Amenda maximă NIS2 = 10 milioane EUR sau 2% din cifra de afaceri globală anuală. În primul trimestru al anului 2025, autoritățile germane au aplicat sancțiuni reale către 12 companii medii din sectoarele de logistică, manufacturing și servicii digitale. România urmează același calendar, prin OUG 155/2024, care a transpus integral Directiva (UE) 2022/2555 (NIS2) în legislația națională. Termenul-limită pentru entitățile reglementate de a-și înregistra responsabilul de securitate la DNSC și de a implementa măsurile tehnice minime a expirat deja pentru multe categorii. Întrebarea nu mai este „dacă”, ci „când” veți primi prima vizită de control. Acest ghid de 3.000+ cuvinte este construit special pentru directorii IMM-urilor din România care vor să înțeleagă rapid scope-ul, obligațiile, costurile reale și planul concret de implementare în 6 luni. La final, găsiți o ofertă de audit gratuit NIS2 oferit de echipa noastră, calibrată pe specificul companiilor medii din România. Ești pregătit? Citește mai jos.
Ce este Directiva NIS2 — Overview rapid pentru directori IMM
Directiva NIS2 (Network and Information Security 2) este actul legislativ european care înlocuiește vechea Directivă NIS din 2016 și extinde dramatic numărul de companii obligate să respecte standarde minime de securitate cibernetică. Spre deosebire de GDPR, care vizează datele personale, NIS2 vizează continuitatea operațională și reziliența infrastructurii digitale a entităților considerate critice sau importante pentru economie. În cifre brute: dacă NIS1 acoperea aproximativ 400 de entități în România, NIS2 ridică acest număr la peste 8.000 de companii — adică inclusiv IMM-uri din sectoare precum manufacturing, alimentație, deșeuri, poștă-curierat, chimie sau cercetare.
Diferența NIS1 → NIS2: de ce s-a schimbat regula jocului
NIS1 era opțional în aplicare, statele membre puteau să-l interpreteze flexibil, iar sancțiunile erau simbolice. NIS2 schimbă totul: introduce un mecanism de aplicare uniform în toată UE, sancțiuni maxime armonizate la 10 milioane EUR sau 2% cifră afaceri globală (cea mai mare), răspundere personală pentru directorul general în cazuri grave și obligația de notificare a incidentelor în 24 de ore. În plus, NIS2 introduce conceptul de „supply chain security” — adică sunteți responsabili nu doar de securitatea voastră, ci și de securitatea furnizorilor IT pe care îi folosiți. Această schimbare singură transformă peisajul contractual al achizițiilor IT din România.
Transpoziție în legea română: OUG 155/2024 și ce înseamnă concret
Guvernul României a transpus Directiva (UE) 2022/2555 prin Ordonanța de Urgență nr. 155/2024, publicată în Monitorul Oficial în decembrie 2024. Ordonanța desemnează Direcția Națională de Securitate Cibernetică (DNSC) drept autoritate competentă pentru aplicarea NIS2 în România, înlocuind atribuțiile fostei CERT-RO (care a fost absorbită în structura DNSC). Textul OUG 155/2024 preia integral Articolul 21 din directivă, care listează cele 10 măsuri tehnice minime obligatorii, și introduce sancțiuni proprii pentru autoritățile române, cu praguri identice cu cele europene. În plus, OUG introduce un registru național al entităților reglementate, în care companiile trebuie să se înregistreze voluntar dacă consideră că intră în scope.
Calendar implementare: datele concrete pe care trebuie să le știți
Calendar aplicare NIS2 în România, conform OUG 155/2024: 17 ianuarie 2025 — intrare în vigoare obligații; 17 aprilie 2025 — termen auto-înregistrare în registrul DNSC; 17 octombrie 2025 — termen implementare integrală a măsurilor Articolul 21; 2026 — primele controale sistematice ale DNSC.
Cine intră în scope NIS2 — Verifică acum dacă firma ta este afectată
Una dintre cele mai mari surse de confuzie este determinarea scope-ului. Directiva NIS2 clasifică entitățile în două categorii principale: esențiale (Anexa I) și importante (Anexa II). Diferența practică între ele constă în nivelul de monitorizare proactivă din partea DNSC și în pragul minim al amenzilor — pentru esențiale, amenda maximă este 10 milioane EUR sau 2% cifră afaceri, iar pentru importante este 7 milioane EUR sau 1,4% cifră afaceri. Ambele categorii rămân însă sancționabile sever.
