Sari la conținutul principal
Toate articolele
Legal & cadru 2026-05-22 · 8 min

Legea 124/2025 — ce se schimbă efectiv pentru entitățile NIS2 din România

Scris de Adrian P. — expert cu 31+ audituri NIS la activ

OUG 155/2024 a transpus Directiva NIS 2, iar Legea 124/2025 a consolidat cadrul. Pentru o firmă, contează efectele practice: cine te reglementează, ce trebuie să notifici și ce termene te apasă.

Cadrul, pe scurt

România a transpus Directiva NIS 2 prin OUG 155/2024, publicată în 17 octombrie 2024. Legea 124/2025 a aprobat și a consolidat acest cadru normativ. Pentru un administrator, discuția nu e despre numărul actului, ci despre ce trebuie să facă firma din momentul în care intră sub incidența lui.

Autoritatea competentă este DNSC (Directoratul Național de Securitate Cibernetică). El ține Registrul entităților esențiale și importante, primește notificările, emite deciziile de înregistrare și, ulterior, poate iniția controale și audituri.

Prima obligație: notificarea la DNSC

Entitățile care activează în sectoarele din Anexa 1 sau Anexa 2 notifică DNSC în vederea înregistrării, în cel mult 30 de zile de la data la care prevederile le devin aplicabile (art. 18). Termenul calendaristic original a fost 22 septembrie 2025. Acesta a EXPIRAT, dar obligația rămâne în vigoare — firmele care nu au notificat trebuie să o facă retroactiv, de urgență.

Nu e o formalitate opțională: nerespectarea obligației de notificare se sancționează contravențional (art. 60), cu amenzi care pot ajunge până la 500.000 lei, iar întârzierea blochează pașii următori (evaluarea de risc, autoevaluarea).

Măsurile de securitate: art. 11 și art. 13

Cadrul cere entităților esențiale și importante să ia măsuri tehnice, operaționale și organizatorice proporționale (art. 11). Art. 13 detaliază categoriile minime: politici de analiză a riscurilor, criptografie, securitatea lanțului de aprovizionare, gestionarea incidentelor, continuitatea activității (backup, planuri de recuperare), igiena cibernetică și formarea, autentificarea multifactor.

Aceste măsuri nu se aplică „la ochi”. Nivelul concret cerut rezultă din evaluarea de risc (ENIRE) și din cadrul CyberFundamentals (CyFun) adoptat de DNSC.

Răspunderea conducerii: art. 14

Una dintre schimbările cu impact real este responsabilizarea conducerii. Organele de conducere aprobă măsurile, se formează în domeniu și desemnează un responsabil cu securitatea (CISO) în 30 de zile de la decizia DNSC. Pentru entitățile esențiale, acest responsabil trebuie să îndeplinească un set de condiții cumulative — inclusiv un curs de specialitate acreditat de DNSC, obținut în 12 luni de la desemnare.

Sancțiunile reflectă gravitatea: pentru entitățile esențiale, amenzile pot ajunge la 10.000.000 EUR sau 2% din cifra de afaceri mondială; pentru cele importante, la 7.000.000 EUR sau 1,4%.

Ce faci în primele luni

Practic: verifici încadrarea, notifici DNSC (retroactiv dacă e cazul), desemnezi responsabilul cu securitatea, faci evaluarea de risc și autoevaluarea CyFun. Fiecare pas are un termen legat de precedentul, așa că ordinea contează.

Dacă nu ești sigur de unde începi, cel mai simplu e să pornești de la o verificare a încadrării și să urmezi pașii în ordine — restul devine gestionabil odată ce știi pe ce nivel te afli.

Cadrul legal complet
Legea 124/2025DNSCart. 13art. 14

Nu ești sigur dacă NIS 2 ți se aplică?

Verifică-ți încadrarea și primești un cost orientativ în câteva minute — fără obligații.

Începe verificarea
NEWSLETTER

Primește pe e-mail ghidurile NIS 2 — 1-2 pe lună, fără spam

Articole practice despre încadrare, DNSC, CyFun și costuri. Direct în inbox.

Pregătit pentru conformitate reală?

Sună direct un expert cu peste 31 de audituri NIS la activ — iar dacă nu răspunde, revine el în maximum 24 de ore.