Romania a transpus Directiva (UE) 2022/2555 (NIS2) prin OUG 155/2024, intrata in vigoare la 30 decembrie 2024 si modificata prin Legea 124/2025 din februarie 2025. Pentru companiile in scope, intelegerea exacta a textului juridic e esentiala - nu e suficient sa stii "ce zice NIS2", trebuie sa stii ce zice transpunerea romaneasca, care e singura aplicabila in fata DNSC si instantelor.
Articolul de fata parcurge structurat OUG 155/2024 si modificarile Legii 124/2025: contextul european, transpunerea in Romania, articolele cheie, diferenta dintre entitati esentiale si importante, articolul 14 alineatul (2) despre training-ul management-ului si procedura concreta de inregistrare la DNSC. Toate referintele juridice sunt verificabile in Monitorul Oficial.
Contextul european - Directiva 2022/2555
Directiva NIS2 a fost adoptata de Parlamentul European si Consiliu pe 14 decembrie 2022. Inlocuieste Directiva NIS1 (2016/1148) cu un cadru substantial extins. Modificarile principale fata de NIS1:
Sectoare acoperite: 18 sectoare critice (vs 7 la NIS1). Adaugiri majore: posta si curierat, gestionare deseuri, fabricatie produse critice, alimentatie, cercetare, administratie publica.
Praguri uniforme UE: minim 50 angajati sau 10 milioane EUR cifra de afaceri (cu exceptii). NIS1 lasa fiecare stat membru sa defineasca pragurile - rezultand fragmentare.
Regim sanctionator armonizat: maxim 10 milioane EUR sau 2 procente cifra de afaceri globala pentru entitati esentiale. NIS1 lasa sanctiunile la latitudinea statelor.
Raspundere personala management: articolul 20 cere ca organul de conducere sa aprobe masurile, sa supravegheze implementarea si sa raspunda personal pentru incalcari. Inovatie absoluta in legislatia UE de cibersecuritate.
Termen transpunere statele membre: 17 octombrie 2024.
Transpunerea in Romania
Romania a ratat termenul oficial UE. OUG 155/2024 a fost emisa de Guvern pe 23 decembrie 2024 si publicata in Monitorul Oficial nr. 1278 din 30 decembrie 2024. Intrarea in vigoare: 30 decembrie 2024 (data publicarii).
Forma de ordonanta de urgenta a fost folosita din necesitate - Comisia Europeana initiase deja procedura de infringement impotriva Romaniei pentru ratarea termenului. Aprobarea Parlamentului a venit ulterior prin Legea 124/2025, care a adus si modificari de fond.
Structura OUG 155/2024:
- Cap. I: Dispozitii generale (art. 1-4)
- Cap. II: Domeniu de aplicare si autoritati (art. 5-15)
- Cap. III: Cerinte tehnice si organizatorice (art. 16-23)
- Cap. IV: Raportare incidente (art. 24-27)
- Cap. V: Supraveghere si executare (art. 28-31)
- Cap. VI: Sanctiuni (art. 32-35)
- Cap. VII: Dispozitii finale (art. 36-40)
Articolele cheie OUG 155/2024
Articolul 5 - Domeniu de aplicare
Defineste entitatile esentiale (anexa I, sectoare cu impact major) si entitatile importante (anexa II, sectoare cu impact moderat). Pragurile generale: minim 50 angajati sau cifra de afaceri minim 10 milioane EUR. Exceptii pentru entitati esentiale unde pragul este mai mic (banci, infrastructura digitala critica, administratie publica centrala).
Articolul 7 - DNSC ca autoritate competenta
Directoratul National de Securitate Cibernetica este desemnat autoritate competenta nationala pentru NIS2. DNSC primeste inregistrarile, raportarile de incidente, efectueaza audituri si aplica sanctiuni. Ministerele de resort au rol consultativ pentru sectoarele specifice (Energie, Transport, Sanatate, etc.).
Articolul 14 - Roluri si responsabilitati
Cere ca fiecare entitate sa desemneze un Responsabil NIS, persoana fizica nominata cu pregatire in securitate cibernetica, ca punct de contact cu DNSC. Modificarea Legii 124/2025 (alineatul 2 nou) adauga obligatia formarii periodice a organului de conducere.