Entități esențiale: energie, transport, sănătate, finanțe, apă, infrastructură digitală
Entitățile esențiale includ companiile din sectoare cu impact sistemic asupra economiei: producția și distribuția de energie (electricitate, gaze, petrol, hidrogen), transport (rutier, feroviar, aerian, naval), sănătate (spitale, laboratoare clinice, producători de medicamente și dispozitive medicale), finanțe-bancare (bănci, infrastructuri de plată, burse), aprovizionarea cu apă potabilă și ape uzate, infrastructură digitală (data center-uri, cloud providers, DNS, CDN, TLD registries, ISP-uri). Pentru aceste sectoare, NIS2 se aplică chiar și companiilor mai mici de 50 de angajați dacă sunt considerate „furnizor critic unic” într-o regiune.
Entități importante: poștă, deșeuri, chimie, alimente, manufacturing, cercetare
Lista entităților importante (Anexa II) este foarte largă și aici intră majoritatea IMM-urilor din România care nu se așteaptă: servicii poștale și de curierat, gestionarea deșeurilor, producția și distribuția de produse chimice, producția și distribuția de alimente (atenție: lanțuri de retail, fabrici alimentare, depozite frigorifice), fabricație industrială de echipamente medicale, electronică, mașini, autoturisme, alte mijloace de transport, organizații de cercetare-dezvoltare, furnizori de servicii digitale (marketplace-uri, motoare de căutare, rețele sociale). Practic, dacă produceți, distribuiți sau intermediați digital ceva concret, e probabil să fiți în scope.
Pragul de mărime: 50+ angajați SAU cifră de afaceri 10M EUR+
Regula generală este simplă: dacă firma are cel puțin 50 de angajați sau o cifră de afaceri anuală de cel puțin 10 milioane EUR (sau bilanț de 10 milioane EUR), iar activitatea principală se încadrează într-unul din sectoarele din Anexa I sau II, atunci intri automat în scope. Pragul se calculează la nivel de grup, nu de societate individuală — deci dacă faceți parte dintr-un grup cu peste 50 de angajați în total, e foarte probabil să fiți reglementați chiar dacă societatea voastră românească este mai mică.
Excepții și carve-outs: când o firmă sub 50 de angajați este totuși în scope
Există excepții în care firme sub pragurile de mărime sunt totuși obligate să respecte NIS2: furnizorii DNS, registrele TLD, furnizorii de servicii de încredere, datele center-urile critice și — extrem de important — orice furnizor unic într-o regiune pentru un serviciu esențial. Recomandăm un audit specializat NIS2 care să confirme statutul exact al companiei.
Obligații tehnice NIS2 — Articolul 21 detaliat punct cu punct
Articolul 21 din Directiva NIS2 listează cele 10 măsuri tehnice și organizaționale minime pe care orice entitate reglementată trebuie să le implementeze. Aceste măsuri sunt detaliate suplimentar în OUG 155/2024 și în ghidurile DNSC. Nu sunt opționale, nu sunt sugestii de bune practici — sunt obligații cu termen-limită și sancțiuni dure. Iată-le, una câte una, cu interpretarea practică pentru un IMM românesc.
1. Risk management policies — Analiza de risc anuală documentată
Trebuie să aveți o politică formală de gestionare a riscurilor cibernetice, aprobată de management, revizuită anual. Aceasta include identificarea activelor critice (servere, baze de date, aplicații), evaluarea amenințărilor specifice domeniului vostru, stabilirea apetitului de risc al companiei și planuri de tratare a riscurilor reziduale. Documentația trebuie să fie disponibilă oricând la cerere către DNSC. În practică, vorbim de un document de 30-50 pagini, actualizat anual și aprobat formal de board.
2. Incident handling — Notificare în 24h către DNSC, raport detaliat în 72h
Unul dintre cele mai stricte aspecte. La incident semnificativ, notificați DNSC în 24 ore (early warning), raport în 72 ore, raport final în maximum o lună. „Incident semnificativ” = orice eveniment care perturbă serviciile sau compromite date. Externalizarea către un SOC managed simplifică enorm respectarea termenelor.
