Directiva NIS2 a intrat in vigoare in Romania din 2024 si afecteaza o categorie larga de companii — nu doar infrastructura critica. Daca firma ta opereaza in energie, sanatate, transport, distributie de apa, servicii digitale, cercetare sau productie alimentara, intri in scope si ai obligatii concrete: registru de incidente, plan de continuitate, masuri tehnice minime, raportare in 24-72 de ore catre DNSC.
Ne ocupam de tot procesul, de la gap analysis pana la pregatirea pentru audit. Nu vindem un PDF cu politici si nu lasam clientul sa descopere singur ce inseamna „masuri proportionale”. Lucram cu cadrul legal romanesc real (OUG 155/2024) si cu ghidurile DNSC.
Conformitatea NIS2 nu este despre formular. Este despre a sti ce faci in primele 60 de minute dupa incident.
Ce include
- Evaluare conformitate NIS2 si gap analysis complet
- Inregistrare la DNSC (Directoratul National de Securitate Cibernetica)
- Dezvoltare politici si proceduri de securitate cibernetica
- Implementare masuri tehnice: SIEM, IDS/IPS, backup imutabil
- Configurare sisteme de detectare si raspuns la incidente
- Plan de continuitate a afacerii si disaster recovery
- Training awareness securitate pentru angajati
- Pregatire documentatie pentru audituri si inspectii DNSC
- Raportare incidente conform cerintelor legale (24h/72h)
- Suport continuu pentru mentinerea conformitatii
Beneficii pentru companie
- Evitarea amenzilor de pana la 10 milioane EUR
- Conformitate completa cu legislatia europeana si romana
- Reducerea semnificativa a riscurilor de securitate
- Protectie impotriva atacurilor ransomware si DDoS
- Incredere crescuta a partenerilor si clientilor
- Avantaj competitiv in licitatii publice si parteneriate
- Raspundere limitata pentru management in caz de incident
- Certificare recunoscuta international
Intrebari frecvente
Compania mea intra sub incidenta NIS2?
NIS2 se aplica organizatiilor din 18 sectoare critice: energie, transport, sanatate, infrastructura digitala, servicii postale, managementul deseurilor, industria alimentara, fabricarea de produse medicale si chimice, productie industriala, servicii digitale, cercetare. Se aplica companiilor cu peste 50 de angajati SAU cifra de afaceri/active peste 10 milioane EUR. Exceptie: entitatile esentiale (energie, transport, sanatate) sunt incluse indiferent de dimensiune.
Ce sanctiuni risca companiile neconforme NIS2?
Pentru entitati esentiale: amenzi pana la 10 milioane EUR sau 2% din cifra de afaceri mondiala. Pentru entitati importante: pana la 7 milioane EUR sau 1.4% din cifra de afaceri. In plus, managementul poate fi tras la raspundere personal, cu interdictii de ocupare a functiilor de conducere.
Cat dureaza procesul de conformitate NIS2?
Procesul complet dureaza intre 3-9 luni, incluzand: evaluarea initiala (2-4 saptamani), gap analysis si plan de actiune (2-3 saptamani), implementare masuri tehnice (2-4 luni), documentatie si proceduri (4-6 saptamani), training personal (2-4 saptamani), testare si audit intern (2-4 saptamani).
Ce este DNSC si cum ma inregistrez?
DNSC (Directoratul National de Securitate Cibernetica) este autoritatea romana responsabila de implementarea NIS2. Inregistrarea este obligatorie pentru entitatile din sectoarele vizate si include: notificarea activitatii, desemnarea persoanei de contact pentru incidente, si raportarea periodica. Va asistam cu intregul proces de inregistrare.
Care este termenul limita pentru conformitate NIS2?
Romania a transpus Directiva NIS2 (UE) 2022/2555 in legislatia nationala prin doua acte normative: OUG 155/2024 (publicata in Monitorul Oficial nr. 1332 din 31 decembrie 2024), care a stabilit cadrul initial, si Legea 124/2025 (publicata in Monitorul Oficial nr. 638 din 7 iulie 2025, intrata in vigoare pe 10 iulie 2025), care aproba cu modificari OUG 155/2024 si extinde aplicabilitatea. Entitatile esentiale si importante au avut obligatia sa se inscrie in Registrul DNSC pana la 19 septembrie 2025 si sa desemneze un Responsabil cu securitatea cibernetica. Companiile care nu s-au conformat inca trebuie sa o faca urgent pentru a evita sanctiuni.
