Transpunerea NIS2 în România este lege. OUG 155/2024, aprobată prin Legea 124/2025, impune obligații operaționale concrete mii de organizații — nu la un moment nedeterminat, ci acum. Dacă organizația ta activează în energie, finanțe, sănătate, transport, apă, infrastructură digitală, administrație publică sau în alte categorii de entități importante, ceasul de conformitate rulează deja.
Acest articol parcurge obligațiile concrete: ce datorezi, în ce termen și ce consecințe atrage nerespectarea.
Cine intră în domeniu de aplicare
OUG 155/2024 împarte organizațiile în entități esențiale și entități importante, urmând logica directivei NIS2.
Entitățile esențiale includ operatori din energie (electricitate, gaze, petrol, termoficare), transport (aerian, feroviar, rutier, maritim), sectorul bancar și infrastructura piețelor financiare, sănătate (spitale, laboratoare, producători de medicamente), apă potabilă, apă uzată, infrastructură digitală (furnizori cloud, IXP-uri, DNS, registre TLD, centre de date), gestionarea serviciilor TIC și administrație publică la nivel central și regional.
Entitățile importante includ servicii poștale și de curierat, gestionarea deșeurilor, producție și distribuție de substanțe chimice, producție alimentară, fabricarea de dispozitive medicale, calculatoare, autovehicule și alte bunuri critice, furnizori digitali (piețe online, motoare de căutare, rețele sociale) și organizații de cercetare.
În general se aplică praguri de dimensiune (întreprinderi mijlocii și mari), deși anumite sectoare au obligații indiferent de dimensiune. Dacă nu ești sigur că organizația ta se califică, platforma de înregistrare DNSC — NIS2@RO — este referința. DNSC este Directoratul Național de Securitate Cibernetică, autoritatea națională competentă desemnată în baza OUG 155/2024.
Cascada de notificare a incidentelor
Articolul 23 din directiva NIS2 stabilește o obligație de notificare în trei etape, transpusă direct prin OUG 155/2024:
În maximum 24 de ore de la momentul în care organizația ia cunoștință de un incident semnificativ: se transmite un avertisment timpuriu la DNSC. Aceasta este o notificare succintă — confirmă că a apărut un incident semnificativ și oferă DNSC o imagine situațională. „Semnificativ” înseamnă incidente care provoacă sau ar putea provoca perturbări operaționale grave, pierderi financiare pentru entitate sau prejudicii materiale sau nemateriale substanțiale pentru alte persoane.
În maximum 72 de ore: se transmite o notificare de incident cu mai multe detalii — natura incidentului, evaluarea inițială a gravității și impactului, indicatori de compromitere dacă sunt disponibili, și măsurile luate sau planificate.
În maximum o lună: se transmite un raport final cuprinzând o descriere completă a incidentului, cauza principală, impactul, măsurile de remediere luate și orice dimensiune transfrontalieră. Pentru incidentele în desfășurare, un raport intermediar la 72 de ore, urmat de un raport final în cel mult o lună de la închiderea incidentului.
Această cascadă nu este opțională. Nerespectarea termenului de 24 de ore pentru avertismentul timpuriu — chiar dacă ulterior transmiți un raport complet — constituie o neconformitate. Integrează acum traseul de escaladare în procedura de răspuns la incidente, nu în timpul unui incident activ.
Termene de înregistrare: 15 zile și 5 zile
Dincolo de notificările de incidente, OUG 155/2024 obligă organizațiile să se înregistreze pe platforma NIS2@RO a DNSC și să notifice DNSC cu privire la modificările substanțiale ale datelor de înregistrare în termen de 15 zile de la producerea modificării. Aceasta include modificări ale domeniului de activitate, datelor de contact și altor informații relevante.
Există un termen separat de 5 zile pentru notificarea modificărilor privind Responsabilul NIS desemnat. Responsabilul NIS este persoana numită responsabilă cu coordonarea conformității în cadrul organizației — gândește-te la acesta ca la proprietarul intern al obligației NIS2. Dacă această persoană se schimbă (redistribuire, plecare, restructurare organizațională), DNSC trebuie informat în termen de 5 zile lucrătoare.
Aceste termene sunt operaționale. Ele necesită procese de HR, o procedură de management al modificărilor și un responsabil care urmărește când înregistrările trebuie actualizate.
Obligații de audit
OUG 155/2024 obligă entitățile esențiale să efectueze audituri de securitate periodice. Aceste audituri trebuie efectuate de auditori atestați de DNSC — persoane fizice care au obținut atestatul emis de DNSC în condițiile prevăzute de lege. Atestatul este valabil trei ani, după care este necesară reînnoirea.
Aceasta creează o constrângere de ofertă: numărul auditorilor atestați DNSC este limitat în 2026. Organizațiile care amână identificarea și contractarea unui auditor atestat riscă să nu poată programa un audit în fereastra lor de conformitate. Platforma de programare și raportare a auditurilor este ATHENA.
Auditurile nu sunt o bifă unică. Ciclul este continuu. Organizațiile ar trebui să includă planificarea auditului în calendarul anual de conformitate de la bun început.
Sancțiuni
Regimul sancțiunilor urmează abordarea graduată a directivei NIS2:
- Entități esențiale: amenzi administrative de până la 2% din cifra de afaceri anuală totală globală din exercițiul financiar precedent, sau echivalentul în lei dacă este mai mare.
- Entități importante: până la 1.4% din cifra de afaceri anuală totală globală.
Dincolo de sancțiunile financiare, DNSC poate emite instrucțiuni obligatorii, poate solicita comunicarea publică a neconformității și — pentru conducerea entităților esențiale — poate emite interdicții temporare. Riscul reputațional și operațional amplifică expunerea financiară.
Recomandări practice
1. Verifică dacă intri în domeniu de aplicare. Nu presupune că ești în afara perimetrului. Verifică față de criteriile de sector și dimensiune din OUG 155/2024. Dacă există dubii, consultă un specialist.
2. Înregistrează-te pe NIS2@RO. Dacă organizația nu s-a înregistrat, aceasta este prima obligație. Înregistrarea creează înregistrarea de bază pe care DNSC o folosește pentru supraveghere.
3. Desemnează un Responsabil NIS. Numește o persoană specifică, documentează această numire și înregistreaz-o la DNSC. Asigură-te că există un plan clar de succesiune — termenul de 5 zile pentru notificarea modificărilor se aplică imediat.
4. Integrează avertismentul timpuriu de 24 de ore în procedura de răspuns la incidente. Termenele de 72 de ore și lunar sunt realizabile cu procese normale de IR. Fereastra de 24 de ore necesită un declanșator predefinit și un responsabil care poate transmite fără întârzieri birocratice.
5. Identifică un auditor atestat DNSC. Începe discuțiile devreme. Disponibilitatea auditorilor nu este nelimitată.
6. Stabilește un calendar pentru notificările de 15 zile. Tratează modificările materiale ale înregistrării tale NIS2 ca pe un dosar de reglementare — cu un proces definit și un responsabil.
Acest articol are caracter informativ. Rezumă obligații din OUG 155/2024 și Legea 124/2025 ca acte normative publice, dar nu constituie consultanță juridică. Obligațiile tale specifice depind de sectorul, dimensiunea și activitățile organizației tale. Consultați consilieri juridici și de securitate cibernetică calificați pentru programul dumneavoastră de conformitate.
Dacă organizația ta lucrează la pregătirea pentru NIS2 și dorești o evaluare structurată a poziției tale față de cerințele OUG 155/2024, inițiați o discuție cu noi.