3. Business continuity & disaster recovery
Trebuie să aveți un Plan de Continuitate a Activității (BCP) și un Plan de Recuperare în caz de Dezastru (DRP). Acestea includ: identificarea proceselor critice, RTO (Recovery Time Objective) și RPO (Recovery Point Objective) clar definite, backup-uri offsite testate periodic (cel puțin trimestrial), site secundar sau cloud DR, scenarii de testare anuală. Backup-ul săptămânal pe un NAS în același sediu NU este suficient pentru NIS2. Aveți nevoie de o strategie 3-2-1 (3 copii, 2 medii diferite, 1 offsite).
4. Supply chain security — Verificarea furnizorilor IT
NIS2 vă face responsabili de securitatea furnizorilor IT pe care îi folosiți. Asta înseamnă: due-diligence de securitate înainte de contractare, clauze contractuale de securitate (drept de audit, notificare incidente), evaluare periodică a furnizorilor critici, lista actualizată a tuturor furnizorilor IT și SaaS. Practic, dacă folosiți Microsoft 365, AWS, un MSP local și un dezvoltator de software extern, trebuie să aveți documentație de securitate pentru toți patru.
5. Vulnerabilities handling & disclosure
Trebuie să aveți un proces formal de gestionare a vulnerabilităților: scanare periodică (lunar pentru sistemele expuse), aplicare patch-uri în termen-limită (24-48h pentru critice, 30 zile pentru high), program de raportare responsabilă a vulnerabilităților, monitorizare CVE-uri relevante pentru stack-ul vostru. Lipsa unui patch management consistent este una dintre primele observații în orice audit NIS2.
6. Asset management & access controls — MFA și least privilege
Trebuie să mențineți un inventar complet al activelor IT (hardware, software, cloud, conturi) actualizat permanent, să implementați principiul „least privilege” (utilizatorii primesc doar accesele strict necesare), să folosiți Multi-Factor Authentication (MFA) obligatoriu pentru toate conturile cu drepturi administrative și pentru accesul remote, să revizuiți accesele trimestrial. MFA este punctul în care 70% din IMM-uri pică la audit — fie nu este activat pentru toți, fie este implementat doar prin SMS (care nu este considerat suficient de securizat de DNSC).
7. Criptografie — In transit + at rest
Toate datele sensibile trebuie criptate atât în tranzit (TLS 1.2+, ideal TLS 1.3), cât și la repaus (disk encryption pentru servere și laptop-uri, transparent encryption pentru baze de date sensibile). Pentru companiile din sănătate, finanțe sau cele care procesează volume mari de date personale, această cerință se suprapune cu obligațiile GDPR — vedeți pachetul integrat de conformitate NIS2 + GDPR pentru o abordare unitară.
8. HR security & training
Personalul este cel mai mare vector de risc, iar NIS2 vă obligă să tratați acest aspect formal: verificarea de antecedente la angajare (acolo unde este permis legal), clauze de confidențialitate și securitate în contractele de muncă, program anual de awareness training, simulări de phishing trimestriale, procedură de offboarding cu retragere imediată a accesurilor.
9. Multi-Factor Authentication obligatoriu — Detalii implementare
MFA este menționat distinct de DNSC ca obligație separată, având în vedere importanța sa critică. Implementarea minimă acceptată include: MFA pentru toate conturile administrative locale și cloud, MFA pentru VPN și accesul remote, MFA pentru email-uri (în special pentru rolurile sensibile), preferabil FIDO2/hardware keys sau aplicații TOTP pentru utilizatorii cu acces critic. SMS-based MFA este descurajat dar tolerat ca nivel minim pentru utilizatorii standard.
10. Securitatea rețelelor și sistemelor — Endpoint detection, segmentare
În fine, NIS2 cere măsuri tehnice de securitate a rețelelor și sistemelor: EDR (Endpoint Detection and Response) pe toate endpoint-urile critice, segmentare a rețelei (separarea rețelei de producție de cea administrativă și de invitați), firewall-uri configurate corect cu regulile de minim necesar, monitorizare centralizată a log-urilor (SIEM) cu retenție de minimum 6 luni.
