Romania a transpus Directiva NIS2 prin OUG 155/2024 (intrata in vigoare 30 decembrie 2024) si modificata prin Legea 124/2025. Pentru companiile in scope, fiecare termen ratat inseamna risc juridic si financiar. Acest calendar consolideaza toate datele relevante pentru 2026, structurate cronologic, cu obligatiile asociate fiecarui moment.
Articolul foloseste exclusiv date oficiale: textul OUG 155/2024 publicat in Monitorul Oficial, Legea 124/2025 si comunicari oficiale DNSC. Pentru fiecare termen sunt mentionate consecintele nerespectarii si actiunile recomandate.
Cronologia legislativa
14 decembrie 2022 - Adoptare Directiva NIS2
Directiva (UE) 2022/2555 a Parlamentului European si a Consiliului adoptata. Inlocuieste NIS1 (2016/1148) cu un cadru extins: 18 sectoare critice (vs 7 la NIS1), praguri de aplicare clare, sanctiuni armonizate UE, raspundere personala management.
17 octombrie 2024 - Termen transpunere UE
Statele membre obligate sa transpuna Directiva in legislatie nationala. Romania ratase termenul - publicarea OUG 155/2024 a venit cu intarziere de 2 luni.
30 decembrie 2024 - OUG 155/2024 intrata in vigoare
Romania transpune NIS2 prin Ordonanta de Urgenta 155/2024. Stabileste:
- Autoritatea competenta: DNSC (Directoratul National de Securitate Cibernetica)
- Termenele de inregistrare pentru entitati esentiale si importante
- Cerintele tehnice si organizatorice (articolul 21)
- Obligatiile de raportare incidente
- Regimul sanctionator (articolele 32-33)
28 februarie 2025 - Legea 124/2025 promulgata
Legea de aprobare a OUG 155/2024 cu modificari si completari. Aduce clarificari importante:
- Articolul 14 alineatul (2): obligativitatea training-ului periodic pentru organul de conducere
- Definitii mai clare pentru entitati esentiale vs importante
- Procedura simplificata de inregistrare la DNSC pentru micro si mici intreprinderi
- Detalii regim sanctionator individual al membrilor CA
Termene de inregistrare DNSC in 2026
Pentru entitati nou incadrate
30 zile calendaristice de la momentul incadrarii (depasire prag angajati sau cifra de afaceri intr-un sector critic). Procedura: platforma DNSC sectiunea NIS2, formular electronic cu semnatura calificata, atestate de management.
Pentru entitati existente in scope inca de la 30 decembrie 2024
Termen initial 17 ianuarie 2025 (extins prin Legea 124/2025 la 31 martie 2025). Companiile care au ratat acest termen sunt deja in incalcare - DNSC poate aplica sanctiuni retroactiv pentru fiecare zi de intarziere.
Actualizari obligatorii
Modificari ale entitatii (schimbare CUI, fuziune, sediu, activitate, schimbare Responsabil NIS): notificare in 14 zile.
Confirmare anuala a datelor: 31 martie al fiecarui an. Confirmarea include numar angajati, cifra de afaceri si lista sistemelor critice.
Termene declarare Responsabil NIS
Conform OUG 155/2024 modificata, Responsabilul NIS trebuie declarat la DNSC odata cu inregistrarea entitatii. Pentru entitatile inregistrate inainte de Legea 124/2025 fara Responsabil declarat, termen 30 iunie 2025 (deja depasit).
Cerinte Responsabil NIS in 2026:
- Persoana fizica nominata, cu date de contact verificabile
- Pregatire profesionala in securitate cibernetica
- Disponibilitate continua pentru raportari si incidente
- Recomandare puternica DNSC: certificare ECE 6894 sau echivalent (CISM, CISSP, ISO 27001 Lead Auditor)
Vezi pagina noastra Responsabil NIS2 Certificat ECE 6894 pentru detalii despre rolul si responsabilitatile concrete.
Obligatii raportare incidente
Cea mai stricta cerinta operationala NIS2. Termene cumulative, NU alternative:
24 ore - Notificare initiala (early warning)
De la momentul cand entitatea a luat la cunostinta de incident. Continut minim:
- Identificarea entitatii
- Tipul incidentului (suspectat sau confirmat)
- Servicii afectate
- Estimare initiala impact
- Masuri imediate aplicate
Termen calendaristic, nu zile lucratoare. Incidentele de vineri seara trebuie raportate sambata sau duminica.
72 ore - Raport intermediar
De la momentul detectarii (inclus in cele 24h initial). Adauga:
- Detalii tehnice incidentului
- Indicatori de compromitere (IOC)
- Cauza identificata sau ipoteze
- Zone afectate (sisteme, date, utilizatori)
- Plan de remediere
30 zile - Raport final
Documentatie completa:
- Cronologie detaliata
- Cauze rad
- Vulnerabilitati exploatate
- Date compromise (volume, tipuri)
- Masuri implementate
- Lessons learned
- Plan de prevenire reincidenta
Raportari cu impact transfrontalier
Daca incidentul afecteaza utilizatori sau servicii in alte state UE: raportare paralela la ENISA si CSIRT-urile statelor afectate.
Calendar audit DNSC 2026
DNSC poate efectua doua tipuri de audituri:
Audituri planificate (anuntate)
Pentru entitati esentiale: cel putin o data la 2 ani. Notificare cu 30 zile inainte. Pentru 2026, sunt asteptate audituri sistematice in sectoarele energie, sanatate, transport, infrastructura digitala (companiile inregistrate in primul val 2024-2025).
Audituri ad-hoc (neanuntate)
Trigger-uri:
- Reclamatii de la utilizatori sau alte autoritati
- Incident raportat care ridica suspiciuni de neconformitate
- Identificare publica de vulnerabilitati neraportate
- Investigatie sectoriala
Notificare: minimum 24 ore inainte de inceput. In cazuri urgente (suspiciune de incalcare grava), audit imediat fara notificare.
Pregatirea pentru audit
Documentatie obligatorie disponibila la cerere:
- Politica de securitate informatii
- Risk assessment si Risk Treatment Plan
- Statement of Applicability (controale implementate)
- Registre incidente (cele raportate la DNSC + cele interne)
- Dovezi training CA (atestate, prezenta, agenda)
- Dovezi training general angajati
- Contracte cu furnizori critici si evaluari
- Logs si evidenta tehnica masuri implementate
Sanctiuni si amenzi
Entitati esentiale
Maxim: 10 milioane EUR sau 2 procente din cifra de afaceri globala anuala (cea mai mare valoare).
Aplicabile pentru:
- Neimplementare masuri articolul 21
- Neraportare incidente in termen
- Refuz colaborare cu DNSC la audit
- Falsificare informatii inregistrare
Entitati importante
Maxim: 7 milioane EUR sau 1.4 procente cifra de afaceri globala.
Sanctiuni administrative complementare
- Avertisment public
- Ordin de conformare cu termen
- Suspendare temporara servicii (pana la conformare)
- Interdictie temporara exercitare functie pentru CEO sau membrii CA
Raspundere personala
Articolul 20 si 32 din NIS2 (transpus prin OUG 155/2024) prevad amenzi individuale pentru membrii organului de conducere care au aprobat sau permis incalcari grave. Limite individuale: 100.000-500.000 EUR.
Pentru cazuri reale si analiza detaliata vezi Sanctiuni NIS2 in Romania.
Calendar recomandat pentru o entitate noua in scope in 2026
T+0 (incadrare): start contor 30 zile inregistrare.
T+7 zile: confirmare interna scope, identificare Responsabil NIS, pregatire documentatie.
T+15 zile: contractare furnizor extern daca externalizezi (vezi Securitate NIS2).
T+30 zile: depunere inregistrare DNSC + declarare Responsabil NIS.
T+60 zile: gap analysis si Risk Treatment Plan documentat.
T+90 zile: politici si proceduri redactate, training initial CA.
T+180 zile: implementare controale tehnice prioritare (MFA, EDR, backup imutabil, SIEM).
T+270 zile: audit intern primul ciclu, lessons learned.
T+365 zile: confirmare anuala DNSC, raport intern de stare conformitate.
Concluzie
Calendarul NIS2 in Romania nu lasa loc de improvizatie. Termenele de raportare incidente sunt deosebit de stricte (24h notificare initiala) si necesita procese pre-pregatite, nu reactii ad-hoc. Inregistrarea DNSC, declararea Responsabilului NIS, training-ul CA si auditurile periodice formeaza ciclul anual obligatoriu.
Companiile care abordeaza NIS2 ca proiect cu termene clare, owner desemnat si buget alocat reusesc conformitatea fara surprize. Cele care amana sau trateaza ca "checkbox formal" risca sanctiuni semnificative la primul audit DNSC.
Pentru intrebari specifice despre interpretarea termenelor in cazul tau, consulta Intrebari Frecvente NIS2 sau contacteaza echipa noastra.
Vrei sa discutam implementarea NIS2 pentru firma ta?
Calendar audit intern recomandat 2026
Pe langa termenele DNSC obligatorii, recomandam un calendar de audit intern. Trimestrul 1 (ianuarie-martie): revizie politici si proceduri, actualizare Risk Register, training CA primul ciclu. Trimestrul 2 (aprilie-iunie): audit tehnic intern, scan vulnerabilitati pe sisteme critice, simulare incident response. Trimestrul 3 (iulie-septembrie): evaluare furnizori critici, revizie contracte si SLA-uri, training general angajati. Trimestrul 4 (octombrie-decembrie): audit intern complet, raport pentru CA, plan de actiuni an urmator.
Acest ritm trimestrial creeaza vizibilitate continua asupra starii de conformitate si pregateste documentatia pentru un eventual audit DNSC neanuntat in orice moment.
Termene specifice sectoriale 2026
Pe langa termenele orizontale NIS2, anumite sectoare au termene suplimentare. Sectorul bancar: armonizare cu DORA (Digital Operational Resilience Act) - aplicabil din ianuarie 2025, cu raportari trimestriale catre BNR. Sectorul sanatate: aliniere cu cerintele CNAS pentru sisteme medicale electronice. Sectorul energie: reguli aditionale ANRE pentru operatorii de retele electrice si distributie gaze. Companiile in mai multe sectoare critice trebuie sa coreleze calendarele si sa eviteze raportari paralele inconsistente catre autoritati diferite.
Pregatire pentru audit DNSC - checklist rapid
Cu 30 zile inainte de audit anuntat, verifica: documentatia politici si proceduri actualizata si semnata electronic, registrul incidentelor complet pe ultimele 12 luni, dovezile de training CA (atestate, prezenta, agenda), evaluarile furnizorilor critici, log-urile sistemelor critice pe ultimele 6 luni accesibile, contractele cu Responsabil NIS si furnizori cibersecuritate, Risk Treatment Plan revizuit in ultimele 12 luni si rapoartele auditurilor interne. Pregateste o sala dedicata pentru auditori cu acces internet, ecran si scanner pentru documente.
Termene asociate raportarilor periodice
Pe langa raportarea incidentelor, OUG 155/2024 prevede raportari periodice catre DNSC. Confirmare anuala date entitate: 31 martie. Raport semestrial de stare conformitate (entitati esentiale): 30 iunie si 31 decembrie. Raport anual privind exercitiul de simulare incident response (recomandat, nu obligatoriu): 30 noiembrie. Notificare modificari structurale (Responsabil NIS nou, schimbare CUI, fuziune): 14 zile de la eveniment. Toate raportarile se transmit electronic prin platforma DNSC, cu semnatura calificata reprezentant legal.
Sincronizarea cu calendarul intern
Recomandare practica: aliniaza calendarul NIS2 cu ciclul fiscal al companiei. Bugetul anual de cibersecuritate sa fie aprobat de CA pana la 30 noiembrie pentru anul urmator. Auditul intern principal sa fie planificat in trimestrul 4, cu raport prezentat CA in ianuarie. Renegocierea contractelor cu furnizori critici (Responsabil NIS, SIEM, EDR) sa fie programata in trimestrul 3 pentru a evita gap-uri de servicii la sfarsit de an.
SecureNET Systems ofera audit gratuit de incadrare in scope si plan de conformare aliniat la termenele DNSC. Solicita consultanta gratuita.
