Ghid NIS2 România: OUG 155/2024 și Legea 124/2025, pe înțelesul tuturor
NIS2 este cea mai amplă lege de securitate cibernetică aplicată vreodată în România: mii de firme au devenit peste noapte „entități esențiale” sau „importante”, cu obligații concrete și amenzi de milioane de euro. Ghidul de față îți explică, fără jargon juridic, ce cere legea, pe cine vizează, ce termene au trecut deja și de unde începi.
01Ce este NIS2 și de ce a apărut
NIS2 (Directiva (UE) 2022/2555) este cadrul european de securitate cibernetică ce înlocuiește prima directivă NIS din 2016. Prima versiune acoperea puține organizații și era aplicată inegal între statele membre; între timp, atacurile ransomware și cele asupra lanțurilor de aprovizionare au explodat. NIS2 răspunde prin trei schimbări mari: extinde drastic numărul de sectoare și de firme vizate, impune un set minim comun de măsuri de securitate și introduce sancțiuni la nivelul amenzilor GDPR.
Filozofia directivei e simplă: serviciile de care depinde societatea — energie, sănătate, transport, plăți, comunicații — nu au voie să pice din cauza unui atac cibernetic, iar statul vrea dovezi că firmele care le furnizează își gestionează riscurile serios.
02Cadrul legal din România: OUG 155/2024 și Legea 124/2025
România a transpus directiva prin Ordonanța de urgență nr. 155/2024, publicată pe 30 decembrie 2024, aprobată ulterior cu modificări prin Legea nr. 124/2025 (în vigoare din 10 iulie 2025). Autoritatea competentă este DNSC — Directoratul Național de Securitate Cibernetică — care a publicat în august 2025 ordinele cu normele tehnice de aplicare.
Cadrul NIS2 în România, pe scurt
- Actul de bază
- OUG 155/2024, aprobată prin Legea 124/2025
- Autoritatea
- DNSC (Directoratul Național de Securitate Cibernetică)
- Platforma de înrolare
- NIS2@RO (portalul online al DNSC)
- Platforma de raportare incidente
- PNRISC (pnrisc.dnsc.ro)
- Stadiu
- Termenele de înrolare și implementare au trecut — suntem în faza de supraveghere și sancțiuni
03Cine intră sub NIS2, pe scurt
Regula generală are două condiții cumulative: activezi într-unul dintre cele 18 sectoare vizate (energie, transport, sănătate, bancar, apă, infrastructură digitală, administrație publică, alimentar, chimie, deșeuri ș.a.) ȘI depășești pragul de mărime — cel puțin 50 de angajați sau peste 10 milioane de euro cifră de afaceri anuală. Există și categorii care intră indiferent de mărime, de exemplu furnizorii de servicii DNS sau de comunicații electronice.
Am dedicat un ghid separat exact acestei întrebări — cu toate sectoarele din anexe, pragurile și cazurile speciale: „Intri sub NIS2?”. Iar dacă vrei răspunsul rapid, calculatorul nostru gratuit ți-l dă în câteva minute.
04„Esențială” sau „importantă”: de ce contează clasificarea
Legea împarte organizațiile vizate în două categorii. Simplificat: firmele mari din sectoarele de criticitate înaltă (Anexa I) sunt entități esențiale; firmele mijlocii din Anexa I și cele din celelalte sectoare critice (Anexa II) sunt de regulă entități importante. Diferența nu e cosmetică: entitățile esențiale sunt supravegheate proactiv (DNSC poate veni în control fără să existe un incident), au amenzi mai mari și cerințe mai stricte, în timp ce entitățile importante sunt verificate de regulă reactiv, după incidente sau sesizări.
05Obligațiile tale, una câte una
- Înrolarea la DNSC — te înregistrezi în platforma NIS2@RO cu datele organizației; termenul inițial a fost de 30 de zile de la publicarea ordinelor DNSC (august–septembrie 2025). Dacă nu ai făcut-o, obligația nu dispare — întârzierea doar agravează situația.
- Desemnarea responsabilului cu securitatea — o persoană responsabilă de conformitatea NIS2, anunțată la DNSC, cu pregătire adecvată.
- Evaluarea riscurilor — analiza de risc asupra serviciilor furnizate; la solicitarea DNSC, evaluarea se transmite în termenele stabilite de autoritate (regula generală: 60 de zile de la identificarea entității).
