Standarde

NIS2 și ISO 27001: ce au în comun, unde diferă și cum se ajută reciproc

Publicat: 12 mai 2026 Actualizat: 6 iulie 2026 Lectură: ~6 minute

„Avem ISO 27001 din 2021. Asta înseamnă că suntem conformi și cu NIS2, nu?" E poate cea mai frecventă întrebare pe care o primim de la companiile certificate. Răspunsul cinstit are două părți: nu, nu automat — dar sunteți mult mai aproape decât o companie care pornește de la zero. Iată exact de ce.

Diferența fundamentală: voluntar versus obligatoriu

ISO 27001 e un standard internațional pe care îl adoptați pentru că vreți: pentru clienți, pentru licitații, pentru disciplina internă. NIS2 — transpus în România prin OUG 155/2024 și aprobat prin Legea 124/2025 — e lege. Nu vă certificați „la NIS2"; vă conformați, pentru că altfel riscați sancțiuni. Iar interlocutorul nu mai e un organism de certificare pe care vi-l alegeți, ci DNSC, pe care nu vi-l alege nimeni.

Din această diferență de natură decurg toate celelalte: ISO vă lasă să vă definiți singuri domeniul de aplicare al sistemului; legea vă spune ea ce intră sub incidența ei. ISO acceptă riscuri „acceptate și documentate"; legea are cerințe minime de la care nu se derogă prin decizie internă.

Vestea bună: suprapunerea e serioasă

Cele zece categorii de măsuri de la art. 13 din OUG 155/2024 se regăsesc, în mare parte, în controalele din Anexa A a standardului. Analiza riscurilor, controlul accesului, securitatea resurselor umane, continuitatea activității, criptografia, managementul furnizorilor — dacă sistemul dumneavoastră ISO e viu (nu doar un dosar prăfuit reînnoit anual), aveți deja politici, proceduri și, esențial, obiceiul de a documenta. La audit, obiceiul acesta valorează cât jumătate din conformitate.

Concret, la companiile certificate cu care am lucrat, între jumătate și două treimi din cerințele legale erau deja acoperite într-o formă utilizabilă. Restul nu era neapărat greu — era pur și simplu specific legii.

Ce cere NIS2 și ISO nu acoperă

  • Relația formală cu DNSC. Notificarea și înregistrarea în Registrul entităților, conform Ordinului DNSC nr. 1/2025 — un proces despre care am scris un ghid separat. ISO nu are echivalent.
  • Evaluarea de risc după metodologia națională. Nu evaluarea de risc „în general", pe care ISO o cere și el, ci scorul calculat după Ordinul DNSC nr. 2/2025, care determină categoria de măsuri obligatorii pentru dumneavoastră.
  • Termenele legale de raportare a incidentelor. ISO cere gestionarea incidentelor; legea cere raportarea lor către autoritate în 24 de ore, 72 de ore și 30 de zile — am detaliat mecanismul în articolul despre raportare.
  • Răspunderea explicită a conducerii. Legea 124/2025 cere ca membrii organelor de conducere să urmeze cursuri de formare în securitate cibernetică și să își asume formal măsurile. În ISO, implicarea managementului e un principiu; în lege, e o obligație cu nume și semnătură.
  • Supravegherea de stat. Controalele se desfășoară după Ordinul DNSC nr. 3/2025, nu după planul de audit intern al organizației.
Pe scurt ISO 27001 răspunde la întrebarea „gestionăm bine securitatea informației?". NIS2 răspunde la întrebarea „respectăm legea românească de securitate cibernetică?". Prima vă ajută enorm la a doua, dar nu o înlocuiește.

Strategia inteligentă: un singur sistem, două pălării

Greșeala pe care o vedem la companiile certificate e construirea unei „conformități NIS2" paralele: alt set de politici, alt registru de riscuri, altă echipă. Rezultatul e muncă dublă și, în timp, două sisteme pe jumătate întreținute.

Abordarea care funcționează e integrarea: extindeți sistemul ISO existent cu cerințele specifice legii — o anexă de mapare cerință legală → control existent, procedurile de notificare și raportare către DNSC, dosarul de instruire a conducerii. Un singur sistem, întreținut o singură dată, care răspunde și auditorului de certificare, și autorității. La auditurile noastre de conformitate pentru companii certificate, exact această mapare e primul livrabil: vă arată negru pe alb ce e deja acoperit și ce mai rămâne.

Aveți ISO 27001 și vreți maparea către NIS2?

Vă spunem exact ce e deja acoperit din cerințele legale și ce mai rămâne — de regulă mai puțin decât vă temeți.

Cereți o evaluare sau scrieți-ne: contact@auditornis2.ro