Implementation NIS2 — checklist operațional pentru entități esențiale și importante (Directiva 2022/2555)

NIS2, Directiva (UE) 2022/2555, a intrat în vigoare la 16 ianuarie 2023, cu transpunere obligatorie de către statele membre până la 17 octombrie 2024. România a transpus directiva prin OUG 155/2024, publicată în Monitorul Oficial nr. 1199 din 27 noiembrie 2024. Deadline-ul de transpunere a fost depășit de aproximativ jumătate dintre statele membre, dar asta nu suspendă obligațiile substanțiale ale entităților vizate. Comisia Europeană a deschis proceduri de infringement în martie 2025 împotriva mai multor state, fără să schimbe însă substanța obligațiilor pentru companii.

Acest articol oferă un checklist operațional și o hartă a articolelor critice pentru o entitate esențială sau importantă din România.

TL;DR

• NIS2 acoperă 18 sectoare cu prag de mărime medie + 100 angajați și/sau 10 milioane EUR cifră de afaceri.
• Articolele 20-23 sunt obligatorii: guvernanță (board approval), 10 măsuri tehnice minime, raportare incident la 24h/72h/30 zile.
• Sancțiuni: până la 10 milioane EUR sau 2% din cifra de afaceri globală pentru entități esențiale.
• DNSC (Directoratul Național de Securitate Cibernetică) este autoritatea competentă în România.
• Înregistrare obligatorie în registrul DNSC; lipsa înregistrării nu suspendă obligațiile.

Cine este vizat — clasificarea în două categorii

Directiva 2022/2555 împarte entitățile în două categorii cu obligații diferențiate.

Entitățile esențiale (Anexa I) sunt 11 sectoare considerate critice:

1. Energie (electricitate, petrol, gaz, hidrogen).
2. Transport (aerian, feroviar, naval, rutier).
3. Bancar.
4. Infrastructură de piețe financiare (sub umbrela DORA).
5. Sănătate (spitale, laboratoare, fabricanți de dispozitive medicale clasa II/III).
6. Apă potabilă.
7. Apă uzată.
8. Infrastructură digitală (DNS, TLD, IXP, cloud, data center, CDN, trust services).
9. Gestionare servicii TIC B2B (MSP, MSSP).
10. Administrație publică centrală.
11. Spațiu (operatori de infrastructură terestră).

Entitățile importante (Anexa II) sunt 7 sectoare:

1. Servicii poștale și de curierat.
2. Gestionare deșeuri.
3. Producție, prelucrare și distribuție produse chimice.
4. Producție alimente.
5. Fabricarea (medicamente, dispozitive medicale clasa I, hardware computer, electronice, mașini, vehicule).
6. Furnizori servicii digitale (online marketplace, motoare de căutare, rețele sociale).
7. Cercetare.

Pragul size cap se aplică transversal: o companie este vizată dacă depășește 50 angajați și 10 milioane EUR cifră de afaceri sau 10 milioane EUR active. Pragul superior pentru clasificarea ca esențială (vs. importantă, în sectoarele Anexa I) este 250 angajați sau 50 milioane cifră de afaceri.

Nu te lăsa păcălit de sectorul declarat în CAEN: testul real este activitatea efectivă. Un grup industrial care produce piese auto poate intra prin sub-activitatea de “MSP intern” pentru filialele europene.

Articolul 21 — cele 10 măsuri tehnice și organizatorice minime

Articolul 21 alin. (2) listează 10 categorii minime de măsuri pe care entitatea trebuie să le implementeze pe baza unei evaluări a riscurilor:

1. Politici de analiză a riscului și securitate informatică.
2. Gestionarea incidentelor, inclusiv detecție, răspuns, recuperare.
3. Continuitatea afacerii — managementul backup-urilor, disaster recovery, crisis management.
4. Securitatea lanțului de aprovizionare, inclusiv aspecte legate de relațiile cu furnizorii direcți.
5. Securitatea în achiziție, dezvoltare și mentenanță rețele și sisteme informatice, inclusiv tratarea vulnerabilităților.
6. Politici și proceduri pentru evaluarea eficacității măsurilor de management al riscului.
7. Practici de bază de igienă cibernetică și instruire în domeniul securității cibernetice.
8. Politici și proceduri privind utilizarea criptografiei și, după caz, a criptografiei post-quantum.
9. Securitatea resurselor umane, politici de control al accesului și gestionarea activelor.
10. Utilizarea autentificării multi-factor sau soluții de autentificare continuă, comunicații sigure de voce, video și text.

Pentru fiecare dintre cele 10, autoritatea competentă va cere: politică scrisă, evidență de implementare, evidență de testare. PDF-ul și o iconiță verde nu sunt suficiente. Vezi evidence vs PDF în articolul nostru.

Articolul 23 — raportare incidente, ferestrele 24/72/30

Spre deosebire de NIS1, NIS2 stabilește o procedură în trei pași pentru raportarea incidentelor “semnificative”:

• Avertizare timpurie (early warning) — în maxim 24 de ore de la conștientizarea incidentului. Conține o indicație dacă incidentul este suspectat ca având cauze ilicite sau impact transfrontalier.
• Notificare incident — în maxim 72 de ore de la conștientizare. Include o evaluare inițială a severității, indicatori de compromis, măsuri de mitigare luate.
• Raport final — în maxim o lună de la notificare. Descriere detaliată, cauza rădăcină, măsurile aplicate, impact transfrontalier.

