Aplicabilitate
Cui se aplica NIS2 in Romania si cum verifici daca esti vizat
Cine este afectat de Directiva NIS2 in Romania?
NIS2 a fost transpusa in legislatia romana prin OUG 155/2024 (Monitorul Oficial nr. 1332 din 31 decembrie 2024), aprobata prin Legea 124/2025 (Monitorul Oficial nr. 638 din 7 iulie 2025). Se aplica entitatilor medii si mari (peste 50 de angajati SAU cifra de afaceri anuala peste 10 milioane EUR) care activeaza in sectoarele listate in Anexele 1 si 2 ale ordonantei. Sunt vizate companii din energie, transport, sanatate, infrastructura digitala, banci, administratie publica, apa, gestionare deseuri, productia chimica si alimentara, posta si curierat, cercetare. Indiferent de marime, sunt vizate si entitatile critice desemnate de Centrul National pentru Protectia Infrastructurilor Critice (din MAI), administratia publica centrala, furnizorii DNS, registrele TLD si furnizorii calificati de servicii de incredere.
Care e diferenta intre entitate esentiala si entitate importanta?
Entitatile esentiale sunt cele listate in Anexa 1 a OUG 155/2024 - de regula companii mari (peste 250 angajati sau cifra de afaceri peste 50 milioane EUR) din sectoare considerate critice: energie, transport, banci, infrastructura pietei financiare, sanatate, apa potabila, infrastructura digitala (IXP, DNS, TLD, cloud, data centers), administratie publica. Entitatile importante sunt cele din Anexa 2 - companii medii (50-250 angajati, cifra de afaceri 10-50 milioane EUR) sau entitati din sectoare considerate importante: posta si curierat, gestionare deseuri, productie de produse chimice si alimentare, fabricarea de echipamente, furnizori digitali (marketplace-uri online, motoare de cautare, retele sociale), cercetare. Diferenta practica majora e in regimul de supraveghere si nivelul amenzilor: entitatile esentiale sunt supravegheate proactiv (ex-ante) si risca amenzi mai mari.
Daca am sub 50 de angajati, ma afecteaza NIS2?
In general nu. Pragul de marime e 50 angajati sau 10 milioane EUR cifra de afaceri. Sunt insa exceptii importante in care NIS2 se aplica indiferent de dimensiune: furnizori de retele sau servicii publice de comunicatii electronice, furnizori de servicii de incredere, registre TLD si furnizori DNS, entitati critice desemnate, administratia publica centrala (cu exceptiile prevazute in lege), entitati unice in sector la nivel national, prestatori unde o perturbare ar avea impact transfrontalier sau asupra ordinii publice. Daca esti microfirma sau firma mica, dar oferi servicii esentiale catre o entitate NIS2 (ex: MSP - managed service provider), poti intra sub o forma de raspundere indirecta prin clauze contractuale impuse de clientul tau.
Care sunt sectoarele sub incidenta NIS2 in Romania?
Anexa 1 (sectoare critice, entitati esentiale): energie (electricitate, petrol, gaz, hidrogen, district heating), transport (aerian, feroviar, naval, rutier), banci, infrastructura pietei financiare, sanatate (spitale, laboratoare, producatori farmaceutici, dispozitive medicale critice), apa potabila, ape uzate, infrastructura digitala (IXP, DNS, TLD, cloud, data centers, retele de distributie continut), gestionarea serviciilor TIC business-to-business (MSP, MSSP), administratie publica centrala si regionala, spatiu (operatori sol). Anexa 2 (sectoare importante): posta si curierat, gestionare deseuri, productie si distributie produse chimice, productie alimentara, productia de echipamente (dispozitive medicale, computere, electronice, masini, vehicule), furnizori digitali (marketplace-uri, motoare de cautare, retele sociale), cercetare. Atentie: Legea 124/2025 a clarificat extinderea catre distribuitorii autorizati de medicamente (art. 803 din Legea 95/2006), comertul cu ridicata sau cu amanuntul de produse farmaceutice (CAEN 4646 si 4773) si toti operatorii din sectorul alimentar.
Cum verific daca firma mea e in registrul DNSC?
