Ce este NIS2 și de ce ar trebui să îți pese în 2026

NIS2 (Network and Information Security Directive 2, Directiva UE 2022/2555) este cadrul european care stabilește măsuri obligatorii de securitate cibernetică pentru firmele care oferă servicii critice sau importante pentru economie și societate. În România, NIS2 a fost transpusă prin Legea 58/2024, care a intrat în vigoare în 2024 și a devenit pe deplin aplicabilă în 2025-2026.

Dacă ai auzit doar în treacăt de „NIS2" și te-ai gândit că nu te privește, este momentul să reverifici. Multe firme medii din producție, comerț digital, servicii poștale, sănătate sau administrare de infrastructură cred că intră în categoria „firmă mică, scapă de reglementare" – și se trezesc pe lista entităților importante fără să știe.

⚠️ Realitatea practică în 2026: autoritățile de reglementare au început deja să ceară dovezi de conformitate. Firmele care nu au documentele, procedurile și măsurile tehnice implementate riscă amenzi semnificative și pierderea contractelor cu parteneri din UE care cer garanții NIS2 în contracte.

Cronologia NIS2 – de la directiva UE la obligații concrete pentru firma ta Decembrie 2022 Directiva NIS2 adoptată de Parlamentul UE Octombrie 2024 Termen transpunere UE în legislațiile naționale 2024 Legea 58/2024 – NIS2 transpusă în România (DNSC = autoritate) 2025 Înregistrare entități la DNSC + primele audit-uri 2026 – Acum Aplicare completă sancțiuni active Dacă firma ta intră în scopul NIS2, este deja obligată – nu mai există perioade de grație.
Cronologia NIS2 de la directiva europeană la aplicarea în România. Firmele incluse sunt deja sub regim de conformitate.

Cine este obligat să respecte NIS2 în România

Legea 58/2024 împarte firmele vizate în două categorii: entități esențiale și entități importante. Diferența este dată de sectorul de activitate și de dimensiunea firmei.

Criterii de dimensiune (regula generală)

  • Entități esențiale – firme mari: peste 250 angajați sau peste 50 mil. EUR cifră de afaceri, active în sectoare critice (energie, transport, bancar, apă, sănătate, infrastructură digitală, administrație publică centrală, spațiu).
  • Entități importante – firme medii: între 50 și 250 angajați sau între 10 și 50 mil. EUR cifră de afaceri, active în sectoarele NIS2.
  • Firme mici și micro – în general excluse, cu excepția cazurilor în care sunt unic furnizor pentru un serviciu critic, parte din lanțul de aprovizionare al unei entități esențiale sau identificate individual de autoritate.

Sectoarele acoperite de NIS2

NIS2 acoperă 18 sectoare, mult mai multe decât vechea NIS1. Dacă firma ta operează în oricare dintre ele, verifică cu atenție aplicabilitatea.

Sectoarele acoperite de NIS2 – entități esențiale și importante ENTITĂȚI ESENȚIALE (firme mari) – reglementare strictă Energie electricitate, gaze, petrol Transport aerian, feroviar, rutier, naval Bancar & financiar bănci, infrastructuri piață Sănătate spitale, farmacii, producție Apă potabilă furnizare, distribuție Ape uzate colectare, tratare Infrastructură digitală DNS, ISP, cloud, data centre Administrație publică centrală, agenții Servicii ICT B2B & furnizori managed services MSP, firme de găzduire, furnizori cloud Spațiu operatori infrastructură spațială ENTITĂȚI IMPORTANTE (firme medii) – reglementare importantă Servicii poștale curierat Deșeuri gestionare Chimie producție, distribuție Alimente producție, procesare, distribuție Producție medicamente, dispozitive medicale Producție echipamente electronice, auto, industrial Digital providers marketplace, motoare căutare, rețele sociale Cercetare institute, proiecte finanțate Firmele din lanțul de aprovizionare al oricărei entități de mai sus pot fi incluse contractual în obligațiile NIS2.
Cele 18 sectoare acoperite de NIS2 împărțite pe categorii de entități. Lanțul de aprovizionare propagă obligațiile.

💡 Verificare rapidă: dacă firma ta are peste 50 angajați și activează într-unul din sectoarele de mai sus, există o probabilitate mare să intri sub NIS2. Verificarea oficială se face prin consultarea listei DNSC și, dacă este cazul, printr-o auto-declarare.

Cele 10 obligații concrete ale unei firme sub NIS2

Articolul 21 al Directivei NIS2 – transpus în Legea 58/2024 – stabilește măsurile minime pe care orice entitate acoperită trebuie să le implementeze. Nu sunt recomandări, ci obligații. Lipsa lor expune firma la sancțiuni.