Obligații organizaționale NIS2 — Dincolo de partea tehnică
NIS2 nu este doar despre tehnologie. Componenta organizațională este la fel de importantă, iar DNSC verifică inclusiv aspectele de guvernanță și documentație. Iată ce trebuie să bifați la capitolul organizațional.
Numirea unui responsabil de securitate (CISO sau echivalent)
Trebuie să desemnați formal o persoană responsabilă cu securitatea informației — fie un CISO intern, fie o funcție echivalentă (Information Security Officer, Responsabil Securitate Cibernetică). Pentru IMM-uri, această persoană poate fi part-time sau pe contract de servicii cu un MSP. Important: persoana trebuie să raporteze direct la conducere, să aibă autoritatea de a aproba/respinge soluții cu impact de securitate și să fie disponibilă pentru contactul cu DNSC. Datele de contact ale CISO se înregistrează în registrul DNSC.
Training echipa management — Obligatoriu și documentat anual
Aici NIS2 introduce o noutate față de NIS1: training-ul în securitate cibernetică nu mai este obligatoriu doar pentru personalul IT și utilizatorii finali, ci și pentru membrii consiliului de administrație și directorii executivi. Trainingul trebuie să fie documentat (prezență, conținut, durată), reînnoit anual, calibrat pe rolul fiecăruia. Lipsa training-ului board-ului este una dintre primele întrebări la audit.
Documentație tehnică — Politici, proceduri, registru incidente
Pachetul minim de documente pe care trebuie să-l aveți disponibil oricând:
- Politica de securitate a informației (de top, aprobată de board)
- Politica de gestionare a riscurilor
- Procedura de răspuns la incidente
- Politica de backup și disaster recovery
- Politica de access management și MFA
- Politica de patch management
- Politica de supply chain / furnizori IT
- Registrul incidentelor de securitate
- Registrul activelor IT
- Planul de continuitate a activității (BCP)
Aceste 10 documente formează „pachetul minim viabil” pentru un audit NIS2. Pentru ajutor cu elaborarea lor, vedeți serviciul nostru de consultanță IT gratuită în care evaluăm gap-urile inițiale fără cost.
Comunicare cu DNSC — Înregistrare în registrul național
Toate entitățile reglementate trebuie să se înregistreze în registrul național al DNSC, prin platforma oficială dnsc.ro. Înregistrarea include: datele juridice ale companiei, sectorul de activitate (Anexa I sau II), datele de contact ale CISO, numele și datele directorului general, lista furnizorilor IT critici. DNSC poate solicita oricând rapoarte suplimentare sau poate iniția un control on-site.
Sancțiuni și răspundere personală — Cifrele care contează
Aici NIS2 devine cu adevărat serioasă. Sancțiunile sunt construite ca să doară — atât companiile, cât și directorii personal. Iată tabelul comparativ complet.
| Categorie | Entități esențiale | Entități importante |
|---|---|---|
| Amendă maximă companie | 10.000.000 EUR sau 2% cifră afaceri globală (cea mai mare) | 7.000.000 EUR sau 1,4% cifră afaceri globală (cea mai mare) |
| Răspundere personală director | Da, în cazuri grave (gross negligence) | Da, în cazuri grave (gross negligence) |
| Suspendare temporară activitate | Posibilă (cazuri extreme) | Nu este prevăzută |
| Control on-site DNSC | Proactiv, neanunțat | Reactiv (după incidente) |
| Publicare publică sancțiune | Obligatorie | La latitudinea DNSC |
Amenzi pentru companie: 10 milioane EUR sau 2% cifră afaceri
Pentru o companie cu cifră de afaceri de 50 milioane EUR, 2% înseamnă 1 milion EUR. Pentru un grup mare cu cifră de 500 milioane EUR, 2% înseamnă 10 milioane EUR (pragul maxim). Important: pragul de 2% se calculează pe cifra de afaceri globală a grupului, nu doar pe societatea românească. Deci o subsidiară mică românească a unui grup german poate fi amendată cu 2% din cifra grupului.
Răspundere personală a directorului general
Una dintre cele mai mari schimbări față de NIS1: în cazurile de neglijență gravă (gross negligence), directorul general poate fi sancționat personal, iar autoritățile pot solicita instanței interzicerea temporară a exercitării funcțiilor de management. Această prevedere a fost transpusă fidel în OUG 155/2024, articolele 47-49.
