații clare și concrete de gestionare a riscurilor de securitate cibernetică. Nu este, deloc, de neglijat faptul că sancțiunile pentru nerespectarea prevederilor OUG 155 pot ajunge până la 10 milioane de euro sau 2% din cifra de afaceri mondială.
Un aspect al acestei ordonanțe merită însă atenție specială din partea celor care lucrează în domeniul securității fizice. Articolul 11 alineatul (4) din OUG 155/2024 spune ceva ce merită toată atenția noastră: măsurile de gestionare a riscurilor trebuie să asigure protecția rețelelor și sistemelor informatice „atât la nivel logic, cât și fizic împotriva incidentelor”. Această formulare nu lasă loc de interpretare. Securitatea fizică nu mai este un subiect care aparține exclusiv Legii 333/2003 și normelor sale de aplicare; ea devine o componentă obligatorie a managementului riscurilor de securitate cibernetică.
Ce vreau să propun prin acest articol este o schimbare de perspectivă. Securitatea fizică și securitatea cibernetică nu sunt două domenii paralele care funcționează independent. OUG 155/2024 le leagă într-un cadru unitar de obligații, iar organizațiile din sectoarele critice trebuie să le trateze ca atare. Pentru mai multe amănunte, vă invit să cirtiți articolul meu “Convergența dintre Securitatea IT și Securitatea Fizică – Rolul Consultantului de Securitate…” În continuare vă voi prezenta ce înseamnă asta concret, care sunt entitățile vizate și de ce acest subiect merită atenția tuturor celor implicați în securitatea organizațiilor din sectoarele critice.
Ce spune concret OUG 155/2024 despre securitatea fizică…
Voi începe cu textul de lege, pentru că acolo se află fundamentul oricărei discuții serioase pe acest subiect, și așa cum am prezentat, pe scurt, reiau informația despre Articolul 11 alineatul (4) din OUG 155/2024 care stabilește că măsurile de gestionare a riscurilor „trebuie să cuprindă o abordare cuprinzătoare a amenințărilor cibernetice în vederea asigurării protecției rețelelor și a sistemelor informatice atât la nivel logic, cât și fizic împotriva incidentelor…”. Cuvântul cheie aici este „trebuie”, nu este o recomandare, este o obligație, iar formularea „atât la nivel logic, cât și fizic” pune cele două dimensiuni pe picior de egalitate.
Ce înseamnă asta în termeni practici? Răspunsul se găsește la Articolul 13 din OUG 155/2024, care detaliază cele zece categorii minime de măsuri pe care entitățile esențiale și importante trebuie să le implementeze. Dintre acestea, câteva au o componentă de securitate fizică directă și imposibil de ignorat.
- La litera f) găsim „securitatea resurselor umane, politicile de control al accesului și gestionarea activelor”. Controlul accesului nu se referă doar la parole și autentificare digitală; înseamnă și cine intră fizic într-o sală de servere, într-un centru de comandă sau într-o cameră tehnică. Gestionarea activelor presupune inclusiv protecția fizică a echipamentelor IT și OT critice.
- Litera h) menționează „continuitatea activității, inclusiv gestionarea copiilor de rezervă, redresarea în caz de dezastru și managementul crizelor”. Continuitatea activității și redresarea în caz de dezastru sunt imposibil de asigurat fără măsuri de securitate fizică, de la protecția împotriva incendiilor și inundațiilor până la asigurarea alimentării cu energie electrică de rezervă.
- La litera a), „politicile și procedurile referitoare la analiza riscurilor și la securitatea sistemelor informatice”presupun o abordare cuprinzătoare. O analiză de risc care ignoră amenințările fizice, acces neautorizat în spații tehnice, sabotaj, furt de echipamente, dezastre naturale, este incompletă prin definiție și nu respectă cerința de la Articolul 11 alineatul (4).
Articolul 11 alineatul (8) extinde aceste cerințe și la securitatea lanțului de aprovizionare, obligând entitățile să țină seama de „calitatea generală a produselor și de calitatea practicilor de securitate cibernetică ale furnizorilor direcți”, inclusiv practicile de securitate fizică ale acestora.
Un aspect esențial: conform Articolului 14 alineatul (1), organele de conducere ale entităților esențiale și importante aprobă aceste măsuri, supraveghează punerea lor în aplicare și sunt direct responsabile de încălcarea acestor dispoziții. Securitatea fizică în contextul OUG 155/2024 nu mai este doar treaba departamentului de securitate, este o responsabilitate asumată la cel mai înalt nivel de conducere al organizației.
