Integrarea cerințelor NIS2 și a securității informației în noua Strategie Națională Anticorupție 2026

Transpunerea Directivei europene NIS2 (Directiva (UE) 2022/2555) în legislația românească aduce cerințe mult mai stricte de protecție cibernetică. Guvernul României a adoptat la 30 decembrie 2024 Ordonanța de Urgență nr. 155/2024, pentru a transpune Directiva NIS2 și a stabili cerințe mai stricte pentru reziliența cibernetică în sectoarele de importanță critică. Această legislație nouă recunoaște explicit necesitatea consolidării nivelului de securitate cibernetică în cadrul administrației publice din România, având în vedere provocările asociate creșterii digitalizării serviciilor publice. Prin urmare, este de așteptat ca noua Strategie Națională Anticorupție (SNA) (pentru perioada post-2025) să includă și să alinieze aceste cerințe minime de securitate a informațiilor. În contextul actual, integritatea datelor și prevenirea manipulării informațiilor trebuie considerate componente esențiale ale politicilor de integritate.

De ce este aproape sigură integrarea acestor cerințe în noua SNA? În primul rând, Directivele UE impun statelor membre alinierea strategiilor naționale relevante; ignorarea noilor obligații NIS2 în domeniul anticorupție ar crea un vid de reglementare. În al doilea rând, amenințările cibernetice pot submina direct eforturile anticorupție. De exemplu, un atac cibernetic de tip ransomware care criptează sau alterează baze de date guvernamentale poate distruge evidențe ori poate facilita ascunderea unor fapte ilicite. Legislația NIS2 definește securitatea rețelelor și sistemelor informatice ca menținând autenticitatea, integritatea și confidențialitatea datelor stocate, transmise sau prelucrate, precum și disponibilitatea serviciilor publice aferente. Așadar, integritatea datelor – adică prevenirea manipulării ori coruperii neautorizate a informațiilor – este recunoscută ca obiectiv-cheie al noilor reglementări de securitate cibernetică, ceea ce o transformă automat într-o condiție necesară pentru integritatea instituțională și prevenirea corupției.

Deja SNA 2021–2025 a conștientizat legătura dintre digitalizare și anticorupție, prevăzând digitalizarea serviciilor publice care pot fi automatizate, cu scopul de a reduce riscurile de corupție generate de interacțiunea directă cu oficialii publici. Însă digitalizarea fără securitate poate crea noi vulnerabilități. O strategie anticorupție modernă trebuie să meargă mână în mână cu cerințele de securitate IT: datele deschise și procesele online sporesc transparența, dar trebuie protejate împotriva accesului neautorizat și a alterării. Experiențele recente arată cât de reală este amenințarea: de exemplu, în februarie 2024 un atac cibernetic de tip ransomware a lovit platforma informatică a Ministerului Sănătății, făcând indisponibil sistemul informatic al mai multor spitale (fișierele și bazele de date au fost criptate și operațiile au fost blocate). Astfel de incidente evidențiază că fără măsuri minime de securitate cibernetică implementate, serviciile publice și evidențele critice pot fi compromise, subminând inclusiv eforturile de prevenire a fraudelor și corupției. În concluzie, integrarea cerințelor minime NIS2 în noua SNA nu este doar probabilă, ci necesară pentru a asigura integritatea și reziliența administrației publice într-un mediu digital plin de riscuri.

Conexiunea SNA – SCIM: managementul riscurilor, inclusiv riscurile IT

Implementarea Strategiei Naționale Anticorupție se realizează în practică prin mecanismele de control intern managerial din fiecare instituție publică. Sistemul de Control Intern Managerial (SCIM), reglementat de OSGG nr. 600/2018, oferă cadrul prin care instituțiile își gestionează riscurile și își asigură integritatea proceselor interne. În esență, SNA este complementar SCIM, iar implementarea lor trebuie sincronizată. Multe dintre standardele SCIM se suprapun cu obiectivele SNA, cele mai importante legături fiind: Standardul 1 – Etică și integritate, Standardul 5 – Obiective, Standardul 8 – Managementul riscului, Standardul 9 – Proceduri și Standardul 16 – Audit intern.