Inregistrarea entitatilor esentiale si importante se face prin platforma DNSC (NIS2@RO), iar registrul nu este public la nivel granular din motive de securitate. Pentru a verifica statutul propriu, conducerea companiei trebuie sa acceseze contul creat la inregistrare. Daca nu sunteti sigur ca firma a fost inregistrata, verificati cu departamentul juridic sau cu administratorul ce a gestionat conformitatea. Lipsa unei inregistrari nu inseamna ca firma nu intra sub incidenta legii - pragurile se aplica obiectiv, indiferent daca v-ati notificat sau nu. Daca aveti suspiciuni, faceti o autoevaluare pe baza CAEN-urilor si a numarului de angajati / cifrei de afaceri, apoi consultati un Responsabil NIS2 sau un consultant pentru confirmare. Termenul oficial de inregistrare a expirat (19 septembrie 2025); inregistrarea tardiva e in continuare posibila si recomandata pentru a evita prioritizarea la inspectie.
Daca sunt furnizor pentru o firma NIS2, ma afecteaza?
Direct - doar daca esti tu insuti in Anexa 1 sau Anexa 2 ca MSP, MSSP, furnizor cloud, data center, DNS sau alta categorie listata. Indirect - aproape sigur. NIS2 introduce conceptul de securitate a lantului de aprovizionare (supply chain security): entitatile vizate trebuie sa evalueze riscurile aduse de furnizorii lor TIC si sa includa cerinte minime de securitate cibernetica in contracte. Practic, daca sunteti furnizor IT, software, hosting, gazduire email, integrator de sistem sau orice serviciu IT pentru o firma NIS2, va fi solicitat sa demonstrati conformitate (politici, audit, contract DPA, plan de continuitate) si sa raportati incidente catre clientul vostru in termene scurte. Multe contracte din 2025-2026 contin clauze NIS2 obligatorii. Recomandare: pregatiti pachet minim - politica de securitate, plan de raspuns la incidente, declaratie ISO 27001 sau echivalent, evidenta backup-urilor.
Termene si inregistrare
Calendar concret: cand se inregistreaza, ce se depune, ce urmeaza
Care e termenul de inregistrare la DNSC?
Termenul oficial pentru inregistrarea initiala a expirat la 19 septembrie 2025, conform calendarului stabilit de DNSC dupa publicarea cerintelor de notificare (ordin DNSC publicat in 2025). Cei care nu s-au inregistrat la timp NU sunt scutiti de obligatie - dimpotriva, riscul de inspectie prioritizata si de amenda creste. Recomandarea ferma a DNSC si a consultantilor specializati e sa va inregistrati cat mai curand posibil, chiar si dupa termen. Inregistrarea tardiva, urmata rapid de implementarea masurilor (numire Responsabil NIS2, politica de securitate, plan de raspuns la incidente), e privita ca atitudine proactiva si poate reduce sanctiunea la o eventuala inspectie. Pentru entitatile noi care depasesc pragul ulterior (ex: o firma trece de la 49 la 51 angajati), termenul de inregistrare este de 30 de zile de la momentul in care indeplinesc criteriile.
Cum se face inregistrarea pe platforma NIS2@RO?
Inregistrarea se face online pe platforma DNSC (NIS2@RO). Pasii principali: 1) creare cont in numele entitatii cu adresa de email institutionala; 2) completare formular de notificare cu date despre companie - denumire, CUI, sediu, sector de activitate (Anexa 1 sau 2), descrierea serviciilor furnizate, numar angajati, cifra de afaceri; 3) numirea unei persoane de contact (responsabil NIS2 sau persoana cu rol echivalent) cu date complete; 4) confirmare email; 5) DNSC analizeaza si emite decizia de identificare - 60 zile pentru entitati esentiale, 150 zile pentru entitati importante. Dupa decizie, primiti un cod unic de inregistrare. Modificarile ulterioare (schimbare CAE, schimbare responsabil, achizitii sau divizari) trebuie raportate in 14 zile.
Ce documente sunt necesare pentru inregistrare?
Pentru inregistrarea initiala: certificat constatator ONRC, CUI, descrierea structurata a activitatii (cu CAE-uri principale si secundare), numar de angajati si cifra de afaceri din ultimul exercitiu financiar, descrierea infrastructurii IT relevante (centre de date, locatii, sisteme critice), date de contact persoana responsabila cu securitatea cibernetica (numire interna sau extern), declaratie pe propria raspundere privind incadrarea in Anexa 1 sau 2. Nu se cere in faza de inregistrare initiala dovada implementarii masurilor tehnice - acelea vor fi cerute in audit (la 1 an dupa inregistrare). Pentru actualizarile ulterioare (modificari structurale, incidente notabile, schimbare responsabil) se incarca doar documentatia specifica modificarii.
Cat dureaza procesul de inregistrare?
Completarea formularului online dureaza 1-3 ore daca documentele sunt pregatite in avans. Procesarea de catre DNSC: pana la 60 zile pentru entitati esentiale si pana la 150 zile pentru entitati importante (conform OUG 155/2024). In aceasta perioada DNSC emite decizia formala de identificare si inregistrare in registrul oficial. Comunicarea decizei se face electronic. Daca documentatia e incompleta, primiti solicitare de completare cu termen de raspuns 14 zile - intarzierea raspunsului poate prelungi semnificativ procesul. Recomandam pregatirea documentatiei impreuna cu un specialist NIS2 inainte de a deschide formularul, pentru a evita re-iterari.
Ce se intampla dupa inregistrare?
Dupa inregistrare incepe sa curga calendarul de obligatii: 30 zile pentru numirea oficiala a Responsabilului cu securitatea cibernetica (poate fi intern sau extern); 6 luni pentru analiza de risc si implementarea masurilor tehnice si organizatorice de gestionare a riscurilor; 120 zile pentru elaborarea politicii interne de securitate cibernetica conform normelor DNSC; 12 luni pentru organizarea sesiunilor de instruire a personalului; obligatia continua de raportare a incidentelor semnificative (24h alerta initiala, 72h notificare completa, 30 zile raport final); audit extern de securitate la 1 an de la inregistrare si apoi la fiecare 2 ani, cu raport transmis catre DNSC; participare la exercitii de securitate cibernetica conform calendarului DNSC. Toate aceste obligatii sunt verificabile la inspectie.
Masuri tehnice
Ce trebuie implementat efectiv in infrastructura IT pentru conformitate
Ce masuri tehnice obligatorii cere NIS2?
Articolul 21 din Directiva (UE) 2022/2555 (transpus prin art. 12 din OUG 155/2024) defineste 10 categorii de masuri minime obligatorii: 1) politici de analiza de risc si securitate a sistemelor informatice; 2) gestionarea incidentelor (detectie, raspuns, recuperare); 3) continuitatea activitatii si gestionarea crizelor (backup, disaster recovery); 4) securitatea lantului de aprovizionare (evaluare furnizori); 5) securitatea in achizitia, dezvoltarea si mentenanta sistemelor; 6) politici de evaluare a eficacitatii masurilor de gestionare a riscurilor; 7) practici de baza in igiena cibernetica si formare in securitate; 8) politici de utilizare a criptografiei si, dupa caz, a criptarii; 9) securitatea resurselor umane, controlul accesului si gestionarea activelor; 10) folosirea autentificarii multi-factor (MFA), comunicatii securizate (vocal, video, text) si comunicatii securizate de urgenta. Implementarea trebuie sa fie proportionala cu riscul, dimensiunea si impactul economic al entitatii.
Trebuie SIEM obligatoriu?
OUG 155/2024 nu cere explicit un SIEM ca produs. Cere insa capacitatea de a detecta, inregistra, analiza si raporta incidentele de securitate cibernetica. In practica, pentru o entitate cu peste 100 de utilizatori, e foarte greu sa demonstrezi aceasta capacitate fara un SIEM (Wazuh open-source, Splunk, Microsoft Sentinel, Elastic Security). La inspectie, auditorul cere dovezi: cum corelezi log-urile, cum se trimite alerta, cine investigheaza, cat timp pastrezi log-urile. Wazuh + ELK e o solutie open-source care satisface aceste cerinte si pe care o folosim la majoritatea clientilor mid-market. Pentru companii mici (sub 50 utilizatori), un EDR cu logging centralizat si retentie 6-12 luni poate fi suficient daca e dublat de o procedura clara de incident response.
EDR e obligatoriu sau optional?
EDR (Endpoint Detection and Response) nu e mentionat nominal in OUG 155/2024, dar masura 7 (igiena cibernetica) si masura 2 (gestionare incidente) il fac de facto necesar pentru orice entitate cu mai mult de 20-30 statii de lucru. Antivirusul clasic semantic-only nu mai e suficient pentru a detecta atacuri moderne (fileless, living-off-the-land, ransomware nou). Recomandari testate la clienti: Microsoft Defender for Endpoint (P1 sau P2), CrowdStrike Falcon, SentinelOne, Bitdefender GravityZone Business Security Enterprise, ESET PROTECT Enterprise. Optiuni open-source cu integrare Wazuh: Wazuh agent + Sysmon + Velociraptor pentru forensics on-demand. Important nu e brandul, ci capacitatea de a izola endpoint-ul compromis, de a colecta artefacte, de a face rollback si de a alimenta SIEM-ul cu telemetrie.
Backup obligatoriu si cu ce frecventa?
Backup-ul e obligatoriu prin masura 3 (continuitatea activitatii). NIS2 nu prescrie o frecventa exacta - asta e proportional cu RPO-ul (Recovery Point Objective) acceptabil pentru fiecare serviciu. Best practice general acceptat de auditorii NIS2: regula 3-2-1-1-0 (3 copii, 2 medii diferite, 1 offsite, 1 immutable / air-gapped, 0 erori la verificare). Frecventa minima recomandata pentru date business critice: backup incremental zilnic, full saptamanal, retentie minima 30 de zile (recomandat 90 zile pentru a depasi fereastra de detectie a unui ransomware modern). Punct critic: testare lunara a restore-ului. Un backup netesat NU e backup. Pentru sisteme NIS2 critice (Active Directory, baze de date financiare, ERP), recomandam si snapshots aplicative la 4-6 ore.
E necesar penetration testing periodic?
OUG 155/2024 cere prin masura 6 evaluarea periodica a eficacitatii masurilor de gestionare a riscurilor. Penetration testing nu e nominal obligatoriu, dar e cea mai eficienta forma de evaluare. La inspectie, un audit extern de tip black-box sau gray-box anual e considerat best practice si se cere de regula la entitati esentiale. Pentru entitati importante, frecventa minima e o data la 2 ani, corelata cu auditul de securitate cibernetica obligatoriu (la 1 an dupa inregistrare, apoi la fiecare 2 ani). Tipuri recomandate in functie de risc: external network pentest (anual), internal network pentest (anual la entitati esentiale), web application pentest pentru aplicatii expuse public, social engineering / phishing simulation (trimestrial). Costurile reale: 4.000-15.000 EUR pentru un pentest serios externalizat, in functie de scope.
Active Directory - cerintele NIS2 de hardening
Active Directory e tinta numarul 1 in atacurile catre infrastructura. Hardening conform NIS2 (masura 7 si 9) include minim: dezactivare LM si NTLMv1, fortare NTLMv2 sau Kerberos, dezactivare SMBv1, activare LDAP signing si LDAP channel binding, politici de parole moderne (minim 14 caractere pentru utilizatori, 25+ pentru conturi de serviciu si admini), MFA obligatoriu pentru toate conturile cu privilegii, separare cont admin (un cont normal pentru lucru zilnic, un cont admin separat fara email), tier model administrativ (T0, T1, T2), Protected Users group pentru admini, LAPS pentru parolele de admin local, audit policy detaliat (logon-uri, modificari obiecte, escaladari), monitorizare evenimente cheie (4624, 4625, 4672, 4769, 4768, 5136), dezactivare conturilor neutilizate dupa 90 de zile, revizuirea trimestriala a apartenentei in Domain Admins / Enterprise Admins. Microsoft ofera tooluri open-source: PingCastle pentru audit AD, BloodHound pentru analiza relatii de atac, AD ACL Scanner pentru permisiuni.