Cele 18 sectoare critice – cine trebuie să acorde atenție…
Aceasta este o întrebare pe care și-o pun foarte mulți: „Mi se aplică și mie OUG 155/2024?”
Răspunsul se găsește în Anexele 1 și 2 ale ordonanței, care definesc cele 18 sectoare critice vizate.
- Anexa 1 cuprinde 11 sectoare cu importanță critică ridicată: energie (cu subsectoarele electricitate, încălzire și răcire centralizată, petrol, gaze, hidrogen și beneficiarii proiectelor finanțate din fonduri nerambursabile), transport (aerian, feroviar, pe apă și rutier), sectorul bancar, infrastructurile pieței financiare, sănătate, apă potabilă, ape uzate, infrastructură digitală, gestionarea serviciilor TIC de tip business-to-business, administrație publică și spațiu.
- Anexa 2 adaugă alte 7 sectoare de importanță critică: servicii poștale și de curierat, gestionarea deșeurilor, fabricarea, producția și distribuția de substanțe chimice, producția, prelucrarea și distribuția de alimente, fabricare (cu șase subsectoare, de la dispozitive medicale la echipamente de transport), furnizori digitali și cercetare.
ATENȚIE! Nu orice organizație din aceste sectoare intră automat sub incidența legii. Articolele 5 și 6 fac o distincție importantă între entități esențiale și entități importante, iar Articolul 8 introduce criteriul de dimensiune. Ca regulă generală, obligațiile se aplică întreprinderilor mari și mijlocii, adică cele care depășesc pragurile stabilite de Legea 346/2004 privind IMM-urile, dar există și excepții semnificative.
Articolul 5 alineatul (1) prevede că anumite categorii de entități sunt considerate esențiale indiferent de dimensiune: furnizorii de servicii DNS, prestatorii de servicii de încredere calificați, registrele de nume TLD, entitățile administrației publice centrale și entitățile identificate drept entități critice. De asemenea, Articolul 9 permite identificarea ca entitate esențială sau importantă a oricărei organizații care este singurul furnizor al unui serviciu esențial pentru activități societale și economice critice sau a cărei perturbare ar avea un impact semnificativ asupra siguranței, securității sau sănătății publice.
Distincția între esențial și important nu este doar o chestiune de clasificare. Ea determină nivelul obligațiilor de conformare, frecvența auditurilor de securitate cibernetică și, nu în ultimul rând, pragul sancțiunilor aplicabile.
Ce trebuie să reținem: dacă organizația ta activează în oricare dintre aceste 18 sectoare și îndeplinește criteriile de dimensiune sau se încadrează în excepțiile menționate, obligațiile privind securitatea fizică din OUG 155/2024 ți se aplică direct, iar dacă nu ești sigur de încadrare, Articolul 18 alineatul (15) prevede că poți solicita asistența DNSC cu privire la procesul de identificare.
Intersecția cu Legea 333/2003 și HG 301/2012 – două cadre legislative, un singur obiectiv…
Securitatea fizică în România este reglementată prin Legea 333/2003 privind paza obiectivelor, bunurilor, valorilor și protecția persoanelor, împreună cu normele sale metodologice de aplicare din HG 301/2012. Conform Articolului 2 alineatul (1) din HG 301/2012, adoptarea măsurilor de securitate se realizează pe baza unei analize de risc la securitate fizică, iar Instrucțiunile nr. 9/2013 ale MAI precizează la Articolul 1 alineatul (2) că această analiză de risc constituie fundamentul adoptării tuturor măsurilor de securitate, transpuse în planul de pază și proiectul sistemului de alarmare.
Acest proces de analiză de risc la securitatea fizică, detaliat în Instrucțiunile nr. 9/2013, este un proces structurat și standardizat. Conform Articolului 5, el presupune parcurgerea mai multor etape: definirea parametrilor interni și externi care generează riscuri, identificarea tuturor riscurilor la securitatea fizică, analizarea și estimarea acestora, și întocmirea unui Raport de evaluare și tratare a riscurilor. Raportul, conform Articolului 7 alineatul (2), include identificarea surselor de risc, analiza vulnerabilităților și stabilirea măsurilor și mecanismelor de securitate de ordin structural, tehnic, tehnologic și operațional. Pe baza acestei analize se stabilesc obligațiile concrete: planuri de pază, sisteme de alarmare împotriva efracției, sisteme de supraveghere video, control acces fizic, iluminat de securitate și, după caz, pază umană. Sunt cerințe bine cunoscute de oricine a gestionat securitatea unui obiectiv, iar analizele de risc sunt elaborate exclusiv de experți înscriși în Registrul Național al Evaluatorilor de Risc la Securitate Fizică, conform Articolului 8 alineatul (1) din aceleași instrucțiuni.
