CAI Technology
Programează demo
Menu ☰
Anexa I — Entități esențiale · Administrație

🏛️NIS2 pentru Administrație publică centrală — termene, obligații, amenzi

Administrație publică centrală cad sub NIS2 (Directiva UE 2022/2555 + OUG 155/2024). Vezi obligații Art.21, termene, amenzi maxime și plan de conformitate pentru Anexa I.

Ultima revizuire: · CAI Technology · echipa Lexnomia + AEGIS

🎯 Cine intră sub regulă

Administratia publica centrala este listata explicit in Anexa I la Directiva (UE) 2022/2555 (NIS2) ca sector de criticitate ridicata [C2]. Sunt excluse expres parlamentele, justitia si bancile centrale; in plus, Articolul 2(7) NIS2 scoate din scop entitatile ale caror activitati sunt desfasurate predominant in zonele de securitate nationala, ordine publica, aparare si aplicarea legii [C8]. In Romania, regulile sunt transpuse prin OUG 155/2024 (publicata in Monitorul Oficial nr. 1332 din 31 decembrie 2024) si modificate / aprobate prin Legea 124/2025 (publicata in Monitorul Oficial nr. 638 din 7 iulie 2025, in vigoare din 10 iulie 2025); DNSC este autoritatea competenta nationala [C6]. OUG 155/2024 Articolul 5(1)(a) declara entitatile administratiei publice centrale ca entitati esentiale indiferent de dimensiune — nu se aplica pragul de medie/mare intreprindere [C7]. Pentru o institutie centrala, conformitatea inseamna stack NIS2 + GDPR + eIDAS 2 + baseline de comunicatii securizate coordonat de STS, nu unul sau celalalt.

Exemple de entități acoperite în România

Agentia Nationala de Administrare Fiscala (ANAF)Oficiul National al Registrului Comertului (ONRC)Casa Nationala de Pensii Publice (CNPP)Casa Nationala de Asigurari de Sanatate (CNAS)Ministerul FinantelorMinisterul Afacerilor ExterneMinisterul Investitiilor si Proiectelor EuropeneMinisterul Dezvoltarii, Lucrarilor Publice si AdministratieiAutoritatea Electorala Permanenta (AEP)Agentia pentru Agenda Digitala a Romaniei (ADR)

Praguri de aplicabilitate

Anexa I NIS2 acopera entitatile administratiei publice centrale definite de Statele Membre prin legislatia nationala (excluse: judiciarul, parlamentele, bancile centrale) [C2]. Statele Membre pot extinde aplicarea la administratia publica locala si la entitati educationale care fac cercetare critica [C2]. In Romania, OUG 155/2024 listeaza in anexa nr. 1 entitatile administratiei publice centrale si le declara esentiale indiferent de dimensiune — un minister cu 80 angajati intra in scop la fel ca unul cu 8.000 [C7]. Termenul-limita pentru inregistrare la DNSC prin platforma NIS Tool a fost 19 septembrie 2025; obligatia desemnarii unui responsabil NIS2 in maxim 30 de zile de la inregistrare a fost introdusa prin Legea 124/2025 [C7][C13].

📅 Timeline regulatoriu

  1. Legea 161/2003 — Sistemul Electronic National (SEN), prima referinta de e-administratie obligatorie pentru autoritatile publice

  2. Adoptarea Regulamentului General privind Protectia Datelor (GDPR, Reg. (UE) 2016/679) [C16]

  3. GDPR intra in aplicare integrala; Legea 190/2018 (publicata 31 iulie 2018) defineste obligatiile autoritatilor si organismelor publice romanesti [C16]

  4. HG 1321/2021 — Strategia de securitate cibernetica a Romaniei 2022-2027 (5 obiective, plan de actiune) [C14]

  5. DDoS Killnet asupra site-urilor institutiilor centrale romanesti (Guvern, MApN, ANAF, STS, Politia de Frontiera, CFR Calatori) [I5]