Cerinte de logare si audit pentru NIS2
Logging-ul e absolut critic - fara log-uri nu poti dovedi nimic la inspectie si nu poti raporta corect un incident in 24h. Cerinte minime conform best practice si cerintelor de raportare DNSC: log-uri de la firewall (toate sesiunile permise si blocate), endpoint (Sysmon recomandat pe Windows, auditd pe Linux), Active Directory (Security event log cu audit policy avansat), aplicatii business critice (acces si modificari), sisteme de backup, dispozitive de retea (router, switch L3, AP-uri WiFi enterprise). Retentie minima recomandata: 90 zile online (cautabile rapid in SIEM), 1 an cold storage. Pentru entitati esentiale recomandam 1 an online si 3 ani cold. Log-urile trebuie sa fie protejate impotriva modificarii (write-once storage sau hash-uri criptografice). Sincronizare timp obligatorie via NTP sau PTP la sursa autoritativa - timestamp-uri inconsistente fac log-urile inutilizabile la incident response.
Encryption - ce trebuie criptat obligatoriu?
Masura 8 din OUG 155/2024 cere politici de utilizare a criptografiei si, dupa caz, a criptarii. In practica, la inspectie se verifica: 1) date in tranzit - tot traficul intern HTTP catre interfete administrative trebuie sa fie HTTPS cu certificate valide; toate VPN-urile trebuie sa foloseasca cifre moderne (IKEv2 cu AES-256-GCM, WireGuard, OpenVPN cu AES-256, NU PPTP, NU L2TP fara IPsec); SMTP intre servere trebuie sa foloseasca STARTTLS obligatoriu sau MTA-STS; 2) date la rest - laptopuri si statii cu date sensibile - BitLocker activ cu TPM, telefoane corporate - device encryption activa, baze de date cu date personale - Transparent Data Encryption (TDE) sau column-level encryption pentru date critice; 3) backup-uri - encryption la rest obligatoriu (mai ales pe stocare cloud sau extern); 4) chei criptografice - gestionate centralizat (Azure Key Vault, AWS KMS, Hashicorp Vault, smart cards pentru CA), nu in fisiere text pe servere.
Raportare incidente
Termenele si procedura de notificare DNSC, definitia incidentului semnificativ
Cand trebuie raportat un incident la DNSC?
Imediat ce conducerea entitatii devine constienta de un incident considerat semnificativ. Cronometrul incepe in momentul in care managementul (nu echipa tehnica) afla de incident - asta inseamna ca procedurile interne de escaladare trebuie sa fie clare si rapide. Daca SOC-ul detecteaza ceva la ora 02:00 si nu informeaza managementul pana la 09:00, cele 7 ore de intarziere VOR fi penalizate la audit. Raportarea se face exclusiv prin platforma DNSC dedicata (NIS2@RO) - nu prin email sau telefon, decat in completare. Fisierele justificative (capturi, log-uri) se ataseaza la platforma. Confirmarea de primire vine in maxim 24h de la inregistrarea raportului.
Termene exacte: 24h, 72h, 30 zile - ce contine fiecare?
Trei termene cumulative obligatorii dupa identificarea unui incident semnificativ: ALERTA INITIALA - in maxim 24 de ore: notificare scurta catre DNSC - faptul ca un incident semnificativ a avut loc, daca se suspecteaza cauze rau-intentionate, daca poate avea impact transfrontalier. NOTIFICARE COMPLETA - in maxim 72 de ore: evaluare initiala a incidentului, severitate si impact, indicatori de compromis (IoC: hash-uri, IP-uri, domenii), masuri de remediere luate sau planificate. RAPORT INTERMEDIAR - la cererea DNSC pentru incidente in desfasurare. RAPORT FINAL - in maxim 30 de zile (sau la inchiderea incidentului, oricare e mai devreme): descrierea detaliata, cauza-radacina, masuri aplicate, impact transfrontalier, lectii invatate, masuri preventive implementate. Atentie: Legea 124/2025 a clarificat unele cerinte sectoriale - pentru distribuitorii farmaceutici si operatorii din alimentar, documentatia completa se transmite in 5 zile.
Ce constituie un incident semnificativ?
