Sari la conținutul principal
Toate articolele
Guvernanță & board 2026-06-19 · 9 min

Calendar 12 luni — primele 90 de zile, primul trimestru, primul an

Scris de Adrian P. — expert cu 31+ audituri NIS la activ

NIS 2 pare copleșitor până îl pui pe un calendar. Fiecare pas are un termen legat de precedentul. Iată ordinea reală — de la notificare la audit-readiness — ca să știi ce faci și când.

De ce ordinea contează

NIS 2 nu e un teanc de sarcini pe care le faci în paralel, la întâmplare. Este o secvență în care fiecare pas deblochează termenul următorului. Decizia DNSC declanșează termenul pentru CISO și pentru evaluarea de risc; evaluarea de risc declanșează autoevaluarea CyFun; autoevaluarea declanșează planul de remediere. Dacă ratezi ordinea, acumulezi întârzieri care se compun.

Pus pe un calendar, haosul devine un drum. Iată reperele.

Ziua 1: identificare și notificare

Primul lucru: verifici încadrarea (sector + dimensiune) și transmiți notificarea către DNSC în vederea înregistrării. Termenul legal este de 30 de zile de la data la care prevederile îți devin aplicabile. Termenul calendaristic original (22 septembrie 2025) a expirat — dacă nu ai notificat, o faci retroactiv, de urgență, pentru că întârzierea blochează tot ce urmează.

Notificarea nu e un pas mare de muncă, dar e poarta. Fără ea, restul pașilor nu au un punct de plecare oficial.

Primul trimestru: decizie, CISO, ENIRE, CyFun

După notificare, DNSC emite decizia de înregistrare (în 60 de zile pentru esențiale, 150 pentru importante). Decizia declanșează termenele operaționale: desemnezi responsabilul cu securitatea în 30 de zile și transmiți evaluarea de risc (ENIRE) în 60 de zile.

În continuare, în 60 de zile de la ENIRE, faci autoevaluarea de maturitate CyFun și o transmiți. Aceste termene se suprapun parțial — primele 30 de zile după decizie sunt critice pentru a paraleliza CISO-ul și pregătirea ENIRE.

Luna 6: plan de remediere și implementare

Dacă autoevaluarea arată că nu atingi pragurile-țintă și ești entitate esențială, întocmești planul de măsuri pentru remediere în 30 de zile de la autoevaluare și îl transmiți la DNSC. Planul listează deficiențele, acțiunile, termenele asumate și bugetul.

De aici începe munca grea: implementezi cerințele lipsă — politici aprobate, MFA, backup testat, monitorizare, inventare, procese. Termenele concrete sunt cele asumate în plan.

Luna 12: procese continue și audit-readiness

La finalul primului an, ținta e să operezi securitatea ca proces continuu, nu ca proiect: autoevaluare anuală, raportarea incidentelor, revizuirea politicilor, monitorizare, formare. Autoritatea poate iniția controale și audituri pe entitățile clasificate, așa că dovezile trebuie să fie la zi.

Nu trebuie să ții minte toate termenele — trebuie să le ai pe un calendar și să le urmezi în ordine. Cel mai simplu punct de plecare rămâne o verificare a încadrării, din care se deschide întregul parcurs.

Parcursul NIS 2
Roadmap12 luniTermeneAudit-readiness

Nu ești sigur dacă NIS 2 ți se aplică?

Verifică-ți încadrarea și primești un cost orientativ în câteva minute — fără obligații.

Începe verificarea
NEWSLETTER

Primește pe e-mail ghidurile NIS 2 — 1-2 pe lună, fără spam

Articole practice despre încadrare, DNSC, CyFun și costuri. Direct în inbox.

Pregătit pentru conformitate reală?

Sună direct un expert cu peste 31 de audituri NIS la activ — iar dacă nu răspunde, revine el în maximum 24 de ore.