Procedură
Notificarea la DNSC, pas cu pas: cum vă înregistrați ca entitate NIS2
Notificarea către DNSC este primul contact oficial dintre compania dumneavoastră și autoritate, și de aceea merită făcută corect din prima. Nu e complicată, dar are câteva detalii procedurale care i-au încurcat pe destui. Iată tot procesul, în ordinea în care se întâmplă.
Întâi, o clarificare: cine trebuie să se notifice?
Răspunsul scurt care surprinde mereu: mai multe companii decât cele care se știu vizate. Dacă activați într-unul din sectoarele din anexele OUG 155/2024 și aveți dubii asupra încadrării, tot transmiteți formularul — pentru că statutul oficial (esențială, importantă sau în afara domeniului de aplicare) îl stabilește DNSC, nu autoevaluarea dumneavoastră. O confirmare oficială că nu sunteți vizați valorează, de altfel, destul de mult: o puteți arăta clienților care vă întreabă.
Dacă nu ați parcurs încă analiza de încadrare, am explicat criteriile pe larg în ghidul NIS2 de bază.
Pasul 1: evaluarea preliminară
DNSC pune la dispoziție două instrumente, ambele descrise în Ordinul DNSC nr. 1/2025: platforma online NIS2@RO și instrumentul NIS2@RO descărcabil, utilizabil local atunci când platforma nu este disponibilă. Completați câteva date despre companie — sector, dimensiune, servicii — și primiți o evaluare preliminară a statutului.
Un sfat din teren: pregătiți dinainte codurile CAEN autorizate (nu doar cele declarate), numărul mediu de angajați și cifra de afaceri conform ultimelor situații financiare. Sunt exact datele la care se poticnește completarea, iar corectitudinea lor contează pentru încadrare.
Pasul 2: generarea și semnarea formularului
Formularul de notificare se generează exclusiv prin instrumentele oficiale — nu există variantă „liberă". Documentul rezultat se salvează în PDF și se semnează de reprezentantul legal: cu semnătură electronică calificată pentru depunerea electronică sau olograf pentru depunerea pe hârtie, dacă instrumentele electronice nu sunt disponibile.
Aici apare cea mai frecventă greșeală pe care o vedem: formularul semnat de altcineva decât reprezentantul legal — un director IT, de exemplu, fără împuternicire. Verificați acest detaliu înainte de transmitere; vă scutește de un schimb de e-mailuri cu autoritatea.
Pasul 3: transmiterea
Formularul se transmite prin platforma NIS2@RO după autentificare sau, alternativ, pe e-mail la adresa oficială a DNSC dedicată evidenței, însoțit de documentele justificative. Important: dacă ați transmis pe e-mail sau pe hârtie, aveți obligația să creați ulterior cont în platformă și să încărcați acolo datele deja transmise.
Anumite entități trebuie să includă în notificare și autoevaluarea gradului de perturbare a serviciilor, realizată după criteriile din Ordinul DNSC nr. 2/2025 — în esență, o analiză a cât de grave ar fi consecințele dacă serviciile dumneavoastră ar fi întrerupte.
Pasul 4: decizia DNSC și ce urmează după
DNSC analizează notificarea și emite decizia de identificare și înscriere în Registrul entităților. Din momentul comunicării deciziei încep să curgă termene noi, iar aici multe companii se relaxează prematur:
- 60 de zile pentru realizarea și transmiterea evaluării nivelului de risc, după metodologia din Ordinul DNSC nr. 2/2025. Scorul rezultat stabilește ce categorie de măsuri de securitate trebuie să implementați.
- 30 de zile pentru desemnarea responsabililor cu securitatea rețelelor și sistemelor informatice, obligație introdusă prin Legea 124/2025.
Cu alte cuvinte, notificarea nu e sfârșitul procesului, ci startul lui oficial. E momentul potrivit să aveți deja o imagine a măsurilor existente și a diferențelor de acoperit — un audit sau măcar un gap analysis vă dă exact această imagine.
Greșelile pe care le vedem cel mai des
- Convingerea că „nu ne aplicăm" fără o analiză reală a codurilor CAEN și a criteriilor calitative.
- Formular semnat de o persoană fără calitate de reprezentant legal.
- Notificare transmisă, dar platforma NIS2@RO ignorată ulterior — deși încărcarea datelor acolo e obligatorie.
- Termenul de 60 de zile pentru evaluarea de risc descoperit abia când a expirat pe jumătate.
- Date de contact generice (office@...) pe care nu le citește nimeni — pe acolo vin comunicările oficiale.
Textele oficiale menționate în acest articol
- OUG 155/2024Cadrul pentru securitatea cibernetică — Portal Legislativ
- Legea 124/2025Aprobarea și modificarea OUG 155/2024 — Portal Legislativ
- Ord. DNSC 1/2025Procesul de notificare și înregistrare — Portal Legislativ
- Ord. DNSC 2/2025Criteriile de perturbare și evaluarea riscului — Portal Legislativ
- dnsc.roSite-ul oficial al autorității, cu instrumentele NIS2@RO
Preferați să nu treceți singuri prin proces?
Vă putem ajuta cu analiza de încadrare și cu întreaga procedură de notificare — corect și din prima.
Cereți sprijin la notificare sau scrieți-ne: contact@auditornis2.ro