Cum verifici dacă firma ta intră sub NIS2 — ghid practic 2026
    AcasăBlogCum verifici dacă firma ta intră sub NIS2 — ghid practic 2026
    Security

    Cum verifici dacă firma ta intră sub NIS2 — ghid practic 2026

    Pași concreți pentru a verifica dacă firma ta intră sub Directiva NIS2 în 2026. Praguri de dimensiune, sectoare critice și instrument gratuit de verificare după codul CAEN.

    20 mai 20269 min citire

    Directiva NIS2 a intrat în vigoare în România prin OUG 155/2024 și a fost extinsă prin Legea 124/2025. Mii de companii românești au obligații noi de securitate cibernetică din acest an, dar majoritatea nu știu dacă fac parte din ele.

    Acest ghid îți arată exact ce să verifici, în ce ordine, ca să afli în 10 minute dacă firma ta intră sub NIS2 — și ce să faci dacă da.

    Cei 5 pași de verificare

    1Cod CAEN
    2Sector critic
    3Dimensiune firmă
    4Verificare automată
    5Acțiuni imediate
    💡 Pe scurt: NIS2 se aplică firmelor din sectoare critice care depășesc pragul de 50 angajați sau 10 milioane EUR cifră de afaceri. Sectoarele acoperite includ sănătate, IT, energie, transport, financiar, farmacii, distribuitori farmaceutici și altele. Verifică gratuit pentru codul tău CAEN folosind instrumentul nostru.

    De ce contează NIS2 pentru firma ta

    Trei motive practice:

    1. Sancțiunile sunt mari. Până la 10 milioane EUR sau 2% din cifra de afaceri globală pentru entități esențiale, până la 7 milioane EUR sau 1.4% pentru entități importante.
    2. Responsabilitate personală pentru conducere. Spre deosebire de versiunile anterioare, NIS2 permite ca directorul general să fie declarat temporar inapt pentru funcții de conducere dacă nu demonstrează măsuri adecvate.
    3. Termenele de raportare sunt agresive. 24 ore pentru alerta inițială către DNSC, 72 ore pentru notificare completă, 1 lună pentru raport final.

    Ignorarea NIS2 nu mai este o opțiune viabilă. Dar prima întrebare este: te aplică ție?

    Pasul 1: Identifică codul tău CAEN principal

    Codul CAEN este punctul de plecare pentru orice analiză NIS2. Îl găsești pe certificatul ONRC al firmei tale (Registrul Comerțului) sau în actul constitutiv.

    Dacă firma ta are mai multe coduri CAEN, contează codul principal de activitate — cel sub care îți declari cifra de afaceri majoritară. Codurile secundare pot adăuga obligații suplimentare, dar codul principal determină categoria de bază.

    📌 De știut: NIS2 se aplică pe baza activității reale a firmei, nu doar pe baza codului CAEN declarat. Dacă activitatea ta de facto include servicii dintr-un sector critic — chiar dacă codul tău principal nu pare să se încadreze — poți intra sub NIS2.

    Pasul 2: Verifică dacă sectorul tău e listat în Anexa I sau Anexa II

    NIS2 are două categorii de sectoare critice:

    Anexa I — Sectoare de importanță critică ridicată (entități esențiale)

    • Energie (electricitate, gaz, petrol, hidrogen)
    • Transport (aerian, feroviar, naval, rutier)
    • Sectorul bancar și infrastructuri ale piețelor financiare
    • Sănătate (spitale, laboratoare, producători de dispozitive medicale)
    • Farmacii și distribuitori farmaceutici (adăugate prin Legea 124/2025)
    • Apă potabilă și apă uzată
    • Infrastructură digitală (DNS, IXP, cloud computing, centre de date, CDN)
    • Gestionarea serviciilor TIC (MSP, MSSP)
    • Administrație publică
    • Spațiu cosmic

    Anexa II — Alte sectoare critice (entități importante)

    • Servicii poștale și de curierat
    • Gestionarea deșeurilor
    • Fabricarea de substanțe chimice
    • Producerea și distribuirea alimentelor
    • Fabricare (dispozitive medicale, calculatoare, vehicule, echipamente electrice)
    • Furnizori digitali (platforme online, motoare de căutare, rețele sociale)
    • Cercetare

    Dacă activitatea ta nu apare în niciuna dintre aceste liste — nu intri sub NIS2 prin sector. Dar nu te grăbi: ai în continuare obligații GDPR care contează.

