NIS2 vs. ISO 27001: lege vs. standard, cât se suprapun și strategia „evaluezi o dată”
„Avem ISO 27001 — suntem acoperiți pe NIS2?” și „Facem NIS2 — mai are sens certificarea ISO?” sunt probabil cele mai frecvente două întrebări din conformitatea de securitate. Răspunsul scurt: sunt lucruri diferite care se suprapun masiv — unul e lege cu amenzi, celălalt e standard cu certificat — iar strategia inteligentă le tratează împreună, nu pe rând. Ghidul de față le pune față în față, cu cifre reale.
01Diferența de natură: lege vs. standard
NIS2 e lege: Directiva (UE) 2022/2555, transpusă în România prin OUG 155/2024, aprobată prin Legea 124/2025. Dacă intri în domeniul ei de aplicare, obligațiile sunt automate — înrolare la DNSC, măsuri minime, raportarea incidentelor — iar nerespectarea se amendează. ISO 27001 e standard voluntar: nimeni nu te obligă să-l implementezi, dar clienții mari îl cer contractual, iar un organism de certificare acreditat îți verifică anual sistemul. Pe scurt: NIS2 ți-o cere statul, ISO ți-l cere piața.
02Comparația cap-coadă
| NIS2 (OUG 155/2024) | ISO/IEC 27001:2022 | |
|---|---|---|
| Natura | lege (directivă UE transpusă) | standard internațional voluntar |
| Cine e vizat | entitățile din cele 18 sectoare, peste pragurile de mărime | orice organizație care alege să-l adopte |
| Ce cere | măsuri minime de securitate (art. 21), înrolare, raportare incidente | un SMSI complet: clauzele 4–10 + controalele aplicabile din Anexa A (93) |
| Cine verifică | DNSC — supraveghere și control de stat | organism de certificare acreditat — audit anual contractat de tine |
| Sancțiunea | amenzi până la 10 mil. € sau 2% din cifra de afaceri | pierzi certificatul (și clienții care îl cer) |
| Valabilitate | permanentă, cât ești în domeniul de aplicare | certificat pe 3 ani, cu supraveghere anuală |
| Raportare incidente | obligatorie: 24h / 72h / 1 lună către DNSC | cerință internă de proces, fără raportare către autorități |
03Cât de mult se suprapun controalele — cifra reală
Suprapunerea tehnică e substanțială: politici de securitate, controlul accesului, criptografia, backup-ul și continuitatea, securitatea furnizorilor, gestionarea vulnerabilităților și a incidentelor, instruirea personalului — toate apar în ambele cadre. În catalogul Normward, unde NIS2 are 80 de controale evaluabile și ISO 27001 are cele 93 din Anexa A, am construit manual 88 de mapări între controalele echivalente ale celor două cadre. Cu alte cuvinte: cea mai mare parte a muncii de implementare contează dublu.
Suprapunerea nu e însă niciodată perfectă: unele mapări sunt parțiale (controlul dintr-un cadru acoperă doar o parte din celălalt), iar fiecare cadru are zone proprii — NIS2 are obligațiile legale (înrolarea la DNSC, raportarea în termene), ISO are disciplina de sistem de management (audit intern, analiza de management, îmbunătățire continuă).
04„Am ISO 27001 — sunt acoperit pe NIS2?”
Nu automat — dar ai un avans serios. Certificatul ISO nu te scutește de nimic din NIS2: tot trebuie să te înrolezi la DNSC, să raportezi incidentele în termenele legale și să acoperi măsurile art. 21 — unele cu accente pe care ISO nu le forțează explicit. Ce ai însă deja: managementul riscului funcțional, politici scrise și aplicate, controale tehnice implementate și — poate cel mai valoros — obiceiul dovezilor. Pentru o firmă certificată ISO, conformarea NIS2 e în mare parte muncă de mapare și completare, nu de construcție de la zero.
05„Fac NIS2 — merită să merg și spre ISO?”
Comercial, de cele mai multe ori da. NIS2 te aduce oricum la 80–90% din conținutul unui SMSI: riscuri evaluate, politici, controale, incidente gestionate. Diferența până la certificare e disciplina de sistem — audit intern, analiza de management, Declarația de aplicabilitate — plus auditul extern. Iar certificatul e singurul dintre cele două pe care îl poți pune pe masă la o licitație: „suntem conformi NIS2” e o afirmație; „suntem certificați ISO 27001” e un document verificabil. Dacă vinzi B2B către clienți mari, investiția suplimentară se recuperează de regulă din primul contract câștigat.
06Strategia: evaluezi o dată, bifezi la ambele
Greșeala clasică e tratarea celor două cadre ca proiecte separate, cu două evaluări, două seturi de politici și două echipe. Abordarea corectă: un singur set de măsuri implementate, mapat pe ambele cadre. Exact așa funcționează cross-mapping-ul din Normward: evaluezi un control pe NIS2, iar pe controalele ISO echivalente primești sugestii pre-completate din evaluarea existentă — cu tot cu plafonare onestă acolo unde maparea e doar parțială. Important: sugestia o confirmi tu, nu se scrie nimic automat — la un audit trebuie să poți susține fiecare răspuns ca fiind al tău. Direcția funcționează și invers, de la ISO spre NIS2.
07De unde începi
- Stabilește ce ți se aplică: verifică în 5 minute cu calculatorul Normward dacă și cum intri sub NIS2 — și dacă clienții tăi cer ISO contractual.
- Dacă ești sub NIS2: începe cu obligațiile legale (înrolare, evaluare, măsuri) — au termene și amenzi; ISO poate veni în paralel sau imediat după.
- Dacă ai deja ISO: mapează-ți controalele pe NIS2 și acoperă diferențele legale — nu reconstrui nimic.
- Orice drum alegi: un singur set de politici și dovezi, mapat pe ambele cadre — niciodată două conformități paralele.
În Normward, ambele cadre sunt cataloage complete evaluabile pe același motor — 80 de controale NIS2 și 93 ISO 27001 — cu scor, lacune, plan de remediere, documente generate cu AI (inclusiv Declarația de aplicabilitate) și cele 88 de mapări care leagă totul. Pagina dedicată ISO 27001 din secțiunea Reglementări detaliază exact ce e acoperit.
Fața în față, în cifre
- Controale NIS2 (catalog Normward)
- 80, pe 12 domenii, cu scoping 30/50/80
- Controale ISO 27001 (Anexa A)
- 93, pe 4 teme
- Mapări între cadre
- 88 de perechi, cu acoperire totală sau parțială
- Amenda NIS2
- până la 10 mil. € sau 2% din cifra de afaceri
- Certificatul ISO
- 3 ani, supraveghere anuală, emis de organism acreditat
Surse și texte oficiale
- Directiva (UE) 2022/2555 (NIS2) — EUR-Lex
- OUG 155/2024 — Portal Legislativ
- ISO/IEC 27001:2022 — pagina oficială ISO
Material informativ, nu consultanță juridică. Legislația se poate modifica — verifică textele oficiale înainte de decizii cu efecte legale.