Intrebari frecvente
Raspunsuri la cele mai frecvente intrebari despre Directiva NIS2 si obligatiile aferente.
Directiva NIS2 (Directiva (UE) 2022/2555) este actul legislativ european care stabileste un nivel comun ridicat de securitate cibernetica in Uniunea Europeana. Aceasta inlocuieste Directiva NIS1 din 2016 si extinde semnificativ domeniul de aplicare, obligatiile si sanctiunile. NIS2 a intrat in vigoare pe 16 ianuarie 2023, iar statele membre au avut termen de transpunere pana la 17 octombrie 2024.
NIS2 se aplica organizatiilor medii si mari (peste 50 angajati sau cifra de afaceri/bilant peste 10M EUR) care activeaza in sectoarele reglementate: energie, transport, sanatate, infrastructura digitala, apa, spatiu, administratie publica, sectorul alimentar, chimice, fabricare, servicii postale, gestionarea deseurilor, cercetare si furnizori de servicii digitale. Anumite entitati se incadreaza indiferent de dimensiune (furnizori DNS, registre TLD, servicii de incredere, administratia publica centrala).
Romania a transpus Directiva NIS2 prin OUG 155/2024, completata ulterior prin Legea 124/2025. Obligatiile sunt deja in vigoare, iar entitatile vizate trebuie sa se inregistreze la DNSC si sa implementeze masurile de securitate prevazute. Normele metodologice detaliate au fost emise prin Ordinele DNSC nr. 1 si 2 din 2025.
Verificarea se face in functie de trei criterii: (1) sectorul de activitate - codul CAEN principal trebuie sa corespunda unui sector reglementat NIS2, (2) dimensiunea organizatiei - minimum 50 angajati sau cifra de afaceri/bilant peste 10M EUR, si (3) statutul special - anumite categorii de entitati sunt incluse indiferent de dimensiune. Puteti utiliza instrumentul nostru de verificare gratuita.
Entitatile esentiale activeaza in sectoarele din Anexa I (energie, transport, sanatate, apa, infrastructura digitala, spatiu, administratie publica, sector bancar, piete financiare, ICT B2B) si sunt entitati mari (peste 250 angajati sau cifra de afaceri peste 50M EUR). Sunt supuse supravegherii proactive.
Entitatile importante activeaza in sectoarele din Anexa II (posta, deseuri, chimice, alimente, fabricare, cercetare, servicii digitale) sau sunt entitati medii in sectoarele din Anexa I. Sunt supuse supravegherii reactive. Ambele categorii au aceleasi obligatii, dar difera regimul de supraveghere si nivelul amenzilor.
Entitatile importante activeaza in sectoarele din Anexa II (posta, deseuri, chimice, alimente, fabricare, cercetare, servicii digitale) sau sunt entitati medii in sectoarele din Anexa I. Sunt supuse supravegherii reactive. Ambele categorii au aceleasi obligatii, dar difera regimul de supraveghere si nivelul amenzilor.
Codurile CAEN (Clasificarea Activitatilor din Economia Nationala) sunt utilizate pentru a identifica sectorul de activitate al companiei. NIS2 reglementeaza sectoare specifice, iar fiecarui sector ii corespund anumite coduri CAEN. Codul CAEN principal al companiei (inscris in certificatul de inregistrare) este cel mai relevant, dar si activitatile secundare pot determina incadrarea daca sunt desfasurate efectiv.
Principalele obligatii includ: (1) inregistrarea la DNSC, (2) implementarea masurilor de gestionare a riscurilor de securitate cibernetica (Art. 21), (3) raportarea incidentelor semnificative (Art. 23), (4) desemnarea unui responsabil NIS/CISO, (5) instruirea conducerii si personalului, (6) securitatea lantului de aprovizionare, (7) politici de analiza a riscurilor si securitate a sistemelor informatice, (8) gestionarea incidentelor, (9) continuitatea activitatii, (10) securitatea achizitiei, dezvoltarii si intretinerii retelelor si sistemelor informatice.
Obligatiile NIS2 sunt deja in vigoare in Romania. Entitatile vizate trebuie sa se inregistreze la DNSC cat mai curand posibil si sa inceapa implementarea masurilor de securitate. Termenele exacte de conformare pot varia in functie de specificul fiecarei obligatii si de normele emise de DNSC. Recomandam consultarea textelor legislative si a ghidurilor DNSC pentru termenele detaliate.
