Așa începe alineatul 4) din Art. 14 a OUG155/2024 cu referire la ”persoana responsabilă cu securitatea rețelelor”. Și se continuă cu: ”pentru supravegherea și implementarea eficientă a măsurilor de gestionare a riscurilor de securitate cibernetică;”

Anterior, la același articol, la alineatul 1) se impune: ”Organele de conducere ale entităților esențiale și ale entităților importante aprobă măsurile de gestionare a riscurilor de securitate” iar la alineatul 3), tot organele de conducere ”asigură alocarea resurselor necesare pentru punerea în aplicare a măsurilor de gestionare a riscurilor de securitate cibernetică”

Reformulînd aceste cerințe într-un limbaj comun:

1. Măsurile de securiate cibernetică rezultă ca urmare a unei evaluări a riscurilor (categoria de cerințe de securitate cibernetică aplicabilă după cum se menționează în ORDIN nr. 2 din 11 august 2025);
2. Persoana responsabilă trebuie să aibă acces la resursele necesare implementării măsurilor rezultate în urma evaluări riscurilor;
3. Organele de conducere trebuie să asigure resursele financiare pentru punerea în aplicare a măsurilor rezultate în urma evaluării riscurilor.

Auditorul nu va revizui dacă organele de conducere au alocat resursele necesare pentru că ”nerespectarea de către membrii organelor de conducere ale entităților esențiale și importante a obligației de alocare a resurselor conform art. 14 alin.(3)”…este contravenție și se sancționează astfel:

a) pentru entitățile importante, amendă de la 5.000 lei la cel mult 7.000.000 euro în echivalentul în lei sau cel mult 1,4% din cifra de afaceri netă, luându-se în considerare valoarea cea mai mare dintre acestea;

b) pentru entitățile esențiale, amendă de la 10.000 lei la cel mult 10.000.000 euro în echivalentul în lei sau cel mult 2% din cifra de afaceri netă, luându-se în considerare valoarea cea mai mare dintre acestea

Auditorul doar va constata existența și funcționarea/nefuncțonarea măsurilor de securitate impuse prin lege.