Cele mai frecvente întrebări despre NIS2 în România (FAQ 2026)

NIS2 este Directiva Parlamentului European și a Consiliului UE 2022/2555 privind securitatea rețelelor și a informațiilor — al doilea nivel al cerințelor europene de securitate cibernetică, adoptată în decembrie 2022. Directiva nu se aplică direct firmelor — a trebuit transpusă în legislația națională.

România a transpus directiva NIS2 în legislația națională. Autoritatea competentă responsabilă cu implementarea și supravegherea este DNSC (Directoratul Național de Securitate Cibernetică). Termenul-limită de conformitate este 1 octombrie 2026.

Diferența practică: legislația națională poate conține prevederi mai stricte decât minimul NIS2 (legea română poate impune obligații suplimentare). Consultați DNSC pentru interpretările naționale.

Termenul de auto-identificare a entităților este 1 octombrie 2026. Firmele trebuie să evalueze dacă se încadrează în prevederile NIS2 și să se înregistreze la DNSC. Cerințele tehnice complete intră în vigoare ulterior acestei date.

Estimările indică aproximativ 4.000 de entități din România care trebuie să respecte cerințele NIS2 — un număr semnificativ mai mare față de reglementarea anterioară NIS1. Creșterea se datorează extinderii definiției „sectoarelor critice" și reducerii pragului de mărime a firmelor vizate de reglementare.

Entități esențiale (Essential Entities): firme mari (250+ angajați sau cifră de afaceri >50 milioane EUR) din sectoarele Anexei I (energie, transport, banking, sănătate, apă, infrastructură digitală, administrație publică, sectorul spațial). Sunt supuse auditurilor active — autoritatea de supraveghere efectuează audituri din proprie inițiativă. Sancțiuni: până la 10 milioane EUR sau 2% din cifra de afaceri.

Entități importante (Important Entities): firme medii din Anexa I sau firme de orice dimensiune din Anexa II (servicii poștale, producție, chimicale, alimentație, servicii digitale). Sunt supuse controalelor reactive — audit doar după un incident sau o reclamație. Sancțiuni: până la 7 milioane EUR sau 1,4% din cifra de afaceri.

Cerințele tehnice sunt similare pentru ambele categorii — diferă intensitatea supravegherii și nivelul sancțiunilor.

Da, în general. Microîntreprinderile (sub 10 angajați și cifră de afaceri anuală sub 2 milioane EUR) și întreprinderile mici (sub 50 de angajați și cifră de afaceri sub 10 milioane EUR) sunt excluse din domeniul de aplicare al NIS2.

Excepții importante: firmele mici pot fi supuse NIS2 dacă: sunt singurul furnizor al unui serviciu critic în România; furnizează servicii de încredere (semnături electronice calificate); sunt registre de nume de domenii; sunt furnizori de servicii DNS; sau autoritatea de reglementare le consideră esențiale datorită impactului asupra securității.

Termenul de auto-identificare este 1 octombrie 2026. Până la această dată, orice entitate care se încadrează în NIS2 trebuie să:

1. Evalueze dacă îndeplinește criteriile de entitate esențială sau importantă
2. Se înregistreze la DNSC sau la autoritatea sectorială competentă
3. Desemneze o persoană responsabilă cu securitatea cibernetică

Neînregistrarea până la 1 octombrie 2026 poate atrage sancțiuni administrative.

Conformitatea tehnică completă (măsuri de gestionare a riscurilor implementate, proceduri, ISMS) este necesară începând cu 1 octombrie 2026. Auditul extern de securitate cibernetică pentru entitățile esențiale este necesar ulterior, conform calendarului stabilit de DNSC.

Legislația impune desemnarea unei persoane sau echipe responsabile cu gestionarea securității cibernetice. Nu este obligatoriu să fie un CISO cu normă întreagă — poate fi:

• Un angajat intern IT cu responsabilități extinse
• Un consultant extern sau o firmă de servicii (MSSP)
• Directorul general sau executiv în cazul entităților importante mici

Esențial este ca acest rol să fie desemnat formal în documentație și exercitat efectiv.

NIS2 impune raportarea incidentelor de securitate cibernetică în trei etape:

• 24 de ore de la detectare: avertizare timpurie către DNSC sau autoritatea sectorială competentă
• 72 de ore de la detectare: notificare completă a incidentului cu evaluarea impactului acestuia
• 1 lună de la detectare: raport final detaliat cu analiza cauzelor și acțiunile întreprinse

Raportarea se aplică doar incidentelor grave cu impact semnificativ asupra continuității serviciilor — nu fiecărei alerte de securitate.

Articolul 21 din Directiva NIS2 impune cel puțin:

1. Politici de analiză a riscurilor și de securitate a sistemelor informatice
2. Proceduri de gestionare a incidentelor de securitate (detectare, raportare, răspuns)
3. Gestionarea continuității activității (backup, disaster recovery, managementul crizelor)
4. Securitatea lanțului de aprovizionare (evaluarea furnizorilor și partenerilor)
5. Securitatea achiziției, dezvoltării și întreținerii rețelelor și sistemelor
6. Politici și proceduri pentru evaluarea eficacității măsurilor de gestionare a riscurilor
7. Practici de bază de igienă cibernetică și instruire
8. Politici și proceduri privind criptografia și criptarea
9. Securitatea resurselor umane, controlul accesului, gestionarea activelor
10. Utilizarea autentificării multi-factor (MFA) sau SSO

Instrumentele ISMS acoperă toate aceste cerințe — compară instrumentele →

Nu scutește complet, dar facilitează semnificativ îndeplinirea cerințelor. ISO 27001 și NIS2 au domenii de aplicare suprapuse — se estimează că o firmă cu certificare ISO 27001 îndeplinește aproximativ 80-85% din cerințele tehnice NIS2.