  6. Adoptarea Directivei (UE) 2022/2555 (NIS2) [C1]

  7. Publicarea NIS2 in Jurnalul Oficial UE [C1]

  8. Bresa la Camera Deputatilor — 250 GB date exfiltrate, documente ale premierului publicate; rascumparare 0,8 BTC [I2]

  9. Adoptarea Regulamentului (UE) 2024/1183 (eIDAS 2) — EUDI Wallet obligatoriu pentru servicii publice online [C11]

  10. AI Act (Reg. (UE) 2024/1689) intra in vigoare; sistemele AI folosite pentru decizii catre cetateni (eligibilitate, beneficii) clasificate high-risk

  11. Termen UE pentru transpunere NIS2 in legislatiile nationale (NIS2 Art. 41) [C1]

  12. NIS1 (Directiva 2016/1148) abrogata; NIS2 produce efecte [C1]

  13. Inceputul campaniei cibernetice asupra AEP si infrastructurii electorale — peste 85.000 atacuri pana pe 25 noiembrie [I1]

  14. Curtea Constitutionala anuleaza primul tur al alegerilor prezidentiale, citand interferenta cibernetica si dezinformare coordonata [I1]

  15. Cyber Resilience Act (Reg. (UE) 2024/2847) intra in vigoare

  16. OUG 155/2024 publicata in Monitorul Oficial nr. 1332/31.12.2024 — transpunere NIS2 in Romania; DNSC autoritate competenta [C6]

  17. Cyber Solidarity Act (Reg. (UE) 2025/38) intra in vigoare — Rezerva de Cybersecurity a UE pentru sprijin in incidente majore [C15]

  18. Legea 124/2025 intra in vigoare — aprobare si modificare OUG 155/2024; introduce obligatia responsabilului NIS2 si training pentru management [C6][C7]

  19. Ordinele DNSC 1/2025 si 2/2025 publicate in Monitorul Oficial nr. 776 — operationalizeaza inregistrarea si evaluarea de risc [C13]

  20. Termen-limita pentru inregistrarea entitatilor esentiale si importante la DNSC prin platforma NIS Tool [C7]

  21. CRA Art. 14 — obligatii de raportare a vulnerabilitatilor exploatate activ pentru produsele cu elemente digitale intra in aplicare

  22. Termen-limita eIDAS 2 (24 luni de la implementing acts adoptate 28 nov 2024 + 20 zile) — Statele Membre trebuie sa puna la dispozitie EUDI Wallet; entitatile publice trebuie sa accepte autentificarea cu portofelul digital [C11]

📋 Obligații cheie

Cadru de risc-management ICT — masurile minime NIS2 Art. 21(2) aplicate intr-o institutie publica centrala

efort: high

Cadru documentat, abordare all-hazard, acoperind politici de risc, securitatea sistemelor, gestiunea incidentelor, business continuity (cu RTO/RPO pentru sistemele care sustin servicii pentru cetateni — ANAF SPV, ONRC RECOM, portalul Casei de Pensii, registrul electoral), criptografie, MFA, training, controlul accesului si securitatea resurselor umane. NIS2 Art. 21(2) impune cele zece masuri minime (a-j), aliniate pe ISO/IEC 27001 si ISO/IEC 27002 [C3]. Pentru entitatile administratiei publice centrale, OUG 155/2024 si Ordinul DNSC 2/2025 (Monitorul Oficial 776 din 20 august 2025) detaliaza metodologia de evaluare a riscului si criteriile de determinare a gradului de perturbare a serviciilor [C13]. Baseline-ul tehnic pentru comunicatii securizate intre institutiile centrale este coordonat de STS — institutie centrala de specialitate responsabila cu telecomunicatiile speciale si infrastructurile ICT critice ale statului (Presedintie, Guvern, ministere) si operatorul SNUAU 112 [C12]. Organul de conducere — ministru, secretar general, presedinte de agentie — aproba si supravegheaza implementarea conform NIS2 Art. 20, cu raspundere personala [C9].

Controale recomandate: NIS2 Art. 21(2)(a-j)ISO/IEC 27001:2022ISO/IEC 27002:2022ENISA NIS2 Technical Implementation Guidance v1.0DNSC Order 2/2025 (risk-assessment methodology)NIS2 Art. 20

Raportarea incidentelor pe doua paliere paralele — NIS2 Art. 23 + GDPR Art. 33

efort: high

Pentru o institutie publica care prelucreaza date personale ale cetatenilor (ANAF — date fiscale; CNPP — date de pensii; AEP — date electorale), un incident cibernetic atinge in majoritatea cazurilor si date personale, deci declanseaza doua fluxuri paralele. NIS2 Art. 23 catre CSIRT/DNSC: early warning maxim 24h de la constientizare, notificare incident 72h, raport final maxim o luna [C4]. GDPR Art. 33 catre ANSPDCP: notificare bresa de date cu caracter personal maxim 72h de la constientizare, daca exista risc pentru drepturile si libertatile persoanelor; Legea 190/2018 confirma explicit autoritatile si organismele publice (inclusiv ministerele si organele centrale) ca operatori sub regim GDPR [C16]. Cele doua termene de 72h se masoara independent — momentul de start poate fi diferit. Practic, CISO + DPO al institutiei impart un singur runbook care alimenteaza simultan formularul DNSC si formularul ANSPDCP, fara duplicari si fara intarzieri. Lectia AEP / campania noiembrie 2024 a fost ca momentul declasificarii oficiale si momentul declansarii raportarii ANSPDCP au fost decuplate, ceea ce a complicat comunicarea publica [I1].

Controale recomandate: NIS2 Art. 23(4)GDPR Reg. 2016/679 Art. 33Law 190/2018DNSC Order 1/2025 (notification process)OUG 155/2024

Rezilienta serviciilor critice pentru cetateni — ANAF SPV, ONRC, Casa de Pensii, registrul electoral

efort: high

Pentru un minister sau o agentie centrala, "business continuity" inseamna cetateni care pot depune declaratii fiscale, pensionari care isi primesc plata la timp, firme care isi pot consulta registrul, alegatori care isi pot verifica datele de inregistrare. NIS2 Art. 21(2)(c) cere business continuity si crisis management ca cerinte minime [C3]. Practic: planuri offline functionale (formulare hartie de rezerva, fluxuri manuale catre ghisee), exercitii anuale cu tabletop si simulari (cu scenarii DDoS, ransomware, defacement), backup-uri offline imutabile (cu rotire si testare restore), redundanta geografica pentru datele critice. ENISA raporteaza ca administratia publica a fost in 2024 sectorul cel mai vizat din UE (38% din toate incidentele) si ca DDoS reprezinta ~60% din volumul incidentelor sectoriale [C10]. Lectia campaniei electorale 2024 (I1) si a atacurilor Killnet 2022 (I5) este ca disponibilitatea conteaza pentru legitimitate publica, nu doar pentru SLA.

Controale recomandate: NIS2 Art. 21(2)(c)ISO 22301:2019 (BCM)ENISA Public Administration Threat Landscape 2024OUG 155/2024HG 1321/2021 (Romanian National Cybersecurity Strategy 2022-2027)

