Pe 27 martie 2025, Comisia Europeană a deschis proceduri de constatare a încălcării dreptului UE împotriva a 13 state membre pentru transpunerea incompletă a Directivei DORA (Digital Operational Resilience Act), Directiva (UE) 2022/2556 care însoțește Regulamentul DORA. România a fost printre cele 13 state vizate, alături de Belgia, Bulgaria, Danemarca, Grecia, Spania, Franța, Letonia, Lituania, Malta, Polonia, Portugalia și Slovenia. Statele vizate au primit termen de două luni pentru a finaliza transpunerea și a notifica Comisia.
Pe 2 august 2025, expira termenul prevăzut de Regulamentul (UE) 2024/1689 (AI Act) pentru desemnarea autorităților naționale competente în implementarea legislației europene privind inteligența artificială. Conform unei analize publicate de EuroCloud Europe în decembrie 2025, România a depășit acest termen fără a desemna oficial autoritatea națională competentă. Strategia Națională de Inteligență Artificială 2024 și 2027 propune o autoritate dedicată sub coordonarea Autorității pentru Digitalizarea României (ADR), dar transpunerea legală este în întârziere: proiectul Pl-x nr. 184/2025 privind utilizarea responsabilă a inteligenței artificiale a fost înregistrat la Senat pe 31 martie 2025 și rămâne în analiză.
România a transpus principalele cadre europene de reglementare digitală cu întârzieri sistematice. Capacitatea de a respecta termenele oferite de Bruxelles este indicatorul tehnic al unei chestiuni mai profunde: lipsa unei viziuni naționale articulate privind suveranitatea digitală și apărarea cibernetică. Un cadru afirmativ românesc rămâne de construit, cu trei piloni structurali: cloud suveran, capacitate cibernetică operațională și industrie digitală reglementată coerent.
DORA ȘI STATUL DE IMPLEMENTARE
Regulamentul (UE) 2022/2554 privind reziliența operațională digitală pentru sectorul financiar a intrat în vigoare pe 17 ianuarie 2025, după o perioadă de implementare de 24 de luni. Cele cinci componente principale: gestionarea riscurilor IT, raportarea incidentelor majore, testarea rezilienței digitale, supravegherea furnizorilor terți de servicii IT, schimbul de informații. Penalitățile pot ajunge la 2% din cifra de afaceri globală anuală a entităților financiare și la 1% din media zilnică globală pentru furnizorii IT critici.
DORA acoperă peste 22.000 de entități în UE: bănci, asigurători, firme de investiții, platforme de criptoactive, furnizori de servicii financiare digitale. Pe 30 aprilie 2025, autoritățile naționale competente au transmis Autorităților Europene de Supraveghere (ESAs) registrele de informații privind furnizorii IT terți. ESAs au început, în iulie 2025, evaluarea pentru desemnarea furnizorilor IT critici (CTPPs).
România a notificat parțial transpunerea Directivei (UE) 2022/2556. Banca Națională a României, Autoritatea de Supraveghere Financiară și CSAT au emis ghiduri de aplicare. În 2024, conform datelor consolidate, aproape toate instituțiile financiare din România au înregistrat tentative de phishing și atacuri DDoS. Reziliența operațională digitală este, în practică, testată zilnic. Întârzierea transpunerii formale a Directivei reprezintă o vulnerabilitate juridică pentru piața bancară românească, mai ales pentru entitățile cu operațiuni transfrontaliere.
AI ACT ȘI AUTORITATEA NAȚIONALĂ
Regulamentul UE privind inteligența artificială (AI Act) a intrat în vigoare pe 1 august 2024, cu termene scalare de aplicare. Interzicerile practicilor AI au început pe 2 februarie 2025. Regulile pentru modelele AI de uz general (GPAI) au început pe 2 august 2025. Regulile pentru sistemele AI cu risc ridicat (Anexa III) urmează să se aplice pe 2 august 2026. Pe 19 noiembrie 2025, Comisia a propus un pachet de simplificare (Digital Omnibus) care leagă aplicarea regulilor de risc ridicat de disponibilitatea standardelor armonizate, cu o amânare maximă de 16 luni.
Pe 7 mai 2026, Consiliul UE și Parlamentul European au ajuns la un acord provizoriu privind regulamentul de simplificare. Termenul pentru sandbox-urile de reglementare AI a fost amânat la 2 august 2027. Penalitățile rămân ridicate, până la 7% din cifra de afaceri globală anuală pentru utilizatori și până la 35 milioane de euro sau 7% din cifra de afaceri.