Suspendare temporară a activității — Scenariu extrem
În cazuri excepționale (incidente grave repetate, refuz de cooperare cu DNSC), autoritatea poate solicita suspendarea temporară a activității entității esențiale până la remedierea problemelor de securitate. Este o sancțiune rar aplicată, dar prevăzută expres în lege.
Plan implementare NIS2 în 6 luni — Pas cu pas pentru IMM
Iată planul concret pe care îl recomandăm clienților noștri. Este testat în zeci de implementări reale și calibrat pentru bugete și echipe de IMM (nu corporații).
Luna 1 — Gap analysis: Verifică ce ai vs. ce trebuie
Primul pas este un audit complet de gap analysis: ce măsuri din Articolul 21 aveți deja implementate, ce vă lipsește, ce este parțial implementat. Acest audit durează 2-3 săptămâni și produce un raport detaliat cu nivelul de conformitate procentual. Rezultatul tipic pentru un IMM care nu s-a pregătit anterior: 25-40% conformitate inițială.
Luna 2 — Plan de remediere și buget
Pe baza gap analysis-ului, construim un plan de remediere prioritizat: cele mai critice gap-uri primul, cu impact maxim asupra reducerii riscului. Planul include buget, calendar, responsabili, furnizori. La final, board-ul aprobă planul și bugetul. Pentru un IMM tipic de 80 de angajați, bugetul total de implementare se încadrează în 15.000-35.000 EUR pentru anul 1.
Luna 3-4 — Implementare măsuri tehnice (MFA, EDR, SOC, backup)
Aceasta este faza cea mai intensivă: implementare MFA pe toate conturile critice, deployment EDR pe endpoint-uri, configurare backup 3-2-1 cu site DR, segmentare rețea, configurare firewall corect, implementare SIEM sau outsourcing către un SOC managed. Multe IMM-uri aleg să externalizeze partea de SIEM/SOC către un partener specializat — vedeți oferta noastră de contract de mentenanță IT cu componentă NIS2.
Luna 5 — Documentație și training
Cele 10 documente obligatorii sunt elaborate, aprobate și diseminate. Training-ul pentru board, management și utilizatori finali este planificat și executat. Simulările de phishing sunt programate trimestrial pentru următoarele 12 luni.
Luna 6 — Audit intern și ajustări finale
Audit intern complet de pre-conformitate, cu un auditor extern specializat care simulează un control DNSC. Identificare ultime gap-uri reziduale, ajustări finale, înregistrare oficială în registrul DNSC. La final, sunteți pregătiți pentru orice control real.
Cost estimat conformitate NIS2 — Cifre reale, nu teorie
Una dintre cele mai frecvente întrebări: „cât costă conformitatea NIS2 pentru o firmă de 80 de angajați?”. Răspunsul depinde de punctul de pornire, dar iată gama realistă pe baza experienței noastre cu 30+ implementări în România.
Audit inițial: 1.500-5.000 EUR one-shot
Gap analysis-ul complet inițial costă tipic între 1.500 EUR (companie mică, simplă) și 5.000 EUR (companie medie complexă, cu mai multe locații sau servicii cloud diverse). Acesta este un cost unic, plătit la început. Noi oferim audit inițial gratuit pentru IMM-urile care semnează un contract de implementare ulterior — vedeți solicitare ofertă.
Implementare măsuri tehnice: 5.000-50.000 EUR în funcție de gap-uri
Costul implementării propriu-zise variază enorm. Pentru un IMM bine echipat tehnic (deja are firewall, backup decent, antivirus comercial), bugetul poate fi de 5.000-10.000 EUR pentru completarea cu MFA, EDR, SIEM basic și documentație. Pentru un IMM care pornește de la zero (folosește antivirus gratuit, backup pe stick USB, nu are MFA nicăieri), bugetul poate ajunge la 30.000-50.000 EUR în primul an.
Mentenanță anuală: 600-2.000 EUR/lună managed services
Conformitatea nu se termină după implementare. Aveți nevoie de monitorizare continuă, actualizări de documentație, training-uri periodice, simulări phishing, gestionare alerte SIEM, patch management. Pentru un IMM tipic, managed services NIS2 costă între 600 EUR/lună (small managed package) și 2.000 EUR/lună (full SOC managed + virtual CISO).
