Procedură

Notificarea la DNSC, pas cu pas: cum vă înregistrați ca entitate NIS2

Publicat: 2 aprilie 2026 Actualizat: 6 iulie 2026 Lectură: ~7 minute

Notificarea către DNSC este primul contact oficial dintre compania dumneavoastră și autoritate, și de aceea merită făcută corect din prima. Nu e complicată, dar are câteva detalii procedurale care i-au încurcat pe destui. Iată tot procesul, în ordinea în care se întâmplă.

Întâi, o clarificare: cine trebuie să se notifice?

Răspunsul scurt care surprinde mereu: mai multe companii decât cele care se știu vizate. Dacă activați într-unul din sectoarele din anexele OUG 155/2024 și aveți dubii asupra încadrării, tot transmiteți formularul — pentru că statutul oficial (esențială, importantă sau în afara domeniului de aplicare) îl stabilește DNSC, nu autoevaluarea dumneavoastră. O confirmare oficială că nu sunteți vizați valorează, de altfel, destul de mult: o puteți arăta clienților care vă întreabă.

Dacă nu ați parcurs încă analiza de încadrare, am explicat criteriile pe larg în ghidul NIS2 de bază.

Pasul 1: evaluarea preliminară

DNSC pune la dispoziție două instrumente, ambele descrise în Ordinul DNSC nr. 1/2025: platforma online NIS2@RO și instrumentul NIS2@RO descărcabil, utilizabil local atunci când platforma nu este disponibilă. Completați câteva date despre companie — sector, dimensiune, servicii — și primiți o evaluare preliminară a statutului.

Un sfat din teren: pregătiți dinainte codurile CAEN autorizate (nu doar cele declarate), numărul mediu de angajați și cifra de afaceri conform ultimelor situații financiare. Sunt exact datele la care se poticnește completarea, iar corectitudinea lor contează pentru încadrare.

Pasul 2: generarea și semnarea formularului

Formularul de notificare se generează exclusiv prin instrumentele oficiale — nu există variantă „liberă". Documentul rezultat se salvează în PDF și se semnează de reprezentantul legal: cu semnătură electronică calificată pentru depunerea electronică sau olograf pentru depunerea pe hârtie, dacă instrumentele electronice nu sunt disponibile.

Aici apare cea mai frecventă greșeală pe care o vedem: formularul semnat de altcineva decât reprezentantul legal — un director IT, de exemplu, fără împuternicire. Verificați acest detaliu înainte de transmitere; vă scutește de un schimb de e-mailuri cu autoritatea.

Pasul 3: transmiterea

Formularul se transmite prin platforma NIS2@RO după autentificare sau, alternativ, pe e-mail la adresa oficială a DNSC dedicată evidenței, însoțit de documentele justificative. Important: dacă ați transmis pe e-mail sau pe hârtie, aveți obligația să creați ulterior cont în platformă și să încărcați acolo datele deja transmise.

Anumite entități trebuie să includă în notificare și autoevaluarea gradului de perturbare a serviciilor, realizată după criteriile din Ordinul DNSC nr. 2/2025 — în esență, o analiză a cât de grave ar fi consecințele dacă serviciile dumneavoastră ar fi întrerupte.

Termenul care contează Notificarea se transmite în 30 de zile de la momentul în care entitatea intră sub incidența legii sau de la operaționalizarea instrumentelor. Dacă ați depășit termenul, transmiteți oricum — o notificare târzie e întotdeauna preferabilă absenței ei, iar autoritatea a arătat până acum că apreciază buna-credință.

Pasul 4: decizia DNSC și ce urmează după

DNSC analizează notificarea și emite decizia de identificare și înscriere în Registrul entităților. Din momentul comunicării deciziei încep să curgă termene noi, iar aici multe companii se relaxează prematur:

  • 60 de zile pentru realizarea și transmiterea evaluării nivelului de risc, după metodologia din Ordinul DNSC nr. 2/2025. Scorul rezultat stabilește ce categorie de măsuri de securitate trebuie să implementați.
  • 30 de zile pentru desemnarea responsabililor cu securitatea rețelelor și sistemelor informatice, obligație introdusă prin Legea 124/2025.

Cu alte cuvinte, notificarea nu e sfârșitul procesului, ci startul lui oficial. E momentul potrivit să aveți deja o imagine a măsurilor existente și a diferențelor de acoperit — un audit sau măcar un gap analysis vă dă exact această imagine.

Greșelile pe care le vedem cel mai des

  • Convingerea că „nu ne aplicăm" fără o analiză reală a codurilor CAEN și a criteriilor calitative.
  • Formular semnat de o persoană fără calitate de reprezentant legal.
  • Notificare transmisă, dar platforma NIS2@RO ignorată ulterior — deși încărcarea datelor acolo e obligatorie.
  • Termenul de 60 de zile pentru evaluarea de risc descoperit abia când a expirat pe jumătate.
  • Date de contact generice (office@...) pe care nu le citește nimeni — pe acolo vin comunicările oficiale.

Preferați să nu treceți singuri prin proces?

Vă putem ajuta cu analiza de încadrare și cu întreaga procedură de notificare — corect și din prima.

Cereți sprijin la notificare sau scrieți-ne: contact@auditornis2.ro