Restul de 15-20% reprezintă elemente specifice NIS2: proceduri de raportare a incidentelor către autoritățile publice, evaluarea securității lanțului de aprovizionare conform criteriilor NIS2, înregistrarea la DNSC. Deținerea certificării ISO 27001 poate atenua sancțiunile și este evaluată pozitiv de autoritățile de supraveghere.

Nu, nu există o cerință legală de achiziție a unui software specific. NIS2 impune îndeplinirea cerințelor tehnice și procedurale — nu specifică cum trebuie firma să gestioneze acest proces.

În practică, firmele mari (entități esențiale) vor avea nevoie de un instrument GRC pentru gestionarea documentației, dovezilor și monitorizării — gestionarea manuală este nerealistă cu 50+ controale. Entitățile importante mici pot începe cu planul gratuit Reglyze sau Microsoft Purview. Compară opțiunile →

ISMS (Information Security Management System) este un sistem de management al securității informațiilor — un ansamblu de politici, proceduri, procese și controale pentru gestionarea riscurilor de securitate cibernetică. Standardul care definește ISMS este ISO/IEC 27001.

NIS2 nu impune certificarea ISO 27001, dar impune implementarea elementelor ISMS (politici de securitate, gestionarea riscurilor, proceduri de incident). Instrumente precum Reglyze, Secfix sau ISMS.online automatizează construirea și menținerea unui ISMS special adaptat pentru NIS2.

Costurile de implementare variază semnificativ în funcție de abordare și de dimensiunea firmei:

• Firme mici (entitate importantă, 50-100 angajați): €2.000–15.000 inițial + €500–2.000/an pentru instrumente și mentenanță
• Firme medii (100-250 angajați): €10.000–50.000 implementare + €3.000–8.000/an
• Firme mari (entitate esențială): €50.000–250.000+ implementare + €15.000–50.000/an

Costul unui audit ISO 27001 (opțional, dar util) reprezintă suplimentar €8.000–25.000 în funcție de firma de audit.

Nu — NIS2 nu impune utilizarea furnizorilor români de software. Poți folosi instrumente din orice țară UE sau non-UE, cu condiția ca datele să fie prelucrate în conformitate cu GDPR.

Este totuși recomandat să acorzi atenție: locației datelor (UE vs. non-UE), suportului tehnic în limba română, cunoașterii legislației române de către furnizor. Vezi comparația →

Pentru firmele mici (entitate importantă, 50-100 angajați) recomandăm să începi cu:

1. Reglyze (plan gratuit) — realizează auto-identificarea și evaluarea lacunelor. Generează politici de securitate prin AI. Punct de pornire ideal, fără costuri.
2. Microsoft Purview (dacă ai M365 E3+) — șablon NIS2 gata disponibil în instrumentul pe care îl ai deja. Completează Reglyze cu monitorizare în Purview.
3. După evaluarea lacunelor: decide dacă ai nevoie de un instrument plătit (ISMS.online de la £375/lună) pe baza deficiențelor concrete identificate.

Folosește calculatorul NIS2 → pentru a verifica mai întâi ce tip de entitate corespunde firmei tale.

Instrumente cu sediul și prelucrarea datelor în UE:

• Reglyze — sediu UE ✓
• ComplyCloud — Danemarca ✓
• Secfix — Germania ✓ (date în UE)
• ISMS Copilot — Germania ✓

Instrumentele din SUA (Vanta, Drata, Sprinto) și UK (ISMS.online) pot prelucra date în afara UE — verifică DPA (Data Processing Agreement) și SCCs înainte de achiziție. Microsoft Purview prelucrează datele în regiunile Azure — poate fi configurat cu EU Data Boundary.

Entități esențiale:

• Până la 10.000.000 EUR sau 2% din cifra de afaceri anuală globală totală (suma cea mai mare)
• Interdicție de a exercita funcții de conducere pentru persoanele responsabile de încălcare

Entități importante:

• Până la 7.000.000 EUR sau 1,4% din cifra de afaceri anuală globală totală (suma cea mai mare)

Autoritățile de supraveghere pot aplica sancțiuni pentru: neînregistrare, lipsa ISMS, neraportarea incidentelor, neîndeplinirea cerințelor tehnice. Primele sancțiuni sunt așteptate după expirarea perioadei de tranziție, conform calendarului stabilit de DNSC.

Supravegherea NIS2 în România este asigurată de DNSC (Directoratul Național de Securitate Cibernetică) ca autoritate națională competentă, cu implicarea autorităților sectoriale relevante în funcție de domeniu:

• DNSC — coordonare generală, sector administrație, infrastructură digitală
• ANRE — sectorul energetic
• ANCOM — infrastructură digitală și telecomunicații
• BNR / ASF — sectorul bancar și financiar
• Ministerul Sănătății — sectorul sănătății
• Autorități de transport — sectorul transporturilor

Entitățile esențiale sunt supuse auditurilor active din inițiativa autorității. Entitățile importante — controalelor reactive (după un incident sau o reclamație).

Da. NIS2 (art. 20) impune conducerii (director general, consiliu de administrație, consiliu de supraveghere) obligația de a aproba și supraveghea măsurile de gestionare a riscurilor de securitate cibernetică. În cazul incidentelor grave rezultate din neglijență, autoritățile pot:

• Emite o declarație publică identificând persoana responsabilă
• Interzice persoanei fizice exercitarea funcțiilor de conducere
• Aplica sancțiuni conducerii pentru nerespectarea deciziilor de supraveghere

Aceasta este o diferență esențială față de NIS1 — răspunderea personală a conducerii este un element nou.