Lant ICT si dependenta de furnizori privati — NIS2 Art. 21(2)(d) + Art. 22

efort: high

Institutiile publice centrale opereaza in baza unor contracte ICT cu furnizori privati (integratori, host-eri, dezvoltatori de software de uz public, cloud providers, sub-contractori). NIS2 Art. 21(2)(d) cere securitatea lantului de aprovizionare [C3]; Art. 22 prevede evaluari coordonate la nivel UE pentru lanturile critice de furnizori ICT [C3]. Practic: clauze contractuale cu fiecare furnizor (SLA pe incident response, SBOM, drepturi de audit, exit-strategy, sub-outsourcing controlat), inventar al furnizorilor critici, monitorizare continua, testare a concentrarii pe furnizori transversali (un furnizor folosit pe mai multe ministere = punct unic de esec). Achizitiile publice de cybersecurity tools (vulnerability management, SIEM/SOAR, MFA, vault) intra sub aceleasi cerinte de evaluare a furnizorilor — caietele de sarcini trebuie sa contina cerinte explicite NIS2 + Reg. (UE) 2024/2847 (CRA) pentru produsele cu elemente digitale.

Controale recomandate: NIS2 Art. 21(2)(d)NIS2 Art. 22 (EU supply-chain assessments)Reg. (EU) 2024/2847 (CRA — Art. 14 vulnerability reporting from 11 September 2026)ISO/IEC 27036

Identitate digitala a cetateanului si eIDAS 2 — pregatire EUDI Wallet

efort: medium

Regulamentul (UE) 2024/1183 (eIDAS 2) cere Statelor Membre sa puna la dispozitia cetatenilor portofele de identitate digitala UE (EUDI Wallet) pana la 6 decembrie 2026 (24 luni dupa adoptarea implementing acts pe 28 noiembrie 2024) [C11]. Entitatile administratiei publice care expun servicii online cu autentificare pentru cetateni (ANAF SPV, casele de pensii, ONRC, portaluri ministeriale, AEP) sunt obligate sa accepte EUDI Wallet ca metoda valida de identificare [C11]. Practic, pentru o agentie publica centrala in 2026: integrare cu schema nationala eID, suport pentru Qualified Electronic Attestations of Attributes (QEAA), aliniere protocoale (OIDC4VCI / OIDC4VP, mdoc/ISO 18013-5), audit de securitate a tokenului de sesiune si scenarii de revocare. Stack-ul de identitate publica devine subiect direct atat al NIS2 Art. 21(2)(j) (MFA / autentificare continua), cat si al regulamentului eIDAS 2 — doua regimuri paralele care trebuie sa dea aceleasi controale tehnice.

Controale recomandate: Reg. (EU) 2024/1183 (eIDAS 2)NIS2 Art. 21(2)(j) — MFA / continuous authenticationEUDI Wallet implementing acts 2024-2026OIDC4VCI / OIDC4VPISO 18013-5 (mdoc)

📰 Incidente reale, lecții concrete

Autoritatea Electorala Permanenta (AEP) and Romania's electoral infrastructure (bec.ro, registrulelectoral.ro, gis.registrulelectoral.ro)

2024 · Romania

Tip: Cyber campaign officially attributed (declassified SRI report) to a state actor with sustained resources; vectors: targeted phishing, SQL injection, XSS, credential theft, compromise of a GIS server connected to the internal network

Impact: Peste 85.000 atacuri cibernetice intre 19 si 25 noiembrie 2024 asupra sistemelor electorale. Credentialele administrative ale site-urilor bec.ro, roaep.ro si registrulelectoral.ro au fost scurse pe un forum cibercriminal rusesc cu mai putin de o saptamana inainte de primul tur al alegerilor prezidentiale. La 6 decembrie 2024, Curtea Constitutionala a Romaniei a anulat rezultatele primului tur, citand interferenta straina cu impact asupra integritatii procesului electoral.

Lecția: Infrastructura electorala este NIS2 Anexa I prin natura ei (entitate publica centrala autonoma). Compromiterea unui singur server GIS conectat la reteaua interna a permis pivoting catre conturi administrative. NIS2 Art. 21(2)(d) si (i) cer segregare retea, MFA, asset management. Lectia operationala: orice server expus public conectat la AD-ul institutiei = punct unic de esec catre tot perimetrul.

