Cele mai frecvente întrebări despre NIS2 în România (FAQ 2026)

NIS2 este Directiva Parlamentului European și a Consiliului UE 2022/2555 privind securitatea rețelelor și a informațiilor — al doilea nivel al cerințelor europene de securitate cibernetică, adoptată în decembrie 2022. Directiva nu se aplică direct firmelor — a trebuit transpusă în legislația națională.

România a transpus directiva NIS2 în legislația națională. Autoritatea competentă este DNSC (Directoratul Național de Securitate Cibernetică), care supraveghează implementarea și conformitatea. Firmele românești trebuie să respecte legislația națională care implementează NIS2.

Diferența practică: legislația națională poate conține prevederi mai stricte decât minimul NIS2. Consultați DNSC pentru interpretări naționale.

Termenul de auto-identificare și înregistrare este 1 octombrie 2026. Cerințele tehnice complete trebuie implementate până la 1 octombrie 2027. Consultați DNSC pentru calendarul exact al obligațiilor naționale.

Estimările indică aproximativ 4 000 de entități românești care trebuie să îndeplinească cerințele NIS2. Creșterea față de legislația anterioară se datorează extinderii definiției „sectoarelor critice" și reducerii pragului de dimensiune al firmelor vizate de reglementare.

Entități esențiale (Essential Entities): firme mari (250+ angajați sau cifră de afaceri >50 mil. EUR) din sectoarele din Anexa I (energie, transport, banking, sănătate, apă, infrastructură digitală, administrație publică, sectorul spațial). Sunt supuse controalelor active — autoritatea de supraveghere efectuează audituri din proprie inițiativă. Sancțiuni: până la 10 mil. EUR sau 2% din cifra de afaceri.

Entități importante (Important Entities): firme mijlocii din Anexa I sau firme de orice dimensiune din Anexa II (servicii poștale, producție, chimicale, alimentație, servicii digitale). Sunt supuse controalelor reactive — auditul se efectuează doar după un incident sau o reclamație. Sancțiuni: până la 7 mil. EUR sau 1,4% din cifra de afaceri.

Cerințele tehnice sunt similare pentru ambele categorii — diferă intensitatea supravegherii și nivelul sancțiunilor.

Da, în general. Microîntreprinderile (mai puțin de 10 angajați și cifră de afaceri anuală sub 2 mil. EUR) și întreprinderile mici (mai puțin de 50 de angajați și cifră de afaceri sub 10 mil. EUR) sunt excluse din domeniul de aplicare al NIS2.

Excepții importante: firmele mici pot fi vizate de NIS2 dacă: sunt singurul furnizor al unui serviciu critic în România; furnizează servicii de încredere (semnături electronice calificate); sunt registre de nume de domenii; sunt furnizori de servicii DNS; sau autoritatea de reglementare le consideră esențiale din cauza impactului lor asupra securității.

Termenul de auto-identificare expiră la 1 octombrie 2026. Până la această dată, fiecare entitate vizată de NIS2 trebuie să:

1. Evalueze dacă îndeplinește criteriile pentru entitate esențială sau importantă
2. Se înregistreze în registrul corespunzător administrat de DNSC sau de autoritatea sectorială competentă
3. Desemneze o persoană responsabilă cu securitatea cibernetică

Neînregistrarea până la 1 octombrie 2026 poate atrage o sancțiune administrativă.

Conformitatea tehnică completă (măsuri de gestionare a riscurilor implementate, proceduri, ISMS) este necesară până la 1 octombrie 2027. Auditul extern de securitate cibernetică pentru entitățile esențiale este necesar în conformitate cu calendarul stabilit de DNSC.

Legislația impune desemnarea unei persoane sau echipe responsabile cu gestionarea securității cibernetice. Nu este obligatoriu să fie un CISO cu normă întreagă — poate fi:

• Un angajat intern IT cu responsabilități extinse
• Un consultant extern sau o firmă de servicii (MSSP)
• Directorul general sau un director executiv în cazul entităților importante de dimensiuni mici

Esențial este că acest rol este desemnat formal în documentație și este exercitat efectiv.

NIS2 impune raportarea incidentelor de securitate cibernetică în trei etape:

• 24 de ore de la detectare: avertizare timpurie către DNSC sau autoritatea sectorială competentă
• 72 de ore de la detectare: notificare completă a incidentului cu evaluarea impactului acestuia
• 1 lună de la detectare: raport final detaliat cu analiza cauzelor și măsurile luate

Raportarea se referă doar la incidentele grave cu impact semnificativ asupra continuității serviciilor — nu fiecare alertă de securitate.

Articolul 21 din directiva NIS2 impune cel puțin:

1. Politici de analiză a riscurilor și de securitate a sistemelor informatice
2. Proceduri pentru gestionarea incidentelor de securitate (detectare, raportare, răspuns)
3. Gestionarea continuității activității (backup, disaster recovery, gestionarea crizelor)
4. Securitatea lanțului de aprovizionare (evaluarea furnizorilor și partenerilor)
5. Securitatea achiziției, dezvoltării și mentenanței rețelelor și sistemelor
6. Politici și proceduri pentru evaluarea eficacității măsurilor de gestionare a riscurilor
7. Practici de bază de igienă cibernetică și formare
8. Politici și proceduri privind criptografia și criptarea
9. Securitatea resurselor umane, controlul accesului, gestionarea activelor
10. Utilizarea autentificării multi-factor (MFA) sau SSO

Instrumentele ISMS acoperă toate aceste cerințe — comparați instrumentele →

Nu scutește complet, dar facilitează semnificativ îndeplinirea cerințelor. ISO 27001 și NIS2 au un domeniu de aplicare suprapus — se estimează că o firmă cu certificare ISO 27001 îndeplinește aproximativ 80-85% din cerințele tehnice NIS2.

