Când a intrat NIS2 în vigoare în România?

Directiva NIS2 (UE 2022/2555) a fost transpusă în România prin OUG 155/2024, cu aplicare din octombrie 2024. Legea 124/2025 a extins ulterior domeniul de aplicare, incluzând farmaciile și distribuitorii farmaceutici.

Care e diferența dintre entitate esențială și entitate importantă?

Entitățile esențiale sunt din sectoarele critice (Anexa I) și au ≥250 angajați sau ≥50M EUR cifră de afaceri. Entitățile importante sunt din Anexa I sau II cu ≥50 angajați sau ≥10M EUR CA. Amenzile diferă: esențiale până la 10M EUR, importante până la 7M EUR.

Trebuie să mă conformez NIS2 dacă am sub 50 angajați?

În general nu, dacă ești sub pragul de 50 angajați și 10M EUR CA. Excepție: anumite sectoare unde dimensiunea nu contează (ex: furnizori de servicii DNS, registre de domenii de top, furnizorii de servicii de cloud computing de orice dimensiune).

Ce se întâmplă dacă nu raportez un incident în 24 de ore?

Poți fi sancționat de DNSC. Alerta inițială trebuie trimisă în 24h de la detectare, raportul complet în 72h, iar raportul final în maxim o lună. Nerespectarea termenelor poate duce la amenzi și suspendarea activității.

DPO și CISO sunt același lucru sub NIS2?

Nu. DPO-ul (Responsabilul cu Protecția Datelor) este o funcție GDPR. CISO-ul (Chief Information Security Officer) gestionează securitatea cibernetică. NIS2 impune măsuri de securitate cibernetică, nu obligă explicit la un CISO, dar responsabilitatea managementului este clară.

Ce este NIS2? Ghid complet pentru companiile din România

NIS2 a intrat în vigoare în România prin OUG 155/2024 și impune obligații concrete de securitate cibernetică mii de companii. Dacă firma ta activează în sectoare critice — sănătate, IT, energie, transport, financiar — și depășești anumite praguri de mărime, ești deja în domeniul de aplicare. Acest ghid îți explică exact ce înseamnă, cine intră și ce trebuie să faci.

Ce este NIS2?

NIS2 (Network and Information Security Directive 2) este Directiva UE 2022/2555, care înlocuiește vechea directivă NIS din 2016. Scopul ei este să ridice nivelul de securitate cibernetică în toată Uniunea Europeană printr-un set unitar de obligații pentru operatorii din sectoare critice.

Față de NIS1, domeniul de aplicare s-a extins semnificativ: mai multe sectoare, mai multe companii, obligații mai stricte și amenzi mult mai mari. România a transpus directiva prin OUG 155/2024, iar Legea 124/2025 a adus extinderi suplimentare, inclusiv pentru farmacii și distribuitorii de medicamente.

Cine intră sub NIS2 în România?

NIS2 se aplică în două categorii, în funcție de sectorul de activitate și dimensiunea companiei:

Categorie	Anexa	Angajați	Cifră de afaceri	Amendă max
Entitate esențială	Anexa I	≥250	≥50M EUR	10M EUR sau 2% CA globală
Entitate importantă	Anexa I sau II	≥50	≥10M EUR	7M EUR sau 1.4% CA globală

Criteriile de dimensiune funcționează prin SAU — îndeplinești oricare dintre ele și intri în categorie.

Verifică obligațiile GDPR și NIS2 pentru codul tău CAEN →

Verifică acum

Sectoarele acoperite de NIS2

Anexa I — Sectoare înalt critice (entități esențiale)

Energie (electricitate, gaz, petrol, hidrogen)
Transport (aerian, feroviar, naval, rutier)
Sectorul bancar și infrastructuri ale piețelor financiare
Sănătate (spitale, laboratoare, producători de dispozitive medicale)
Apă potabilă și apă uzată
Infrastructură digitală (DNS, IXP, cloud computing, centre de date, rețele CDN)
Gestionarea serviciilor TIC (MSP, MSSP)
Administrație publică
Spațiu cosmic

Anexa II — Alte sectoare critice (entități importante)

Servicii poștale și de curierat
Gestionarea deșeurilor
Fabricarea, producerea și distribuirea de substanțe chimice
Producerea, prelucrarea și distribuirea alimentelor
Fabricare (dispozitive medicale, calculatoare, vehicule, echipamente electrice)
Furnizori digitali (platforme online, motoare de căutare, rețele sociale)
Cercetare

Noutate 2025 (Legea 124/2025): Farmaciile (CAEN 4773) și distribuitorii de produse farmaceutice (CAEN 4646) au fost incluși explicit în domeniul de aplicare NIS2. Lanțurile mari de farmacii (Catena, Help Net, Sensiblu) intră ca entități importante.

Ce obligații concrete impune NIS2?

Articolul 21 din Directiva NIS2 (transpus în OUG 155/2024) impune implementarea următoarelor măsuri:

Politici de securitate — documente formale privind riscurile și gestionarea incidentelor
Gestionarea incidentelor — proceduri clare de detectare, răspuns și raportare
Continuitatea activității — planuri BCP și de recuperare după dezastre (DR)
Securitatea lanțului de aprovizionare — evaluarea furnizorilor și partenerilor
Securizarea achizițiilor — cerințe minime pentru sisteme și software
Evaluarea eficacității — audituri și teste periodice
Instruirea personalului — training obligatoriu de conștientizare a riscurilor
Criptare și autentificare multifactor (MFA) — pe toate sistemele critice
Gestionarea activelor — inventar actualizat al sistemelor și datelor critice
Vulnerabilități — proceduri de divulgare responsabilă

Termene de raportare a incidentelor

24 ore — alertă timpurie la DNSC (dacă suspectezi un incident semnificativ)
72 ore — notificare completă cu clasificarea incidentului
1 lună — raport final cu analiza cauzelor și măsuri aplicate

Sancțiuni — ce riscă companiile care nu se conformează?

NIS2 introduce responsabilitate personală pentru conducerea companiei — nu doar amenzi pentru organizație. Directorul general poate fi declarat temporar inapt să exercite funcții de conducere dacă nu demonstrează că a luat măsuri adecvate.

Entități esențiale: până la 10.000.000 EUR sau 2% din cifra de afaceri globală
Entități importante: până la 7.000.000 EUR sau 1,4% din cifra de afaceri globală
Suspendarea temporară a autorizațiilor de operare
Obligarea la audituri de securitate externe

Cum verifici dacă firma ta intră sub NIS2 — pași concreti

Identifică codul CAEN principal al activității tale
Verifică dacă sectorul tău apare în Anexa I sau II (crosswalk-ul nostru mai jos)
Numără angajații echivalent normă întreagă (FTE) și verifică cifra de afaceri anuală
Dacă îndeplinești criteriile, înregistrează-te la DNSC și desemnează un punct de contact
Implementează măsurile tehnice și organizatorice cerute de art. 21

Verifică exact ce se aplică firmei tale

Introdu codul CAEN și dimensiunea firmei — generăm instant lista obligațiilor GDPR și NIS2 specifice activității tale.

Verifică obligațiile pentru codul tău CAEN

Ai nevoie de ajutor și cu GDPR? Citește ghidul nostru complet despre GDPR →

Întrebări frecvente

Serviciu BrainTrust

Securitate Cloud & Conformitate GDPR/ISO

Implementare GDPR, audit de conformitate, DPO externalizat și consultanță NIS2 pentru firma ta.

Vezi serviciile NIS2