    Pasul 3: Verifică pragul de dimensiune al firmei tale

    Sectorul nu e suficient. Trebuie să depășești și un prag minim de dimensiune. NIS2 folosește criteriile pentru companii mijlocii și mari definite de Recomandarea Comisiei 2003/361/CE:

    Categorie Angajați Cifra de afaceri Categorie NIS2
    Microîntreprindere < 10 < 2M EUR În afara scopului
    Mică 10–49 < 10M EUR În afara scopului (cu excepții)
    Mijlocie 50–249 10–50M EUR Entitate importantă (dacă în Anexa I sau II)
    Mare (Anexa I) ≥ 250 ≥ 50M EUR Entitate esențială
    Mare (Anexa II) ≥ 250 ≥ 50M EUR Entitate importantă

    Criteriile funcționează prin SAU — depășești fie pragul de angajați, fie pragul de cifră de afaceri, ești inclus.

    ⚠️ Atenție la excepții: Unele tipuri de entități intră sub NIS2 indiferent de dimensiune. Furnizorii de servicii DNS, registrele de domenii de top, furnizorii de servicii de cloud computing și administrația publică centrală sunt în scope chiar și sub pragul de 50 angajați.

    Pasul 4: Folosește un instrument de verificare automată

    Pașii 1–3 îți dau o estimare. Pentru un răspuns concret și complet — inclusiv obligațiile GDPR conexe și sancțiunile relevante pentru sectorul tău — folosește un instrument specializat.

    Verificatorul nostru gratuit îți cere codul CAEN, numărul de angajați și cifra de afaceri, apoi îți generează instant:

    • Statutul exact NIS2 al firmei tale (entitate esențială, importantă, sau în afara scopului)
    • Obligațiile GDPR specifice activității tale
    • Dacă ai nevoie de DPO obligatoriu sau de DPIA
    • Lista măsurilor tehnice și organizatorice cerute de art. 21 NIS2
    • Sancțiuni reale aplicate în sectorul tău de către ANSPDCP

    Tot procesul durează aproximativ 30 de secunde, fără înregistrare, fără email obligatoriu.

    Verifică acum pentru codul tău CAEN →

    Pasul 5: Dacă intri sub NIS2 — ce urmează

    Dacă verificarea confirmă că firma ta intră în domeniul de aplicare al NIS2, ai trei priorități imediate:

    1. Înregistrează-te la DNSC

    Direcția Națională de Securitate Cibernetică (DNSC) menține registrul național al entităților NIS2. Trebuie să te înregistrezi și să desemnezi un punct de contact responsabil de comunicarea cu autoritatea.

    2. Implementează măsurile tehnice obligatorii

    Art. 21 din OUG 155/2024 impune 10 categorii de măsuri:

    1. Politici de securitate documentate
    2. Gestionarea incidentelor — proceduri scrise
    3. Continuitatea activității și recuperare după dezastre
    4. Securitatea lanțului de aprovizionare
    5. Securizarea achizițiilor de sisteme și software
    6. Evaluarea eficacității măsurilor (audituri periodice)
    7. Instruirea personalului
    8. Criptare și autentificare multifactor (MFA)
    9. Gestionarea activelor și inventarul
    10. Proceduri de divulgare a vulnerabilităților

    Documentația, procedurile și controalele tehnice trebuie să fie implementate înainte de prima inspecție DNSC, nu după.

    3. Pregătește-ți procedura de raportare a incidentelor

    Termenele NIS2 sunt stricte:

    • 24 ore — alertă timpurie către DNSC
    • 72 ore — notificare completă cu clasificarea incidentului
    • 1 lună — raport final cu analiza cauzelor

    Toate trebuie să fie documentate într-o procedură internă scrisă, testată periodic prin exerciții de simulare.