NIS2 si GDPR - care este legatura?
NIS2 si GDPR sunt complementare. NIS2 se concentreaza pe securitatea retelelor si sistemelor informatice, in timp ce GDPR protejeaza datele personale. O incalcare de securitate poate declansa obligatii de raportare atat sub NIS2 (24h pentru incidente majore) cat si sub GDPR (72h pentru brese de date personale). Implementam solutii integrate care asigura conformitatea cu ambele reglementari.
Cat costa un responsabil NIS2 extern?
Costul unui responsabil NIS2 extern variaza in functie de complexitatea organizatiei si de modelul de colaborare. Pentru o firma IMM cu 30-100 angajati, abonamentul lunar de tip part-time porneste de la aproximativ 290-590 EUR/luna fara TVA pentru entitate IMPORTANTA si poate ajunge la 590-1.499 EUR/luna fara TVA pentru entitate ESENTIALA cu cerinte intense de raportare. Acest cost este semnificativ mai mic decat angajarea unui ofiter intern (salariu plus contributii: 6.000-12.000 EUR/luna pentru un specialist senior). Modelul abonament include: monitorizare conformitate continua, raportare incidente catre DNSC, training periodic management, audit anual de conformitate, actualizari procedurale la modificari legislative.
Pot avea un singur responsabil NIS2 pentru mai multe firme?
Da, legislatia NIS2 din Romania (OUG 155/2024 si Legea 124/2025) nu interzice ca o persoana sa fie responsabil NIS2 pentru mai multe organizatii. Acest model este viabil pentru entitati importante (nu esentiale) si se incadreaza perfect cu modelul de externalizare prin abonament. Pentru entitati esentiale cu cerinte intense de monitorizare 24/7 si raportare 24h, este recomandat ca responsabilul sa aiba focus dedicat sau cel mult 2-3 organizatii pentru a putea respecta termenele de raportare incident. Important: fiecare organizatie trebuie sa aiba contract individual cu responsabilul si inregistrare separata la DNSC.
Ce face concret un responsabil NIS2 in firma?
Responsabilul NIS2 are atributii concrete operationale, nu doar consultative. Principalele activitati: (1) gestioneaza inregistrarea organizatiei la DNSC si actualizarile periodice; (2) elaboreaza si mentine politicile de securitate cibernetica conforme cu standardele NIS2; (3) coordoneaza autoevaluarea anuala de maturitate cibernetica (CyFunRO sau echivalent); (4) raporteaza incidentele cibernetice la DNSC in termen de 24h (notificare initiala) si 72h (raport detaliat); (5) realizeaza training periodic pentru management si angajati; (6) supravegheaza implementarea masurilor tehnice (SIEM, backup imutabil, segmentare retea, MFA); (7) este punctul de contact cu DNSC pentru audituri si controale.
Care este diferenta intre DPO si responsabil NIS2?
DPO (Data Protection Officer) si responsabilul NIS2 sunt roluri complementare dar distincte. DPO este obligatoriu prin GDPR si se ocupa exclusiv de protectia datelor personale: registru prelucrari, DPIA, raportare la ANSPDCP, drepturile persoanelor vizate. Responsabilul NIS2 este obligatoriu prin OUG 155/2024 pentru entitatile esentiale si importante si se ocupa de securitatea cibernetica generala: protectia retelelor, sistemelor, lant aprovizionare IT, raportare la DNSC. Aceeasi persoana poate cumula ambele roluri daca are competentele necesare, dar atributiile sunt diferite: DPO se uita la 'date personale', responsabilul NIS2 se uita la 'reziliente cibernetica'.
Pot avea un responsabil NIS2 part-time prin abonament?
Da, modelul abonament part-time este perfect legal si recomandat pentru majoritatea IMM-urilor. Singura conditie este ca responsabilul sa aiba cunostinte demonstrabile (certificare oficiala recunoscuta) si sa fie alocat suficient timp pentru a respecta obligatiile (in special raportarea incident in 24h). In practica, pentru o entitate importanta cu 50-100 angajati, sunt necesare 20-40 ore/luna de activitate dedicata. Modelul abonament include obligatii contractuale clare: SLA de raspuns la incident, disponibilitate in afara orelor de program pentru incidente critice, raport lunar catre management, audit anual.