Legea 333/2003, HG 301/2012 și Instrucțiunile nr. 9/2013 rămân în vigoare și continuă să se aplice până la eventualele modificări. OUG 155/2024 nu le înlocuiește și nu le modifică. Ceea ce schimbă însă fundamental este faptul că adaugă un strat suplimentar de obligații pentru entitățile din cele 18 sectoare critice. Nu mai este suficient să ai o analiză de risc la securitate fizică realizată conform Instrucțiunilor nr. 9/2013, un plan de pază aprobat și un sistem de supraveghere video funcțional conform Legii 333. Trebuie să demonstrezi că măsurile tale de securitate fizică protejează și rețelele și sistemele informatice ale organizației, conform cerințelor Articolului 11 și Articolului 13 din OUG 155/2024.
Aici merită să observăm o paralelă semnificativă între cele două cadre legislative. Atât Instrucțiunile nr. 9/2013, cât și OUG 155/2024 pun analiza de risc în centrul procesului decizional. Instrucțiunile nr. 9/2013 definesc la Articolul 3 litera d) analiza de risc la securitatea fizică ca o activitate desfășurată pentru a identifica amenințările și vulnerabilitățile, în scopul determinării impactului și evaluării riscurilor de securitate. La rândul său, Articolul 13 litera a) din OUG 155/2024 cere politici și proceduri referitoare la analiza riscurilor și la securitatea sistemelor informatice. Diferența esențială este că OUG 155/2024 cere ca această analiză de risc să fie cuprinzătoare și să integreze atât dimensiunea logică, cât și cea fizică, conform Articolului 11 alineatul (4).
Vă prezint un exemplu concret. Un spital de dimensiuni mari se încadrează în sectorul sănătate din Anexa 1. Conform Legii 333/2003, HG 301/2012 și Instrucțiunilor nr. 9/2013, spitalul are obligația de a realiza o analiză de risc la securitatea fizică prin intermediul unui evaluator înscris în RNERSF și de a implementa măsurile rezultate, control acces la intrări, supraveghere video în zonele comune, sistem de alarmare, plan de pază. Conform OUG 155/2024, același spital trebuie să asigure și protecția fizică a serverelor pe care rulează sistemul informatic de gestionare a pacienților, a echipamentelor de rețea care conectează secțiile, a camerelor tehnice unde se află infrastructura IT. Controlul accesului din Articolul 13 litera f) nu se mai referă doar la cine intră în spital, ci și la cine are acces fizic la infrastructura informatică critică, iar continuitatea activității din Articolul 13 litera h) presupune că spitalul poate demonstra reziliență și în fața unui incident fizic care afectează sistemele informatice, fie că vorbim de un incendiu în camera serverelor, de o inundație sau de un acces neautorizat.
Aici intervine nevoia de gândire critică din partea fiecărei organizații vizate. Multe entități din sectoarele critice tratează în continuare securitatea fizică și securitatea cibernetică ca domenii complet separate, cu responsabili diferiți, bugete diferite și raportări diferite către conducere. Analiza de risc la securitatea fizică conform Instrucțiunilor nr. 9/2013 este gestionată de departamentul de securitate fizică sau de consultantul extern de securitate, iar cerințele de securitate cibernetică sunt delegate departamentului IT. OUG 155/2024 face această separare problematică, pentru că obligă la o analiză de risc integrată care acoperă ambele dimensiuni simultan. Nu este vorba despre a înlocui analiza de risc la securitatea fizică cu altceva, ci despre a o corela și integra cu analiza riscurilor de securitate cibernetică într-o abordare unitară.
Articolul 14 alineatul (3) din OUG 155/2024 prevede desemnarea responsabililor cu securitatea rețelelor și sistemelor informatice, care au rolul de a implementa și supraveghea măsurile de gestionare a riscurilor de securitate cibernetică la nivelul entității. Dacă aceste măsuri includ obligatoriu și componenta fizică, așa cum stabilește Articolul 11 alineatul (4), atunci responsabilul desemnat trebuie să aibă vizibilitate și autoritate și asupra măsurilor de securitate fizică care protejează infrastructura informatică. Nu pentru a înlocui structurile existente de securitate fizică sau evaluatorii de risc din RNERSF, ci pentru a asigura coerența între cele două dimensiuni.
