În contextul digitalizării accelerate a serviciilor medicale și al creșterii amenințărilor cibernetice la nivel global, dar în special în regiunea Europei de Est, securitatea sistemelor informatice nu mai reprezintă doar o recomandare tehnică, ci o obligație legală pentru continuitatea și sustenabilitatea activității în domeniul sănătății.
Directiva NIS2, transpusă în legislația românească prin OUG 155/2024, a marcat un moment de cotitură în abordarea securității cibernetice, stabilind standarde uniforme la nivelul Uniunii Europene pentru protecția infrastructurilor critice. Pentru sectorul de sănătate, aceasta înseamnă nu doar conformitatea cu cerințele legale, ci și asigurarea încrederii pacienților și a continuității serviciilor medicale esențiale
Actualizare Legislativă 7 iulie 2025
Pe 7 iulie 2025 a fost adoptată Legea 124/2025, o completare semnificativă la cadrul legislativ existent, care extinde în mod explicit aplicabilitatea NIS2 în sectorul de sănătate.
IMPACT DIRECT asupra sectorului de sănătate!
Legea 124/2025 introduce noi categorii de entități în sectorul sănătății care se supun legislației NIS2: entitățile care dețin autorizații de distribuție a medicamentelor, conform art. 803 din Legea nr. 95/2006 republicată, si companiile care desfășoară activități economice în domeniul comerțului cu ridicata și cu amănuntul al produselor farmaceutice, conform diviziunilor 4646 și 4773 din CAEN Rev. 3.
Pe scurt, această modificare legislativă subliniază faptul că farmaciile, clinicile, depozitele farmaceutice și alte entități din domeniul sănătății cu autorizații de distribuție, intră acum în mod explicit sub incidența legislației NIS2, cu implicații directe asupra continuității și legalității activității.
Obligații conform OUG 155/2024 și Legea 124/2025
Conform OUG 155/2024 și Legea 124/2025, farmaciile, clinicile sau depozitele farmaceutice din România trebuie să implementeze măsuri obligatorii de securitate cibernetică, să raporteze incidentele către DNSC în maximum 24 de ore și să utilizeze exclusiv sisteme informatice actualizate, sub riscul unor amenzi de până la 10.000.000 EUR sau 2% din cifra de afaceri. Entitățile din sectorul de sănătate vizate de noua legislație au următoarele obligații:
- Implementarea măsurilor de gestionare a riscurilor cibernetice (art. 11 OUG 155/2024);
- Notificarea incidentelor de securitate în maximum 24 de ore către DNSC (art. 13 OUG 155/2024);
- Adoptarea măsurilor tehnice și organizatorice conforme cu standardele din legislație;
- Utilizarea de sisteme informatice sigure din punct de vedere cibernetic.
Sancțiuni prevăzute în legislația actualizată
Directoratul Național de Securitate Cibernetică (DNSC) este autoritatea responsabilă cu monitorizarea și aplicarea prevederilor OUG 155/2024. Pentru neconformitate, legislația prevede trei categorii de amenzi:
- Amenzi majore pentru încălcări grave:
– Entități importante: până la 7.000.000 EUR sau 1,4% din cifra de afaceri anuală
– Entități esențiale: până la 10.000.000 EUR sau 2% din cifra de afaceri anuală
- Amenzi medii pentru încălcări specifice:
– Entități importante: între 1.000 – 300.000 LEI
– Entități esențiale: între 1.500 – 500.000 LEI
- Amenzi pentru alte contravenții:
– Între 1.000 – 100.000 LEI (toate categoriile de entități)
Măsuri suplimentare:
– Suspendarea temporară a activității;
– Audituri obligatorii de securitate cibernetică;
– Obligația de remediere a vulnerabilităților.
Măsuri recomandate pentru conformitatea NIS2
NIS2 cere ca aplicațiile utilizate de entitățile din sectorul de sănătate să permită actualizări de securitate și control asupra vulnerabilităților. Pentru a evita amenzi sau suspendarea activitatii, Setrio recomanda partenerilor care utilizeaza sisteme software bazate pe soluții fără suport tehnic de securitate să inițieze demersurile de aliniere legislativă.
În contextul noilor cerințe legislative, vă informăm că soluțiile Setrio folosesc tehnologii actualizate: Delphi, C#, .NET, platforme active cu suport continuu compatibile cu standardele moderne de protecție cibernetică pentru respectarea obligațiilor legale și evitarea riscurilor de sancționare.
Alte recomandări pentru prevenirea incidentelor de securitate și alinierea la NIS2:
1. Sistem de Operare Modern – Windows 11 Pro
OUG 155/2024 art. 11 impune utilizarea de sisteme actualizate și suportate. Windows 10 (lansat în iulie 2015) își încetează suportul pe 14 octombrie 2025. Sistemele de operare mai vechi nu mai au niciun fel de suport tehnic. Recomandare: Migrarea la Windows 11 Pro – ultimul sistem de operare susținut de Microsoft
Beneficii: Securitate îmbunătățită prin TPM 2.0 și funcții anti-malware avansate, suport activ cu actualizări de securitate regulare
2. Soluții Antivirus Enterprise
OUG 155/2024 art. 11 impune „măsuri de protecție împotriva malware-ului”. Implementarea unei soluții antivirus enterprise cu monitorizare centralizată și actualizări automate vă oferă protecție în timp real cu detectarea amenințărilor avansate.
3. Backup în Data Center Securizat
Legislatia NIS2 prevede „măsuri de continuitate a activității, inclusiv backup”
Beneficii: Protecție împotriva ransomware și atacurilor cibernetice, recuperare rapidă în caz de incident, conformitate cu cerințele de continuitate a activității.
4. VPN pentru conectarea de la distanță
OUG 155/2024 impune „măsuri de gestionare a riscurilor de securitate cibernetică”, iar implementarea unei rețele VPN (Virtual Private Network) pentru conectarea de la distanță este esențială pentru conformitate deoarece criptează comunicațiile între utilizatori și sistemele farmaceutice / medicale, protejând datele sensibile ale pacienților în tranzit, controlează accesul securizat la rețelele interne, permițând doar utilizatorilor autentificați să acceseze sistemele critice si previne interceptarea datelor pe rețelele publice nesigure (Wi-Fi public, internet), respectând cerințele de protecție a informațiilor medicale confidențiale.
Legea 124/2025 clarifică și extinde aplicabilitatea NIS2 în sectorul de sănătate. Actualizarea sistemelor informatice, a sistemelor de stocare de date împreună cu implementarea măsurilor de securitate recomandate, reprezintă investiții esențiale pentru conformitatea legislativă și protecția activității în domeniul sănătății. Pentru consultanță specializată privind conformitatea cu Legea 124/2025 și implementarea soluțiilor recomandate, vă rugăm să contactați reprezentantul dumneavoastră comercial Setrio.
INFO
Autoritate Competentă: Directoratul Național de Securitate Cibernetică (DNSC)
www.dnsc.ro – autoritatea responsabilă cu monitorizarea și aplicarea prevederilor legislative
Legislatie:
LEGE nr. 124 din 7 iulie 2025
Legislatie autoritate NIS
Suntem mereu la dispoziția dumneavoastră
Echipa SETRIO