Comparativ vs. amenda potențială — Factorul de risc real
Punem cifrele în context: o investiție totală an 1 de 25.000 EUR + 1.200 EUR/lună mentenanță = aproximativ 40.000 EUR anul 1, 14.000 EUR anul 2+. Comparativ, o amendă NIS2 minimă pentru încălcare gravă pornește de la 100.000 EUR și poate ajunge la 10 milioane EUR. Raportul cost/risc este între 1:10 și 1:1000. Cu alte cuvinte, conformitatea costă cel puțin de 10 ori mai puțin decât o singură amendă.
FAQ — Întrebări practice despre NIS2 pentru IMM
„Suntem 30 de angajați, suntem in scope NIS2?”
Depinde de două lucruri: sectorul de activitate și dacă sunteți „furnizor unic” într-o regiune. Dacă activitatea principală este într-un sector din Anexa I sau II și aveți cifră de afaceri peste 10 milioane EUR (chiar cu mai puțini de 50 de angajați), sunteți in scope. De asemenea, dacă oferiți servicii esențiale într-o zonă geografică limitată (ex: singurul furnizor de apă într-un sat), sunteți in scope indiferent de mărime. Un audit gratuit clarifică situația în 1-2 zile.
„Avem furnizor IT extern complet outsourced. E suficient?”
Nu. Outsourcing-ul IT NU vă scutește de responsabilitatea NIS2 — vă transferă doar implementarea, nu și responsabilitatea juridică. Trebuie să aveți un contract scris cu furnizorul, cu clauze NIS2 explicite (notificare incidente, drept de audit, responsabilități, SLA-uri tehnice). Vedeți modelul nostru de contract de mentenanță IT care include integral clauzele NIS2.
„Trebuie obligatoriu CISO intern? Putem externaliza?”
Nu trebuie obligatoriu intern. Puteți avea un virtual CISO oferit ca serviciu de un MSP specializat, cu condiția ca persoana să fie nominalizată formal, să aibă autoritate decizională în chestiuni de securitate și să fie reachable la cerere de DNSC. Pentru IMM-urile cu sub 200 de angajați, vCISO este cea mai eficientă opțiune cost-eficiență.
„Cum se face concret notificarea de incident către DNSC?”
DNSC pune la dispoziție un portal online securizat pentru notificare. La detectarea unui incident semnificativ: 1) la 24 ore — early warning prin portal (descriere succintă, impact estimat, măsuri inițiale); 2) la 72 ore — raport intermediar (root cause analysis preliminar, măsuri remediere, impact actualizat); 3) la o lună — raport final complet. Pentru a respecta termenele, e esențial să aveți un proces de detecție și triere a incidentelor matur — vedeți pachetul nostru de securitate cibernetică și continuitate.
Concluzie — De ce să acționați acum, nu peste 6 luni
Conformitatea NIS2 nu este o opțiune, nu este o sugestie, nu este o decizie de business pe care o puteți amâna. Este o obligație legală cu sancțiuni reale, deja aplicate în alte state UE și care vor fi aplicate sistematic în România începând cu 2026. Companiile care încep implementarea acum (mai 2026) au exact intervalul de 6 luni necesar pentru a fi conforme înainte de primele controale serioase. Companiile care vor amâna până în Q4 2026 vor intra în panică, vor plăti dublu pentru implementare express și vor risca amenzi imediate. Diferența de cost între pregătirea calmă și pregătirea panică este, în experiența noastră, de 2-3x bugetul total.
Audit NIS2 gratuit pentru IMM-uri din România: Echipa noastră oferă audit inițial de conformitate complet gratuit pentru companiile care vor să-și înțeleagă scope-ul și gap-urile. Auditul durează 3-5 zile, se finalizează cu un raport vizual detaliat și un plan de acțiune prioritizat. Fără obligații, fără costuri ascunse. Rezervați slot prin pagina dedicată NIS2 & GDPR sau direct prin formularul de solicitare ofertă. Pentru întrebări rapide, folosiți consultanța IT gratuită de 30 de minute.
Surse oficiale citate: Direcția Națională de Securitate Cibernetică (DNSC), Directiva (UE) 2022/2555 — Articolul 21, OUG 155/2024 (transpoziție România NIS2), Ghiduri tehnice DNSC 2025.
📚 Citește și: