NIS2 în România 2026: termene, obligații, amenzi (Lege 244/2024)
NIS2 în România 2026: Directiva (UE) 2022/2555 transpusă prin Legea 244/2024 — termene, obligații Art.21, amenzi 10M EUR sau 2% cifră afaceri. Roadmap conformitate în 6 faze.
NIS2 în România 2026: termene, obligații, amenzi (Lege 244/2024)
Pe scurt
Directiva (UE) 2022/2555 (NIS2) este transpusă în România prin Legea 244/2024 și prin OG 155/2024 aprobată ulterior prin Lege 124/2025. Devine obligație legală activă pentru un număr foarte mare de entități începând cu 20 august 2025 (termen de înregistrare la DNSC: 30 zile, până ~19 septembrie 2025).
Amenzile pentru entitățile esențiale care nu se conformează ajung până la 10 milioane EUR sau 2% din cifra de afaceri globală anuală (mai mare). Pentru entități importante: 7 milioane EUR sau 1.4%.
În acest articol clarificăm: cine intră sub NIS2, ce obligații concrete există, cum se face raportarea incidentelor + cum echipa CAI Technology vă poate ajuta cu evaluarea + remedierea tehnică.
Cine intră sub NIS2 în România
NIS2 împarte organizațiile în 2 categorii:
Entități esențiale (Annex I) — sub regim mai strict
- Energie (electricitate, gaz, petrol, hidrogen)
- Transport (aer, feroviar, naval, rutier)
- Bănci & infrastructuri financiare
- Sănătate (spitale, laboratoare, fabrici medicamente)
- Apă potabilă + apă uzată
- Infrastructură digitală (DNS providers, TLD registries, cloud, datacentre, CDN)
- Administrație publică
- Spațiu (operatori de servicii spațiale)
Entități importante (Annex II)
- Servicii poștale + de curierat
- Gestionare deșeuri
- Producție + distribuție chimicale
- Producție + distribuție alimente
- Producție medicale + dispozitive în vitro
- Cercetare științifică
- Furnizori servicii digitale (motoare căutare, social, B2B platforms — inclusiv multe SaaS și e-commerce)
Pragurile de mărime
NIS2 se aplică organizațiilor cu >50 angajați și/sau >10 milioane EUR cifră de afaceri. Sub aceste praguri = SMB excepted (cu excepții pentru sectoare critice).
Calculați rapid:
- Companie >50 angajați + serviciu digital → NIS2 important
- Spital cu >50 angajați → NIS2 essential
- SaaS B2B cu >50 angajați → NIS2 important
Obligații concrete sub NIS2 Art. 21
1. Politici de risc cibernetic (Art.21.1)
Documentate, aprobate de top management, revizuite anual. Subiecte cheie:
- Risk assessment metodologie
- Incident response plan
- Business continuity / disaster recovery
- Supply chain security policy
2. Măsuri tehnice de gestionare risc (Art.21.2)
Lista oficială:
- a) Politici de analiză risc + securitate sisteme informaționale
- b) Gestionare incidente cibernetice
- c) Continuitate business + management criză
- d) Securitate lanț de aprovizionare
- e) Securitate achiziție / dezvoltare / mentenanță rețele și sisteme informaționale
- f) Politici evaluare eficacitate măsuri
- g) Practici de igienă cibernetică + training
- h) Politici criptografie + criptare
- i) Securitate resurse umane + control acces + management active
- j) MFA + autentificare continuă + comunicații sigure email/voice/video
3. Raportare incidente — termene strict (Art.23)
| Termen | Acțiune |
|---|---|
| 24 ore | Notificare timpurie la DNSC (online tool: NIS2@RO) |
| 72 ore | Raport detaliat incident |
| 1 lună | Raport final + lecții învățate |
Incident “semnificativ” = perturbe operare normală, afectează utilizatori, cauzează pierderi financiare materiale, etc.
4. Înregistrare la DNSC (Direcția Națională de Securitate Cibernetică)
Tool oficial: NIS2@RO (online, lansat 2025). Furnizați:
- Date identificare organizație
- Sector (Annex I sau II)
- Servicii furnizate
- Persoană contact securitate
5. Audit + raportare anuală
Self-assessment maturitate management risc cibernetic + plan corectiv depus la DNSC pentru deficiențe identificate (30 zile termen).