Restul de 15-20% reprezintă elemente specifice NIS2: proceduri de raportare a incidentelor către autoritățile publice, evaluarea securității lanțului de aprovizionare conform criteriilor NIS2, înregistrarea în registrul entităților. Deținerea ISO 27001 poate totuși atenua sancțiunile și este apreciată pozitiv de autoritățile de supraveghere.

Nu, nu există o cerință legală de a achiziționa un software specific. NIS2 impune îndeplinirea cerințelor tehnice și procedurale — nu specifică cum trebuie firma să gestioneze acest proces.

În practică, firmele mari (entități esențiale) vor avea nevoie de un instrument GRC pentru gestionarea documentației, evidențelor și monitorizării — gestionarea manuală este nerealistică pentru 50+ controale. Entitățile importante de dimensiuni mici pot începe cu planul gratuit Reglyze sau Microsoft Purview. Comparați opțiunile →

ISMS (Information Security Management System) este un sistem de management al securității informațiilor — un ansamblu de politici, proceduri, procese și controale pentru gestionarea riscurilor de securitate cibernetică. Standardul care definește ISMS este ISO/IEC 27001.

NIS2 nu impune certificarea ISO 27001, dar impune implementarea elementelor ISMS (politici de securitate, gestionarea riscurilor, proceduri pentru incidente). Instrumente precum Reglyze, Secfix sau ISMS.online automatizează construirea și menținerea ISMS special pentru NIS2.

Costurile de implementare variază semnificativ în funcție de abordare și dimensiunea firmei:

• Firme mici (entitate importantă, 50-100 angajați): €2 000–15 000 inițial + €500–2 000/an pentru instrumente și mentenanță
• Firme medii (100-250 angajați): €10 000–50 000 implementare + €3 000–8 000/an
• Firme mari (entitate esențială): €50 000–250 000+ implementare + €15 000–50 000/an

Costul auditului ISO 27001 (opțional, dar util) reprezintă suplimentar €8 000–25 000 în funcție de firma de audit.

Nu — NIS2 nu impune utilizarea furnizorilor români de software. Puteți utiliza instrumente din orice țară UE sau din afara UE, cu condiția ca datele să fie prelucrate în conformitate cu GDPR.

Totuși, merită să fiți atenți la: localizarea datelor (UE vs. în afara UE), suportul tehnic în limba română, cunoașterea legislației românești de către furnizor. Vezi recenzia →

Pentru firmele mici (entitate importantă, 50-100 angajați) recomandăm să începeți cu:

1. Reglyze (plan gratuit) — efectuați auto-identificarea și evaluarea lacunelor. Generați politici de securitate prin AI. Punct de plecare ideal, zero costuri.
2. Microsoft Purview (dacă aveți M365 E3+) — șablon NIS2 gata pregătit în instrumentul pe care îl aveți deja plătit. Completați Reglyze cu monitorizarea în Purview.
3. După evaluarea lacunelor: decideți dacă aveți nevoie de un instrument plătit (ISMS.online de la £375/lună) pe baza lacunelor identificate.

Folosiți calculatorul NIS2 → pentru a verifica mai întâi ce tip de entitate este firma dumneavoastră.

Instrumente cu sediul și prelucrarea datelor în UE:

• Reglyze — sediu UE ✓
• ComplyCloud — Danemarca ✓
• Secfix — Germania ✓ (date în UE)
• Sycope — Polonia ✓
• ISMS Copilot — Germania ✓

Instrumentele din SUA (Vanta, Drata, Sprinto) și Marea Britanie (ISMS.online) pot prelucra date în afara UE — verificați DPA (Data Processing Agreement) și SCC-urile acestora înainte de achiziție. Microsoft Purview prelucrează datele în regiunile Azure — poate fi configurat pentru EU Data Boundary.

Entități esențiale:

• Până la 10 000 000 EUR sau 2% din cifra de afaceri anuală globală totală (suma mai mare)
• Interdicție de a exercita funcții de conducere pentru persoanele responsabile de încălcare

Entități importante:

• Până la 7 000 000 EUR sau 1,4% din cifra de afaceri anuală globală totală (suma mai mare)

Autoritățile de supraveghere pot aplica sancțiuni pentru: lipsa înregistrării, lipsa ISMS, neraportarea incidentelor, neîndeplinirea cerințelor tehnice. Primele sancțiuni sunt așteptate după expirarea perioadei de tranziție (după 1 octombrie 2027).

Supravegherea NIS2 în România este asigurată de diferite autorități în funcție de sector:

• DNSC (Directoratul Național de Securitate Cibernetică) — coordonare generală, autoritate națională competentă
• ANRE — sectorul energetic
• ANCOM — infrastructura digitală și telecomunicații
• BNR / ASF — sectorul bancar și financiar
• Ministerul Sănătății — sectorul sănătății
• Autoritățile de transport — sectorul transporturilor

Entitățile esențiale sunt supuse auditurilor active din inițiativa autorității. Entitățile importante — controalelor reactive (după un incident sau o reclamație).

Da. NIS2 (art. 20) impune conducerii (director general, consiliu de administrație, consiliu de supraveghere) obligația de a aproba și supraveghea măsurile de gestionare a riscurilor de securitate cibernetică. În cazul unor incidente grave rezultate din neglijență, autoritățile pot:

• Emite o declarație publică identificând persoana responsabilă
• Interzice persoanei fizice exercitarea funcțiilor de conducere
• Aplica sancțiuni conducerii pentru nerespectarea deciziilor de supraveghere

Aceasta este o diferență esențială față de versiunea anterioară NIS1 — răspunderea personală a conducerii este un element nou.