Dintre acestea, Standardul 8 – Managementul riscului are o relevanță deosebită pentru componenta IT. SCIM impune conducătorului fiecărei entități publice să organizeze și să implementeze un proces de management al riscurilor care să faciliteze realizarea obiectivelor, în condiții de eficacitate și eficiență. Acest proces include identificarea și evaluarea riscurilor la nivelul fiecărui compartiment, centralizarea riscurilor semnificative într-un registru de riscuri la nivelul instituției și stabilirea măsurilor de control pentru riscurile prioritare. Evident, în epoca digitală, o parte semnificativă a acestor riscuri este legată de tehnologia informației: riscuri cibernetice, de protecție a datelor, de continuitate a activității IT, etc.

Standardele SCIM nu menționează explicit “securitatea informatică”, dar o implică prin mai multe cerințe: protejarea bunurilor și informațiilor (scop al controlului intern), continuitatea activității (Standardul 11, care cere identificarea amenințărilor ce pot întrerupe activitatea și măsuri de continuitate) și, bineînțeles, gestionarea riscurilor (Standardul 8). Riscurile IT trebuie integrate în registrul general de riscuri al instituției. În practica actuală, metodologia SNA cere un registru dedicat riscurilor de corupție, care poate fi ulterior integrat în registrul riscurilor instituționale generale. În mod similar, riscurile de securitate cibernetică ar trebui abordate atât ca parte a riscurilor operaționale din SCIM, cât și ca element de integritate organizațională (de exemplu, un sistem IT vulnerabil poate fi el însuși o vulnerabilitate de integritate, întrucât permite manipularea sau sustragerea de date). SNA și SCIM se completează reciproc în acest domeniu: o instituție care nu integrează cerințele SNA în sistemul SCIM va ajunge să funcționeze cu două sisteme paralele, greu de gestionat și imposibil de urmărit coerent. Dimpotrivă, instituțiile care aliniază agenda de integritate SNA cu cadrul SCIM obțin documentație unitară, trasabilitate completă a măsurilor și evaluări pozitive la audit.

Managementul riscurilor IT în contextul NIS2

NIS2 introduce un nivel suplimentar de rigoare în managementul riscurilor IT, care va trebui integrat în procesele SCIM. Conform noii legislații (OUG 155/2024 și Legea 124/2025 de aprobare a acesteia), instituțiile vizate trebuie să realizeze evaluări periodice ale riscurilor de securitate cibernetică și ale impactului potențial al perturbării serviciilor pe care le furnizează. Directoratul Național de Securitate Cibernetică (DNSC) a stabilit, prin ordine emise în august 2025, metodologii clare de notificare, înregistrare și evaluare a riscurilor la entitățile acoperite de NIS2. De exemplu, entitățile trebuie să auto-evalueze gradul de perturbare pe care un incident l-ar putea avea asupra serviciilor lor, clasificând potențialul impact drept scăzut, mediu sau ridicat, în funcție de factori precum siguranța cetățenilor, impact economic, ordine publică, etc. Pe baza acestei evaluări, entitatea află ce nivel de măsuri de securitate trebuie să implementeze (de bază, semnificative sau avansate)[ .

Toate aceste cerințe metodologice suplimentare se leagă direct de Standardul 8 SCIM – Managementul riscurilor, cerând un nivel mai detaliat de analiză a riscurilor IT. Practic, dacă până acum o instituție își trecea în registrul de riscuri riscuri generale precum „atac informatic asupra bazei de date” cu un plan generic de control, odată cu NIS2 va trebui să detalieze mult mai mult: tipuri de amenințări cibernetice relevante, vulnerabilități specifice sistemelor proprii, scoruri de risc, măsuri tehnice și procedurale concrete. Acest lucru nu complică inutil munca funcționarilor, ci profesionalizează modul de gestionare a riscurilor. Integrat cum se cuvine în SCIM, managementul riscurilor IT conform NIS2 devine parte din managementul strategic al instituției, nu un set separat de cerințe.

