AI Act, GDPR și NIS2 sunt trei reglementări UE distincte care se aplică simultan pentru majoritatea companiilor din România. AI Act guvernează utilizarea sistemelor de inteligență artificială (Regulamentul UE 2024/1689). GDPR protejează datele cu caracter personal (Regulamentul UE 2016/679). NIS2 impune cerințe de securitate cibernetică pentru entități esențiale și importante (Directiva UE 2022/2555, transpusă prin OUG 155/2024). Acest ghid pune cele trei reglementări într-un tabel comparativ și explică suprapunerile concrete.
Pentru detalii pe fiecare, vezi pillar-urile noastre: AI Act ghid complet, conformitate NIS2 România și NIS2 & GDPR combinat.
Tabel comparativ AI Act vs GDPR vs NIS2
| Criteriu | AI Act (2024/1689) | GDPR (2016/679) | NIS2 (2022/2555) |
|---|---|---|---|
| Ce protejează | Siguranța și drepturile în utilizarea AI | Datele personale și viața privată | Securitatea cibernetică a entităților esențiale/importante |
| Tip act | Regulament UE (direct aplicabil) | Regulament UE (direct aplicabil) | Directivă (necesită transpunere — OUG 155/2024 în RO) |
| Intrare în vigoare | 1 august 2024 | 25 mai 2018 | 16 ianuarie 2023 (UE); transpus în RO 2024 |
| Aplicare în RO | Etapizat 2025-2027 | Deja aplicabilă | Deja aplicabilă (după OUG 155/2024) |
| Autoritate RO | Se desemnează (la nivel UE: EU AI Office) | ANSPDCP | DNSC |
| Cui se aplică | Provideri și deployer-i de AI | Toate organizațiile care prelucrează date personale | Entități esențiale (Anexa I) și importante (Anexa II) |
| Abordare | Bazată pe risc (4 niveluri) | Bazată pe riscuri pentru persoane | Bazată pe sectoare și mărime |
| Cerințe principale | Risk management, transparență, supraveghere umană, calitate date | Bază legală, drepturile persoanei, DPIA, retenție | Măsuri tehnice și organizatorice, raportare incidente, guvernanță |
| Raportare incidente | Doar pentru provideri (incidente grave) | 72 ore (breach de date personale) | 24 ore + 72 ore + raport final 1 lună |
| Amenzi maxime | 35M€ sau 7% (practici interzise) / 15M€ sau 3% (alte) | 20M€ sau 4% cifră afaceri | 10M€ sau 2% (esențiale) / 7M€ sau 1,4% (importante) |
| Cui se cere conformitate | Provider, deployer, importator, distribuitor | Operator + persoană împuternicită | Entitate esențială/importantă |
| Responsabilitate management | Explicită pentru high-risk | Indirectă | Directă, inclusiv personală |
Când se aplică simultan toate trei?
Cele mai frecvente situații în care intri sub toate trei:
- Spitale și clinici care folosesc AI medical: AI Act (high-risk) + GDPR (date sensibile, art. 9) + NIS2 (sector esențial)
- Bănci și instituții financiare care folosesc AI pentru scoring, antifraudă, recomandări: AI Act (unele zone high-risk) + GDPR + NIS2
- Furnizori de servicii digitale mari care folosesc AI pentru recomandări/moderare: AI Act (transparență, deepfake) + GDPR + NIS2
- Companii din energie, transport, apă care folosesc AI pentru optimizare/predicție: AI Act (high-risk pentru infrastructură critică) + GDPR (date angajați) + NIS2 (sector esențial)
Suprapuneri concrete între cerințe
Multe controale tehnice acoperă toate trei în paralel — bine implementate, fac economie de efort:
| Control tehnic | AI Act | GDPR | NIS2 |
|---|---|---|---|
| Inventar sisteme și date | ✓ (sisteme AI) | ✓ (Art. 30) | ✓ (asset management) |
| Risk assessment | ✓ (risk management) | ✓ (DPIA) | ✓ (risk-based) |
| Logging și audit trail | ✓ (high-risk) | ✓ (accountability) | ✓ (monitorizare) |
| Acces și autentificare | — | ✓ (minimizare) | ✓ (MFA, RBAC) |
| Criptare date | — | ✓ (Art. 32) | ✓ (în tranzit + repaus) |
| Backup & continuitate | — | ✓ (disponibilitate) | ✓ (BCP/DRP) |
| Raportare incidente | ✓ (provideri) | ✓ (72h) | ✓ (24h/72h/1 lună) |
| Training personal | ✓ (AI literacy) | ✓ (awareness) | ✓ (security awareness) |
| Lanțul de aprovizionare | ✓ (provideri) | ✓ (procesatori) | ✓ (supply chain) |
Care e prioritatea practică?
Dacă firma ta nu e încă conformă cu niciuna, recomandarea pragmatică:
- GDPR — bază minimă obligatorie pentru orice firmă; sancțiunile sunt cele mai vechi și cele mai aplicate efectiv în RO de către ANSPDCP.
- NIS2 — dacă ești în Anexa I sau II și depășești pragurile; termenele de înregistrare la DNSC au început să expire în 2024-2025.
- AI Act — alfabetizare AI și interdicții obligatorii din februarie 2025; restul cerințelor se aplică etapizat până în 2027.
O abordare integrată — un singur program de conformitate care acoperă toate trei — costă semnificativ mai puțin decât trei proiecte separate. La Secure IT Solutions tratăm cele trei reglementări într-un singur plan tehnic și documentar. Cere o evaluare combinată.
Întrebări frecvente
Dacă sunt conform GDPR, mai trebuie să fac ceva pentru NIS2?
Da. GDPR și NIS2 se suprapun pe controale tehnice (criptare, logging, raportare breach), dar NIS2 cere și măsuri specifice de securitate cibernetică (segmentare, SOC, plan disaster recovery testat) și raportare la DNSC în 24/72 de ore — separat de cei 72 de ore GDPR.
AI Act înlocuiește GDPR pentru sistemele AI?
Nu. Cele două coexistă. AI Act reglementează sistemul AI ca produs/serviciu; GDPR rămâne aplicabil pentru orice date personale procesate de acel sistem. Practic, un AI care prelucrează date personale trebuie să respecte ambele.
Care e amenda cea mai mare dintre cele trei?
AI Act, pentru practicile interzise: până la 35 milioane € sau 7% din cifra de afaceri globală. GDPR ajunge la 20 milioane € sau 4%. NIS2 ajunge la 10 milioane € sau 2% pentru entitățile esențiale.
Pot face un singur plan de conformitate pentru toate trei?
Da, și este abordarea recomandată. Multe controale tehnice (inventar, risk assessment, logging, criptare, MFA, backup, raportare) acoperă toate trei. Un plan integrat costă mai puțin și e mai ușor de menținut decât trei programe separate.