Sari la conținutul principal

DESPRE · FAQ

Întrebări frecvente

Întrebările pe care le pun cu adevărat firmele din România despre NIS 2 — încadrare, termene, CISO, sancțiuni și audit.

Generalități

Cui i se aplică NIS 2?
Entităților din cele 13 sectoare reglementate de OUG 155/2024, peste pragurile de dimensiune. Încadrarea este binară: „Important” sau „Esențial”.
Care era termenul de notificare DNSC?
Obligația rămâne în vigoare. Entitățile care nu au notificat încă sunt expuse la sancțiuni. REMILT vă asistă cu notificarea retroactivă și remedierea conformității.
Ce sancțiuni există?
Entități esențiale: până la 10.000.000 EUR (2%). Entități importante: până la 7.000.000 EUR (1.4%).
Ce este Nivelul de Risc CyFun?
O scară cu trei valori — „de Bază”, „Important”, „Esențial” — determinată prin evaluarea ENIRE.

Încadrare & termene

Mi se aplică NIS 2 dacă am sub 50 de angajați?
De regulă nu — pragul general de dimensiune pentru încadrare (Recomandarea UE 2003/361) pornește de la 50 de angajați. Există însă excepții pe anumite sectoare/servicii unde încadrarea nu depinde de dimensiune. Verifică rapid situația ta pe /verificare-nis2.
Am ratat termenul de înregistrare DNSC — ce fac acum?
Obligația rămâne în vigoare. Notificare retroactivă necesară. Termenul calendaristic (Termen 22.09.2025 EXPIRAT — obligația rămâne) a trecut, dar obligația de notificare (art. 18 OUG 155/2024) rămâne activă indiferent de întârziere. Vezi pasul „Notificare și înregistrare (formular NIS2@RO)” din calculatorul de conformare pentru acțiunile concrete.
Care e diferența dintre entitate esențială și importantă?
Axa de încadrare (OUG 155/2024) e binară: „Entitate Esențială” — audit ex-ante. răspundere personală a conducerii (art. 14). — versus „Entitate Importantă” — audit ex-post. răspundere managerială (art. 14). Amenzile maxime diferă: 10.000.000 EUR (2%) pentru esențiale, 7.000.000 EUR (1.4%) pentru importante. Detalii pe /conformitate/legala.
Ce este CyFun și de ce contează nivelul?
CyFun este metodologia DNSC de autoevaluare a maturității măsurilor de securitate, cu 3 niveluri cumulative: „de Bază” (34 cerințe), „Important” (136), „Esențial” (218). Nivelul rezultă din scorul ENIRE și determină volumul de cerințe de implementat. Vezi pasul „Autoevaluare maturitate (CyFun)” + defalcarea completă pe /obligatii-nis2.
Cât durează conformarea?
Nu există un termen unic — parcursul are 10 pași cronologici (notificare → decizie DNSC → CISO + ENIRE → autoevaluare CyFun → eventual plan de remediere → implementare → procese continue → audit), fiecare cu termenul lui legal. Vezi cronologia completă pas cu pas pe /parcurs-nis2 sau citește articolul „Cât costă conformarea NIS 2” (/blog/cat-costa-conformarea-nis2) pentru un reper de buget și timp.

Conformare, CISO & sancțiuni

Trebuie să angajez un CISO?
Da — desemnarea unui responsabil cu securitatea (30 zile de la Decizia DNSC, art. 14 OUG 155/2024) este obligatorie pentru ambele încadrări. Poate fi extern (nu trebuie angajat intern). Pentru entitățile esențiale se aplică suplimentar 5 condiții cumulative (art. 14 alin. 4) — autoritate managerială, independență de IT/OT, curs acreditat DNSC etc. Detalii pe articolul „Ce înseamnă CISO calificat (art. 14)” (/blog/ce-inseamna-ciso-calificat-art14).
Ce amenzi risc concret?
Art. 60 OUG 155/2024 (modificat prin Legea 124/2025): până la 10.000.000 EUR (2%) pentru entități esențiale, până la 7.000.000 EUR (1.4%) pentru importante — cu praguri mai mici pe fapte specifice (ex. nenotificare: 1.500–500.000 lei EE / 1.000–300.000 lei EI). Cuantumul exact depinde de fapta constatată — vezi „amenzi” la fiecare pas din /parcurs-nis2.
Ce se întâmplă după ce mă înregistrez?
DNSC emite Decizia de înregistrare (60 de zile pentru esențiale, 150 pentru importante), care declanșează termenele următoare: desemnare CISO (30 de zile), analiză de risc ENIRE (60 de zile), apoi autoevaluare de maturitate CyFun (60 de zile) și, pentru entitățile esențiale sub prag, un plan de remediere (30 de zile). Parcurgi toți pașii pe /parcurs-nis2.
E obligatoriu un audit acum?
Nu încă în practică: ATENȚIE: Ordinul DNSC privind periodicitatea auditului NU este încă publicat. Procesul de atestare a auditorilor conform Legii 362/2018 continuă până la emiterea noului regulament (comunicat DNSC 16.01.2025). Atestatele auditorilor au valabilitate 3 ani. Auditul este prevăzut legal (art. 11 alin. 5-6 și art. 57), dar ordinul DNSC care stabilește periodicitatea nu e emis — deocamdată contează evaluarea de maturitate CyFun + planul de remediere. Vezi pasul „Audit DNSC” pentru detalii.
Pot face evaluarea anonim pe site?
Da — /verificare-nis2 și /parcurs-nis2 îți dau încadrarea estimată, nivelul de risc CyFun, stadiul conformării și pachetul recomandat fără să introduci vreo dată de identificare a companiei. Ai nevoie de e-mail doar dacă alegi opțional să primești oferta sau raportul PDF.
Cum raportez un incident (24h/72h/1 lună)?
Prin PNRISC, conform art. 15: avertizare timpurie în maximum 24h (24h și pentru prestatorii de servicii de încredere), raportare intermediară în maximum 72h, raport final în maximum 1 lună (6h pentru incident transfrontalier). Este o obligație continuă, aplicabilă ambelor încadrări. Detalii + procedură pe articolul „Raportarea incidentelor 24h/72h/lună” (/blog/raportare-incident-24h-72h-luna).

Ai o întrebare care nu e aici? Contactează-ne.

NEWSLETTER

Primește pe e-mail ghidurile NIS 2 — 1-2 pe lună, fără spam

Articole practice despre încadrare, DNSC, CyFun și costuri. Direct în inbox.

Pregătit pentru conformitate reală?

Sună direct un expert cu peste 31 de audituri NIS la activ — iar dacă nu răspunde, revine el în maximum 24 de ore.