Responsabilul NIS (numit si CISO - Chief Information Security Officer) este persoana desemnata de organizatie sa coordoneze implementarea masurilor de securitate cibernetica si sa asigure conformitatea cu cerintele NIS2. Aceasta persoana actioneaza ca punct de contact cu DNSC si trebuie sa aiba competentele tehnice necesare. Rolul poate fi indeplinit de un angajat sau de un consultant extern.
Un incident de securitate cibernetica este considerat semnificativ daca: (a) a cauzat sau poate cauza perturbari operationale grave ale serviciilor sau pierderi financiare pentru entitate, sau (b) a afectat sau poate afecta alte persoane fizice sau juridice prin cauzarea de daune materiale sau nemateriale considerabile. Evaluarea semnificatiei se face pe baza criteriilor stabilite de DNSC.
Raportarea se face catre DNSC (CSIRT national) prin canalele stabilite in Ordinul DNSC nr. 2/2025. Platforma noastra ofera un wizard de raportare care va ghideaza pas cu pas si genereaza formularele necesare in formatele cerute. Puteti raporta prin platforma DNSC, email sau telefon in cazuri de urgenta.
Termenele sunt stricte si se calculeaza de la momentul in care entitatea ia cunostinta de incident: 24 ore - alerta initiala (early warning) catre DNSC, cu informatii de baza; 72 ore - notificarea incidentului cu evaluare initiala, gravitate, impact si indicatori de compromitere; La cerere - raport intermediar cu actualizari; 30 zile - raport final detaliat cu cauze, masuri de remediere si impact transfrontalier daca este cazul.
Sanctiunile sunt semnificative: pentru entitatile esentiale - amenzi de pana la 10.000.000 EUR sau 2% din cifra de afaceri globala anuala (se aplica cea mai mare valoare); pentru entitatile importante - amenzi de pana la 7.000.000 EUR sau 1,4% din cifra de afaceri globala anuala. Pe langa amenzi, DNSC poate dispune masuri corective, avertismente publice si, in cazuri extreme, suspendarea temporara a anumitor activitati.
NIS2 introduce responsabilitatea personala a conducerii (Art. 20). Membrii organelor de conducere (consiliu de administratie, directori) pot fi tinuti responsabili personal pentru nerespectarea obligatiilor de securitate cibernetica. Acestia trebuie sa aprobe masurile de gestionare a riscurilor, sa supravegheze implementarea lor si sa urmeze formare specializata. In caz de neconformare grava, autoritatile pot dispune interdictia temporara de exercitare a functiilor de conducere.
Frecventa auditurilor de securitate depinde de tipul entitatii si de cerintele DNSC. Entitatile esentiale sunt supuse auditurilor regulate obligatorii si controalelor proactive din partea DNSC. Entitatile importante sunt supuse controalelor reactive (in urma unor indicii de neconformitate). Ca buna practica, se recomanda efectuarea unui audit intern cel putin anual si a unui audit extern o data la doi ani sau la fiecare schimbare semnificativa a infrastructurii.
Auditorii NIS2 trebuie sa fie persoane sau organizatii calificate, cu experienta in securitate cibernetica si cunoastere a cadrului legal NIS2. Certificarile relevante includ ISO 27001 Lead Auditor, CISA (Certified Information Systems Auditor), sau echivalente. Auditorii trebuie sa fie independenti fata de entitatea auditata si sa respecte standardele de audit aplicabile.
Un audit NIS2 evalueaza conformitatea cu toate masurile prevazute la Art. 21: politici de analiza a riscurilor, gestionarea incidentelor, continuitatea activitatii, securitatea lantului de aprovizionare, securitatea achizitiei si dezvoltarii sistemelor, evaluarea eficacitatii masurilor, practici de igiena cibernetica si instruire, politici criptografice, securitatea resurselor umane, controlul accesului, gestionarea activelor si utilizarea solutiilor de autentificare.
Nu ati gasit raspunsul cautat?
Verificati gratuit daca organizatia dumneavoastra se incadreaza sub NIS2 sau consultati legislatia.