Calendar 12 luni — primele 90 de zile, primul trimestru, primul an
Scris de Adrian P. — expert cu 31+ audituri NIS la activ
NIS 2 pare copleșitor până îl pui pe un calendar. Fiecare pas are un termen legat de precedentul. Iată ordinea reală — de la notificare la audit-readiness — ca să știi ce faci și când.
De ce ordinea contează
NIS 2 nu e un teanc de sarcini pe care le faci în paralel, la întâmplare. Este o secvență în care fiecare pas deblochează termenul următorului. Decizia DNSC declanșează termenul pentru CISO și pentru evaluarea de risc; evaluarea de risc declanșează autoevaluarea CyFun; autoevaluarea declanșează planul de remediere. Dacă ratezi ordinea, acumulezi întârzieri care se compun.
Pus pe un calendar, haosul devine un drum. Iată reperele.
Ziua 1: identificare și notificare
Primul lucru: verifici încadrarea (sector + dimensiune) și transmiți notificarea către DNSC în vederea înregistrării. Termenul legal este de 30 de zile de la data la care prevederile îți devin aplicabile. Termenul calendaristic original (22 septembrie 2025) a expirat — dacă nu ai notificat, o faci retroactiv, de urgență, pentru că întârzierea blochează tot ce urmează.
Notificarea nu e un pas mare de muncă, dar e poarta. Fără ea, restul pașilor nu au un punct de plecare oficial.
Primul trimestru: decizie, CISO, ENIRE, CyFun
După notificare, DNSC emite decizia de înregistrare (în 60 de zile pentru esențiale, 150 pentru importante). Decizia declanșează termenele operaționale: desemnezi responsabilul cu securitatea în 30 de zile și transmiți evaluarea de risc (ENIRE) în 60 de zile.
În continuare, în 60 de zile de la ENIRE, faci autoevaluarea de maturitate CyFun și o transmiți. Aceste termene se suprapun parțial — primele 30 de zile după decizie sunt critice pentru a paraleliza CISO-ul și pregătirea ENIRE.
Luna 6: plan de remediere și implementare
Dacă autoevaluarea arată că nu atingi pragurile-țintă și ești entitate esențială, întocmești planul de măsuri pentru remediere în 30 de zile de la autoevaluare și îl transmiți la DNSC. Planul listează deficiențele, acțiunile, termenele asumate și bugetul.
De aici începe munca grea: implementezi cerințele lipsă — politici aprobate, MFA, backup testat, monitorizare, inventare, procese. Termenele concrete sunt cele asumate în plan.
Luna 12: procese continue și audit-readiness
La finalul primului an, ținta e să operezi securitatea ca proces continuu, nu ca proiect: autoevaluare anuală, raportarea incidentelor, revizuirea politicilor, monitorizare, formare. Autoritatea poate iniția controale și audituri pe entitățile clasificate, așa că dovezile trebuie să fie la zi.
Nu trebuie să ții minte toate termenele — trebuie să le ai pe un calendar și să le urmezi în ordine. Cel mai simplu punct de plecare rămâne o verificare a încadrării, din care se deschide întregul parcurs.
Nu ești sigur dacă NIS 2 ți se aplică?
Verifică-ți încadrarea și primești un cost orientativ în câteva minute — fără obligații.

