GEO 155/2024 explicat: Ce trebuie să faci dacă ești entitate esențială sau importantă în România
La sfârșitul anului 2024, România a transpus Directiva NIS2 prin Ordonanța de Urgență nr. 155/2024 (GEO 155/2024), aprobată ulterior prin Legea 124/2025. Dacă compania ta intră sub incidența acestei legislații, ai obligații legale active acum — nu în viitor. Acest ghid explică exact ce înseamnă să fii entitate esențială sau importantă în România, ce trebuie să faci și în ce ordine.
1. Care este diferența dintre entitate esențială și entitate importantă?
Sunt considerate automat entități esențiale, indiferent de dimensiune: entitățile din Anexa 1 a GEO 155/2024 care depășesc pragurile pentru întreprinderi mijlocii, furnizorii de servicii DNS, registrele de domenii TLD, furnizorii de cloud computing, centre de date, rețele de livrare de conținut, furnizorii de servicii de securitate gestionate, entitățile identificate ca critice conform Directivei CER și entitățile din administrația publică centrală.
Sectoare esențiale principale
Entitățile importante sunt companiile din Anexa 2 a GEO 155/2024 care îndeplinesc criteriile de dimensiune (50+ angajați sau 10M+ EUR cifră de afaceri) dar nu se califică drept esențiale. Sectoare: servicii poștale și de curierat, gestionarea deșeurilor, producție chimică, producție alimentară, producție industrială, furnizori digitali, organizații de cercetare.
Extindere specifică României prin Legea 124/2025: farmaciile cu amănuntul (CAEN 4773) sunt incluse explicit în scope-ul legislației românești.
| Criteriu | Entitate esențială | Entitate importantă |
|---|---|---|
| Tip supraveghere | Proactivă (DNSC poate inspecta oricând) | Reactivă (DNSC intervine după incident) |
| Amendă maximă | €10M sau 2% cifră de afaceri globală | €7M sau 1.4% cifră de afaceri globală |
| Frecvență audituri | Mai frecventă | Mai rară |
| Obligații tehnice | Identice cu entitățile importante | Identice cu entitățile esențiale |
Important: Obligațiile tehnice și organizatorice sunt identice pentru ambele categorii. Diferența constă doar în intensitatea supravegherii și nivelul amenzilor.
2. Obligațiile tale legale pas cu pas
Pasul 1: Înregistrarea la DNSC
DNSC a emis Ordinul 1/2025 care stabilește procedura de notificare și înregistrare. Companiile aveau 30 de zile de la intrarea în vigoare a ordinului (20 august 2025) pentru a se înregistra.
Cum te înregistrezi: accesează platforma NIS2@RO de pe site-ul DNSC, completează formularul de notificare conform Ordinului 1/2025, atașează documentația suport solicitată, DNSC va revizui și va emite o decizie de înregistrare.
Dacă nu te-ai înregistrat încă, fă-o imediat — înregistrarea tardivă este mai bună decât lipsa înregistrării.
Pasul 2: Autoevaluarea nivelului de risc
Conform Ordinului DNSC 2/2025, companiile trebuie să realizeze o autoevaluare a nivelului de risc folosind metodologia aprobată. Aceasta evaluează gradul de perturbație potențial al serviciilor, impactul asupra drepturilor fundamentale, economiei, sănătății și securității naționale, și efectele transfrontaliere.
Autoevaluarea se depune odată cu formularul de înregistrare și poate fi realizată prin instrumentul ENIRE@RO disponibil pe site-ul DNSC.
Pasul 3: Autoevaluarea maturității cibernetice
Conform Articolului 18(7) din GEO 155/2024, entitățile trebuie să completeze o autoevaluare a maturității cibernetice în 60 de zile de la depunerea evaluării nivelului de risc. DNSC a publicat în ianuarie 2026 instrumente specifice pentru trei niveluri: de bază, important și esențial.
Nivelul de maturitate va determina intensitatea supravegherii DNSC, frecvența auditurilor și domeniul măsurilor corective solicitate.
Pasul 4: Implementarea măsurilor tehnice și organizatorice
Articolul 21 din NIS2 impune implementarea măsurilor de securitate proporționale cu riscurile — 41 de controale în 9 domenii.
