RAPORTARE INCIDENTE NIS 2
Cum raportezi un incident semnificativ NIS 2
Un incident semnificativ pornește un ceas legal: avertizare timpurie în 24h, raportare în 72h, raport final într-o lună — toate prin platforma PNRISC. Această pagină explică fluxul, criteriile și cum se leagă de planul tău de management al crizelor.

Cum raportezi: platforma PNRISC
Platforma Națională de Raportare a Incidentelor de Securitate Cibernetică (PNRISC) — canalul oficial prin care entitățile raportează incidentele semnificative (avertizare ≤ 24h, raport ≤ 72h). O folosești în faza de procese continue, nu la conformarea inițială.
24h
avertizare timpurie
72h
raportare incident (evaluare inițială)
max 1 lună
raport final detaliat
+ 6h dacă există impact transfrontalier. 24h se aplică și prestatorilor de servicii de încredere pentru avertizarea timpurie.
Art. 15 alin. (1): „Entitățile esențiale și entitățile importante raportează, fără întârzieri nejustificate, [...] orice incident care are un impact semnificativ asupra prestării serviciilor lor [...].”
Art. 15 alin. (7): o avertizare timpurie în max. 24h; o raportare a incidentului în max. 72h; un raport intermediar la cerere; un raport final în max. o lună.
Cum determini că un incident e „semnificativ”
Legea nu prevede un prag numeric unic. Un incident e tratat ca fiind semnificativ atunci când perturbă furnizarea serviciului — afectează disponibilitatea, integritatea sau confidențialitatea (art. 23 OUG 155/2024) — sau are potențial de pierderi financiare ori prejudicii considerabile pentru alții.
Impact perturbator real asupra serviciilor tale
Disponibilitatea, integritatea sau confidențialitatea serviciului sunt efectiv afectate — nu un incident evitat la timp.
Potențial de pierderi sau prejudicii considerabile pentru alții
Clienți, parteneri sau utilizatori ar putea suferi pierderi financiare sau prejudicii semnificative în urma incidentului.
Definiția este intenționat largă. Incidentele „minore” nu se raportează către DNSC, dar trebuie documentate intern.
Art. 15 alin. (1): „Entitățile esențiale și entitățile importante raportează, fără întârzieri nejustificate, [...] orice incident care are un impact semnificativ asupra prestării serviciilor lor [...].”
Cum se corelează cu managementul crizelor
Ceasul PNRISC nu pornește în gol — el rulează în interiorul setup-ului tău de răspuns la incidente și management al crizelor (sau al lipsei lui).
Procedură de răspuns la incident (IR), scrisă din timp
Cine face ce, în ce ordine — avertizare ≤24h, raportare ≤72h, raport final ≤1 lună (≤6h transfrontalier).
Plan de comunicare — intern și extern
Conducerea/board-ul informați, plus un mesaj coordonat către clienți, parteneri și, unde e cazul, DNSC.
Continuitate a activității testată (BCP/DRP)
Planuri de backup și recuperare în caz de dezastru testate cel puțin anual, ca incidentul să nu oprească și operarea.
Coordonare cu responsabilul de securitate (CISO) desemnat
CISO deține răspunsul și lanțul de raportare — nu o decizie luată ad-hoc, în mijlocul crizei.
Art. 18 vs art. 15 — nu le confunda
Înregistrarea și raportarea incidentelor sunt două obligații separate, din două articole diferite, cu ritmuri diferite.
ART. 18 — ÎNREGISTRAREA ENTITĂȚII
Notificare și înregistrare (formular NIS2@RO)
- Se face O SINGURĂ DATĂ, la intrarea entității în scopul OUG 155/2024.
- Termen: cel mult 30 de zile de la intrarea în vigoare / aplicabilitate.
- Declanșează tot calendarul ulterior (decizie DNSC, CISO, ENIRE).
ART. 15 — RAPORTAREA INCIDENTELOR
Procese continue obligatorii
- Se declanșează DE FIECARE DATĂ când apare un incident semnificativ.
- Termene: avertizare ≤24h, raportare ≤72h, raport final ≤1 lună.
- Continuă pe toată durata în care entitatea rămâne în scopul legii.
⚖ Important
Nu există un prag numeric universal pentru „semnificativ” — decizia de a raporta aparține entității afectate, aplicând criteriile din art. 15 și ghidul DNSC. Pagina e informativă; REMILT nu e autoritate de decizie și nu înlocuiește CSIRT-ul entității — sprijină pregătirea procedurii, nu decide raportarea în locul tău.
Resurse
Temei legal: Sursă: OUG nr. 155/2024 (aprobată prin Legea nr. 124/2025, M.Of. 638/07.07.2025) · Ordinele DNSC 1/2/3/4 din 2025 · Comunicat DNSC 26.09.2025. Document cu caracter consultativ — cuantumurile și termenele reflectă forma în vigoare la data redactării; stabilirea concretă a sancțiunii se face de DNSC (art. 50 OUG 155/2024).
Pregătește procedura înainte de primul incident
Sună direct un expert cu peste 31 de audituri NIS la activ — iar dacă nu răspunde, revine el în maximum 24 de ore.
