Conformitatea NIS2 în România înseamnă alinierea companiei la Directiva UE 2022/2555, transpusă în legislația națională prin OUG 155/2024, cu DNSC (Directoratul Național de Securitate Cibernetică) ca autoritate competentă. Dacă firma ta intră în categoria entităților „esențiale” sau „importante”, ai obligația să implementezi măsuri tehnice și organizatorice de securitate, să raportezi incidentele semnificative în termen de 24 / 72 de ore și să te înregistrezi la DNSC. Sancțiunile pentru neconformitate ajung până la 10 milioane € sau 2% din cifra de afaceri globală.
Această pagină este focusată pe NIS2 — pentru cerințele combinate NIS2 + GDPR vezi pagina noastră de conformitate NIS2 & GDPR. Pentru o evaluare rapidă dacă ești sub incidența NIS2, încearcă consultanța inițială.
Ce este Directiva NIS2 și de când se aplică în România
NIS2 (Directiva UE 2022/2555) este actul european care înlocuiește vechea Directivă NIS (2016) și ridică semnificativ ștacheta pentru securitatea cibernetică în UE. Acoperă mai multe sectoare, impune cerințe mai stricte și introduce responsabilități directe pentru conducerea companiei.
În România, NIS2 a fost transpusă prin Ordonanța de Urgență 155/2024, care a intrat în vigoare la finalul lui 2024. Autoritatea competentă este DNSC (Directoratul Național de Securitate Cibernetică), care preia rolul de supraveghere, registru al entităților vizate și gestionarea raportărilor de incidente.
Cine intră sub NIS2 în România
NIS2 vizează două categorii principale, în funcție de sector și mărime:
| Categorie | Sectoare | Prag minim |
|---|---|---|
| Entități esențiale | Energie, transport, sănătate, apă potabilă/uzată, infrastructură digitală, administrație publică, sector aerospatial, bancar & financiar | 250+ angajați sau cifră afaceri 50M€+ |
| Entități importante | Servicii poștale, gestiune deșeuri, produse chimice, alimentar, producție echipamente, furnizori servicii digitale, cercetare | 50+ angajați sau cifră afaceri 10M€+ |
Există și entități care intră indiferent de mărime — administrație publică centrală, furnizori unici de servicii esențiale, furnizori de servicii de încredere calificați (eIDAS), furnizori de DNS, registre TLD etc.
Obligațiile principale impuse de NIS2
După înregistrarea la DNSC, entitățile vizate trebuie să acopere patru zone:
- Guvernanță și responsabilizare a conducerii — managementul aprobă măsurile de securitate, este instruit periodic și răspunde personal (inclusiv prin amenzi) pentru neconformitate.
- Măsuri tehnice și organizatorice — politici de risc, MFA, control acces, criptare, segmentare, management vulnerabilități, backup, plan de continuitate (BCP/DRP), securitatea lanțului de aprovizionare.
- Raportarea incidentelor — notificare timpurie către DNSC în 24 ore, raport intermediar în 72 ore, raport final în 1 lună.
- Înregistrare și actualizare la DNSC — datele entității, persoana responsabilă, lista serviciilor critice.
Sancțiuni NIS2 — cât te costă neconformitatea
| Tip entitate | Amendă maximă |
|---|---|
| Entități esențiale | Până la 10.000.000 € sau 2% din cifra de afaceri anuală globală (cea mai mare) |
| Entități importante | Până la 7.000.000 € sau 1,4% din cifra de afaceri anuală globală (cea mai mare) |
Pe lângă amenzile financiare, autoritățile pot suspenda temporar persoanele cu funcții de conducere care nu respectă cerințele — un risc personal direct pentru manageri.
Cum stabilești dacă ești entitate esențială sau importantă
Trei criterii cumulative determină încadrarea:
- Sectorul de activitate — listele din Anexele I (esențiale) și II (importante) ale Directivei NIS2
- Mărimea companiei — număr angajați și cifră de afaceri / bilanț
- Criterii speciale — anumite entități intră indiferent de mărime (administrație centrală, DNS, etc.)
În practică, dacă activezi într-un sector listat și ai peste 50 de angajați (sau 10M€ cifră de afaceri), foarte probabil ești sub incidența NIS2. Trimite-ne date despre firmă și-ți confirmăm încadrarea + planul de acțiune.
