Înapoi la blog
Securitate cibernetică
8 mai 2026

Directiva NIS2 în România: foaia de parcurs pentru conformitate în 2026

AB
Andrei Bratu11 min de citit

Directiva NIS2 (Directiva (UE) 2022/2555) este cadrul european de securitate cibernetică de a doua generație, care înlocuiește directiva NIS din 2016. România a transpus-o prin GEO 155/2024, intrat în vigoare în octombrie 2024 — și a extins obligațiile legale la mii de companii mid-market care n-au mai fost niciodată reglementate sub legislația de securitate cibernetică.

Dacă firma ta activează într-unul din sectoarele acoperite de NIS2, ești acum supus obligațiilor de gestionare a riscurilor de securitate, termenelor de raportare a incidentelor și răspunderii personale la nivel de director. Ghidul de față e foaia ta de parcurs.

Ești în perimetru?

NIS2 clasifică entitățile reglementate în două categorii:

  • Entități esențiale — companii mari (250+ angajați sau cifră de afaceri de peste 50 milioane €) din sectoare precum energie, transport, banking, infrastructuri ale piețelor financiare, sănătate, apă potabilă, ape uzate, infrastructură digitală și administrație publică.
  • Entități importante — companii medii (50+ angajați sau cifră de afaceri de peste 10 milioane €) din aceleași sectoare, plus servicii poștale, gestionarea deșeurilor, producție chimică, industria alimentară, producție de dispozitive medicale și electronică, furnizori digitali (piețe online, motoare de căutare, rețele sociale) și cercetare.

Pragurile se aplică la nivelul întregii companii, nu per unitate sau locație. Un procesator chimic cu 60 de angajați din județul Sibiu e entitate importantă, chiar dacă doar cincisprezece dintre ei ating sistemele IT.

Un aspect care scapă adesea: NIS2 captează și întregul lanț de aprovizionare. O entitate esențială e obligată să verifice furnizorii critici sub aspectul unui nivel de securitate echivalent NIS2 — ceea ce înseamnă că și IMM-urile nereglementate direct se pot trezi sub presiune indirectă din partea clienților lor enterprise.

Ce cere concret directiva

NIS2 codifică zece măsuri de gestionare a riscurilor de securitate pe care fiecare entitate reglementată trebuie să le pună în practică:

  1. Analiza riscurilor și politici de securitate a sistemelor informaționale — documentate, cu responsabili nominalizați, revizuite cel puțin anual.
  2. Gestionarea incidentelor — proceduri definite de detecție, triere, izolare și recuperare.
  3. Continuitatea afacerii — management al backup-ului, recuperare în caz de dezastru și capacitate de gestionare a crizelor.
  4. Securitatea lanțului de aprovizionare — evaluarea riscurilor la furnizori și obligații contractuale de securitate.
  5. Securitatea în achiziția, dezvoltarea și mentenanța rețelelor și sistemelor informaționale — SDLC securizat, gestionarea divulgării vulnerabilităților, aplicarea patch-urilor.
  6. Măsurarea eficacității — KPI de securitate și programe de testare (teste de penetrare, exerciții tabletop).
  7. Igienă cibernetică și formare — training periodic obligatoriu pentru tot personalul cu acces la sisteme.
  8. Criptografie — politici de criptare acoperind datele în repaus și în tranzit.
  9. Securitatea resurselor umane și controlul accesului — procese de onboarding/transfer/offboarding, principiul privilegiului minim, MFA.
  10. Autentificare cu mai mulți factori și comunicații securizate — MFA pe toate accesele administrative și la distanță, cu excepții documentate.

Nu e o listă de aspirații. Sunt obligații, aplicabile de DNSC (Directoratul Național de Securitate Cibernetică) — autoritatea de supraveghere NIS2 din România.

