Ce este NIS2 și cum afectează compania ta din România — Ghid complet 2026
Dacă ești manager IT, CTO sau director general al unei companii din România, probabil ai auzit deja de NIS2. Dar ce înseamnă concret pentru organizația ta? Ce trebuie să faci și până când? Ce riscuri ai dacă nu te conformezi?
Acest ghid îți răspunde la toate aceste întrebări într-un format practic și fără jargon legal inutil.
1. Ce este Directiva NIS2?
NIS2 (Network and Information Security Directive 2) este legea europeană de securitate cibernetică adoptată în decembrie 2022 prin Directiva UE 2022/2555. Ea înlocuiește versiunea anterioară (NIS1 din 2016) și extinde semnificativ numărul companiilor obligate să respecte cerințe stricte de securitate cibernetică.
NIS2 a intrat în vigoare în toată Uniunea Europeană la 18 octombrie 2024.
În România, NIS2 a fost transpusă prin Ordonanța de Urgență nr. 155/2024 (GEO 155/2024), aprobată ulterior prin Legea 124/2025. Autoritatea competentă este DNSC — Directoratul Național de Securitate Cibernetică.
2. Compania ta intră sub incidența NIS2?
NIS2 se aplică companiilor care îndeplinesc cumulativ următoarele condiții:
Condiția 1 — Dimensiunea:
- · Minimum 50 de angajați SAU
- · Cifră de afaceri anuală peste 10 milioane EUR
Condiția 2 — Sectorul de activitate:
NIS2 acoperă 18 sectoare împărțite în două categorii:
Sectoare esențiale
Monitorizare mai strictă
- ·Energie (electricitate, gaze, petrol, hidrogen)
- ·Transport (aerian, feroviar, rutier, naval)
- ·Sectorul bancar și infrastructuri financiare
- ·Sănătate
- ·Apă potabilă și apă uzată
- ·Infrastructură digitală
- ·Administrație publică centrală
- ·Spațiu
Sectoare importante
Monitorizare standard
- ·Servicii poștale și de curierat
- ·Gestionarea deșeurilor
- ·Producție și distribuție chimică
- ·Producție și distribuție alimentară
- ·Producție industrială (inclusiv echipamente medicale)
- ·Furnizori digitali (marketplace-uri, motoare de căutare)
- ·Servicii de cercetare
Excepție importantă pentru România: prin Legea 124/2025, România a extins lista pentru a include și farmacii cu amănuntul (CAEN 4773) și alte entități specifice contextului național.
3. Ce obligații concrete are compania ta?
Dacă intri sub incidența NIS2, ai 5 categorii principale de obligații:
3.1. Înregistrarea la DNSC
Prima și cea mai urgentă obligație: înregistrarea la DNSC prin platforma NIS2@RO.
DNSC a emis Ordinul 1/2025 care stabilește procedura de notificare. Entitățile aveau la dispoziție 30 de zile de la intrarea în vigoare a ordinului (20 august 2025) pentru înregistrare.
Dacă nu te-ai înregistrat încă, tratează această acțiune ca prioritate imediată.
3.2. Autoevaluarea conformității
Conform Articolului 21 din Directiva NIS2 (transpus în GEO 155/2024), companiile trebuie să implementeze măsuri tehnice și organizatorice proporționale cu riscurile. Acestea acoperă 41 de controale în 9 domenii:
| Domeniu | Nr. controale | Exemple |
|---|---|---|
| Politici de securitate | 6 | Politica de securitate, revizuiri, responsabilități |
| Gestionarea incidentelor | 6 | Detectare, notificare 24h/72h/1 lună |
| Continuitate business | 4 | Backup, disaster recovery, RTO/RPO |
| Securitatea lanțului de aprovizionare | 4 | Evaluare furnizori, contracte, monitorizare |
| Securitate rețele și sisteme | 4 | Segmentare, firewall, acces la distanță |
| Evaluarea eficacității | 2 | Teste regulate, revizuiri |
| Igienă cibernetică și training | 6 | Training angajați, phishing, patch management |
| Criptografie și criptare | 3 | TLS, criptare date, management chei |
| Control acces și resurse umane | 6 | MFA, privilegii minime, inventar active |
| Obligații românești (GEO 155) | 2 | Înregistrare DNSC, audit cibernetic |
3.3. Raportarea incidentelor de securitate
NIS2 impune un lanț de raportare în trei etape pentru incidentele semnificative:
3.4. Training obligatoriu pentru management și angajați
Articolul 20 din NIS2 impune ca organul de conducere (consiliul de administrație, directorii) să aprobe măsurile de securitate cibernetică și să urmeze training specializat.
DNSC a publicat în ianuarie 2026 draft-uri de regulamente secundare care introduc rolul de Cybersecurity Governance Manager și certificări recunoscute pentru CISO.
3.5. Audituri periodice și raportare către DNSC
GEO 155/2024 impune efectuarea de audituri de securitate cibernetică la intervale regulate și comunicarea rezultatelor către DNSC. O autoevaluare a maturității trebuie completată în 60 de zile de la depunerea evaluării nivelului de risc.
4. Care sunt sancțiunile pentru neconformare?
NIS2 introduce sancțiuni semnificative, aplicate în România de DNSC:
Entități esențiale
€10M
sau 2% din cifra de afaceri globală anuală
(se aplică valoarea mai mare)
Entități importante
€7M
sau 1,4% din cifra de afaceri globală anuală
(se aplică valoarea mai mare)
Atenție: Legea română utilizează cifra de afaceri globală, nu doar cea din România. Dacă ești o subsidiară a unui grup internațional, amenda se calculează pe baza veniturilor întregului grup.
