Sari la conținutul principal

NIS 2 · ROMÂNIA · OUG 155/2024

Unde stai cu NIS 2?

Termenele legale, cele 10 obligații și poziția firmei tale pe traseul de conformare — pe o singură pagină, la zi.

O persoană la fereastră, deasupra unui oraș în ceață la asfințit — un moment de bilanț (imagine ilustrativă)
TIMELINE LEGAL

Unde a ajuns legea — la data de 6 iulie 2026

  1. 17 OCT 2024

    Publicare OUG 155/2024 (transpunerea Directivei NIS 2 în legislația națională)

  2. MAI 2025

    Aprobare Lege 124/2025 (consolidare cadrului normativ)

  3. 22 SEP 2025

    EXPIRAT

    Termen original transmitere notificare DNSC (depășit — obligația rămâne în vigoare)

  4. URGENT

    Notificare obligatorie retroactivă pentru entități care nu au notificat încă (REMILT asistă)

  5. AZI
  6. 2026-2027

    Implementare măsuri tehnice și organizatorice (art. 13 OUG 155/2024)

  7. DUPĂ ORDINE

    Audituri oficiale DNSC — DUPĂ emiterea ordinelor de periodicitate (aflate în transparență decizională). Nu există încă un ordin care să declanșeze auditurile; până atunci prioritatea rămâne evaluarea de maturitate, planul de remediere și implementarea măsurilor.

Auditurile oficiale DNSC nu încep acum: periodicitatea lor este stabilită printr-un ordin aflat încă în . Până atunci, prioritatea rămâne evaluarea de maturitate (cu instrumentele și ), planul de remediere și implementarea măsurilor. Termenul de notificare a expirat — vezi .

Sursă: OUG nr. 155/2024 (aprobată prin Legea nr. 124/2025, M.Of. 638/07.07.2025) · Ordinele DNSC 1/2/3/4 din 2025 · Comunicat DNSC 26.09.2025. Document cu caracter consultativ — cuantumurile și termenele reflectă forma în vigoare la data redactării; stabilirea concretă a sancțiunii se face de DNSC (art. 50 OUG 155/2024).

SANCȚIUNI

Amenzi și răspunderea conducerii

  • Entități esențiale: până la 10.000.000 EUR sau 2% din cifra de afaceri anuală globală. Răspundere personală directă a conducerii (art. 14).
  • Entități importante: până la 7.000.000 EUR sau 1.4% din cifra de afaceri anuală globală.
  • Obligații procedurale (Obligații procedurale — notificare, ENIRE, furnizare informații, comunicare modificări): EE până la 500.000 lei · EI până la 300.000 lei
  • Temeiul legal al amenzilor: Art. 60 OUG 155/2024 (modificat prin Legea 124/2025)
TRASEUL DE CONFORMARE

Cele 10 obligații NIS 2, în ordine

  • Identificare și încadrare

    Compania descarcă instrumentul NIS2@RO de pe dnsc.ro (sau platformanis2.ro) și îl rulează local în Excel, cu macro-uri activate.

    Imediat / la demarare

  • Notificare și înregistrare (formular NIS2@RO)

    După verificarea încadrării, compania pregătește și transmite Formularul de notificare la DNSC.

    Termen 22.09.2025 EXPIRAT — obligația rămâne

    EXPIRAT
  • Decizie de înregistrare (Registrul entităților DNSC)

    DNSC analizează notificarea și emite Decizia de înregistrare în Registrul entităților.

    60 zile (EE) / 150 zile (EI) — termenul DNSC

  • Numire Responsabil Securitate (CISO)

    În termen de 30 de zile de la decizia DNSC, conducerea desemnează prin act intern responsabilul cu securitatea rețelelor și sistemelor informatice (CISO / responsabil securitate cibernetică).

    30 zile de la Decizia DNSC · curs CISO: 12 luni (EE)

  • Analiza de risc (formular ENIRE)

    În maximum 60 de zile de la primirea Deciziei DNSC, entitatea completează formularul ENIRE@RO PENTRU FIECARE sector indicat în Decizia de înregistrare.

    60 zile de la Decizia DNSC

  • Autoevaluare maturitate (CyFun)

    În 60 de zile de la transmiterea raportului ENIRE, entitatea efectuează autoevaluarea de maturitate cu instrumentul CyFun corespunzător nivelului de risc (BAZĂ / IMPORTANT / ESENȚIAL) și transmite raportul la DNSC.

    60 zile de la ENIRE; ulterior ANUAL

  • Plan de remediere (NUMAI entitățile esențiale)

    doar esențiale

    Aplicabil exclusiv ENTITĂȚILOR ESENȚIALE. Dacă autoevaluarea CyFun arată că NU sunt atinse pragurile-țintă (≥3 pe măsură-cheie, ≥3 pe categorie, ≥3,5 general), EE are obligația să întocmească Planul de măsuri pentru remediere.

    30 zile de la autoevaluare (numai EE)

  • Implementare cerințe CyFun (conform nivelului)

    Până la audit (pasul 10), entitatea implementează cerințele CyFun lipsă și măsurile-cheie, conform planului de remediere (EE) sau planului propriu (EI), pentru a atinge nivelul de maturitate cerut. Cerințele sunt CUMULATIVE: ESENȚIAL include IMPORTANT include BAZĂ.

    Până la audit (termene asumate în plan)

  • Procese continue obligatorii

    După implementare, entitățile sunt obligate să mențină și să opereze CONTINUU procese de securitate, sub controlul și raportarea către DNSC.

    Continuu (anual + la fiecare incident)

  • Audit DNSC

    Auditul de securitate cibernetică este OBLIGATORIU pentru toate entitățile EE și EI conform art. 11 alin. (5)-(6) și art. 57 OUG 155/2024.

    Periodic / ad-hoc (ordin DNSC în așteptare)

Explorează obligațiile în detaliu
CE FACI MAI DEPARTE

Parcursul tău în 4 pași

Vrei să știi exact unde stai?

Discută direct cu un expert cu peste 31 de audituri NIS la activ. Răspuns personal în 24 de ore.