Ceasul de 24 de ore

NIS2 introduce un regim strict, în cascadă, de raportare a incidentelor. Din momentul în care se detectează un incident semnificativ:

  • 24 de ore — depui o avertizare timpurie la DNSC, în care descrii dacă incidentul e suspectat a fi cauzat de o acțiune ilegală sau malițioasă.
  • 72 de ore — depui o notificare de incident cu o evaluare inițială a gravității, impactului și indicatorilor de compromitere.
  • O lună — depui un raport final care acoperă analiza cauzei-rădăcină, măsurile de remediere aplicate și lecțiile învățate.

Un „incident semnificativ" e definit larg: orice eveniment care provoacă perturbări operaționale severe, pierderi financiare sau impact material asupra altor persoane fizice sau juridice se califică. Ceasul pornește la detecție, nu la contenție — un mediu fără monitorizare 24/7 va rata sistematic primul termen.

Amenzi și răspundere personală

Regimul de sancțiuni din NIS2 e deliberat punitiv:

  • Entități esențiale — amenzi de până la 10 milioane € sau 2% din cifra de afaceri anuală globală, oricare e mai mare.
  • Entități importante — amenzi de până la 7 milioane € sau 1,4% din cifra de afaceri anuală globală, oricare e mai mare.

Dincolo de amenzi, directiva introduce răspunderea personală a conducerii. Directorii care nu asigură respectarea obligațiilor NIS2 pot fi trași la răspundere personal, suspendați din funcțiile de conducere sau interziși să ocupe poziții executive în entități reglementate. E o schimbare structurală: securitatea cibernetică nu mai e o problemă de CIO, delegabilă spre IT — e o datorie fiduciară la nivel de board.

Foaie de parcurs pragmatică: 12 săptămâni

Pentru o entitate importantă din mid-market care pornește de la zero, un drum tractabil spre conformitate NIS2 arată cam așa:

Săptămânile 1–2 — Delimitarea perimetrului și analiza gap-urilor Inventariezi sistemele în perimetru, identifici activitatea reglementată și mapezi controalele existente față de cele zece măsuri NIS2. Rezultatul: o matrice de gap-uri prioritizată după risc și efort.

Săptămânile 3–6 — Controale de bază Implementezi MFA universal, întărești accesul privilegiat, pui în funcțiune endpoint detection and response (EDR) și stabilești backup criptat cu copii offline. Aceste patru controale singure acoperă cam 60% din gap.

Săptămânile 7–9 — Documentare și guvernanță Redactezi politica de securitate a informației, planul de răspuns la incidente, planul de continuitate a afacerii și chestionarul de securitate pentru furnizori. Nominalizezi responsabili. Informezi conducerea.

Săptămânile 10–11 — Validare Rulezi un exercițiu tabletop care simulează un incident ransomware cu notificare regulatorie. Faci un test de penetrare pe sistemele expuse extern. Rezolvi constatările.

Săptămâna 12 — Înregistrare și obligații continue Te înregistrezi la DNSC (obligatoriu pentru entitățile în perimetru) și fixezi obligațiile recurente: tabletop trimestrial, revizuire anuală a politicilor, scanare lunară a vulnerabilităților, monitorizare continuă.

Pârghia lanțului de aprovizionare

Chiar dacă NIS2 nu te prinde direct, clienții tăi enterprise vor cere din ce în ce mai des atestări echivalente NIS2 în procesele de onboarding al furnizorilor. Un program documentat de securitate a informației — mai ales unul mapat pe ISO 27001 — devine un diferențiator comercial cu mult înainte să devină o cerință de conformitate.

Qbyte IT ajută entitățile românești din mid-market să ajungă la conformitate NIS2 pe parcursul celor 12 săptămâni descrise mai sus — inclusiv înregistrarea la DNSC, facilitarea exercițiilor tabletop și detecție și răspuns 24/7 continuu. Dacă nu ești sigur că firma ta intră în perimetru, un apel de o oră pentru delimitarea scopului e pasul corect.