Articolul 21 - Masuri obligatorii (cele 10 categorii)
Cea mai importanta sectiune tehnica. Cere implementarea masurilor in 10 categorii:
1. Politici de analiza a riscurilor si securitate sisteme informatice
2. Tratarea incidentelor
3. Continuitatea activitatii (backup, DR, gestionarea crizelor)
4. Securitatea lantului de aprovizionare
5. Securitatea achizitionarii, dezvoltarii si intretinerii sistemelor (inclusiv vulnerability management)
6. Politici si proceduri pentru evaluarea eficacitatii
7. Practici de baza in igiena cibernetica si formare angajati
8. Politici si proceduri privind utilizarea criptografiei
9. Securitatea resurselor umane, control acces, gestionarea activelor
10. Autentificare multi-factor, comunicatii securizate
Masurile trebuie sa fie proportionale cu riscul, dimensiunea entitatii si impactul potential. Detalii in NIS2 vs ISO 27001.
Articolul 24 - Raportare incidente
Stabileste termenele 24h/72h/30 zile pentru notificarea initiala, raportul intermediar si raportul final. Definitia "incident semnificativ": cel care a cauzat sau e probabil sa cauzeze perturbare grava a serviciilor sau pierderi financiare semnificative. Pentru tabel detaliat al termenelor vezi Calendar NIS2 Romania 2026.
Articolele 32-33 - Sanctiuni
Maxim 10 milioane EUR sau 2 procente cifra de afaceri pentru entitati esentiale. 7 milioane EUR sau 1.4 procente pentru entitati importante. Plus sanctiuni administrative (avertisment, ordin de conformare, suspendare servicii) si raspundere personala management (amenzi individuale, interdictie temporara functie).
Modificarile prin Legea 124/2025
Legea 124/2025 (publicata februarie 2025) aproba OUG 155/2024 cu modificari semnificative:
Articolul 14 alineatul (2) - Training management
Cea mai importanta noutate. Textul: "Membrii organului de conducere al entitatilor esentiale si importante au obligatia sa urmeze, cu regularitate, programe de formare profesionala in domeniul securitatii cibernetice, adecvate functiei detinute si riscurilor specifice ale entitatii."
Implicatii practice:
- Training periodic obligatoriu (minim anual recomandat)
- Trebuie sa fie adecvat functiei (CEO, CTO, CFO au nevoi diferite)
- Documentat (atestate, prezenta, agenda)
- Verificabil la audit DNSC
Definitii clarificate entitati esentiale vs importante
Legea 124/2025 a clarificat criteriile de incadrare. Diferenta principala:
Entitati esentiale: sectoare cu impact critic (energie, transport, sanatate centrala, banci sistemice, infrastructura digitala critica, administratie centrala) sau orice entitate mare (peste 250 angajati / 50 mil EUR cifra de afaceri) intr-un sector NIS2.
Entitati importante: alte sectoare NIS2 sub pragurile de mai sus dar peste 50 angajati / 10 mil EUR cifra de afaceri.
Diferenta practica: entitati esentiale au regim de supraveghere mai strict (audituri ex-ante), sanctiuni mai mari si obligatii de raportare mai detaliate.
Procedura simplificata pentru micro si mici intreprinderi
Pentru entitatile sub 50 angajati care intra totusi in scope (cazuri specifice in infrastructura digitala critica), procedura de inregistrare DNSC e simplificata: formular abreviat, documentatie minimala, inspectii doar la incident.
Detalii regim sanctionator individual
Legea 124/2025 detaliaza sanctiunile individuale aplicate membrilor CA:
- 100.000-500.000 EUR amenda individuala pentru aprobarea constient a unor masuri inadecvate
- Interdictie temporara 6-24 luni de exercitare a functiei executive
- Publicare obligatorie pe site DNSC a deciziei sanctionatoare
Diferenta entitati esentiale vs importante
Procedura inregistrare DNSC
Pasi concreti pentru inregistrare:
Pasul 1: Acceseaza platforma DNSC (registru entitati NIS2). Necesar cont juridic cu semnatura electronica calificata.