Sursă publică ↗

Camera Deputatilor a Parlamentului Romaniei (Chamber of Deputies of the Romanian Parliament)

2024 · Romania

Tip: Data breach / exfiltration with extortion; 0.8 BTC ransom demand (~EUR 30 000) — incident made public on 31 January 2024 after a hacker group boasted online (reported by Digi24)

Impact: Aproximativ 250 GB date exfiltrate de pe serverele Camerei Deputatilor, inclusiv documente personale ale parlamentarilor — carti de identitate, analize medicale, contracte bancare, date despre vehicule personale. O parte din date publicate, inclusiv ID-ul premierului Marcel Ciolacu si al liderului UDMR Kelemen Hunor. Premierul a anuntat schimbarea cartii de identitate dupa incident.

Lecția: Parlamentul este exclus din scopul direct NIS2 (Anexa I exclude judiciarul, parlamentele, bancile centrale [C2]), dar incidentul ilustreaza modelul de risc pentru orice institutie centrala care detine date sensibile despre demnitari si oficiali. Tactica de double-extortion (criptare + exfiltrare cu santaj public) este standard pentru entitatile publice romanesti din 2023 incoace; raspunsul corect e refuzul platii si raportare imediata catre ANSPDCP sub GDPR Art. 33 [C16].

Sursă publică ↗

27 central institutions of the Government of Costa Rica (Ministry of Finance, customs, the public payments system; subsequently the CCSS social security fund)

2022 · Costa Rica

Tip: Conti ransomware (16 April 2022) followed by Hive (31 May 2022 on CCSS); initial ransom demand USD 10 million, later raised to USD 20 million

Impact: 8 mai 2022 — presedintele Rodrigo Chaves declara stare de urgenta nationala, prima oara cand un atac ransomware genereaza un astfel de raspuns. Peste 600 GB date exfiltrate; colectarea taxelor blocata; vamile oprite; comertul international perturbat. Pierderi estimate peste 125 milioane USD pentru economia tarii in luna ramasa fara servicii fiscale functionale. Atacul secundar Hive pe Casa de Asigurari Sociale a oprit 759 servere, 10.400 computere, si a fortat reprogramarea a peste 30.000 programari medicale.

Lecția: Un atac ransomware coordonat poate scoate efectiv din functiune statul timp de saptamani. Lectia pentru NIS2 Art. 21(2)(c) si Strategia RO 2022-2027 [C14]: backup-uri offline testate trimestrial, planuri de continuitate cu fluxuri manuale, exercitii anuale care simuleaza pierderea totala a unei agentii centrale. Cyber Solidarity Act (Reg. 2025/38) a fost adoptat partial ca raspuns la astfel de scenarii [C15].

Sursă publică ↗

Stortinget — Parliament of Norway

2021 · Norway

Tip: Exploitation of Microsoft Exchange ProxyLogon vulnerabilities (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065); officially attributed by the Norwegian Government to actors operating from China (HAFNIUM)

Impact: Date exfiltrate din sistemele de email ale Stortingului in martie 2021. Atribuirea oficiala a fost facuta pe 19 iulie 2021, in aceeasi zi cu atribuirea coordonata SUA / UK / UE / NATO pentru campania ProxyLogon. Ambasada Chinei a fost convocata la Ministerul de Externe norvegian. Incidentul a urmat unui atac anterior in decembrie 2020 (atribuit APT28 / Rusia).

Lecția: Patch-management deficitar pentru vulnerabilitati cunoscute Microsoft Exchange (publicate la 2 martie 2021, exploit-uri in-the-wild in zilele urmatoare) intr-un perimetru sensibil politic. NIS2 Art. 21(2)(e) si Reg. (UE) 2024/2847 (CRA) cer gestionarea vulnerabilitatilor in timp util si raportare obligatorie a CVE-urilor exploatate activ. Pentru ministerele romanesti, baseline-ul tehnic STS pe comunicatii securizate este una dintre apararile-cheie [C12].