Întrebarea pe care fiecare organizație din sectoarele critice ar trebui să și-o pună este: structura noastră organizatorică actuală permite această abordare integrată, sau funcționăm încă pe două linii paralele care nu comunică între ele?
Consecințe practice: ce se întâmplă dacă ignori componenta fizică…
Până acum v-am spus ce spune legea și de ce contează, dar ce se întâmplă concret dacă o entitate din sectoarele critice ignoră componenta de securitate fizică în cadrul managementului riscurilor de securitate cibernetică?
Să începem cu problema aia neplăcută: sancțiunile. Articolul 60 din OUG 155/2024 stabilește un regim contravențional cu praguri semnificative. Pentru entitățile esențiale, amenzile pot ajunge până la 10.000.000 de euro sau 2% din cifra de afaceri anuală la nivel mondial, aplicându-se valoarea cea mai mare. Pentru entitățile importante, plafonul este de 7.000.000 de euro sau 1,4% din cifra de afaceri mondială. Nerespectarea obligației de a lua măsuri tehnice, operaționale și organizatorice conform Articolului 11 alineatul (1), care include explicit protecția la nivel fizic, se numără printre contravențiile sancționabile conform Articolului 60 alineatul (1) litera a).
Sancțiunile financiare nu sunt singura consecință. Articolul 57 reglementează auditul de securitate cibernetică, care presupune „o evaluare sistematică a tuturor politicilor, procedurilor și măsurilor de protecție implementate la nivelul unor rețele și sisteme informatice”. Cuvântul „tuturor” nu lasă loc de excluderi. Dacă un auditor atestat de DNSCconstată că măsurile de securitate fizică lipsesc, sau sunt inadecvate în raport cu riscurile identificate, acesta va consemna deficiențe, iar entitatea auditată este obligată, conform Articolului 57 alineatul (8), să întocmească și să transmită către DNSC un plan de măsuri pentru remedierea tuturor deficiențelor constatate, în cel mult 15 zile lucrătoare de la primirea raportului de audit.
Pentru situațiile grave, Articolul 49 prevede că DNSC poate sesiza autoritățile competente în vederea suspendării temporare a certificărilor sau autorizărilor pentru o parte sau pentru toate serviciile furnizate de entitate. Poate solicita inclusiv interdicția temporară de exercitare a funcției de conducere la nivel de director executiv sau reprezentant legal. Aceste măsuri se aplică până la remedierea cauzelor care le-au generat.
Nu trebuie uitat nici Articolul 50 alineatul (2), care definește încălcările grave: încălcări repetate, obstrucționarea auditurilor sau a activității de control, furnizarea de informații false privind măsurile de gestionare a riscurilor. În cazul încălcărilor repetate, limitele amenzilor se majorează cu jumătate conform Articolului 60 alineatul (4).
Eu cred că, dincolo de sancțiuni și audituri, merită să ne gândim serios la ce înseamnă un incident de securitate care pornește de la o vulnerabilitate fizică netratată, poate pentru că, pur și simplu a fost ignorată: un acces neautorizat într-o cameră tehnică, un echipament critic furat sau distrus, o întrerupere cauzată de lipsa protecției fizice adecvate. Consecințele operaționale, reputaționale și financiare ale unui astfel de incident depășesc de cele mai multe ori orice amendă. Scopul OUG 155/2024 nu este în primul rând să sancționeze, ci să determine organizațiile să construiască un nivel real de reziliență, iar reziliența nu poate fi completă dacă securitatea fizică este tratată ca un subiect secundar.
Privind înainte – convergența securității fizice cu securitatea cibernetică…
Eu sper că v-am atras atenția asupra faptului că OUG 155/2024 a schimbat fundamental modul în care trebuie privită securitatea fizică în contextul protecției infrastructurilor critice din România, și nu mai vorbim despre două domenii separate care funcționează în paralel. Vorbim despre un cadru legislativ unitar care cere explicit ca protecția rețelelor și sistemelor informatice să fie asigurată atât la nivel logic, cât și fizic.
Am văzut că Articolul 11 alineatul (4) din OUG 155/2024 stabilește obligația protecției fizice ca parte integrantă a managementului riscurilor de securitate cibernetică, iar Articolul 13 detaliază măsuri minime care au componentă fizică directă, controlul accesului, gestionarea activelor, continuitatea activității, redresarea în caz de dezastru. Cele 18 sectoare critice din Anexele 1 și 2 acoperă o parte substanțială a economiei și a serviciilor publice din România, iar organele lor de conducere sunt direct responsabile pentru aprobarea și supravegherea acestor măsuri. Regimul de sancțiuni prevăzut de OUG 155/2024 este suficient de sever încât să descurajeze orice abordare superficială, sau așa ar trebui.