Cerințe noi și impactul asupra instituțiilor publice

Ce înseamnă concret aceste cerințe pentru instituțiile publice și pentru funcționarii responsabili cu integritatea și digitalizarea? Înseamnă că, pe lângă tradiționalele măsuri anticorupție (precum declararea averilor, reglementarea conflictelor de interese, proceduri de achiziții transparente etc.), instituțiile vor avea și un set de obligații clare de securitate cibernetică pe care trebuie să le respecte. Iată câteva aspecte cheie:

• Identificarea entităților esențiale și importante: Conform NIS2, administrația publică este unul dintre domeniile vizate. Instituțiile publice de la nivel central, multe autorități locale și entități care furnizează servicii publice digitale ar putea fi încadrate drept entități importante sau chiar esențiale (dacă, de exemplu, sunt unice furnizoare ale unui serviciu esențial ori parte din infrastructura digitală națională). Pentru aceste instituții, înregistrarea la DNSC este obligatorie, însoțită de notificarea oficială privind intrarea sub incidența legii. Începând cu august 2025, entitățile vizate au avut 30 de zile să se înscrie în registrul DNSC și 60 de zile să transmită evaluarea inițială a riscurilor. Nerespectarea acestor termene atrage sancțiuni semnificative (amenzi ce pot ajunge până la 500.000 lei în cazul entităților esențiale, conform art. 60 din OUG 155/2024). Deși accentul acestor amenzi este pe mediul privat critic, instituțiile publice nu sunt scutite de răspundere; dimpotrivă, sunt așteptate să fie un exemplu de conformare.
• Implementarea măsurilor tehnice și organizatorice de securitate: Noile reglementări cer implementarea unui set complex de măsuri de securitate cibernetică, adaptate riscurilor și specificului fiecărei entități. Aceste măsuri acoperă atât aspectele tehnice – securizarea sistemelor și rețelelor, monitorizarea accesului, backup-uri periodice, criptare, autentificare multi-factor etc. – cât și aspectele organizatorice: politici de securitate IT actualizate, proceduri de gestionare a incidentelor, planuri de continuitate, formarea angajaților și conștientizarea riscurilor cibernetice. Conducerile instituțiilor poartă responsabilitatea directă de a aproba și supraveghea aceste măsuri, răspunzând pentru eventualele neconformități. În entitățile publice esențiale, legea impune chiar desemnarea unei persoane responsabile cu securitatea rețelelor și sistemelor informatice, cu autoritate la nivel managerial, independentă de departamentul IT obișnuit, și care să obțină certificare specializată în securitate cibernetică. Acest Ofițer de Securitate Cibernetică devine echivalentul unui consilier de integritate pe zona IT, asigurând că instituția are capacitatea internă de a preveni și reacționa la incidente.
• Obligații de raportare și cooperare: Instituțiile vor trebui să notifice prompt incidentele de securitate cibernetică semnificative către DNSC (și, în anumite cazuri, către public sau către alte autorități). Un incident este definit ca semnificativ dacă, de exemplu, produce perturbări operaționale grave sau pierderi financiare considerabile– criterii ce pot fi îndeplinite și de atacuri care afectează integritatea datelor (ex: modificarea neautorizată a unor registre financiare, ștergeri de documente electronice oficiale etc.). Pe lângă notificarea incidentelor, entitățile trebuie să comunice utilizatorilor sau cetățenilor potențial afectați ce măsuri pot lua ca răspuns la amenințare, ceea ce implică existența unor canale de comunicare publică pregătite (site web actualizat, ofițeri de presă informați pe subiectul securității). De asemenea, se prevede cooperarea strânsă cu DNSC: instituțiile trebuie să accepte auditurile de securitate cibernetică realizate de sau împreună cu DNSC, să pună la dispoziție informațiile solicitate despre activele și riscurile IT, să efectueze autoevaluări periodice ale nivelului de maturitate a măsurilor de securitate și să remedieze prompt orice deficiențe constatate. Această transparență instituțională în fața autorității de cybersecurity este un element nou, ce amintește de modul în care, în domeniul anticorupție, instituțiile cooperează cu Agenția Națională de Integritate sau cu Ministerul Justiției la monitorizarea SNA. Practic, pe palierul IT, DNSC devine un partener de control și sprijin, similar cum este ANI pe palierul integrității clasice.
• Impactul asupra funcționarilor publici: Funcționarii publici implicați în implementarea politicilor de integritate și digitalizare vor resimți aceste schimbări sub forma unor noi responsabilități și a necesității de formare suplimentară. Deja SCIM și SNA cereau ca personalul cu funcții de conducere și execuție să fie format periodic în domeniul controlului intern managerial și integritate; acum, va fi nevoie de instruiri specifice în domeniul securității cibernetice la nivelul conducerii și, preferabil, la nivelul tuturor angajaților. NIS2 impune ca membrii organelor de conducere să urmeze formare specifică în securitate cibernetică, iar angajații sunt încurajați să facă același lucru. În practică, aceasta se poate traduce prin cursuri de conștientizare a riscurilor IT pentru funcționari (de ex., cum să recunoască tentative de phishing, importanța clasificării corecte a informațiilor, respectarea procedurilor IT). Rolul consilierului de integritate și al responsabilului SCIM din instituție se extinde: colaborarea cu responsabilul de securitate cibernetică va fi esențială pentru a integra măsurile anticorupție cu cele de securitate IT. De exemplu, la actualizarea Planului de Integritate al instituției, echipa de integritate ar trebui să includă acțiuni referitoare la protecția sistemelor informatice critice (ex: implementarea unei politici de control al accesului la datele sensibile poate fi atât o măsură anticorupție – prevenind accesul neautorizat la informații ce ar putea fi folosite abuziv – cât și o cerință NIS2).

