Sari la conținutul principal
CADRUL LEGAL

Ce este NIS 2 (și OUG 155/2024)

NIS 2 este directiva Uniunii Europene privind securitatea cibernetică, adoptată pentru a ridica nivelul minim de reziliență al entităților esențiale și importante din statele membre. România a transpus-o în legislația națională prin Ordonanța de Urgență 155/2024, consolidată ulterior de Legea 124/2025. Autoritatea națională de supraveghere și control este DNSC (Directoratul Național de Securitate Cibernetică) — instituția care înregistrează entitățile, stabilește cerințele și aplică sancțiunile.

SCOP

Pe cine vizează

NIS 2 acoperă entitățile mijlocii și mari active în sectoarele din Anexa I (criticitate înaltă — energie, transport, sector bancar, sănătate, apă, infrastructură digitală, administrație publică) și Anexa II (sectoare critice — alimentație, chimie, producție, servicii digitale ș.a.) ale directivei. Dimensiunea contează, dar nu e singurul criteriu: o entitate mai mică poate intra totuși în scop dacă este furnizor critic în lanțul de aprovizionare al unei organizații reglementate — așa-numitul efect de lanț de aprovizionare.

Pe scurt: Anexa I — criticitate înaltăAnexa II — sectoare criticeefect de lanț de aprovizionare

ÎNCADRARE

Esențială sau Importantă

NIS 2 împarte entitățile reglementate în două categorii, cu niveluri diferite de control: entitățile Esențiale au supraveghere proactivă (DNSC poate audita ex-ante, înainte de un incident) și plafoane de sancțiuni mai mari; entitățile Importante au supraveghere reactivă (auditul urmează de regulă unei sesizări sau unui incident), cu plafoane mai mici. Ambele categorii au obligații legale reale — diferența stă în cât de strict și cât de devreme verifică DNSC.

O clădire de birouri cu fațadă de sticlă la asfințit, într-un oraș din România (imagine ilustrativă)
TERMENELE

Termenele

⚠ Termen notificare DNSC depășit (22 SEP 2025) Obligația rămâne în vigoare. Notificare retroactivă necesară.

Termenul de înregistrare a trecut, dar obligația rămâne în vigoare — entitățile care nu s-au înregistrat încă trebuie să notifice DNSC retroactiv. Ce urmează: verificarea DNSC, încadrarea și calendarul de conformare pentru măsurile tehnice și organizatorice.
AMENZI ȘI RĂSPUNDERE

Amenzile și răspunderea

Entitățile Esențiale riscă amenzi de până la 10.000.000 EUR sau 2% din cifra de afaceri anuală globală. Răspundere personală directă a conducerii (art. 14).. Entitățile Importante riscă amenzi de până la 7.000.000 EUR sau 1.4% din cifra de afaceri anuală globală.. Dincolo de amenda entității, NIS 2 introduce răspunderea personală directă a conducerii pentru entitățile Esențiale — conformarea nu mai e doar o preocupare a departamentului tehnic.

  • Esențiale — până la 10.000.000 EUR

    sau 2% din cifra de afaceri globală

  • Importante — până la 7.000.000 EUR

    sau 1.4% din cifra de afaceri globală

Un birou, două jumătăți — una aglomerată cu corespondență restantă, cealaltă ordonată și luminată: ignori sau te ocupi (imagine ilustrativă)

Ignori sau te ocupi

FĂRĂ CONFORMARE

  • Expunere la amenzi până la plafonul legal
  • Risc de răspundere personală a conducerii (entități Esențiale)
  • Fără proces documentat de răspuns la incidente
  • Constatări de audit DNSC fără plan de remediere

CU REMILT

  • Încadrare clară și un traseu de conformare realist
  • Guvernanță documentată, apărabilă în fața unui audit
  • Proces de răspuns la incidente aliniat termenelor legale
  • Un punct de contact dedicat pentru interacțiunea cu DNSC

Gata să vezi unde te încadrezi?

Estimează costul conformării în câteva minute sau discută direct cu un expert REMILT despre cazul tău concret.

+40 744 174 007