În paralel, Legea 333/2003 și HG 301/2012 continuă să reglementeze securitatea fizică în forma sa tradițională, dar pentru entitățile din sectoarele critice, conformarea cu aceste acte normative nu mai este suficientă, ci este necesară o abordare integrată care să conecteze măsurile de securitate fizică cu cerințele de management al riscurilor de securitate cibernetică din OUG 155/2024.
Aici vreau să mă adresez direct unei categorii de profesioniști care au un rol esențial în acest proces și care, din punctul meu de vedere, ar trebui să fie mult mai vizibili și mai activi în perioada următoare: consultanții independenți de securitate, managerii de securitate, evaluatorii de risc la securitatea fizică și tuturor companiilor specializate și licențiate de IGPR în operațiuni de securitate fizică (societății specializate în domeniul pazei și protecției și societăți specializate în domeniul sistemelor de alarmare împotriva efracţiei)
Dacă lucrați în acest domeniu al securității fizice, OUG 155/2024 vă privește direct, chiar dacă la prima vedere pare o legislație strict, despre securitate cibernetică. Clienții voștri din cele 18 sectoare critice au acum obligații legale clare privind protecția fizică a infrastructurii informatice, obligații care se suprapun cu și completează cerințele din Legea 333/2003. Multe dintre aceste entități nu au încă o înțelegere clară a modului în care securitatea fizică pe care voi o proiectați, o implementați și o gestionați se conectează cu cerințele de management al riscurilor de securitate cibernetică. Acesta este un spațiu în care expertiza voastră este nu doar utilă, ci necesară.
Concret, ce puteți face? Puteți informa proactiv clienții din sectoarele critice despre obligațiile care le revin conform Articolului 11 și Articolului 13 din OUG 155/2024 în ceea ce privește componenta de securitate fizică. Puteți oferi consultanță pentru integrarea planurilor de securitate fizică existente, planuri de pază, analize de risc la securitate fizică, proiecte de sisteme de alarmare și supraveghere video, cu cerințele de management al riscurilor de securitate cibernetică. Puteți colabora cu specialiștii în securitate cibernetică ai clienților voștri pentru a asigura coerența între măsurile fizice și cele logice, și puteți contribui la educarea pieței, pentru că în momentul de față există un deficit semnificativ de înțelegere a ceea ce înseamnă convergența securitate fizică – securitate cibernetică în practică.
Eu nu spun că trebuie să deveni experți în securitate cibernetică peste noapte, ci este vorba despre a recunoaște că expertiza voastră în securitate fizică a devenit o componentă obligatorie a unui ecosistem mai larg de securitate, reglementat acum prin OUG 155/2024, iar entitățile din sectoarele critice au nevoie de profesioniști care înțeleg această realitate și care le pot ghida în procesul de conformare.
Revenind la fiecare organizație din cele 18 sectoare critice, gândirea critică pe care v-o propun este simplă dar esențială: priviți organizația voastră și întrebați-vă: Analiza noastră de risc acoperă și amenințările fizice la adresa infrastructurii informatice? Responsabilul cu securitatea rețelelor și sistemelor informatice are vizibilitate asupra măsurilor de securitate fizică? Planul de continuitate a activității ia în calcul și scenarii de incidente fizice care afectează sistemele IT și OT? Putem demonstra în fața unui audit că protecția la nivel fizic este parte din abordarea noastră de securitate cibernetică? Colaborăm cu profesioniști în securitate fizică care înțeleg și contextul cerințelor din OUG 155/2024?
Dacă răspunsul la oricare dintre aceste întrebări este „nu” sau „nu sunt sigur”, atunci este momentul potrivit să acționați, și asta nu pentru că ar putea veni un control de la DNSC, ci pentru că organizația voastră merită să fie cu adevărat rezilientă. Pentru profesioniștii din securitatea fizică, vă recomand: acum este momentul să vă implicați activ și să vă aduceți expertiza acolo unde este cel mai mult nevoie de ea.
Notă de transparență și metodologie…
Acest articol a fost elaborat printr-o colaborare hibridă om-inteligență artificială, utilizând NotebookLm pentru generarea infograficelor pe baza textului. Deși procesul a fost asistat tehnologic, responsabilitatea pentru selecția informațiilor, validarea veridicității acestora, precum și pentru opiniile și analizele exprimate îmi aparține în totalitate. Această notă subliniază angajamentul meu pentru o utilizare etică, transparentă și asumată a tehnologiei în cercetare.