Strategia Națională de Inteligență Artificială 2024 și 2027, adoptată în iulie 2024, propune crearea unei Autorități AI sub coordonarea ADR, cu rol dual de autoritate de notificare și de supraveghere a pieței. Proiectul Pl-x nr. 184/2025 introduce prevederi mai detaliate: sistemele AI utilizate în administrația publică trebuie să fie transparente și auditabile periodic, utilizarea AI în recrutare este reglementată, infrastructura națională de cercetare AI este finanțată prin Planul Național de Redresare și Reziliență. Adoptarea proiectului rămâne suspendată în Camera Deputaților.
SUVERANITATE CLOUD: DEFICITUL CEL MAI VIZIBIL
România folosește masiv servicii cloud ale furnizorilor americani (Microsoft Azure, Amazon Web Services, Google Cloud) și, într-o măsură mai mică, europeni (OVHcloud, Deutsche Telekom T-Systems). Procentul administrațiilor publice care utilizează cloud public străin pentru aplicații sensibile este mai mare decât media UE, conform analizelor Autorității pentru Digitalizarea României.
Polonia, Franța, Germania și Italia au lansat inițiative naționale de cloud suveran: Cloud Proche-Souverain (Franța), Bundescloud (Germania), Polish Cloud Initiative (Polonia), GAIA-X (consorțiu pan-european). România participă la GAIA-X cu rol de observator, fără un proiect național echivalent.
Lipsa unei strategii cloud naționale generează patru consecințe operaționale: dependență strategică de furnizori non-UE pentru date administrative sensibile; subutilizarea capacității de calcul autohtone (supercomputerul ICI București rămâne folosit predominant pentru cercetare); absența unei pieței interne de servicii cloud certificate la standarde de securitate înalte; pierderea oportunității economice ca hub regional cloud pentru Europa de Est și Marea Neagră.
TREI PRIORITĂȚI PENTRU O STRATEGIE AFIRMATIVĂ
Prima. Adoptarea unei Strategii Naționale de Suveranitate Digitală 2026 și 2030, cu trei piloni explicit articulati: (1) cloud suveran cu certificare de securitate la nivelul EUCS High; (2) capacitate cibernetică operațională la standardele Centrului Național Cyberint și ale Directoratului Național de Securitate Cibernetică (DNSC); (3) industrie digitală reglementată coerent prin transpunerea integrală a DORA, AI Act și a viitorului Cyber Resilience Act.
A doua. Crearea unui Fond Național Cloud Suveran cu finanțare combinată din PNRR, Programul Digital Europe și capital privat. Un astfel de fond ar finanța dezvoltarea unei platforme cloud certificate, găzduită pe teritoriul național, cu operator românesc și cu modele de business sustenabile pentru administrația publică, sectorul financiar și serviciile de utilitate publică.
A treia. Transpunerea sistematică, fără întârzieri, a viitoarelor cadre europene digitale: Cyber Resilience Act (aplicare integrală decembrie 2026), NIS2 Directive (transpunere completă), Data Act (aplicare septembrie 2025), Digital Markets Act și Digital Services Act (deja aplicabile). Transpunerea promptă reprezintă pasul minim al respectabilității instituționale; mai departe stă oportunitatea de leadership prin propuneri proprii la nivel de Consiliu UE.
Suveranitatea digitală a României se construiește prin trei alegeri operaționale clare: respectarea termenelor de transpunere a cadrelor europene, dezvoltarea unei capacități cloud naționale certificate și consolidarea apărării cibernetice operaționale. Întârzierile actuale, documentate prin procedurile de constatare a încălcării dreptului UE, sunt corectabile. Calitatea poziționării României în arhitectura digitală europeană din 2030 depinde de viteza cu care este construit acest cadru afirmativ.
SURSE PRINCIPALE
● Comisia Europeană (martie 2025), Procedura de constatare a încălcării dreptului UE împotriva a 13 state membre pentru DORA Directive.
● DLA Piper (februarie 2025), Application of the Digital Operational Resilience Act: Key Considerations.
● EIOPA, Digital Operational Resilience Act DORA, sinteza instituțională.
● Atrium Romanian Law Office (noiembrie 2024), Understanding the Digital Operational Resilience Act in the EU.
● Hyperproof (ianuarie 2026), Digital Operations Resilience Act DORA.
● EuroCloud Europe (decembrie 2025), Romania and the EU AI Act: Ready or Just Warming Up?
● Mararu Law (ianuarie 2026), EU AI Act Implementation Update: Romanian Business Guide.
● OECD (octombrie 2025), Progress in Implementing the EU Coordinated Plan on AI: Romania.
● Comisia Europeană, Navigating the AI Act, FAQ și calendar de implementare.
● Consiliul UE (mai 2026), Artificial Intelligence: Council and Parliament Agree to Simplify and Streamline Rules.
● Strategia Națională de Inteligență Artificială a României 2024 și 2027, document oficial guvernamental.
● Direcția Națională de Securitate Cibernetică (DNSC), rapoarte anuale.
● Banca Națională a României, Ghidul de aplicare DORA.