Daca firma ta activeaza in energie, transport, sanatate, servicii IT, productie industriala sau in oricare dintre sectoarele considerate critice la nivel european, Directiva NIS2 iti impune obligatii concrete de securitate cibernetica. Nerespectarea lor poate atrage amenzi de pana la 10 milioane de euro.
Ce este Directiva NIS2?
NIS2 (Directiva UE 2022/2555) este cadrul european de securitate cibernetica pentru sectoarele critice si importante. A inlocuit directiva NIS initiala din 2016, extinzand semnificativ numarul de sectoare si organizatii vizate si inasprand obligatiile si sanctiunile.
In Romania, a fost transpusa prin Legea nr. 58/2023. Autoritatea competenta este DNSC — Directoratul National de Securitate Cibernetica, care coordoneaza implementarea si are atributii de supraveghere si sanctionare.
Se aplica firmei mele?
NIS2 se aplica organizatiilor din doua categorii de sectoare, in functie de dimensiune:
Entitati esentiale — Anexa I
Sectoare: Energie, transport, servicii bancare, sanatate, apa potabila, infrastructura digitala, servicii ICT gestionate (MSP/MSSP), administratie publica, spatiu.
Dimensiune: Organizatii cu minim 250 angajati SAU cifra de afaceri peste 50 mil. EUR. Unele entitati (infrastructura digitala, administrare publica) sunt incluse indiferent de dimensiune.
Entitati importante — Anexa II
Sectoare: Servicii postale si curierat, gestionarea deseurilor, productie chimica, alimente, productie industriala (electronice, vehicule), platforme digitale, organizatii de cercetare.
Dimensiune: Organizatii cu minim 50 angajati SAU cifra de afaceri peste 10 mil. EUR.
Microintreprinderile (sub 10 angajati, cifra de afaceri sub 2 mil. EUR) sunt in general excluse, cu exceptia entitatilor din infrastructura digitala si administratie publica.
Ce obligatii impune NIS2?
Indiferent ca esti entitate esentiala sau importanta, obligatiile de baza sunt similare — difera nivelul de strictete al supravegherii si cuantumul sanctiunilor.
- Masuri tehnice si organizatorice de securitate — Politici de securitate IT, gestionarea accesului, criptarea datelor, securitatea retelelor, autentificarea multifactor.
- Notificarea incidentelor la DNSC — Early warning in maxim 24 de ore, raport complet in maxim 72 de ore de la identificarea unui incident semnificativ.
- Raspunderea conducerii executive — Managementul de top raspunde direct pentru conformitatea cu NIS2 si trebuie sa urmeze cursuri de formare in securitate cibernetica.
- Securitatea lantului de aprovizionare — Evaluarea riscurilor de securitate provenite de la furnizori si parteneri. Clauze contractuale de securitate obligatorii.
- Continuitatea activitatii — Planuri de backup, recuperare in caz de dezastru si gestionarea crizelor cibernetice.
- Inregistrarea la DNSC — Entitatile vizate trebuie sa se inregistreze in registrul national administrat de DNSC.
Care sunt sanctiunile?
Entitati esentiale
pana la 10.000.000 EUR
sau 2% din cifra de afaceri globala anuala
Entitati importante
pana la 7.000.000 EUR
sau 1,4% din cifra de afaceri globala anuala
Pe langa amenzi, conducerea executiva poate fi trasa la raspundere personal, iar DNSC poate impune masuri corective sau poate suspenda temporar activitatea in cazuri grave.
De unde incepi?
- 1Verifica daca NIS2 se aplica organizatiei tale
Foloseste verificatorul nostru gratuit — doua intrebari, rezultat instant.
- 2Evalueaza maturitatea de securitate actuala
Identifica ce politici, proceduri si masuri tehnice ai deja implementate si unde sunt lacunele fata de cerintele NIS2.
- 3Implica managementul
NIS2 pune responsabilitatea direct pe conducere. Informeaza board-ul si asigura-te ca securitatea cibernetica este tratata ca prioritate strategica, nu doar ca problema IT.
- 4Inregistreaza-te la DNSC
Entitatile vizate trebuie sa se inregistreze. Nu astepta termenele limita — procesul de conformitate ia timp.