Pe termen scurt, aceste cerințe pot părea încă o sarcină birocratică de bifat. Dar impactul pozitiv constă în creșterea rezilienței instituției și reducerea vulnerabilităților. Instituțiile care iau în serios aceste obligații vor avea: sisteme IT mai sigure (deci mai puțin expuse șantajului și fraudării), nu vor mai întâmpina incidente de integritate cauzate de pierderea ori alterarea datelor, vor evita sancțiuni și vor câștiga încredere din partea publicului. De altfel, Curtea de Conturi deja verifică în controalele sale dacă instituțiile aplică atât SNA, cât și elemente de bună practică IT: lipsa unui registru actualizat al riscurilor sau a procedurilor anticorupție este consemnată negativ, iar pe viitor ne putem aștepta ca și auditul pe zona de digitalizare să fie la fel de strict. Implementând corelat politicile anticorupție cu cele de securitate cibernetică, funcționarii publici vor putea justifica mult mai convingător măsurile luate – integritatea și securitatea devin argumente reciproce.

Corelarea politicilor anticorupție, a securității IT și a guvernanței digitale

Pentru o administrație modernă, anticorupția, securitatea cibernetică și guvernanța digitală reprezintă trei piloni care trebuie aliniați strâns. Noua Strategie Națională Anticorupție va trebui să fie concepută în sinergie cu Strategia de transformare digitală a administrației și cu cadrul național de securitate cibernetică, pentru a evita contradicțiile și lacunele.

Politicile anticorupție promovează integritatea, transparența și responsabilitatea. În ultimii ani, multe măsuri anticorupție s-au bazat pe digitalizare: servicii online pentru a elimina interacțiunile corupțibile, sisteme electronice de achiziții publice (SEAP/SICAP) pentru transparență, baze de date deschise (open data) privind contractele publice conform standardului OCDS, platforme de avertizare a integrității, ș.a. Politicile de guvernanță digitală (cum ar fi Agenda Digitală sau strategiile de e-guvernare) urmăresc eficientizarea administrației prin tehnologie, interoperabilitatea sistemelor, migrarea în cloud guvernamental, oferirea de servicii centrate pe cetățean. Politicile de securitate IT (în principal conturate acum de NIS2) urmăresc protejarea confidențialității, integrității și disponibilității acestor servicii și date digitale.

Este evident că există zone de suprapunere: toate cele trei tipuri de politici cer management robust al riscurilor, cer educație și conștientizare (anticorupție prin etică publică, securitate IT prin igienă cibernetică), cer transparență cu responsabilitate (anticorupție cere publicarea datelor de interes, securitatea IT cere ca datele să fie publicate în condiții sigure, fără breșe). Dacă aceste politici nu sunt corelate, se pot genera fie conflicte, fie breșe neacoperite. Să ne imaginăm: o instituție pune accent doar pe digitalizare și deschiderea datelor, dar neglijează securitatea – ajunge să sufere un incident grav (precum cele de tip ransomware menționate) care îi șterge sau expune datele, compromițând atât funcționarea, cât și încrederea publică. Sau invers: o instituție invocă securitatea informatică pentru a restrânge excesiv accesul la informații (de teama scurgerilor), ceea ce afectează transparența – astfel, politica anticorupție e slăbită. Echilibrul este cheia: SNA va trebui să sublinieze că măsurile anticorupție trebuie proiectate în acord cu cerințele de securitate IT, iar digitalizarea trebuie realizată cu „bariere de protecție” împotriva fraudei și atacurilor.