Care este raspunderea personala a managementului in NIS2?
OUG 155/2024 introduce raspunderea personala explicita a membrilor organului de conducere. Concret, daca organizatia incalca obligatiile NIS2 si DNSC aplica sanctiuni, raspunderea poate fi extinsa personal asupra administratorilor si CEO-ului in urmatoarele situatii: (1) ne-respectarea obligatiei de training cibernetic pentru management; (2) lipsa unui responsabil NIS2 desemnat formal; (3) ne-raportarea incidentelor majore la DNSC in termen; (4) refuzul de a aloca buget rezonabil pentru masuri de securitate. Sanctiunile pot ajunge la 2% din cifra de afaceri mondiala (entitati esentiale) sau 1.4% (entitati importante), iar in cazuri grave pot include interdictia de a ocupa pozitii de conducere.
Este obligatoriu training NIS2 pentru management?
Da, OUG 155/2024 prevede explicit ca membrii organului de conducere trebuie sa urmeze instruire periodica in domeniul securitatii cibernetice. Aceasta nu este o obligatie 'pe hartie' - DNSC poate solicita dovezi de participare la audit. Frecventa recomandata: minim 1 sesiune de training/an pentru management, plus update-uri ad-hoc la modificari majore (legislative sau de threat landscape). Continutul tipic: principii NIS2 si obligatii management, scenarii de risc cibernetic specifice sectorului, simulari decizionale (ce decide CEO-ul cand vede o notificare de ransomware la 3 dimineata), raspundere personala. Durata recomandata: 4-8 ore/sesiune.
Audit calificat NIS2 vs autoevaluare - care este diferenta?
Autoevaluarea este obligatorie anual pentru toate entitatile NIS2 si se face folosind tool-uri oficiale precum CyFunRO (oferit de DNSC) sau ENIRE@RO. Este gratuita, intern, si rezultatul este un raport de maturitate cibernetica pe nivele de la 0 la 5. Auditul calificat este realizat de un organism extern acreditat (Bureau Veritas, TUV, RQM Certification, etc.) si genereaza un certificat formal care confirma conformitatea. Auditul calificat NU este obligatoriu prin lege, dar este recomandat pentru entitatile esentiale, pentru participarea la licitatii publice (acolo unde este cerut explicit) si pentru a demonstra due diligence in caz de incident sau control DNSC. Cost orientativ audit NIS2 IMM-mediu: 1.499-7.499 EUR fara TVA in functie de complexitate.
Ce inseamna entitate esentiala vs entitate importanta NIS2?
NIS2 imparte organizatiile in 2 categorii cu obligatii diferite. Entitati esentiale: organizatii din 11 sectoare critice (energie, transport, sanatate, banci, infrastructura digitala, etc.) cu peste 250 angajati sau cifra de afaceri peste 50 milioane EUR. Au obligatii stricte: monitorizare 24/7, raportare incident in 24h, audituri externe, sanctiuni mai mari (10 milioane EUR sau 2% cifra afaceri). Entitati importante: organizatii din 7 sectoare suplimentare (servicii postale, productie alimentara, distributie chimica, etc.) cu peste 50 angajati sau peste 10 milioane EUR cifra afaceri. Sanctiuni mai mici (7 milioane EUR sau 1.4% cifra afaceri). Diferenta cheie practica: entitatile esentiale au control ex-ante (DNSC poate audita preventiv), cele importante au control ex-post (doar dupa incident sau plangere).
Trebuie sa raportez incidentele cibernetice la DNSC in 24h?
Da, NIS2 impune un termen strict de raportare in 3 etape: (1) notificare initiala la DNSC in maxim 24h de la momentul cand organizatia a luat cunostinta de incidentul cibernetic semnificativ; (2) raport intermediar in maxim 72h cu evaluare initiala; (3) raport final in maxim 30 zile. Definirea 'incident semnificativ': afecteaza disponibilitatea, integritatea sau confidentialitatea datelor critice, are impact asupra serviciilor publice sau ale clientilor. Raportarea se face prin platforma oficiala NIS2@RO. Ne-raportarea in termen este sanctionata distinct de incidentul in sine. Recomandare practica: definiti pre-clasificarea incidentelor in playbook-ul de incident response pentru a evita ezitarile la 3 dimineata cand cronometrul de 24h porneste.