Sursă publică ↗

⚠️ Amenințări tipice

  • • Atacuri sponsored (state actors)
  • • Ransomware (vezi atac ANAF preventiv 2024)
  • • Espionaj documentar

💰 Amenzi maxime

Max 10 mil. EUR / sancțiuni administrative — Art. 36 Legea 244/2024

📊 Status conformitate România

STS coordonare. Ministerele între 20-60% conformitate. Risc reputațional major.

🛡️ Cum ajută CAI Technology

AEGIS — Observability + SecOps cu AI

SIEM unified pentru DC on-premise: logs + metrics + threat detection + AI incident analysis.

CAI-AUTH — Identity Provider post-quantum

OIDC IdP construit în România cu criptografie post-quantum (hybrid post-quantum signatures). Patent Pending.

Lexnomia — Audit conformitate UE

Self-serve audit conformitate pe 7+ regulamente UE: GDPR, NIS2, DORA, EU AI Act, ISO 27001, CRA, DSA.

Bid365 — Achiziții publice cu AI

Platformă AI agentică pentru ofertare achiziții publice (SEAP, PNRR, Fonduri UE).

📚 Reglementări adiacente care se suprapun

GDPR — Regulation (EU) 2016/679 + Law 190/2018 · GDPR direct aplicabil din 25 mai 2018; Legea 190/2018 publicata 31 iulie 2018, defineste obligatiile autoritatilor si organismelor publice romanesti [C16]

Autoritatile si organismele publice (Camera Deputatilor, Senat, Administratia Prezidentiala, Guvern, ministere, alte organe centrale, autoritati autonome) sunt explicit listate ca operatori in regim GDPR sub Legea 190/2018 [C16]. ANSPDCP supravegheaza si poate aplica sanctiuni. Diferenta cheie fata de NIS2: GDPR se activeaza la bresa de date personale, NIS2 la incident cibernetic semnificativ — pot coincide, dar nu obligatoriu. Sanctiunile sunt cumulative.

Regulation (EU) 2024/1183 (eIDAS 2 — European Digital Identity Framework) · Direct aplicabil din 20 mai 2024; EUDI Wallet obligatoriu pana la 6 decembrie 2026 (24 luni dupa adoptarea implementing acts pe 28 noiembrie 2024) [C11]

Statele Membre trebuie sa puna la dispozitia cetatenilor portofele digitale UE; orice entitate publica care expune servicii online cu autentificare (ANAF SPV, ONRC, casele de pensii, MFE, etc.) trebuie sa accepte EUDI Wallet pe langa metodele existente (cnp+pwd, certificat digital calificat) [C11]. Cumulativ cu NIS2 Art. 21(2)(j), care cere MFA pentru conturile administrative interne — eIDAS 2 vine cu portofelul digital al cetateanului ca al doilea factor extern.

Cyber Resilience Act — Regulation (EU) 2024/2847 · Intrat in vigoare 10 decembrie 2024; obligatii principale aplicabile din 11 decembrie 2027, raportare vulnerabilitati active din 11 septembrie 2026

Pentru institutiile publice centrale, CRA actioneaza dinspre achizitii — orice produs cu elemente digitale (software, hardware retea, IoT, dispozitive de control acces, camere conectate) cumparat dupa 2027 trebuie sa fie conform CRA. Aceasta inseamna SBOM, raportare obligatorie a vulnerabilitatilor active in 24h catre ENISA, gestiune pe toata durata de viata a produsului. Caietele de sarcini publice trebuie sa pretinda explicit conformitatea CRA pentru produsele cu elemente digitale.

