Întrebări frecvente

Întrebările pe care ni le pun toți clienții

Răspunsuri directe, cu trimitere la lege acolo unde contează. Dacă întrebarea ta nu e aici — scrie-ne, răspundem oricum.

Firma mea intră sub NIS2?

Regula generală: intri dacă activezi într-unul din cele 18 sectoare reglementate (Anexele 1 și 2 din OUG 155/2024) și ai peste 50 de angajați sau peste 10 milioane EUR cifră de afaceri. Există și excepții — entități desemnate indiferent de mărime, de exemplu furnizori unici de servicii esențiale. Cel mai simplu: verifică în 2 minute cu instrumentul nostru gratuit — fără date de contact, primești încadrarea și obligațiile pe loc.

Care este, de fapt, legea NIS2 în România?

Lanțul complet: Directiva (UE) 2022/2555 la nivel european → transpusă prin OUG 155/2024 → aprobată prin Legea 124/2025 → detaliată prin ordinele DNSC privind înregistrarea, evaluarea riscurilor și raportarea. Autoritatea competentă e DNSC.

Ce sancțiuni risc dacă nu sunt conform?

Pentru entități esențiale: până la 10 milioane EUR sau 2% din cifra de afaceri mondială — se aplică suma mai mare. Pentru entități importante: până la 7 milioane EUR sau 1,4%. Există și sancțiuni pentru neînregistrare, plus răspunderea personală a conducerii. Spunem asta o singură dată, cu sursă, pentru că e important — nu ca să te speriem: costul conformității e tipic sub 5% din expunerea maximă.

În cât timp trebuie să raportez un incident?

Trei termene, în cascadă, de la detectare: avertizare timpurie în 24 de ore, notificarea incidentului în 72 de ore, raport final în 30 de zile. Se raportează incidentele semnificative, conform criteriilor din ordinele DNSC. Sfatul practic: pregătește șabloanele înainte de incident — în criză nu ai timp să afli ce câmpuri conține formularul. Detalii în ghidul nostru despre raportarea incidentelor.

Cât costă conformitatea?

Orientativ, la noi: Gap Analysis 15.000–45.000 RON, implementare 30.000–120.000 RON, audit de conformitate 25.000–80.000 RON, abonamente de la 1.500 RON/lună. Prețul final depinde de mărime și punctul de plecare — după prima discuție primești ofertă fixă. Detalii pe pagina de servicii.

Am deja ISO 27001. Sunt acoperit?

Ești cu mult înaintea majorității, dar nu automat conform. NIS2 adaugă peste ISO: înregistrarea la DNSC, termenele stricte de raportare, răspunderea explicită a conducerii, cerințe întărite pe lanțul de aprovizionare. Vestea bună: un gap analysis pe diferență e rapid și ieftin când ai deja un ISMS funcțional. Am scris pe larg despre asta în NIS2 vs ISO 27001.

Cum decurge concret un audit?

În 6 faze, de la stabilirea perimetrului până la supravegherea continuă, cu revizuire la 4 ochi pe fiecare raport. Am publicat metodologia completă — inclusiv ce nu facem — și un studiu de caz cu cifre și mostre de livrabile.

Ce verifică DNSC la o inspecție?

Trei straturi de dovezi: documentare (politici aprobate, registre la zi), tehnice (configurații, jurnale, backup-uri testate) și operaționale (instruiri cu prezență, simulări documentate, evaluări de furnizori). Greșeala clasică: dosar frumos de politici, zero dovezi că se aplică. Auditorul — al lor sau al nostru — verifică aplicarea, nu hârtia.

Conducerea chiar răspunde personal?

Da — cadrul NIS2 pune explicit responsabilitatea aprobării și supravegherii măsurilor de securitate pe umerii organelor de conducere, cu obligație de instruire. E schimbarea de paradigmă față de vechea abordare „e treaba IT-ului”. De aceea fiecare misiune a noastră include o sesiune dedicată managementului.

Suntem furnizor pentru o entitate esențială. Ne privește?

Foarte probabil, chiar dacă nu intri direct sub lege: clienții tăi sunt obligați să-și securizeze lanțul de aprovizionare, deci vor începe să-ți ceară dovezi — chestionare, clauze contractuale, uneori audituri. O evaluare făcută proactiv devine argument de vânzare, nu cost.

Ai o întrebare care nu e aici?

Sau vrei răspunsul aplicat pe situația ta? Începe cu verificarea gratuită.