1. Politici de analiză a riscurilor și securitate a sistemelor informatice

Trebuie să ai documentate, scrise și aprobate la nivelul conducerii, politici clare de gestionare a riscurilor cibernetice. Include identificarea activelor critice, metodologia de evaluare a riscurilor și măsurile de tratament al acestora.

2. Gestionarea incidentelor

Proceduri clare de detecție, răspuns și recuperare în cazul unui incident cibernetic. Include roluri și responsabilități, arbore de decizie, comunicare internă și externă, lecții învățate.

3. Continuitatea activității și backup-uri

Plan de continuitate a afacerii (BCP), plan de recuperare în caz de dezastru (DRP), backup-uri testate periodic. Strategia 3-2-1 descrisă aici este standardul minim acceptabil.

4. Securitatea lanțului de aprovizionare

Evaluarea securității cibernetice a furnizorilor și prestatorilor de servicii ICT. Clauze contractuale care impun măsuri de securitate partenerilor. Audit periodic al relațiilor critice.

5. Securitate în achiziția, dezvoltarea și întreținerea sistemelor

Politici pentru managementul vulnerabilităților, dezvoltarea securizată a aplicațiilor, testarea înainte de punere în producție. Include patch management ordonat.

6. Evaluarea eficacității măsurilor

Teste periodice (penetration testing, audituri de securitate, exerciții tabletop) pentru a valida că măsurile implementate chiar funcționează. Rezultatele se documentează.

7. Igiena cibernetică de bază și training

Instruire periodică a angajaților despre phishing, parole, securitatea datelor. Politici clare de utilizare acceptabilă. Vezi cele 10 reguli practice pentru angajați.

8. Criptografie și criptare

Politici clare de criptare a datelor sensibile în repaus și în tranzit. Gestionarea cheilor. Utilizarea de algoritmi moderni (AES-256, TLS 1.3).

9. Controlul accesului și managementul activelor

Principiul least privilege, autentificare multi-factor (MFA) pentru sistemele critice, inventar actualizat al activelor IT, procedură de onboarding/offboarding pentru angajați.

10. Comunicații securizate și autentificare

Canale de comunicare securizate (email semnat/criptat, VPN, platforme autentificate) pentru informațiile sensibile. Autentificare robustă pentru acces la sisteme interne.

Raportarea incidentelor – termene stricte către DNSC

Una din cele mai stricte cerințe NIS2 este raportarea incidentelor semnificative către DNSC (Directoratul Național de Securitate Cibernetică). Termenele sunt scurte și se calculează din momentul în care firma a avut cunoștință de incident.

Termenele de raportare a unui incident cibernetic semnificativ către DNSC 24 h NOTIFICARE TIMPURIE Alertă inițială despre incident. Ce s-a întâmplat, prima evaluare a impactului, dacă e transfrontalier. Prin platforma DNSC 72 h NOTIFICARE INCIDENT Evaluare inițială detaliată: severitate, impact, indicatori de compromitere (IOC). Actualizare către DNSC 30 zile RAPORT FINAL Descrierea detaliată, cauza rădăcină, măsurile aplicate și impact transfrontalier. Raport oficial complet
Cele trei termene stricte de raportare a unui incident cibernetic către DNSC, conform NIS2 și Legii 58/2024.

Un incident semnificativ este acela care a provocat sau poate provoca o perturbare operațională gravă a serviciilor, pierderi financiare pentru firmă sau impact asupra altor persoane. În practică, majoritatea atacurilor ransomware, breșelor de date și indisponibilităților de peste câteva ore se califică.

⚠️ Atenție: lipsa raportării în 24 de ore este una dintre cele mai frecvente motive de sancțiune în primele cazuri NIS2 din UE. Nu poți invoca „nu știam încă exact ce se întâmplă" – tocmai de aceea există notificarea timpurie.

Amenzi și răspunderea managementului

Sancțiunile pentru nerespectarea NIS2 sunt printre cele mai mari din dreptul UE – comparabile cu GDPR.

Amenzi financiare maxime

  • Entități esențiale: până la 10 milioane EUR sau 2% din cifra de afaceri globală a grupului (valoarea cea mai mare).
  • Entități importante: până la 7 milioane EUR sau 1,4% din cifra de afaceri globală.