Cyber Solidarity Act — Regulation (EU) 2025/38 · Intrat in vigoare 4 februarie 2025 [C15]

Stabileste Rezerva de Cybersecurity a UE — servicii de raspuns la incident furnizate de providers privati de incredere, deployabile la cererea Statelor Membre sau a institutiilor UE pentru incidente majore [C15]. Pentru o entitate publica centrala romaneasca, in caz de incident sever (de tipul I1/I3), accesul la aceasta rezerva se face prin DNSC catre ENISA. Sistemul European de Alerta Cibernetica si Mecanismul de Urgenta Cibernetica reduc timpul de raspuns in incidente cross-border si large-scale.

Romanian National Cybersecurity Strategy 2022-2027 (HG 1321/2021) · Cadru strategic national; adoptata prin Hotararea Guvernului nr. 1321/2021 din 30 decembrie 2021 [C14]

Strategia stabileste 5 obiective: retele sigure si reziliente, Romania actor relevant in cooperarea internationala, cultura nationala de cybersecurity, dezvoltare a expertizei, cadru de inovatie. Pentru institutiile publice centrale, strategia impune alocarea unei parti din buget pentru asigurarea securitatii cibernetice si participarea la sistemul national de management al incidentelor coordonat de DNSC + STS [C14]. Constituie cadrul pe care s-au construit ulterior OUG 155/2024 si Ordinele DNSC 1-2/2025.

Întrebări frecvente

Sunt minister / agentie centrala — sunt sub NIS2?

Da, indiferent de dimensiune. NIS2 Art. 2 + Anexa I listeaza explicit entitatile administratiei publice centrale ca sector de criticitate ridicata [C2]. OUG 155/2024 Art. 5 declara entitatile administratiei publice centrale ca esentiale indiferent de pragul de dimensiune [C7] — pragul standard de medie/mare intreprindere nu se aplica. Singurele excluderi sunt cele de la Art. 2(7) NIS2: entitati ale caror activitati sunt desfasurate predominant in zonele de securitate nationala, ordine publica, aparare si aplicarea legii [C8]. In Romania, DNSC + STS gestioneaza partile complementare — DNSC autoritate competenta sub OUG 155/2024, STS autoritate publica pentru infrastructurile ICT critice ale statului [C6][C12].

Parlamentele si justitia sunt si ele in scop?

Nu, direct. Anexa I NIS2 listeaza administratia publica centrala dar exclude expres judiciarul, parlamentele si bancile centrale [C2]. Totusi, daca o institutie centrala ofera servicii ICT pentru parlament sau pentru sistemul judiciar prin contract (de exemplu, STS care opereaza retele si servicii pentru institutiile statului), acea institutie ramane in scop pentru propriile sale obligatii. Lectia incidentului din ianuarie 2024 (Camera Deputatilor) [I2] este ca exceptarea de NIS2 nu inseamna exceptare de GDPR Art. 33 sau de raspunderea politica — bresa s-a tradus public ca o problema institutionala majora.

Cum se cumuleaza NIS2 cu GDPR pentru o agentie publica romaneasca?

Nu te scuteste unul de celalalt. NIS2 (orizontal cybersecurity) impune cele zece masuri minime de risc-management si raportare a incidentelor semnificative in 24h/72h/1 luna catre DNSC [C3][C4]. GDPR (orizontal data protection) cere notificarea bresei de date personale in 72h catre ANSPDCP, daca exista risc pentru drepturile persoanelor [C16]. In practica: un incident la portalul ANAF SPV care expune declaratii fiscale ale cetatenilor declanseaza ambele canale, dar momentul de start si pragul de declansare pot fi diferite. CISO + DPO ai institutiei impart un singur runbook care alimenteaza simultan formularul DNSC si formularul ANSPDCP.

Ce inseamna `incident semnificativ` pentru o institutie publica?

