Sari la conținut
Toate resursele
NIS2Actualizat 2 iulie 2026 · 9 min de citit

Intri sub NIS2? Cele 18 sectoare, pragurile de mărime și clasificarea entității

„Noi intrăm sub NIS2?” e prima întrebare pe care și-o pune orice administrator care aude de amenzile de milioane de euro. Răspunsul stă în două criterii — sectorul și mărimea — plus câteva cazuri speciale care prind firme mici de tot. Iată harta completă, cu toate sectoarele din anexe și pragurile exacte.

01Regula generală: două condiții, ambele îndeplinite

Intri sub NIS2 dacă (1) activezi într-un sector din Anexa I sau II a directivei — transpuse în OUG 155/2024 — și (2) ești cel puțin întreprindere mijlocie: minimum 50 de angajați SAU peste 10 milioane de euro cifră de afaceri anuală. Ambele condiții trebuie îndeplinite pentru regula generală; excepțiile (firme mici care intră oricum) sunt mai jos.

02Pragurile de mărime, exact

CategoriaAngajațiCifră de afaceriSub NIS2?
Microsub 10sub 2 mil. €de regulă NU (vezi excepțiile)
Mică10–492–10 mil. €de regulă NU (vezi excepțiile)
Mijlocie50–24910–50 mil. €DA, dacă ești în sectoarele vizate
Mare250+peste 50 mil. €DA, dacă ești în sectoarele vizate

03Anexa I — sectoarele de criticitate înaltă

  • Energie — electricitate, termoficare, petrol, gaze, hidrogen (producători, distribuitori, operatori)
  • Transport — aerian, feroviar, naval, rutier (inclusiv operatori de infrastructură)
  • Sectorul bancar — instituții de credit
  • Infrastructuri ale piețelor financiare — locuri de tranzacționare, contrapărți centrale
  • Sănătate — spitale, clinici, laboratoare, producători farmaceutici și de dispozitive medicale critice
  • Apă potabilă — furnizori și distribuitori
  • Ape uzate — operatori de colectare și tratare
  • Infrastructură digitală — furnizori DNS, registre TLD, cloud, data centere, CDN, servicii de încredere, rețele și servicii de comunicații electronice publice
  • Gestionarea serviciilor TIC B2B — furnizori de servicii gestionate (MSP) și de securitate gestionată (MSSP)
  • Administrație publică — entități ale administrației centrale și, după caz, regionale
  • Spațiu — operatori de infrastructură terestră spațială

04Anexa II — celelalte sectoare critice

  • Servicii poștale și de curierat
  • Gestionarea deșeurilor
  • Fabricarea, producția și distribuția de substanțe chimice
  • Producția, prelucrarea și distribuția de alimente
  • Fabricare — dispozitive medicale, produse informatice/electronice/optice, echipamente electrice, mașini și utilaje, autovehicule și alte mijloace de transport
  • Furnizori digitali — piețe online (marketplace), motoare de căutare, platforme de social media
  • Cercetare — organizații de cercetare

05Cazurile speciale: intri indiferent de mărime

Pentru anumite servicii, criteriul de mărime dispare complet — chiar și un SRL cu 3 oameni intră sub NIS2 dacă furnizează:

  • servicii DNS sau înregistrare de nume de domenii (registrari), registre TLD
  • servicii de încredere (semnătură electronică, sigilii, certificate)
  • rețele sau servicii de comunicații electronice destinate publicului
  • servicii a căror perturbare ar putea afecta semnificativ siguranța publică, securitatea sau sănătatea ori ar induce riscuri sistemice — sau dacă ești furnizor unic al unui serviciu esențial la nivel național/regional
  • entități ale administrației publice desemnate de lege

06Esențială sau importantă: cum se face departajarea

Simplificat: firmele mari (250+ angajați sau peste 50 mil. €) din Anexa I sunt entități esențiale; firmele mijlocii din Anexa I și entitățile din Anexa II sunt de regulă entități importante. La acestea se adaugă desemnările speciale (furnizorii critici pot fi ridicați la „esențială” indiferent de mărime). Diferența practică: supraveghere proactivă și amenzi de până la 10 mil. €/2% pentru esențiale, față de supraveghere reactivă și 7 mil. €/1,4% pentru importante.

07Clasificarea din România și numărul de controale

În implementarea românească, DNSC folosește o metodologie de clasificare (în linia cadrului CyFun/CyFunRO) care încadrează entitatea pe niveluri de asigurare în funcție de mărime, natura amenințărilor, impactul potențial și probabilitate. Nivelul determină setul de măsuri de securitate aplicabile — de la un set de bază pentru entitățile cu risc redus până la setul complet pentru entitățile esențiale. Practic: nu toată lumea implementează același număr de controale, iar primul pas corect e să afli nivelul tău.

08Poți fi „prins” și indirect: lanțul de aprovizionare

Chiar dacă nu intri direct sub lege, clienții tăi care intră au obligația să-și securizeze lanțul de aprovizionare — adică pe tine. Tot mai multe contracte B2B cer deja dovezi de securitate: politici, MFA, backup, răspuns la incidente. Dacă furnizezi servicii IT, software sau date către entități NIS2, cerințele ajung la tine pe cale contractuală, cu aceleași dovezi de prezentat, doar fără DNSC în peisaj.

Verificarea în 3 pași

Pasul 1
Identifică-ți sectorul în Anexa I sau II (inclusiv codurile CAEN aferente activității reale)
Pasul 2
Verifică pragul: ≥50 angajați SAU >10 mil. € cifră de afaceri (atenție la grup)
Pasul 3
Verifică excepțiile care se aplică indiferent de mărime

Cel mai rapid mod să afli unde te încadrezi: calculatorul gratuit Normward — răspunzi la câteva întrebări despre sector, mărime și servicii, și primești verdictul (esențială/importantă/în afara legii) plus nivelul de clasificare și pașii următori. Fără cont, fără card.

Surse și texte oficiale

Material informativ, nu consultanță juridică. Legislația se poate modifica — verifică textele oficiale înainte de decizii cu efecte legale.

Afli în 5 minute unde stai cu NIS2.

Calculator gratuit de eligibilitate — sector, mărime, servicii → verdictul și nivelul tău de clasificare.

Citește și