Amenzi reale (Lege 124/2025)
| Categorie | Maxim |
|---|---|
| Entități esențiale | 10.000.000 EUR sau 2% cifră afaceri globală (mai mare) |
| Entități importante | 7.000.000 EUR sau 1.4% cifră afaceri globală |
| Întârziere notificare incident | Suplimentar la maxim de mai sus |
| Refuz cooperare DNSC | Suplimentar la maxim |
Director generală sau membru CA poate fi tras la răspundere personală în cazuri grave (Art.24 NIS2).
Cum vă pregătiți — roadmap CAI Technology
Faza 1 — Identificare scope (1-2 săpt)
Întrebare cheie: suntem entitate esențială, importantă, sau exempt?
Folosiți BeLegal — verificare gratuită 5 minute care vă plasează în categoria corectă pe baza profilului organizației.
Faza 2 — Evaluare maturitate (1 lună)
Self-assessment NIS2 Art.21 — câte din cele 10 măsuri sunt implementate, parțial sau lipsă?
Folosiți Lexnomia — evaluare auditor-grade GDPR / NIS2 / DORA / ISO 27001. Output: scor maturitate + plan remediere prioritizat. €99/lună mid-market.
Faza 3 — Audit tehnic (1 săpt)
Verificare tehnică concretă: toate site-urile / API-urile / infrastructurile expuse au DNSSEC, MTA-STS, DKIM, DMARC reject, CSP, HSTS, CAA, WAF? Câte vulnerabilități cunoscute (CVE) sunt în uz?
Folosiți ARTEMIS — audit complet la 40 EUR/scanare. Raport include mapping explicit la NIS2 Art.21 per finding.
Faza 4 — Plan corectiv (1-3 luni)
Pe baza output-urilor Lexnomia + ARTEMIS, plan concret:
- 0-30 zile: quick wins (headers, DKIM, MFA, training)
- 30-90 zile: arhitectură (WAF, monitoring, IRP)
- 90-180 zile: maturitate (BCP, supply chain, cripto)
Faza 5 — Finanțare investiții (paralel)
Multe măsuri NIS2 sunt eligibile pentru fonduri europene (PNRR, POCIDIF, Horizon Europe — verificați eligibilitatea în ghidurile oficiale).
Folosiți AriaUnited — consultanță fonduri europene specializată. Verificați eligibilitatea proiectului dvs. în ghidurile oficiale ale programelor de finanțare.
Faza 6 — Înregistrare DNSC + monitoring continuu
NIS2@RO — înregistrare oficială. Setup monitoring continuu (SIEM, IDS, ARTEMIS continuous scan) pentru detectare incidente în timp real.
Confuzii frecvente
“Suntem SMB sub 50 angajați — nu ne afectează.” — Adevărat parțial. Excepție: sectoare critice (DNS provider, cloud, healthcare). De asemenea, clienții voștri NIS2 vă vor cere evidență securitate (supply chain) chiar dacă voi nu sunteți direct sub.
“NIS2 e doar despre cybersecurity tehnic.” — Greșit. Include policy, training, supply chain, governance, raportare incidente, BCP. Holistic.
“Am ISO 27001 — sunt automat NIS2 compliant.” — Suprapunere ~70%. NIS2 cere measure-uri specifice care nu sunt în ISO 27001 default (ex. raportare 24h, MFA universal). Audit specific tot necesar.
“Termenul a fost amânat.” — Nu. România a transpus la timp (Lege 244/2024 + OG 155/2024 + Lege 124/2025). Termen activ.
Verificați acum
Combinație recomandată CAI Technology pentru NIS2:
- BeLegal — verificați în 5 minute dacă intrați sub NIS2
- Lexnomia — evaluare maturitate auditor-grade
- ARTEMIS — audit tehnic infrastructură
- AriaUnited — consultanță fonduri europene
🔗 Soluții complementare CAI Technology
- Lexnomia — CRITERIUL PRINCIPAL — evaluare auditor-grade NIS2 / GDPR / DORA / ISO 27001 / DSA / CRA / EU AI Act. Output direct utilizabil în raport oficial DNSC.
- BeLegal cu SandboxAI — Verificare gratuită NIS2 în 5 minute. Primul pas obligatoriu.
- ARTEMIS — Audit tehnic complementar (NIS2 Art.21.2.b, e, f, g, h, j toate verificate automat).
- Auditope — Audit holistic web (Performance + AI search + GDPR).
- AriaUnited — Consultanță fonduri europene (PNRR, POCIDIF, Horizon Europe — verificați eligibilitatea în ghidurile oficiale). Verificați pe ariaunited.com schemele de finanțare disponibile.