Sari la conținut
Toate resursele
NIS2Actualizat 2 iulie 2026 · 11 min de citit

Ghid NIS2 România: OUG 155/2024 și Legea 124/2025, pe înțelesul tuturor

NIS2 este cea mai amplă lege de securitate cibernetică aplicată vreodată în România: mii de firme au devenit peste noapte „entități esențiale” sau „importante”, cu obligații concrete și amenzi de milioane de euro. Ghidul de față îți explică, fără jargon juridic, ce cere legea, pe cine vizează, ce termene au trecut deja și de unde începi.

01Ce este NIS2 și de ce a apărut

NIS2 (Directiva (UE) 2022/2555) este cadrul european de securitate cibernetică ce înlocuiește prima directivă NIS din 2016. Prima versiune acoperea puține organizații și era aplicată inegal între statele membre; între timp, atacurile ransomware și cele asupra lanțurilor de aprovizionare au explodat. NIS2 răspunde prin trei schimbări mari: extinde drastic numărul de sectoare și de firme vizate, impune un set minim comun de măsuri de securitate și introduce sancțiuni la nivelul amenzilor GDPR.

Filozofia directivei e simplă: serviciile de care depinde societatea — energie, sănătate, transport, plăți, comunicații — nu au voie să pice din cauza unui atac cibernetic, iar statul vrea dovezi că firmele care le furnizează își gestionează riscurile serios.

02Cadrul legal din România: OUG 155/2024 și Legea 124/2025

România a transpus directiva prin Ordonanța de urgență nr. 155/2024, publicată pe 30 decembrie 2024, aprobată ulterior cu modificări prin Legea nr. 124/2025 (în vigoare din 10 iulie 2025). Autoritatea competentă este DNSC — Directoratul Național de Securitate Cibernetică — care a publicat în august 2025 ordinele cu normele tehnice de aplicare.

Cadrul NIS2 în România, pe scurt

Actul de bază
OUG 155/2024, aprobată prin Legea 124/2025
Autoritatea
DNSC (Directoratul Național de Securitate Cibernetică)
Platforma de înrolare
NIS2@RO (portalul online al DNSC)
Platforma de raportare incidente
PNRISC (pnrisc.dnsc.ro)
Stadiu
Termenele de înrolare și implementare au trecut — suntem în faza de supraveghere și sancțiuni

03Cine intră sub NIS2, pe scurt

Regula generală are două condiții cumulative: activezi într-unul dintre cele 18 sectoare vizate (energie, transport, sănătate, bancar, apă, infrastructură digitală, administrație publică, alimentar, chimie, deșeuri ș.a.) ȘI depășești pragul de mărime — cel puțin 50 de angajați sau peste 10 milioane de euro cifră de afaceri anuală. Există și categorii care intră indiferent de mărime, de exemplu furnizorii de servicii DNS sau de comunicații electronice.

Am dedicat un ghid separat exact acestei întrebări — cu toate sectoarele din anexe, pragurile și cazurile speciale: „Intri sub NIS2?”. Iar dacă vrei răspunsul rapid, calculatorul nostru gratuit ți-l dă în câteva minute.

04„Esențială” sau „importantă”: de ce contează clasificarea

Legea împarte organizațiile vizate în două categorii. Simplificat: firmele mari din sectoarele de criticitate înaltă (Anexa I) sunt entități esențiale; firmele mijlocii din Anexa I și cele din celelalte sectoare critice (Anexa II) sunt de regulă entități importante. Diferența nu e cosmetică: entitățile esențiale sunt supravegheate proactiv (DNSC poate veni în control fără să existe un incident), au amenzi mai mari și cerințe mai stricte, în timp ce entitățile importante sunt verificate de regulă reactiv, după incidente sau sesizări.

