Daca firma activeaza in energie, transport, sanatate, servicii IT, productie industriala sau in oricare dintre sectoarele considerate critice la nivel european, Directiva NIS2 impune obligatii concrete de securitate cibernetica. Nerespectarea lor poate atrage amenzi de pana la 10 milioane de euro.
Ce este Directiva NIS2?
NIS2 (Directiva UE 2022/2555) este cadrul european de securitate cibernetica pentru sectoarele critice si importante. A inlocuit directiva NIS initiala din 2016, extinzand semnificativ numarul de sectoare si organizatii vizate si inasprand obligatiile si sanctiunile.
In Romania, a fost transpusa prin Legea nr. 58/2023. Autoritatea competenta este DNSC — Directoratul National de Securitate Cibernetica, care coordoneaza implementarea si are atributii de supraveghere si sanctionare.
Se aplica firmei mele?
NIS2 se aplica organizatiilor din doua categorii de sectoare, in functie de dimensiune:
Entitati esentiale — Anexa I
Sectoare: Energie, transport, servicii bancare, sanatate, apa potabila, infrastructura digitala, servicii ICT gestionate (MSP/MSSP), administratie publica, spatiu.
Dimensiune: Organizatii cu minim 250 angajati SAU cifra de afaceri peste 50 mil. EUR. Unele entitati (infrastructura digitala, administrare publica) sunt incluse indiferent de dimensiune.
Entitati importante — Anexa II
Sectoare: Servicii postale si curierat, gestionarea deseurilor, productie chimica, alimente, productie industriala (electronice, vehicule), platforme digitale, organizatii de cercetare.
Dimensiune: Organizatii cu minim 50 angajati SAU cifra de afaceri peste 10 mil. EUR.
Microintreprinderile (sub 10 angajati, cifra de afaceri sub 2 mil. EUR) sunt in general excluse, cu exceptia entitatilor din infrastructura digitala si administratie publica.
Ce obligatii impune NIS2?
Indiferent ca firma este entitate esentiala sau importanta, obligatiile de baza sunt similare — difera nivelul de strictete al supravegherii si cuantumul sanctiunilor.
- Masuri tehnice si organizatorice de securitate — Politici de securitate IT, gestionarea accesului, criptarea datelor, securitatea retelelor, autentificarea multifactor.
- Notificarea incidentelor la DNSC — Early warning in maxim 24 de ore, raport complet in maxim 72 de ore de la identificarea unui incident semnificativ.
- Raspunderea conducerii executive — Managementul de top raspunde direct pentru conformitatea cu NIS2 si trebuie sa urmeze cursuri de formare in securitate cibernetica.
- Securitatea lantului de aprovizionare — Evaluarea riscurilor de securitate provenite de la furnizori si parteneri. Clauze contractuale de securitate obligatorii.
- Continuitatea activitatii — Planuri de backup, recuperare in caz de dezastru si gestionarea crizelor cibernetice.
- Inregistrarea la DNSC — Entitatile vizate trebuie sa se inregistreze in registrul national administrat de DNSC.
Care sunt sanctiunile?
Entitati esentiale
pana la 10.000.000 EUR
sau 2% din cifra de afaceri globala anuala
Entitati importante
pana la 7.000.000 EUR
sau 1,4% din cifra de afaceri globala anuala
Pe langa amenzi, conducerea executiva poate fi trasa la raspundere personal, iar DNSC poate impune masuri corective sau poate suspenda temporar activitatea in cazuri grave.
De unde incepi?
- 1Verificarea aplicabilitatii NIS2
Utilizati verificatorul nostru gratuit — doua intrebari, rezultat instant.
- 2Evaluarea maturitatii actuale de securitate
Identificarea politicilor, procedurilor si masurilor tehnice deja implementate, precum si a lacunelor fata de cerintele NIS2.
- 3Implicarea conducerii
NIS2 atribuie responsabilitatea direct conducerii. Informarea consiliului de administratie si tratarea securitatii cibernetice ca prioritate strategica — nu doar ca o problema IT.
- 4Inregistrarea la DNSC
Entitatile vizate au obligatia de inregistrare. Procesul de conformitate necesita timp, astfel ca nu se recomanda asteptarea termenelor limita.
NIS2 se intersecteaza adesea cu obligatiile GDPR (notificarea incidentelor) si cu cele din EU AI Act pentru firmele care folosesc sisteme AI in infrastructura critica.
Intrebari frecvente despre Directiva NIS2
Ce este Directiva NIS2 si cui se aplica in Romania?
Directiva NIS2 (UE 2022/2555) este cadrul european de securitate cibernetica pentru sectoarele critice si importante. In Romania a fost transpusa prin Legea nr. 58/2023. Se aplica entitatilor din 18 sectoare, in general firme cu minim 50 angajati sau cifra de afaceri peste 10 mil. EUR.
Care este diferenta intre entitate esentiala si entitate importanta?
Entitatile esentiale (Anexa I) sunt din sectoare cu impact major: energie, transport, banci, sanatate, infrastructura digitala. Dimensiune: minim 250 angajati. Entitatile importante (Anexa II) sunt din sectoare conexe: posta, deseuri, productie chimica, alimente, platforme digitale. Dimensiune: minim 50 angajati. Amenzile maxime difera: 10 mil. EUR (esentiale) vs 7 mil. EUR (importante).
Care sunt obligatiile principale NIS2?
Masuri tehnice si organizatorice de securitate (Art. 21), notificarea incidentelor la DNSC (24h preliminar, 72h raport complet), raspunderea conducerii executive, securitatea lantului de aprovizionare, planuri de continuitate si inregistrarea in registrul national DNSC.
Cat de mari sunt amenzile NIS2 in Romania?
Pentru entitatile esentiale: pana la 10 milioane EUR sau 2% din cifra de afaceri globala. Pentru entitatile importante: pana la 7 milioane EUR sau 1,4%. In plus, conducerea executiva poate fi trasa la raspundere personal, iar DNSC poate suspenda temporar activitatea in cazuri grave.
NIS2 se aplica si firmelor mici sub 50 de angajati?
In general microintreprinderile sunt excluse. Exceptii importante: entitatile din infrastructura digitala critica (DNS, TLD, cloud, data center, CDN) si administratia publica sunt incluse indiferent de dimensiune. Pentru o verificare rapida, folositi verificatorul NIS2 gratuit oferit de GLOBAL DATA PROTECTION SRL (dataconsulting.ro).