Pasul 2: Completeaza formularul electronic. Date obligatorii: denumire firma, CUI, sediu social si secundare relevante, sector NIS2 (anexa I sau II), numar angajati, cifra de afaceri ultimul exercitiu, lista sisteme critice care sustin serviciul.
Pasul 3: Declara Responsabilul NIS. Persoana fizica nominata, cu CV si dovezi de pregatire (certificari ECE, CISM, CISSP, ISO 27001). Date de contact verificabile (telefon mobil, email firmal).
Pasul 4: Atasare documentatie suport: certificat constatator ONRC, organigrama, atestare scop NIS2 (declaratie pe proprie raspundere a CA).
Pasul 5: Semnare electronica reprezentant legal si transmitere. DNSC emite confirmare in 5-15 zile lucratoare, cu numar de inregistrare unic.
Pasul 6 (continuu): Mentinere date actualizate. Modificari notificate in 14 zile, confirmare anuala 31 martie.
Concluzie
OUG 155/2024 si Legea 124/2025 formeaza cadrul juridic NIS2 in Romania. Pentru companiile in scope, intelegerea articolelor specifice (5, 7, 14, 21, 24, 32-33) este esentiala pentru implementare corecta si raspuns adecvat la audit DNSC. Modificarea cea mai importanta adusa de Legea 124/2025 este obligatia training-ului periodic pentru organul de conducere - cerinta unica in legislatia romaneasca de cibersecuritate.
Companiile care studiaza textul juridic in detaliu si construiesc proceduri aliniate la articolele specifice trec auditurile DNSC fara probleme. Cele care se bazeaza pe interpretari generale risca penalizari pentru detalii care par minore dar sunt cerinte juridice exprese.
Pentru intrebari specifice despre interpretarea unor articole in cazul tau concret, consulta Intrebari Frecvente NIS2 Romania.
Vrei sa discutam implementarea NIS2 pentru firma ta?
Relatia cu alte acte normative
OUG 155/2024 nu opereaza in vid. GDPR (Regulamentul 679/2016) ramane aplicabil paralel - un breach de date personale generat de un incident NIS2 declanseaza ambele regimuri de raportare (ANSPDCP plus DNSC), iar sanctiunile pot fi cumulative, nu alternative. Legea 362/2018 (NIS1) a fost abrogata partial prin OUG 155/2024, dar dispozitiile tranzitorii prevad ca masurile implementate sub NIS1 raman valabile daca acopera cerintele NIS2. Companiile care erau in scope NIS1 au avantaj practic substantial. Legea 18/2014 privind cibersecuritatea ramane cadrul general national, iar OUG 155/2024 e lex specialis pentru entitatile NIS2. DORA (Digital Operational Resilience Act) se aplica sectorului financiar, complementar cu NIS2 pentru banci si infrastructura piete financiare.
Modul de redactare a documentatiei interne
DNSC verifica la audit nu doar implementarea tehnica, ci si calitatea documentatiei. Politici scrise corect au structura: scop, domeniu de aplicare, definitii, responsabilitati, proceduri operationale, controale, monitorizare si revizuire. Lipsa oricarei sectiuni poate fi marcata ca neconformitate. Recomandare practica: foloseste templatele ISO 27001 ca punct de plecare. Sunt deja structurate corect si auditabile. Adapteaza-le pentru specificul NIS2 (referinte la articolul 21, raportari DNSC, obligatii de training CA conform articolului 14 alineatul 2 din Legea 124/2025).
Calendar de revizie a documentatiei
Documentatia NIS2 nu e statica. Recomandare: revizie completa anuala, plus revizii ad-hoc dupa fiecare incident semnificativ sau modificare structurala (achizitie, fuziune, schimbare furnizor critic, lansare serviciu nou). Documenteaza fiecare revizie cu data, autor, motiv si modificari aduse. La audit DNSC, capacitatea de a arata un proces matur de mentinere a documentatiei valoreaza la fel de mult ca documentatia in sine.
SecureNET Systems ofera consultanta de implementare bazata pe interpretarea concreta a OUG 155/2024 si Legii 124/2025. Solicita consultanta gratuita.