NIS2 Art. 23(3) defineste incidentul semnificativ ca cel care a cauzat sau e capabil sa cauzeze perturbari operationale grave sau pierderi financiare pentru entitate, sau care a afectat sau e capabil sa afecteze alte persoane prin daune materiale sau nemateriale considerabile [C4]. Ordinul DNSC 2/2025 detaliaza criteriile de determinare a gradului de perturbare a serviciilor publice [C13]. Operational, pentru o institutie centrala: pierdere totala sau partiala a portalului public; criptare a bazei de date primare; exfiltrare de date cetateni; DDoS sustinut peste 30 minute (lectia campaniei Killnet 2022, I5). Daca esti in dubiu, raporteaza ca early warning in 24h — poti retrage ulterior daca se dovedeste minor.

Cum lucram cu STS in raportarea NIS2?

STS si DNSC au mandate complementare. DNSC este autoritatea competenta sub OUG 155/2024 pentru NIS2 — primeste notificarile, evalueaza si aplica sanctiuni [C6]. STS este organul central de specialitate pentru telecomunicatiile speciale si infrastructurile ICT critice ale statului (Presedintie, Guvern, ministere) si opereaza SNUAU 112 [C12]. Pentru o institutie centrala care isi are reteaua gazduita pe infrastructura STS, raportarea incidentului trece prin doua canale: incident response coordonat operational de STS, raportare reglementara catre DNSC sub NIS2. Practic: include in runbook pasul "alerta STS in paralel cu DNSC" pentru orice incident in reteaua administratiei centrale.

Termenele de raportare incident — exact?

Doua canale paralele. NIS2 (catre CSIRT/DNSC, sub OUG 155/2024): early warning in 24h de la constientizare, notificare incident in 72h, raport final maxim 30 de zile (Art. 23) [C4]. GDPR (catre ANSPDCP, daca incidentul implica si bresa de date personale): notificare maxim 72h de la constientizarea bresei (Art. 33) [C16]. Cele doua termene de 72h se masoara independent — momentul de constientizare poate diferi. Recomandare practica: prepara un singur process care alimenteaza ambele formulare automat, cu fluxuri de escaladare separate catre CISO si DPO; pentru institutiile pe reteaua STS, include si canalul operational STS.

Cum aplicam eIDAS 2 si EUDI Wallet pentru serviciile noastre online?

Termen 6 decembrie 2026 — Statele Membre trebuie sa puna la dispozitie EUDI Wallet, iar entitatile publice trebuie sa accepte autentificarea cu portofelul digital ca metoda valida pentru servicii online [C11]. Practic: integrare cu schema nationala eID (interoperabila cu schemele celorlalte State Membre), suport pentru Qualified Electronic Attestations of Attributes (QEAA), aliniere protocoale OIDC4VCI / OIDC4VP, mdoc (ISO 18013-5), audit token sesiune, scenarii revocare. Stack-ul de identitate publica devine subiect direct atat al NIS2 Art. 21(2)(j) (MFA / autentificare continua) cat si al regulamentului eIDAS 2 — doua regimuri paralele care trebuie sa dea aceleasi controale tehnice. Achizitia tool-urilor pentru integrare EUDI intra sub CRA Reg. (UE) 2024/2847 pentru produsele cu elemente digitale.

Cine raspunde personal in conducerea ministerului?

NIS2 Art. 20 cere ca organele de conducere ale entitatilor esentiale sa aprobe masurile de risc-management cibernetic, sa supravegheze implementarea si pot fi tinute responsabile personal [C9]. Pentru o institutie publica centrala: ministrul / secretarul general / presedintele agentiei isi asuma raspunderea politica si reglementara prin act administrativ (hotarare, ordin, decizie) care aproba cadrul de risc-management. Legea 124/2025 a introdus in plus obligatia de training pentru management [C6]. Implementare practica: ordinul ministrului care aproba politica de cybersecurity, semnata si datata; raport anual catre conducere de la CISO si DPO; participarea efectiva la training certificat de DNSC sau provider autorizat.

🔗 Surse oficiale

Ești în sectorul administrație publică centrală?

Audit gratuit NIS2 pentru companii peste 50 angajați. Răspundem în 24 ore lucrătoare.

Solicită audit →