Un incident e considerat semnificativ daca indeplineste cel putin unul din criteriile (definite in OUG 155/2024 si in normele DNSC subsecvente): cauzeaza sau poate cauza intreruperi grave ale serviciului furnizat; afecteaza disponibilitatea, integritatea sau confidentialitatea datelor in mod substantial; produce pierderi financiare directe sau indirecte semnificative; afecteaza alti furnizori, clienti sau terti; are potential impact transfrontalier. Tipuri tipice de incidente care intra automat in categoria semnificativa: ransomware (chiar si fara plata), acces neautorizat la sisteme critice, compromitere de date personale ale clientilor, atac DDoS care intrerupe serviciul peste o ora, compromitere supply chain (un furnizor afecteaza si infrastructura ta), exfiltrare de date confidentiale. Recomandare: in caz de dubiu, raportati. E preferabil sa raportati si sa inchideti dupa investigatie decat sa nu raportati si sa fiti penalizati.
Cine semneaza raportul de incident?
Raportul oficial catre DNSC e responsabilitatea conducerii entitatii. In practica, semnarea o face reprezentantul legal (administrator, director general) sau persoana imputernicita oficial - de regula Responsabilul NIS2 daca are mandat scris pentru aceasta atributie sau directorul IT cu putere de reprezentare. Important: raspunderea finala ramane la conducerea executiva indiferent cine semneaza, conform principiului introdus de NIS2 si intarit prin Legea 124/2025. Raspunderea personala a managerilor pentru lipsa raportarii este una dintre noutatile cele mai serioase ale legislatiei. Recomandam ca procedura interna de raportare sa fie aprobata de board sau adunarea generala, sa numeasca explicit semnatarul si sa contina un plan de continuitate daca semnatarul principal e indisponibil.
Sanctiuni si riscuri
Amenzi, raspundere personala, ce faci daca esti deja in afara conformitatii
Care sunt amenzile NIS2 in Romania?
OUG 155/2024 prevede sanctiuni administrative semnificative aliniate cu plafoanele europene din Directiva (UE) 2022/2555. Pentru ENTITATI ESENTIALE: amenda administrativa de pana la 10 milioane EUR sau pana la 2% din cifra de afaceri totala anuala globala (se aplica suma cea mai mare). Pentru ENTITATI IMPORTANTE: amenda administrativa de pana la 7 milioane EUR sau pana la 1,4% din cifra de afaceri totala anuala globala. In legislatia romana, amenzile contraventionale efective merg de la cateva zeci de mii pana la sute de mii de lei pentru abateri tipice (lipsa inregistrare, lipsa raportare, lipsa Responsabil NIS2), iar pentru incalcari grave sau repetate se aplica plafoanele europene maxime. Pe langa amenda, pot fi aplicate masuri de suspendare temporara a activitatii sau interdictia temporara a unor persoane fizice de a ocupa functii de conducere. Cifrele exacte se actualizeaza prin ordin DNSC - recomandam consultarea legislatiei in vigoare la momentul deciziei.
Care e diferenta intre amenzi pentru entitati esentiale vs importante?
Plafoanele maxime sunt diferite: 10 milioane EUR / 2% din cifra de afaceri pentru esentiale vs 7 milioane EUR / 1,4% pentru importante. Diferenta nu e doar in plafoane, ci si in regimul de supraveghere: entitatile esentiale sunt supravegheate proactiv (ex-ante) - DNSC poate face inspectii planificate, audituri tematice, evaluari periodice. Entitatile importante sunt supravegheate reactiv (ex-post) - DNSC intervine dupa o sesizare, un incident sau o suspiciune. In practica asta inseamna ca o entitate esentiala risca o amenda fara sa se intample nimic rau, doar pentru ca o inspectie planificata constata neconformitate. O entitate importanta risca o amenda doar dupa un eveniment declansator. Diferenta reala in expunere: o entitate esentiala neconforma e o problema cand-cum-cat de grea, nu daca; o entitate importanta neconforma poate trece neobservata ani buni daca nu se intampla un incident.
Raspunderea personala a managementului - cum se aplica?