Un exemplu pozitiv de corelare este implementarea conceptului de Open Contracting Data Standard în SNA (transparentizarea datelor din achiziții) sincron cu implementarea unei platforme securizate de achiziții publice. Datele de contract publicate deschis pot fi analizate civic pentru prevenirea corupției, însă platforma care le găzduiește trebuie să aibă mecanisme de asigurare a integrității datelor – să nu poată fi manipulate de persoane neautorizate (interni sau hackeri externi). În plus, log-urile de audit IT (care înregistrează cine și ce modificări face în sistemele informatice) devin un instrument comun atât pentru specialiștii IT, cât și pentru responsabilii de integritate: ele pot detecta atât breșe de securitate, cât și potențiale fapte neetice (de ex., accesări nejustificate ale unor fișiere sensibile). Astfel, politica de securitate IT și politica anticorupție se susțin reciproc.

La nivel strategic, România va trebui să actualizeze cadrul normativ astfel încât SNA 2026-2029 să facă referire directă la legislația de securitate cibernetică (OUG 155/2024 aprobată prin Legea 124/2025 și ordinele emise în aplicarea acesteia). Dacă în SNA 2021-2025 accentul pe zona IT a fost mai degrabă pe digitalizare ca mijloc de prevenire a corupției, în noua Strategie accentul va fi și pe “integritatea digitală” – adică pe ansamblul măsurilor ce asigură că sistemele informatice ale instituțiilor publice nu pot fi subminate sau folosite pentru scopuri ilicite. Este posibil ca anumite aspecte să fie încă în curs de clarificare sau reglementare la momentul redactării strategiei (de exemplu, ghidurile sectoriale de securitate cibernetică sunt emise treptat de DNSC, unele încă în consultare publică). SNA va trebui să menționeze explicit aceste evoluții ca acțiuni în derulare și să prevadă actualizarea planurilor de integritate pe parcurs, în funcție de noile reglementări tehnice.

Concluzii

Pentru funcționarii publici și conducătorii de instituții, mesajul este clar: integritatea organizațională în era digitală nu mai poate fi separată de securitatea informației. Noua Strategie Națională Anticorupție va integra, aproape sigur, cerințele minime de securitate cibernetică impuse de NIS2, tocmai pentru a asigura că lupta împotriva corupției ține pasul cu transformarea digitală a administrației. Aceasta înseamnă standarde mai înalte de protejare a datelor și sistemelor, controale interne care să includă riscurile IT, precum și o cultură administrativă în care etica și conformitatea merg mână în mână cu vigilența cibernetică.

Funcționarii implicați în implementarea SNA trebuie să se pregătească să colaboreze cu specialiștii IT, să învețe noțiuni de bază despre securitate și să includă aceste preocupări în planurile de integritate. De asemenea, trebuie conștientizat că implementarea SNA este o obligație legală și practică pentru fiecare instituție publică – iar de acum conformitatea va fi privită și prin prisma securității digitale. Instituțiile care adoptă proactiv această abordare integrată vor beneficia de procese mai robuste, de încredere sporită din partea cetățenilor și de reducerea atât a incidentelor de integritate, cât și a incidentelor de securitate. Cele care tratează separat sau superficial aceste aspecte riscă nu doar sancțiuni ori recomandări obligatorii în audit, dar și expunerea la incidente reale ce pot produce pagube.

În concluzie, corelarea politicilor anticorupție, a celor de securitate cibernetică și a cerințelor de guvernanță digitală nu este un moft, ci o necesitate. Noua Strategie Anticorupție va reflecta această realitate, oferind funcționarilor un cadru clar și unitar de acțiune. Provocarea pentru administrația publică este de a implementa coerent aceste cerințe: de la registrul riscurilor până la planul de integritate, de la politica IT până la codul de etică, toate trebuie să vorbească aceeași limbă – limba integrității și rezilienței într-o lume digitală.