Ghid de bază
Ghid NIS2 pentru companii din România: cine e vizat și de unde se începe
Dacă ați ajuns pe acest articol, probabil cineva v-a spus recent că firma dumneavoastră „trebuie să se conformeze la NIS2" și v-ați dat seama că nu știți exact ce înseamnă asta. E în regulă. Nici majoritatea companiilor cu care lucrăm nu știau, la început. Acest ghid vă duce de la zero la o imagine clară, fără să vă ceară cunoștințe juridice sau tehnice.
Ce este NIS2, spus simplu
NIS2 este Directiva europeană (UE) 2022/2555 — un set de reguli prin care Uniunea Europeană cere companiilor din sectoarele importante pentru societate să își protejeze serios sistemele informatice. Ideea din spate e destul de sănătoasă: dacă un spital, o rețea de energie sau un furnizor de cloud cade din cauza unui atac cibernetic, suferă mult mai mulți oameni decât compania în sine.
Prima versiune a acestor reguli, Directiva NIS din 2016, acoperea relativ puține organizații. NIS2 extinde considerabil lista — de la 7 la 18 sectoare — și, mai important, nu mai lasă mult loc de interpretare: obligațiile sunt concrete, termenele sunt fixe, iar sancțiunile sunt reale.
În România, directiva a devenit lege prin OUG 155/2024, intrată în vigoare la 31 decembrie 2024 și aprobată ulterior prin Legea 124/2025, care a adus și câteva completări — printre care obligația de instruire a conducerii. Autoritatea care supraveghează aplicarea legii este DNSC, Directoratul Național de Securitate Cibernetică.
Cine este vizat: cele două întrebări care contează
Ca să aflați dacă firma dumneavoastră intră sub incidența legii, răspundeți la două întrebări.
1. Activați într-un sector reglementat?
Anexele 1 și 2 ale OUG 155/2024 listează 18 sectoare. Printre ele: energie, transport, sectorul bancar, infrastructura piețelor financiare, sănătate, apă potabilă și ape uzate, infrastructură digitală, administrație publică, spațiu, servicii poștale și de curierat, gestionarea deșeurilor, produse chimice, producția și distribuția de alimente, producție (inclusiv dispozitive medicale, electronice, mașini și echipamente), furnizori de servicii digitale și cercetare.
Un detaliu practic pe care mulți îl află târziu: încadrarea se verifică după codurile CAEN autorizate la Registrul Comerțului, nu după cum vă descrieți singuri activitatea. Merită o verificare atentă înainte de orice concluzie.
2. Aveți dimensiunea necesară?
Regula generală: cel puțin 50 de angajați sau o cifră de afaceri anuală de peste 10 milioane de euro. Sub aceste praguri, majoritatea firmelor nu sunt vizate direct — dar există excepții. Legea prevede, la articolele 9 și 10, criterii calitative: dacă sunteți unicul furnizor al unui serviciu important, dacă o perturbare a activității dumneavoastră ar avea impact asupra siguranței publice sau dacă ați fost identificat drept entitate critică, puteți fi inclus indiferent de dimensiune.
Entități esențiale și entități importante — care e diferența?
Legea împarte organizațiile vizate în două categorii. Entitățile esențiale sunt, în mare, companiile mari din sectoarele cu impact major (energie, bancar, sănătate, infrastructură digitală critică). Entitățile importante sunt restul organizațiilor vizate — tot obligate să se conformeze, dar cu un regim de supraveghere ceva mai blând și sancțiuni maxime mai mici.
Diferența practică cea mai vizibilă: entitățile esențiale pot fi verificate proactiv de DNSC oricând, în timp ce entitățile importante sunt verificate de regulă după un incident sau un indiciu de neconformitate. Iar entitățile esențiale au o obligație în plus: după autoevaluarea anuală de maturitate, trebuie să transmită la DNSC un plan de măsuri pentru remedierea deficiențelor, în termen de 30 de zile.
Ce vi se cere, concret
Obligațiile se pot grupa în patru mari familii:
- Înregistrarea. Notificarea către DNSC prin platforma NIS2@RO, conform Ordinului DNSC nr. 1/2025.
- Evaluarea de risc. Calcularea nivelului de risc al organizației după metodologia din Ordinul DNSC nr. 2/2025, în 60 de zile de la decizia de înscriere în registru.
- Măsurile de securitate. Implementarea celor zece categorii de măsuri tehnice și organizatorice de la art. 13 din OUG 155/2024 — de la analiza riscurilor și continuitatea activității până la criptografie și autentificare multi-factor.
- Raportarea incidentelor. Anunțarea incidentelor semnificative către DNSC în trei etape: 24 de ore, 72 de ore și 30 de zile. Am scris separat despre asta în articolul despre raportarea incidentelor.
La acestea se adaugă o obligație pe care Legea 124/2025 a făcut-o explicită: membrii conducerii trebuie să urmeze cursuri de formare în securitate cibernetică, iar organizația trebuie să desemneze responsabili cu securitatea rețelelor și sistemelor informatice.
De unde se începe, practic
Din experiența noastră, ordinea care funcționează arată cam așa:
- Verificați încadrarea. Coduri CAEN, dimensiune, criterii calitative. O zi de lucru atent, nu o lună.
- Transmiteți notificarea la DNSC, dacă sunteți vizați — sau chiar dacă aveți dubii, ca să primiți confirmarea oficială.
- Faceți un inventar onest a ceea ce aveți deja. Aproape sigur e mai mult decât credeți: backup-uri, antivirus, politici de acces. Problema e rareori absența măsurilor, ci lipsa structurii și a dovezilor.
- Identificați diferențele față de cerințele legii — un gap analysis, cum îi spunem în meserie — și prioritizați. Nu totul e la fel de urgent și nu totul costă la fel.
- Lucrați planul, punct cu punct, documentând pe parcurs. Documentația făcută „la final, ca să fie" se vede de la un kilometru la orice verificare.
Dacă aveți deja un sistem de management al securității certificat, porniți dintr-o poziție bună — am comparat cele două cadre în articolul despre NIS2 și ISO 27001.
Textele oficiale menționate în acest articol
- UE 2022/2555Directiva NIS2 (EUR-Lex, versiunea în limba română)
- OUG 155/2024Cadrul pentru securitatea cibernetică — Portal Legislativ
- Legea 124/2025Aprobarea și modificarea OUG 155/2024 — Portal Legislativ
- Ord. DNSC 1/2025Procesul de notificare și înregistrare — Portal Legislativ
- Ord. DNSC 2/2025Evaluarea nivelului de risc — Portal Legislativ
Nu sunteți siguri unde vă încadrați?
O discuție de 30 de minute cu unul dintre auditorii noștri lămurește de obicei lucrurile. Gratuită, fără obligații.
Programați o discuție sau scrieți-ne: contact@auditornis2.ro