Ce documente îți cer GDPR și NIS2 în 2026 — răspuns direct
Amenda maximă NIS2 pentru o firmă din România poate ajunge la 10 milioane EUR sau 2% din cifra de afaceri globală — oricare e mai mare. Dacă azi ai face un control, cele 7 documente de mai jos sunt primele pe care inspectorul le cere. Le ai pe toate?
Ultima actualizare: 2026-06-10
Directiva NIS2 a intrat în vigoare în România prin Legea nr. 58/2023, iar ANSPDCP a înăsprit controalele GDPR încă din 2025. Conform ENISA, peste 60% din companiile europene cu 10–200 de angajați nu au documentația completă cerută de NIS2 la 18 luni după transpunere. Rezultatul concret: amenzi, suspendarea activității sistemelor IT și, în cazuri grave, răspundere personală a administratorului.
De ce lipsesc documentele — și ce pierzi concret fără ele?
Problema nu e că nu știi că trebuie să le ai. Problema e că nimeni nu ți-a spus exact ce trebuie să conțină fiecare document și că le-ai amânat pentru „luna viitoare”. Între timp, echipa ta lucrează cu date de clienți, furnizori, angajați — fără nicio acoperire legală documentată.
Un incident de securitate fără documentație conformă costă în medie 184.000 EUR la o firmă cu 10–50 de angajați, conform studiului IBM Cost of a Data Breach 2025. La asta adaugi: 3–6 săptămâni de investigații interne, minimum 40 de ore de muncă juridică și IT, plus reputația afectată în fața clienților enterprise care cer dovada conformității înainte de orice contract.
STOP. Calculează acum cât pierzi pe lună. Audit AI gratuit (răspuns 48h) →
Care sunt cele 7 documente pe care firma ta trebuie să le aibă?
Mai jos sunt documentele verificate în controale reale, structurate pe prioritate. Fiecare document are un scop legal precis — nu sunt template-uri de bifat, sunt instrumente de apărare activă.
Documentele GDPR — baza legală pentru datele pe care le prelucrezi
- 1. Registrul activităților de prelucrare (ROPA) — obligatoriu conform Art. 30 GDPR. Documentează ce date colectezi, de ce, cât timp le păstrezi și cui le transmiți. Fără el, orice notificare de incident devine automat o amendă suplimentară.
- 2. Politica de confidențialitate internă și externă — două documente distincte: una pentru angajați (contracte, monitorizare, pontaj), una pentru clienți și furnizori. Versiunea „copiată de pe internet” nu te protejează dacă nu reflectă procesele reale din firma ta.
- 3. Procedura de răspuns la breșe de date — GDPR impune notificarea ANSPDCP în maximum 72 de ore de la descoperirea unui incident. Fără o procedură scrisă, cel mai probabil vei depăși termenul și vei primi amendă separată pentru întârziere.
- 4. Acordurile de prelucrare a datelor (DPA) cu furnizorii — dacă folosești contabilitate externalizată, CRM în cloud, platforme HR sau orice alt serviciu care atinge date personale, ai nevoie de un contract DPA semnat. Inclusiv cu furnizorul tău de email.
Documentele NIS2 — securitatea operațională dovedită
- 5. Politica de securitate a informației (ISP) — document-umbrelă care acoperă gestionarea riscurilor, controlul accesului, criptarea și continuitatea operațională. NIS2 cere ca politica să fie aprobată la nivel de conducere și revizuită anual.
- 6. Planul de continuitate a afacerii și recuperare după dezastru (BCP/DRP) — nu e suficient să ai backup. Trebuie să documentezi: cât timp îți permiți să fii offline (RTO), câte date îți permiți să pierzi (RPO) și cine face ce în primele 4 ore după un incident. Vulnerabilități recente în soluții enterprise precum Veeam Backup (RCE flaw activ în 2025–2026) au demonstrat că backup-ul singur nu e un plan.
- 7. Registrul de incidente și raportare NIS2 — NIS2 impune raportarea incidentelor semnificative în 24 de ore (notificare inițială) și 72 de ore (raport complet). Fără un registru activ, nu poți dovedi că ai identificat și gestionat incidentul în termen.
| Document | Cadru legal | Termen raportare | Amendă maximă lipsă |
|---|---|---|---|
| ROPA | GDPR Art. 30 | La cerere (control) | 20 mil. EUR / 4% CA |
| Politici confidențialitate | GDPR Art. 13–14 | La cerere | 20 mil. EUR / 4% CA |
| Procedură breșe date | GDPR Art. 33 | 72 ore de la incident | 10 mil. EUR / 2% CA |
| DPA furnizori | GDPR Art. 28 | Înainte de prelucrare | 10 mil. EUR / 2% CA |
| Politică securitate (ISP) | NIS2 Art. 21 | Audit anual | 10 mil. EUR / 2% CA |
| BCP/DRP | NIS2 Art. 21 | Test anual obligatoriu | 10 mil. EUR / 2% CA |
| Registru incidente | NIS2 Art. 23 | 24h / 72h de la incident | 10 mil. EUR / 2% CA |
Cum se rezolvă concret — procesul în 4 pași
Nu ai nevoie de o echipă internă de 5 oameni și 6 luni de proiect. Procesul corect arată așa:
- Pasul 1 — Audit de gap (5 zile lucătoare): identificăm ce ai, ce lipsește și ce e expirat. Ieșim cu o listă exactă de priorități, nu cu un raport de 80 de pagini.
- Pasul 2 — Creare documente adaptate firmei tale (10–15 zile): nu template-uri generice. Documentele reflectă procesele reale: cum prelucrezi CV-uri, cum gestionezi contractele cu clienții, ce sisteme IT folosești.
- Pasul 3 — Implementare tehnică și formare echipă (1 săptămână): configurare proceduri de notificare, integrare cu sistemele existente, sesiune de 2 ore cu echipa pentru awareness.
- Pasul 4 — Mentenanță și actualizare anuală: legislația se schimbă. Te asigurăm că documentele rămân valide și că nu ești prins nepregătit la următorul control.
Dacă vrei să înțelegi exact ce presupune acest proces pentru firma ta, pachetul nostru Conformitate NIS2 și GDPR detaliază fiecare livrabil și termenele aferente.
O firmă de servicii profesionale din Cluj, 35 de angajați, lucra cu date de clienți enterprise fără niciun DPA semnat și fără procedură de breșe. Un audit intern declanșat de un client nou a scos la iveală 4 din cele 7 documente lipsă. După 3 săptămâni cu echipa noastră: documentație completă, DPA-uri semnate cu toți furnizorii și primul test BCP/DRP finalizat. Clientul enterprise a semnat contractul în aceeași săptămână.
În luna asta mai avem 3 sloturi pentru Conformitate NIS2 și GDPR. Vezi pagina serviciului →
Ce se întâmplă dacă nu acționezi acum?
Controalele ANSPDCP s-au înmulțit în 2025–2026. Firmele din sectoarele servicii financiare, IT, sănătate și retail sunt prima țintă. Un control neanunțat durează 2–4 săptămâni, blochează activitatea echipei IT și juridice și se termină cu amendă sau avertisment oficial înregistrat — care declanșează automat un control aprofundat în 6 luni. Dacă firma ta integrează soluții AI pentru vânzări, HR sau suport (tendință clară în 2026), volumul de date personale prelucrate crește — și responsabilitatea odată cu el. De altfel, pentru companiile care automatizează procese de marketing și comunicare cu AI, o bună practică complementară este să lucrezi cu parteneri care înțeleg conformitatea — cum fac cei de la automatizare marketing cu AI în România.
Întrebări frecvente
NIS2 se aplică și firmelor mici cu sub 50 de angajați?
Da, dacă firma ta activează în sectoare considerate „esențiale” sau „importante” conform Legii 58/2023 — IT, telecomunicații, servicii digitale, energie, transport. Dimensiunea nu te scutește dacă sectorul e reglementat. Verifică lista ANCOM și ANSPDCP pentru încadrare exactă.
Cât durează să pregătești toate cele 7 documente?
Dacă pornești de la zero, cu o echipă externă specializată: 3–5 săptămâni pentru documentație completă și implementare. Dacă ai deja unele documente parțiale, procesul poate fi redus la 2 săptămâni. Intern, fără expertiză dedicată, procesul depășește de regulă 3 luni.
Ce se întâmplă dacă folosesc template-uri descărcate de pe internet?
Template-urile generice nu reflectă procesele reale din firma ta și nu rezistă unui control. ANSPDCP verifică dacă documentele sunt „funcționale” — adică aplicate efectiv, nu doar existente pe hârtie. Un document generic poate agrava situația, demonstrând că nu ai implementat nimic real.
GDPR și NIS2 sunt două proiecte separate sau se pot rezolva împreună?
Se pot și trebuie rezolvate integrat — aproximativ 60% din cerințele documentare se suprapun. Un proiect unificat economisește 30–40% din timp față de două proiecte separate și evită contradicțiile între documente, care sunt o problemă frecventă în audituri.
Am nevoie de un DPO intern pentru a fi conform?
Nu obligatoriu. GDPR impune un DPO intern doar pentru anumite categorii de organizații (autorități publice, prelucrare la scară largă). Majoritatea IMM-urilor pot externaliza rolul de DPO, ceea ce reduce costul cu 70–80% față de o poziție internă dedicată.
În luna aceasta mai avem 3–5 sloturi pentru ofertă personalizată IT. Auditul inițial este gratuit, fără obligații, cu răspuns în 48 de ore și un plan concret adaptat firmei tale — nu un raport generic.