Aceasta e una dintre cele mai dure noutati introduse prin NIS2 si intarite prin Legea 124/2025. Membrii organelor de conducere (administrator, director general, CIO, CISO daca e numit) au raspundere personala directa pentru aprobarea masurilor de gestionare a riscurilor cibernetice si pentru supravegherea implementarii. Sanctiuni aplicabile direct managementului: amenzi personale, suspendare temporara din functie pentru entitati esentiale (interdictia de a ocupa pozitii de management de top in entitati NIS2), publicare nominala in caz de incalcari grave, raspundere civila pentru daune cauzate de neconformitate. Practic asta inseamna: 1) Board-ul trebuie sa aprobe oficial politica de securitate cibernetica si bugetul aferent; 2) trebuie organizate sesiuni periodice de instruire a board-ului in securitate cibernetica (minim anual); 3) toate deciziile majore in cybersecurity trebuie documentate cu minute de sedinta; 4) externalizarea catre un MSP / Responsabil NIS2 nu absolva conducerea de raspundere - asta e atributie ne-delegabila.
Ce ar trebui sa fac primul pas in caz de neconformitate?
Daca esti in afara conformitatii (nu te-ai inregistrat, nu ai numit Responsabil NIS2, nu ai politica de securitate, nu ai analiza de risc), nu intra in panica si NU astepta o inspectie. Pasi concreti in ordine: 1) Inregistrare imediata pe platforma DNSC (NIS2@RO) - chiar si tarziu; 2) numire formala Responsabil NIS2 (intern sau extern certificat); 3) audit IT initial pentru a maparea infrastructurii si a identifica gap-urile critice (1-3 zile pentru o firma medie); 4) plan de remediere cu prioritati pe risc - intai vulnerabilitatile critice (RCE expuse, AD nehardenuit, lipsa MFA, lipsa backup verificat); 5) implementare masuri minime in 30-60 zile (politici aprobate de board, procedura raportare incidente, MFA general, backup testat, EDR pe endpoint-uri); 6) audit extern formal in 6-12 luni. Documentati TOT - data deciziei, semnaturi, dovezi de implementare. La inspectie, atitudinea proactiva si dovezile de progres reduc semnificativ amenda.
Responsabil NIS2
Ce este, cum se numeste, ce certificari conteaza, cat costa
Ce este Responsabil NIS2?
Responsabilul cu securitatea cibernetica (popular Responsabil NIS2) este persoana desemnata oficial de entitate pentru a coordona implementarea cerintelor OUG 155/2024 si pentru a fi punct de contact cu DNSC. Atributiile principale conform legii si normelor subsecvente: implementarea masurilor tehnice si organizatorice, organizarea analizei de risc, supravegherea raportarii incidentelor in termenele legale, organizarea instruirii personalului, mentenanta documentatiei (politici, proceduri, evidente audit), coordonarea cu auditorii externi, raportarea catre conducere. Diferit de DPO (responsabilul GDPR) - se poate suprapune ca persoana, dar atributiile sunt distincte. Diferit de CISO traditional - rolul are si componente de conformitate legala, nu doar tehnice. Poate fi un singur Responsabil pentru o singura entitate sau pentru un grup de entitati afiliate, dar fiecare entitate trebuie sa aiba o persoana de contact desemnata oficial.
Trebuie obligatoriu numit Responsabil NIS2?
Da, este obligatoriu pentru toate entitatile esentiale si importante, conform OUG 155/2024 si confirmat prin Legea 124/2025. Termenul de numire e de 30 de zile de la inregistrarea entitatii in registrul DNSC. Numirea se face printr-un act formal al conducerii (decizie administrator, hotarare board, contract daca e externalizat) si trebuie comunicata catre DNSC ca parte a actualizarii in registru. Lipsa numirii Responsabilului e o contraventie distincta, sanctionabila independent de alte abateri. Procedura recomandata: 1) decizie scrisa cu nominalizarea persoanei (numar, data, semnatura conducere); 2) descrierea atributiilor si a perioadei de numire; 3) clauza de inlocuire in caz de absenta; 4) acceptarea scrisa a persoanei numite; 5) actualizare in platforma DNSC. Persoana numita primeste protectie legala impotriva represaliilor pentru raportarea de probleme.
Pot avea Responsabil NIS2 intern sau pot externaliza?