Înregistrarea la DNSC — pași concreți
- Identifică reprezentantul legal și responsabilul cu securitatea cibernetică.
- Pregătește datele despre companie: CUI, sector, servicii esențiale furnizate, dependențe critice.
- Accesează platforma DNSC dedicată registrului NIS2.
- Completează formularul de înregistrare cu informațiile cerute.
- Actualizează datele anual sau la modificări semnificative.
Termenul de înregistrare diferă pe sectoare — pentru cele mai multe entități termenul a expirat deja sau este aproape. Dacă încă nu te-ai înregistrat, este prioritate maximă.
Cum ajutăm: serviciul nostru de conformitate NIS2
Lucrăm în 4 etape pentru a aduce compania la conformitate:
- Evaluare inițială & gap analysis — analiză 1-2 săptămâni: stabilim încadrarea, identificăm lipsurile față de cerințele NIS2, livrăm raport cu prioritate.
- Plan de remediere — documentăm acțiunile tehnice și organizatorice, cu termene și responsabili.
- Implementare — măsuri tehnice (MFA, monitorizare, backup imutabil, segmentare), proceduri (incident response, BCP/DRP, security policies), instruire conducere & angajați.
- Mentenanță & raportare — opțional, putem prelua și partea de SOC 24/7 prin serviciul nostru de securitate cibernetică & continuitate, plus suport în raportarea incidentelor către DNSC.
Cere o evaluare de încadrare NIS2 gratuită — răspundem cu o estimare în 24 de ore.
NIS2 vs GDPR vs AI Act — cum se completează
Cele trei reglementări UE majore se suprapun, dar fiecare are scopul ei:
| Reglementare | Ce protejează | Autoritate RO |
|---|---|---|
| NIS2 | Securitatea cibernetică a entităților esențiale/importante | DNSC |
| GDPR | Datele cu caracter personal | ANSPDCP |
| AI Act | Siguranța și utilizarea sistemelor AI | În curs de desemnare |
În practică, multe controale tehnice se suprapun (MFA, criptare, backup, control acces). O implementare bine făcută acoperă toate trei în paralel — vezi ghidurile noastre dedicate de NIS2 & GDPR și AI Act România.
Întrebări frecvente despre NIS2 România
Când expiră termenul de înregistrare la DNSC?
Termenele variază pe sectoare. Pentru majoritatea entităților esențiale și importante, termenul de înregistrare la DNSC a fost stabilit în 2024-2025. Dacă încă nu te-ai înregistrat, regularizează situația acum și consultă platforma DNSC pentru termenul exact al sectorului tău.
Dacă am sub 50 de angajați, NIS2 mă privește?
Regula generală spune că sub 50 de angajați și sub 10M€ cifră de afaceri nu intri sub NIS2. Există însă excepții: dacă oferi servicii unice esențiale, ești furnizor DNS, registre TLD sau servicii de încredere eIDAS, intri indiferent de mărime.
Care este diferența între entitate esențială și entitate importantă?
Diferența este sectorul de activitate (Anexa I sau II a Directivei NIS2) și mărimea. Entitățile esențiale sunt supraveghete proactiv de DNSC; entitățile importante sunt supraveghete reactiv (după incidente sau sesizări). Sancțiunile maxime sunt mai mari pentru cele esențiale.
Ce trebuie să fac dacă am un incident de securitate?
Notifică DNSC în maximum 24 de ore de la momentul în care ai luat cunoștință de incident, trimite un raport intermediar în 72 de ore și raportul final în maximum o lună. În paralel, contactează partenerul de securitate pentru containment și investigare.
Cât durează aducerea la conformitate NIS2?
Pentru o companie medie, între 3 și 12 luni, în funcție de maturitatea actuală a securității și de complexitatea infrastructurii. Cele mai rapide sunt companiile care au deja ISO 27001 implementat — multe controale se suprapun.
Cât costă consultanța NIS2?
Variază cu scope-ul și mărimea companiei. Pentru intervale orientative vezi ghidul nostru de prețuri audit de securitate; conformitatea NIS2 încadrează în intervalul „audit complet + documentație + implementare”.