În România, raportarea se face către DNSC prin platforma dedicată. Pentru incidentele în sectorul financiar, raportarea se face în paralel către BNR / ASF, conform DORA — vezi articolul nostru pe DORA.

Definiția “incident semnificativ” (Art. 23 alin. 3): incident care a cauzat sau e capabil să cauzeze perturbări operaționale severe sau pierderi financiare, sau a afectat sau e capabil să afecteze alte persoane fizice/juridice cauzând prejudicii materiale sau morale considerabile.

Articolul 20 — guvernanță și răspundere personală a board-ului

Articolul 20 introduce o noutate față de NIS1 cu impact direct asupra board-ului: organele de conducere aprobă măsurile de management al riscului și sunt răspunzătoare personal pentru lipsa conformității. Membrii organelor de conducere trebuie să urmeze training regular pe securitate cibernetică, iar acest training trebuie probat documentat.

În jurisdicțiile cu transpunere completă (Belgia, Germania, Italia), au început deja primele acțiuni administrative împotriva membrilor board în cazuri în care incidentul nu a fost raportat la timp. România are prevederi similare în OUG 155/2024.

Articolul 22 — supply chain și relațiile cu furnizorii

Articolul 22 cere ca entitățile să evalueze riscurile lanțului de aprovizionare, inclusiv:

• Calitatea și reziliența produselor și serviciilor furnizorilor.
• Practici de securitate cibernetică ale furnizorilor.
• Procedurile de dezvoltare securizată ale acestora.

Pentru un MSP/MSSP european, asta înseamnă că entitatea-client îți va cere o evaluare detaliată a stivei tale de securitate. Pentru noi, asta a fost un argument suplimentar pentru construirea CAI-AUTH cu post-quantum nativ și SBOM-uri publice — fiindcă auditul de supply chain al unui client din energie sau bancar va include și IdP-ul.

Sancțiuni — 10 milioane EUR sau 2% din cifra de afaceri

Articolul 34 stabilește sancțiunile maxime:

• Entități esențiale: amendă administrativă 10 milioane EUR sau 2% din cifra de afaceri globală anuală, oricare e mai mare.
• Entități importante: amendă administrativă 7 milioane EUR sau 1,4% din cifra de afaceri globală, oricare e mai mare.

În plus, autoritatea competentă poate suspenda temporar autorizarea, poate interzice exercitarea funcțiilor de conducere și poate impune măsuri corective obligatorii.

Checklist operațional pe 30 de zile

Săptămâna 1 — gap assessment:

• Confirmă încadrarea (esențială vs importantă, prag size cap).
• Inventar aplicații + sisteme + furnizori.
• Mapare împotriva celor 10 măsuri din Articolul 21.
• Identificare gap-uri majore.

Săptămâna 2 — politici și guvernanță:

• Aprobare board pentru politica de risk management.
• Training inițial board pe NIS2.
• Numire CISO sau echivalent cu raportare la board.
• Plan de remediere pentru gap-uri.

Săptămâna 3 — măsuri tehnice critice:

• MFA pe toate accesurile administrative.
• Backup off-site testat.
• Procedură de incident cu rolurile clarificate.
• Vulnerability management cu SLA.

Săptămâna 4 — supply chain și înregistrare:

• Evaluare furnizori critici, contracte revizuite.
• Înregistrare în registrul DNSC.
• Plan de testare anuală a continuității.
• Documentație gata pentru audit.

Cum ajută Lexnomia

Lexnomia include un modul NIS2 care:

• Mapează automat aplicațiile inventariate la cele 10 măsuri din Art. 21.
• Generează template-ul early warning + notificare 72h + raport final cu câmpurile DNSC pre-completate.
• Tracking al training-urilor board cu evidență cryptographic-signed.
• Risk register supply chain integrat cu inventarul de furnizori.
• Multi-framework: aceeași evidență acoperă și ISO 27001:2022 (detalii) și DORA pentru entitățile financiare.

Articole conexe

• DORA Regulation 2022/2554 — cele cinci pillar-uri pentru banking, fintech și asigurări
• ISO/IEC 27001:2022 — migrarea de la ediția 2013 cu cele 93 controale reorganizate
• Cyber Resilience Act (Regulamentul 2024/2847) — obligații pentru produse cu element digital
• SIEM on-premise cu LLM local: AI incident analysis fără să spargi confidențialitatea
• Pillar Lexnomia — platforma EU de compliance suveran

Pași următori

Pentru o evaluare NIS2 readiness pentru organizația dvs. — pe pagina Lexnomia găsiți planul de implementare în 30 zile. Sau scrieți la contact pentru o discuție tehnică.

Referințe

• Directiva (UE) 2022/2555 — text consolidat EUR-Lex
• OUG 155/2024 — transpunerea NIS2 în România
• DNSC — Directoratul Național de Securitate Cibernetică
• ENISA — NIS2 Directive guidance
• European Commission — NIS2 implementation status