Răspunderea personală a managementului

NIS2 introduce explicit răspunderea membrilor conducerii. Managerii pot fi:

  • Sancționați personal (amenzi individuale)
  • Suspendați temporar din funcții de conducere în firme acoperite de NIS2
  • Obligați să urmeze cursuri de pregătire în securitate cibernetică

În plus, autoritatea poate dispune suspendarea temporară a serviciilor firmei sau publicarea publică a neconformității – măsuri cu impact reputațional major.

Plan practic de pregătire NIS2 – 6 pași concreți

Pasul 1 – Evaluarea aplicabilității (1-2 săptămâni)

Verifică dacă firma ta intră sub NIS2: sector, dimensiune, relații cu entități esențiale. Dacă da, auto-declară la DNSC în termenul stabilit prin lege. Dacă nu ești sigur, cere o opinie profesională – costul unei consultări este infim față de costul unei amenzi.

Pasul 2 – Analiza de risc și gap assessment (3-6 săptămâni)

Inventariază activele informaționale critice. Identifică amenințările plauzibile. Compară starea actuală a măsurilor de securitate cu cerințele NIS2 (articolul 21). Rezultatul: o listă clară de lipsuri.

Pasul 3 – Elaborarea politicilor obligatorii (4-8 săptămâni)

Documente minim necesare: politica de securitate, procedura de gestionare a incidentelor, politica de backup și DRP, politica de acces și parole, politica privind furnizorii, planul de instruire. Toate aprobate la nivelul conducerii.

Pasul 4 – Implementarea măsurilor tehnice (8-16 săptămâni)

Măsuri tipice: MFA pe toate conturile, firewall profesional, EDR/antivirus modern, monitorizare logs (SIEM basic), soluție de backup 3-2-1, criptare la nivel de stocare și comunicații, segmentare rețea.

Pasul 5 – Training și testare (continuu)

Instruire anuală minim a tuturor angajaților pe phishing, parole, date personale. Simulări periodice de incidente. Testare backup-urilor. Testare penetrare anual (sau bianual) pe sistemele critice.

Pasul 6 – Documentare, audit, îmbunătățire continuă

Ține registrele active: inventar active, registre incidente, logs de acces, rapoarte de training. Pregătește dosarul pentru un eventual audit DNSC. Revizuiește politicile anual sau după fiecare incident semnificativ.

Cum te pot ajuta concret – suport iSoft Consulting pentru firmele din Brașov

La iSoft Consulting lucrăm cu firme mici și medii din Brașov și județele din jur pentru a implementa măsurile NIS2 fără să paralizăm operațiunile zilnice. Abordarea noastră este pragmatică, nu birocratică.

  • Evaluare aplicabilitate NIS2 și gap assessment inițial
  • Implementare măsuri tehnice: MFA, firewall, backup, monitorizare, EDR
  • Redactarea politicilor minime cerute de Legea 58/2024
  • Instruire angajați cu sesiuni practice pe cybersecurity
  • Suport în caz de incident și asistență la raportarea către DNSC

💡 Mulți dintre clienții noștri care activează ca furnizori pentru companii mari (producție, retail, servicii) sunt nevoiți să demonstreze măsuri NIS2 prin contractele cu partenerii – chiar dacă nu intră direct sub lege. Ne ocupăm de documentația și măsurile necesare pentru a nu pierde aceste contracte.

Întrebări frecvente – NIS2 în România

Dacă am sub 50 angajați, pot ignora complet NIS2?

Nu automat. Firmele mici pot fi incluse individual dacă sunt furnizor critic sau unic pentru un sector esențial, sau pot fi obligate indirect prin contracte cu entități NIS2.

Care este autoritatea în România pentru NIS2?

DNSC – Directoratul Național de Securitate Cibernetică. Este punctul unic de contact, primește raportările de incidente și efectuează audituri.

NIS2 se suprapune cu GDPR?

Parțial. Ambele cer măsuri de securitate, dar cu scop diferit: GDPR protejează datele personale, NIS2 protejează continuitatea serviciilor și infrastructura critică. Majoritatea măsurilor ajută la ambele.

Cât costă conformitatea NIS2 pentru o firmă medie?

Variază: pentru o firmă de 50-100 angajați, costul de pornire tipic este între 15.000 și 60.000 EUR (consultanță + tehnologie + training), iar costul anual de întreținere între 5.000 și 25.000 EUR. Cifrele sunt orientative – o evaluare concretă dă o estimare reală.

Trebuie să angajez un CISO dedicat?

Nu neapărat, dar trebuie să ai o persoană responsabilă identificată și instruită. Pentru firmele mici este fezabil un model virtual CISO sau outsourcing către un partener specializat.

NIS2 Legea 58/2024 DNSC conformitate cybersecurity firme medii