NIS 2 · ROMÂNIA · OUG 155/2024
Unde stai cu NIS 2?
Termenele legale, cele 10 obligații și poziția firmei tale pe traseul de conformare — pe o singură pagină, la zi.

Unde a ajuns legea — la data de 6 iulie 2026
17 OCT 2024
Publicare OUG 155/2024 (transpunerea Directivei NIS 2 în legislația națională)
MAI 2025
Aprobare Lege 124/2025 (consolidare cadrului normativ)
22 SEP 2025
EXPIRATTermen original transmitere notificare DNSC (depășit — obligația rămâne în vigoare)
URGENT
Notificare obligatorie retroactivă pentru entități care nu au notificat încă (REMILT asistă)
- AZI
2026-2027
Implementare măsuri tehnice și organizatorice (art. 13 OUG 155/2024)
DUPĂ ORDINE
Audituri oficiale DNSC — DUPĂ emiterea ordinelor de periodicitate (aflate în transparență decizională). Nu există încă un ordin care să declanșeze auditurile; până atunci prioritatea rămâne evaluarea de maturitate, planul de remediere și implementarea măsurilor.
17 OCT 2024
17 octombrie 2024
Publicare OUG 155/2024 (transpunerea Directivei NIS 2 în legislația națională)
MAI 2025
mai 2025
Aprobare Lege 124/2025 (consolidare cadrului normativ)
22 SEP 2025
EXPIRAT22 septembrie 2025
Termen original transmitere notificare DNSC (depășit — obligația rămâne în vigoare)
URGENT
URGENT — în curs
Notificare obligatorie retroactivă pentru entități care nu au notificat încă (REMILT asistă)
- AZI
2026-2027
2026 – 2027
Implementare măsuri tehnice și organizatorice (art. 13 OUG 155/2024)
DUPĂ ORDINE
După ordinele DNSC
Audituri oficiale DNSC — DUPĂ emiterea ordinelor de periodicitate (aflate în transparență decizională). Nu există încă un ordin care să declanșeze auditurile; până atunci prioritatea rămâne evaluarea de maturitate, planul de remediere și implementarea măsurilor.
Auditurile oficiale DNSC nu încep acum: periodicitatea lor este stabilită printr-un ordin aflat încă în . Până atunci, prioritatea rămâne evaluarea de maturitate (cu instrumentele și ), planul de remediere și implementarea măsurilor. Termenul de notificare a expirat — vezi .
Sursă: OUG nr. 155/2024 (aprobată prin Legea nr. 124/2025, M.Of. 638/07.07.2025) · Ordinele DNSC 1/2/3/4 din 2025 · Comunicat DNSC 26.09.2025. Document cu caracter consultativ — cuantumurile și termenele reflectă forma în vigoare la data redactării; stabilirea concretă a sancțiunii se face de DNSC (art. 50 OUG 155/2024).
Amenzi și răspunderea conducerii
- Entități esențiale: până la 10.000.000 EUR sau 2% din cifra de afaceri anuală globală. Răspundere personală directă a conducerii (art. 14).
- Entități importante: până la 7.000.000 EUR sau 1.4% din cifra de afaceri anuală globală.
- Obligații procedurale (Obligații procedurale — notificare, ENIRE, furnizare informații, comunicare modificări): EE până la 500.000 lei · EI până la 300.000 lei
- Temeiul legal al amenzilor: Art. 60 OUG 155/2024 (modificat prin Legea 124/2025)
Cele 10 obligații NIS 2, în ordine
Identificare și încadrare
Compania descarcă instrumentul NIS2@RO de pe dnsc.ro (sau platformanis2.ro) și îl rulează local în Excel, cu macro-uri activate.
Imediat / la demarare
Notificare și înregistrare (formular NIS2@RO)
După verificarea încadrării, compania pregătește și transmite Formularul de notificare la DNSC.
Termen 22.09.2025 EXPIRAT — obligația rămâne
EXPIRATDecizie de înregistrare (Registrul entităților DNSC)
DNSC analizează notificarea și emite Decizia de înregistrare în Registrul entităților.
60 zile (EE) / 150 zile (EI) — termenul DNSC
Numire Responsabil Securitate (CISO)
În termen de 30 de zile de la decizia DNSC, conducerea desemnează prin act intern responsabilul cu securitatea rețelelor și sistemelor informatice (CISO / responsabil securitate cibernetică).
30 zile de la Decizia DNSC · curs CISO: 12 luni (EE)
Analiza de risc (formular ENIRE)
În maximum 60 de zile de la primirea Deciziei DNSC, entitatea completează formularul ENIRE@RO PENTRU FIECARE sector indicat în Decizia de înregistrare.
60 zile de la Decizia DNSC
Autoevaluare maturitate (CyFun)
În 60 de zile de la transmiterea raportului ENIRE, entitatea efectuează autoevaluarea de maturitate cu instrumentul CyFun corespunzător nivelului de risc (BAZĂ / IMPORTANT / ESENȚIAL) și transmite raportul la DNSC.
60 zile de la ENIRE; ulterior ANUAL
Plan de remediere (NUMAI entitățile esențiale)
doar esențialeAplicabil exclusiv ENTITĂȚILOR ESENȚIALE. Dacă autoevaluarea CyFun arată că NU sunt atinse pragurile-țintă (≥3 pe măsură-cheie, ≥3 pe categorie, ≥3,5 general), EE are obligația să întocmească Planul de măsuri pentru remediere.
30 zile de la autoevaluare (numai EE)
Implementare cerințe CyFun (conform nivelului)
Până la audit (pasul 10), entitatea implementează cerințele CyFun lipsă și măsurile-cheie, conform planului de remediere (EE) sau planului propriu (EI), pentru a atinge nivelul de maturitate cerut. Cerințele sunt CUMULATIVE: ESENȚIAL include IMPORTANT include BAZĂ.
Până la audit (termene asumate în plan)
Procese continue obligatorii
După implementare, entitățile sunt obligate să mențină și să opereze CONTINUU procese de securitate, sub controlul și raportarea către DNSC.
Continuu (anual + la fiecare incident)
Audit DNSC
Auditul de securitate cibernetică este OBLIGATORIU pentru toate entitățile EE și EI conform art. 11 alin. (5)-(6) și art. 57 OUG 155/2024.
Periodic / ad-hoc (ordin DNSC în așteptare)
Parcursul tău în 4 pași
Vrei să știi exact unde stai?
Discută direct cu un expert cu peste 31 de audituri NIS la activ. Răspuns personal în 24 de ore.
