Sancțiuni

Sancțiunile NIS2, explicate calm: ce prevede legea și ce contează cu adevărat

Publicat: 8 iunie 2026 Actualizat: 6 iulie 2026 Lectură: ~6 minute

Pe internet, sancțiunile NIS2 apar de obicei în titluri cu semne de exclamare și cifre îngroșate. Noi credem că vă e mai util să știți exact ce scrie în lege, cum funcționează în practică supravegherea și ce anume vă protejează cu adevărat. Fără dramatism — dar și fără minimalizări.

Cifrele, așa cum sunt

OUG 155/2024 stabilește plafoane maxime de amendă diferențiate după categoria entității:

  • Entitățile esențiale: până la 10 milioane de euro sau 2% din cifra de afaceri mondială totală a exercițiului financiar precedent — oricare valoare e mai mare.
  • Entitățile importante: până la 7 milioane de euro sau 1,4% din cifra de afaceri mondială totală — tot oricare e mai mare.

Sunt plafoane maxime, nu tarife fixe. Amenda concretă se stabilește în funcție de gravitatea faptei, durata, caracterul repetat și conduita entității. Pe lângă amenzi, legea prevede și obligații de neconformitate punctuale — de exemplu, nerespectarea ordinelor DNSC de notificare și evaluare atrage sancțiuni proprii — precum și măsuri corective: instrucțiuni obligatorii, termene de remediere și, în cazuri grave pentru entitățile esențiale, suspendarea temporară a unor autorizări.

Partea despre care se vorbește mai puțin: răspunderea conducerii

Noutatea reală a NIS2 față de vechiul cadru — Legea 362/2018, în mare parte abrogată — nu e mărimea amenzilor, ci faptul că răspunderea urcă la nivelul conducerii. Legea 124/2025 a făcut lucrurile și mai explicite: organele de conducere aprobă măsurile de gestionare a riscurilor, supraveghează implementarea lor, urmează cursuri de formare și desemnează responsabili cu securitatea.

Pentru un administrator sau un director general, asta schimbă natura discuției. Securitatea cibernetică nu mai e un subiect pe care îl semnezi anual la buget și îl uiți: e o responsabilitate personală documentată. Vestea bună e că documentarea diligenței — instruiri făcute, decizii aprobate, plan de măsuri asumat — e exact ce vă protejează.

Cum funcționează supravegherea, de fapt

Controalele DNSC nu sunt aleatorii și nici arbitrare: se desfășoară după normele din Ordinul DNSC nr. 3/2025, care include și o metodologie de prioritizare pe bază de risc. Cu alte cuvinte, autoritatea se uită întâi acolo unde riscul e mai mare: entități esențiale, sectoare sensibile, organizații cu incidente la activ sau cu obligații de bază neîndeplinite.

Diferența dintre cele două categorii de entități contează și aici: entitățile esențiale pot fi verificate proactiv, oricând; entitățile importante sunt verificate de regulă ex post — după un incident sau un indiciu de neconformitate. Iar primele lucruri verificabile fără să vă calce nimeni pragul sunt cele administrative: v-ați notificat? ați transmis evaluarea de risc? Despre ambele am scris în ghidul de notificare.

Observația noastră din practică Autoritățile de supraveghere — și DNSC nu face excepție — urmăresc în primul rând conformarea, nu colectarea de amenzi. O organizație care poate arăta un proces început, un plan asumat și progres documentat poartă o cu totul altă conversație decât una care a ignorat subiectul. Nu e o garanție juridică; e felul în care funcționează, previzibil, orice supraveghere bazată pe risc.

Ce vă protejează, concret

Dacă ar fi să reducem totul la o listă scurtă de lucruri care schimbă poziția unei companii:

  1. Obligațiile administrative bifate la timp: notificarea, evaluarea de risc, desemnarea responsabililor. Sunt ieftine, rapide și primele verificate.
  2. Un plan de măsuri realist, asumat de conducere — chiar dacă implementarea e în curs. Legea însăși lucrează cu planuri de remediere; existența unuia serios e un argument, nu o recunoaștere de vină.
  3. Dovezi, nu declarații. Jurnale, procese-verbale de instruire, rapoarte de testare a backup-urilor. La orice verificare, ce puteți proba cântărește mai mult decât ce puteți povesti.
  4. Incidente gestionate corect. Un incident raportat la timp și gestionat matur poate rămâne un eveniment operațional; unul ascuns devine problemă de conformitate. Mecanismul termenelor l-am explicat în articolul despre raportare.

Iar dacă vă întrebați de unde să începeți ca să ajungeți în această poziție, răspunsul scurt e: aflați unde vă aflați acum. Un audit sau un gap analysis vă dă exact harta — restul e execuție în ritmul organizației.

Vreți să știți exact unde vă aflați?

O primă evaluare vă arată ce aveți bifat, ce lipsește și cât de urgent e fiecare punct. Prima discuție e gratuită.

Programați o discuție sau scrieți-ne: contact@auditornis2.ro