- Implementarea măsurilor minime de securitate — cele 10 domenii de măsuri din directivă (detaliate mai jos), proporțional cu riscurile.
- Raportarea incidentelor semnificative — alertă timpurie în 24h, notificare în 72h, raport final în cel mult o lună, prin PNRISC.
- Autoevaluarea anuală a maturității — nivelul de maturitate al măsurilor de securitate se autoevaluează anual și se transmite la DNSC, asumat de conducere.
- Auditul de securitate cibernetică — audituri periodice realizate de auditori atestați, conform normelor DNSC.
06Cele 10 domenii de măsuri minime (art. 21 din directivă)
- Politici de analiză a riscurilor și de securitate a sistemelor informatice
- Gestionarea incidentelor (prevenire, detectare, răspuns)
- Continuitatea activității: backup, recuperare în caz de dezastru, managementul crizelor
- Securitatea lanțului de aprovizionare — inclusiv relația cu furnizorii direcți
- Securitatea achiziției, dezvoltării și mentenanței sistemelor, inclusiv tratarea vulnerabilităților
- Politici și proceduri de evaluare a eficacității măsurilor (testezi că funcționează, nu doar că există pe hârtie)
- Igienă cibernetică de bază și instruirea personalului
- Politici privind criptografia și, unde e cazul, criptarea
- Securitatea resurselor umane, politici de control al accesului și gestiunea activelor
- Autentificare multifactor (MFA), comunicații securizate și sisteme de comunicare de urgență
07Termenele — au trecut deja
| Moment | Ce s-a întâmplat |
|---|---|
| 30 decembrie 2024 | OUG 155/2024 publicată — legea NIS2 a României intră în vigoare |
| 10 iulie 2025 | Legea 124/2025 aprobă și modifică ordonanța |
| 20 august 2025 | DNSC publică ordinele cu normele tehnice de aplicare |
| septembrie 2025 | Expiră termenul de 30 de zile pentru înrolarea în NIS2@RO |
| octombrie 2025 → | Implementarea măsurilor; începe faza de supraveghere și sancțiuni |
08Amenzile: până la 10 milioane de euro sau 2% din cifra de afaceri
| Categoria | Amenda maximă |
|---|---|
| Entități esențiale | până la 10 mil. € sau 2% din cifra de afaceri mondială anuală — oricare e mai mare |
| Entități importante | până la 7 mil. € sau 1,4% din cifra de afaceri mondială anuală — oricare e mai mare |
| Încălcări repetate/grave | plafonul se poate dubla |
Dincolo de amenzi, legea prevede răspunderea directă a conducerii: organele de conducere aprobă măsurile de securitate, le supraveghează implementarea și răspund pentru nerespectarea lor. Managementul trebuie să urmeze și instruiri de securitate cibernetică. „Nu am știut” nu mai e o apărare — aprobarea măsurilor e obligația explicită a directorului.
09De unde începi: 5 pași practici
- Verifică dacă intri sub NIS2 și la ce nivel — 5 minute cu calculatorul gratuit Normward.
- Înrolează-te la DNSC (dacă n-ai făcut-o) și desemnează responsabilul de securitate.
- Fă o evaluare onestă a celor 10 domenii de măsuri: ce ai documentat, ce e implementat efectiv, ce lipsește.
- Prioritizează lacunele critice (backup netestat, lipsă MFA, lipsă procedură de incidente) și pune-le într-un plan de remediere cu termene și responsabili.
- Pregătește-te pentru raportare ÎNAINTE de primul incident: procedură scrisă, roluri clare, acces la PNRISC — la 3 dimineața nu improvizezi.
Exact acest drum îl automatizează Normward: scoping, evaluare cu scor, gap analysis, plan de remediere, politici și formulare DNSC generate cu AI și evidența incidentelor cu ceasul de raportare pornit. Începe cu calculatorul — e gratuit și îți dă și nivelul de clasificare.
Surse și texte oficiale
- OUG 155/2024 — Portal Legislativ
- DNSC — legislația subsecventă de implementare
- Directiva (UE) 2022/2555 (NIS2)
Material informativ, nu consultanță juridică. Legislația se poate modifica — verifică textele oficiale înainte de decizii cu efecte legale.