Sancțiuni suplimentare:
- ·Răspundere personală a directorilor și membrilor consiliului de administrație
- ·Suspendarea temporară a autorizațiilor de funcționare
- ·Publicarea deciziei de sancționare (impact reputațional major)
5. Cum te pregătești concret?
Conformitatea NIS2 nu este un proiect de o zi, dar nici nu trebuie să fie copleșitor. Iată un plan în 5 pași:
Verifică dacă intri sub incidența NIS2
Evaluează dimensiunea companiei și sectorul de activitate. Dacă ai dubii, folosește instrumentul ENIRE@RO disponibil pe site-ul DNSC pentru o autoevaluare preliminară a riscului.
Înregistrează-te la DNSC
Dacă nu ai făcut-o deja, înregistrarea este obligatorie și urgentă. Accesează platforma NIS2@RO și completează formularul de notificare conform Ordinului DNSC 1/2025.
Realizează o autoevaluare a conformității
Parcurge cele 41 de controale NIS2 și identifică lacunele — ce ai implementat, ce este parțial implementat și ce lipsește complet.
Generează politicile de securitate obligatorii
NIS2 impune 16 tipuri de politici de securitate. Politicile trebuie să fie adaptate profilului companiei — dimensiune, industrie, mediu IT.
Formează angajații și documentează totul
Training-ul de conștientizare cibernetică este obligatoriu. Certificatele de participare ale angajaților devin dovezi de conformitate și trebuie păstrate în dosarul de audit.
6. Greșelile frecvente pe care le fac companiile
"Suntem prea mici pentru NIS2"
Pragul de 50 de angajați este mai mic decât cred mulți manageri. Verificați înainte de a presupune că nu intrați sub incidența directivei.
"Ne ocupăm după ce vine auditorul"
DNSC poate iniția inspecții oricând. Companiile care nu au documentație pregătită riscă să nu poată demonstra conformitatea chiar dacă au implementat măsurile tehnice.
"Am ISO 27001, suntem conformi cu NIS2"
ISO 27001 ajută semnificativ, dar nu acoperă toate cerințele specifice NIS2 — în special raportarea incidentelor în 24/72 ore și obligațiile față de DNSC.
"Politicile de acum 3 ani sunt suficiente"
NIS2 impune revizuiri periodice ale politicilor și dovezi ale eficacității măsurilor. Documentele vechi și nerevizuite nu sunt acceptate ca dovezi de conformitate.
"Conformitatea NIS2 este o problemă IT"
NIS2 este o obligație a conducerii. Articolul 20 responsabilizează personal managementul de vârf — nu departamentul IT.
7. Cum poate ajuta Leximise
Leximise este o platformă SaaS construită special pentru a simplifica conformitatea NIS2 pentru companiile din UE.
Ce oferim:
Autoevaluare NIS2 structurată
Parcurge toate cele 41 de controale ghidat, cu explicații clare pentru fiecare cerință și referințe la articolele relevante din directivă și GEO 155/2024.
Generator AI de politici de securitate
Generează toate cele 16 politici de securitate obligatorii în mai puțin de 30 de secunde — adaptate la dimensiunea companiei tale, industrie, țară și mediu IT.
Training și certificate pentru angajați
Creează cursuri interne sau folosește AI pentru a le genera din documentele tale. Atribuie angajaților, urmărește finalizarea și emite certificate verificabile care devin dovezi de conformitate.
Management dovezi
Organizează toate documentele și certificatele pe cele 41 de controale NIS2. Totul într-un singur loc pentru următoarea ta inspecție DNSC.
Raport de autoevaluare profesional
Exportă un raport formatat profesional care arată scorul tău de conformitate, lacunele identificate și dovezile colectate. Folosește-l pentru consiliul de administrație sau ca pregătire pentru audit.
Conformitate românească completă
Include 2 controale specifice GEO 155/2024 și cerințelor DNSC: înregistrarea la DNSC și auditul de securitate cibernetică cu raportare obligatorie — plus 4 controale NIS2 adiționale. Singura platformă cu obligațiile reglementare românești integrate de la zero.
Concluzie
NIS2 nu mai este o perspectivă viitoare — este lege activă în România. DNSC aplică deja reglementările, termenele curg și sancțiunile sunt semnificative.
Vestea bună: conformitatea NIS2 este realizabilă pentru orice companie cu o abordare structurată. Nu ai nevoie de un buget de întreprindere sau o echipă de consultanți. Ai nevoie de un instrument care să te ghideze prin fiecare pas.
Leximise este în prevânzare acum. Companiile care se înscriu în această perioadă beneficiază de prețuri speciale blocate pentru primul an și acces direct la echipa fondatoare.
Știi unde sunt lacunele tale NIS2?
Leximise este în prevânzare acum. Înscrie-te mai jos și primești prețuri speciale blocate pentru primul an.
Programează-ți Demonstrația
Completează detaliile tale și te contactăm în 1 zi lucrătoare pentru un demo de 30 de minute. Beneficiezi de prețul nostru pentru clienții early blocat pentru primul an dacă te înscrii după apel.
Acest articol are caracter informativ și nu constituie consultanță juridică. Pentru situații specifice, consultați un avocat sau consultant specializat în securitate cibernetică.