05Obligațiile tale, una câte una

  • Înrolarea la DNSC — te înregistrezi în platforma NIS2@RO cu datele organizației; termenul inițial a fost de 30 de zile de la publicarea ordinelor DNSC (august–septembrie 2025). Dacă nu ai făcut-o, obligația nu dispare — întârzierea doar agravează situația.
  • Desemnarea responsabilului cu securitatea — o persoană responsabilă de conformitatea NIS2, anunțată la DNSC, cu pregătire adecvată.
  • Evaluarea riscurilor — analiza de risc asupra serviciilor furnizate; la solicitarea DNSC, evaluarea se transmite în termenele stabilite de autoritate (regula generală: 60 de zile de la identificarea entității).
  • Implementarea măsurilor minime de securitate — cele 10 domenii de măsuri din directivă (detaliate mai jos), proporțional cu riscurile.
  • Raportarea incidentelor semnificative — alertă timpurie în 24h, notificare în 72h, raport final în cel mult o lună, prin PNRISC.
  • Autoevaluarea anuală a maturității — nivelul de maturitate al măsurilor de securitate se autoevaluează anual și se transmite la DNSC, asumat de conducere.
  • Auditul de securitate cibernetică — audituri periodice realizate de auditori atestați, conform normelor DNSC.

06Cele 10 domenii de măsuri minime (art. 21 din directivă)

  • Politici de analiză a riscurilor și de securitate a sistemelor informatice
  • Gestionarea incidentelor (prevenire, detectare, răspuns)
  • Continuitatea activității: backup, recuperare în caz de dezastru, managementul crizelor
  • Securitatea lanțului de aprovizionare — inclusiv relația cu furnizorii direcți
  • Securitatea achiziției, dezvoltării și mentenanței sistemelor, inclusiv tratarea vulnerabilităților
  • Politici și proceduri de evaluare a eficacității măsurilor (testezi că funcționează, nu doar că există pe hârtie)
  • Igienă cibernetică de bază și instruirea personalului
  • Politici privind criptografia și, unde e cazul, criptarea
  • Securitatea resurselor umane, politici de control al accesului și gestiunea activelor
  • Autentificare multifactor (MFA), comunicații securizate și sisteme de comunicare de urgență

07Termenele — au trecut deja

MomentCe s-a întâmplat
30 decembrie 2024OUG 155/2024 publicată — legea NIS2 a României intră în vigoare
10 iulie 2025Legea 124/2025 aprobă și modifică ordonanța
20 august 2025DNSC publică ordinele cu normele tehnice de aplicare
septembrie 2025Expiră termenul de 30 de zile pentru înrolarea în NIS2@RO
octombrie 2025 →Implementarea măsurilor; începe faza de supraveghere și sancțiuni

08Amenzile: până la 10 milioane de euro sau 2% din cifra de afaceri

CategoriaAmenda maximă
Entități esențialepână la 10 mil. € sau 2% din cifra de afaceri mondială anuală — oricare e mai mare
Entități importantepână la 7 mil. € sau 1,4% din cifra de afaceri mondială anuală — oricare e mai mare
Încălcări repetate/graveplafonul se poate dubla

Dincolo de amenzi, legea prevede răspunderea directă a conducerii: organele de conducere aprobă măsurile de securitate, le supraveghează implementarea și răspund pentru nerespectarea lor. Managementul trebuie să urmeze și instruiri de securitate cibernetică. „Nu am știut” nu mai e o apărare — aprobarea măsurilor e obligația explicită a directorului.

09De unde începi: 5 pași practici

  • Verifică dacă intri sub NIS2 și la ce nivel — 5 minute cu calculatorul gratuit Normward.
  • Înrolează-te la DNSC (dacă n-ai făcut-o) și desemnează responsabilul de securitate.
  • Fă o evaluare onestă a celor 10 domenii de măsuri: ce ai documentat, ce e implementat efectiv, ce lipsește.
  • Prioritizează lacunele critice (backup netestat, lipsă MFA, lipsă procedură de incidente) și pune-le într-un plan de remediere cu termene și responsabili.
  • Pregătește-te pentru raportare ÎNAINTE de primul incident: procedură scrisă, roluri clare, acces la PNRISC — la 3 dimineața nu improvizezi.

Exact acest drum îl automatizează Normward: scoping, evaluare cu scor, gap analysis, plan de remediere, politici și formulare DNSC generate cu AI și evidența incidentelor cu ceasul de raportare pornit. Începe cu calculatorul — e gratuit și îți dă și nivelul de clasificare.

Surse și texte oficiale

Material informativ, nu consultanță juridică. Legislația se poate modifica — verifică textele oficiale înainte de decizii cu efecte legale.

Afli în 5 minute unde stai cu NIS2.

Calculator gratuit de eligibilitate — sector, mărime, servicii → verdictul și nivelul tău de clasificare.

Citește și