Ambele variante sunt legale si valabile. Responsabil INTERN: avantaje - cunoaste profund infrastructura, e disponibil instant, integrat in echipa; dezavantaje - cost salarial 4.000-12.000 EUR/luna pentru o persoana competenta cu certificari, dificultati la angajare in mediul actual unde piata e supra-cerere, risc de conflict de interese (raporteaza catre acelasi management pe care trebuie sa-l verifice), formare continua scumpa. Responsabil EXTERNALIZAT: avantaje - acces la o echipa cu certificari multiple, costuri previzibile lunar (de regula 800-2500 EUR/luna pentru entitati medii), independenta reala fata de management, expertiza diversificata pe mai multe industrii; dezavantaje - timp de raspuns mai lent decat intern, cunoaste infrastructura mai putin profund, dependenta de furnizor. Hibrid recomandat de noi: punct de contact intern (CIO sau IT Manager existent) + Responsabil NIS2 externalizat ca expert care acopera certificarea formala si auditul. Important: indiferent de varianta, raspunderea finala ramane la conducere.
Cum verific certificarea unui Responsabil NIS2?
In Romania, certificarea Responsabil NIS2 e gestionata de organisme de certificare acreditate (ex: RQM Certification, alte organisme inregistrate la DNSC). Fiecare Responsabil NIS2 certificat primeste un cod unic (ex: ECE 6894) si este inregistrat in Registrul National al Evaluatorilor in Cybersecurity (RENECSC) la o pozitie numerica. Pentru a verifica autenticitatea unui Responsabil NIS2 certificat: 1) cereti codul de certificare (format ECE XXXX) si pozitia in RENECSC; 2) contactati organismul emitent pentru validare; 3) consultati lista publica RENECSC pe site-ul DNSC sau al organismului acreditat; 4) verificati data de emitere si data de expirare a certificatului - in general valabilitatea e de 3 ani cu mentenanta prin formare continua; 5) cereti CV-ul cu experienta relevanta (minim 5 ani in cybersecurity recomandat). Atentie la oferte de Responsabil NIS2 fara cod de certificare validabil - sunt invalide la audit DNSC.
Costuri orientative pentru servicii Responsabil NIS2
Costurile variaza in functie de complexitate, marime entitate si scopul exact al mandatului. Iata range-uri orientative observate pe piata romaneasca in 2025-2026: SETUP INITIAL - audit, inregistrare DNSC, documentatie de baza, plan de remediere: 2.000-8.000 EUR (one-time, in functie de marime). MENTENANTA LUNARA pentru entitate IMPORTANTA - punct de contact DNSC, mentenanta documentatie, raport trimestrial catre management, suport in caz de incident: 600-1.500 EUR/luna. MENTENANTA LUNARA pentru entitate ESENTIALA - cerinte mai stricte, supraveghere proactiva, audit anual, exercitii de simulare: 1.500-3.500 EUR/luna. INCIDENT RESPONSE - intervenire la incident semnificativ cu raportare la DNSC: 2.000-10.000 EUR per incident, in functie de complexitate. AUDIT EXTERN OBLIGATORIU la 1 an si la 2 ani: 4.000-15.000 EUR per audit, in functie de scope si numar de locatii. Pretul e secundar fata de competenta - un Responsabil NIS2 ieftin care nu raporteaza un incident in 24h costa milioane in amenzi. Cereti referinte si lucrari similare pentru entitati de marime apropiata.
Resurse conexe pe SecureNET Systems
Daca ai parcurs toate intrebarile si vrei pasul urmator concret pe propria infrastructura, iata paginile relevante de pe site-ul nostru:
Servicii Conformitate NIS2
Audit, implementare masuri tehnice si suport continuu pentru entitati esentiale si importante.
Responsabil NIS2 - Certificare ECE 6894
Detalii despre certificarea oficiala, atributii si cum oferim serviciul ca furnizor extern.
Audit IT - punct de pornire NIS2
Mapam infrastructura, identificam gap-urile si livram plan de remediere prioritizat pe risc.
NIS2 sectorial - Clinici medicale
Sanatatea e in Anexa 1 - cerinte specifice si exemplu de implementare pentru sector.
Discutam concret pe situatia ta?
Primul audit este fara obligatii. 2 zile in care mapam infrastructura ta, identificam riscurile si iti aratam ce ar imbunatati externalizarea.