NIS2 în România: ce trebuie să știe orice companie în 2026

Ce este NIS2 și de ce contează

Directiva (UE) 2022/2555 (NIS2) extinde radical perimetrul cibernetic obligatoriu la nivel european. În România, transpunerea s-a realizat prin OUG 155/2024 și completată prin Legea 124/2025, cu autoritatea competentă DNSC.

Cine este vizat

Sunt acoperite entitățile esențiale și entitățile importante din 18 sectoare critice (energie, transport, sănătate, infrastructură digitală, administrație publică, fabricare etc.), de regulă cu peste 50 de angajați sau 10 mil. EUR cifră de afaceri.

Atenție: prin efect "lanț de aprovizionare", chiar și IMM-urile care livrează către entități esențiale ajung indirect sub presiune contractuală pentru cerințele NIS2.

Ce obligații apar

• Guvernanță cibernetică asumată la nivel de conducere
• Managementul riscului documentat (politici, ISMS aliniat ISO 27001)
• Raportare incidente către DNSC: alertă inițială în 24h, notificare detaliată în 72h, raport final în 30 zile
• Audit independent și înregistrare în registrul DNSC

Sancțiuni

Pentru entitățile esențiale, amenzile pot ajunge la 10 mil. EUR sau 2% din cifra de afaceri globală. Pentru cele importante: 7 mil. EUR sau 1,4%.

Primii 5 pași concreți

1. Auto-evaluare — verifică dacă intri sub incidență (sector + prag).
2. Înregistrează-te la DNSC în termenele prevăzute.
3. Numește responsabil cu securitatea informației (CISO sau echivalent).
4. Implementează managementul incidentelor — playbook scris, canal de raportare, exerciții.
5. Pregătește auditul — documente, dovezi, jurnale.

Resurse utile

• Cursul nostru gratuit despre NIS2
• Implementare tehnică detaliată: CysNIS.eu
• DNSC — Directoratul Național de Securitate Cibernetică