    Ce se întâmplă dacă firma ta NU intră sub NIS2

    Vești bune: Nu ai obligațiile suplimentare impuse de NIS2 — măsurile tehnice extinse, raportarea către DNSC, responsabilitatea personală a managementului.

    Vești proaste: Indiferent de NIS2, ai în continuare obligații GDPR — și acestea se aplică oricărei firme care procesează date personale, fără excepție de dimensiune. Cabinetele medicale, farmaciile, magazinele online, restaurantele, contabilii — toate au obligații GDPR clare.

    Pentru detalii despre ce înseamnă GDPR concret pentru firma ta, citește ghidul nostru complet GDPR sau verifică direct pentru codul tău CAEN.

    Întrebări frecvente

    Pot fi sub NIS2 dacă am sub 50 angajați?

    În general nu, dacă ești sub pragul de 50 angajați și 10M EUR cifră de afaceri. Excepțiile sunt entitățile size-independent: furnizori DNS, TLD, servicii cloud, qualified trust service providers, administrație publică centrală.

    Ce se întâmplă dacă firma noastră depășește pragul în cursul anului?

    Dacă depășești pragurile NIS2 în cursul exercițiului financiar, ești considerat în scope începând cu următoarea perioadă fiscală. Nu există perioadă de grație pentru implementare — ar trebui să începi măsurile imediat ce prevezi că vei depăși pragurile.

    Cine controlează aplicarea NIS2 în România?

    Direcția Națională de Securitate Cibernetică (DNSC) este autoritatea competentă. Inspecțiile pot fi anunțate sau neanunțate, iar amenzile se aplică direct de către DNSC.

    Cum interacționează NIS2 cu GDPR?

    Sunt reglementări complementare, nu redundante. GDPR protejează datele personale; NIS2 protejează sistemele și serviciile critice. O firmă poate intra sub GDPR fără să intre sub NIS2. O firmă din sector critic care depășește pragurile va intra sub ambele.

    Pot fi sub NIS2 dacă codul CAEN principal nu e în Anexa I sau II, dar am o activitate secundară acolo?

    Da, este posibil. Aplicabilitatea NIS2 se determină pe baza activității reale, nu doar pe baza codului CAEN principal. Dacă desfășori sistematic activități dintr-un sector critic, poți intra în scope chiar dacă codul principal pare să te excludă. Evaluează cu un specialist.

    Concluzie

    NIS2 nu este opțional pentru companiile care intră în domeniul său de aplicare. Sancțiunile sunt mari, termenele sunt agresive și conducerea răspunde personal.

    Vestea bună: să verifici dacă te aplică nu durează mai mult de 10 minute. Folosește pașii din acest ghid sau direct verificatorul nostru gratuit pentru a primi un raport personalizat pentru codul tău CAEN.

    Dacă rezultatul confirmă că ai obligații NIS2 sau GDPR semnificative și ai nevoie de implementare, BrainTrust ajută companiile din România să se conformeze fără bătăi de cap — audit, documentație, măsuri tehnice, training. Prima consultație e gratuită.

    Acest articol este orientativ și nu constituie consultanță juridică. Pentru evaluare formală a obligațiilor specifice firmei tale, recomandăm consultarea unui specialist în protecția datelor sau drept IT.

    Ultima actualizare: 20 mai 2026. Surse: OUG 155/2024, Legea 124/2025, Directiva NIS2 (UE 2022/2555).

    Articole Similare

    Ai Nevoie de Ajutor Cu Asta?

    Echipa noastră te poate ajuta să implementezi aceste strategii pentru afacerea ta.

    Înapoi la Toate Articolele

    Mai Multe Articole

    Vezi Toate

    Obține Sfaturi de la Experți

    Contactează echipa noastră pentru îndrumare personalizată privind provocările tale IT.

    Folosim cookie-uri

    Folosim cookie-uri pentru a îmbunătăți experiența de navigare și a analiza traficul site-ului. Făcând clic pe „Acceptă", sunteți de acord cu utilizarea cookie-urilor. Politica de cookie-uri