Cele mai frecvente lacune identificate:
- ⚠Absența politicilor de securitate documentate
- ⚠Proceduri de raportare a incidentelor neconforme (lanțul 24h → 72h → 1 lună)
- ⚠Training insuficient documentat — certificatele nu sunt păstrate ca dovezi
- ⚠Supply chain security neglijată — evaluarea furnizorilor lipsește
- ⚠MFA implementat parțial — nu extins la toate accesele critice
Pasul 5: Desemnarea responsabilului cu securitatea cibernetică
DNSC a publicat în ianuarie 2026 draft-uri care introduc obligația desemnării unui Cybersecurity Governance Manager. Această persoană trebuie să obțină în 12 luni de la desemnare o certificare acreditată recunoscută de DNSC (CISSP, CISM, CEH și altele).
Important: această obligație se aplică conducerii, nu departamentului IT.
Pasul 6: Auditul de securitate cibernetică
GEO 155/2024 impune audituri de securitate cibernetică la intervale regulate și comunicarea rezultatelor către DNSC. Auditul trebuie realizat de auditori acreditați și să acopere toate domeniile de control NIS2.
3. Termenele cheie pe care nu trebuie să le ratezi
| Termen | Obligație |
|---|---|
| 20 august 2025 | Intrarea în vigoare a Ordinelor DNSC 1 și 2/2025 |
| 19 septembrie 2025 | Termen înregistrare DNSC (30 zile de la Ordinul 1/2025) |
| 60 zile după înregistrare | Depunerea autoevaluării maturității cibernetice |
| 12 luni de la desemnare | Obținerea certificării de către responsabilul cu securitatea |
| Continuu | Raportarea incidentelor semnificative în 24h/72h/1 lună |
4. Ce riscă concret o companie care nu se conformează?
Entități esențiale
€10M
sau 2% din cifra de afaceri globală anuală
(se aplică valoarea mai mare)
Entități importante
€7M
sau 1.4% din cifra de afaceri globală anuală
(se aplică valoarea mai mare)
Fiecare tip de încălcare este sancționat separat — neînregistrarea, nerealizarea autoevaluării, neimplementarea măsurilor, neraportarea incidentelor, necomunicarea auditului. Amenzile se cumulează.
Răspunderea personală a conducerii poate include:
- ·Obligarea la training de securitate cibernetică
- ·Interdicția temporară de a ocupa funcții de conducere
- ·Răspundere civilă față de companie
DNSC poate face publice deciziile de sancționare — impactul reputațional poate fi mai costisitor decât amenda.
5. Întrebările frecvente ale companiilor românești
Suntem o subsidiară a unui grup internațional — cine se ocupă de NIS2?
Fiecare entitate juridică din România trebuie să se înregistreze și să se conformeze individual. Grupul-mamă nu poate prelua obligațiile în locul subsidiarei românești. Amenzile se calculează pe baza cifrei de afaceri globale a grupului.
Am deja ISO 27001 — mai trebuie să facem ceva?
ISO 27001 acoperă o parte semnificativă din cerințele NIS2 dar nu acoperă obligațiile specifice de raportare către DNSC, înregistrarea, auditul periodic și cerințele de guvernanță din Articolul 20. O analiză de gap este necesară.
DNSC nu a venit încă la noi — înseamnă că nu suntem în scope?
Nu. DNSC nu notifică individual companiile care intră sub incidența legii. Autoevaluarea scope-ului este responsabilitatea companiei. Necunoașterea legii nu este o apărare.
Ce înseamnă exact un incident semnificativ care trebuie raportat?
Ordinul DNSC 2/2025 definește criteriile. Un incident este semnificativ dacă perturbă sau poate perturba semnificativ furnizarea serviciului, afectează un număr mare de utilizatori sau cauzează pierderi financiare substanțiale.
6. Cum te poate ajuta Leximise
Autoevaluare structurată pe toate cele 41 de controale NIS2
Inclusiv cele 2 controale specifice GEO 155/2024 — ghidat pas cu pas, cu referințe clare la legislație.
Generator AI pentru toate cele 16 politici de securitate obligatorii
Personalizate pentru profilul companiei tale — industrie, dimensiune, mediu IT.
Training angajați cu certificate verificabile
Dovezi de conformitate gata pentru DNSC — certificate păstrate automat în dosarul de audit.
Management dovezi organizat pe controale
Totul într-un singur loc pentru inspecția DNSC — fiecare document mapat pe controlul relevant.
Raport de autoevaluare profesional
Export PDF cu scorul de conformitate și lacunele identificate — pregătit pentru consiliul de administrație sau auditor.
Concluzie
GEO 155/2024 nu este o reglementare viitoare — este lege activă în România cu termene care curg deja. Companiile care tratează conformitatea NIS2 ca o prioritate acum sunt cele care vor evita sancțiunile și vor putea demonstra maturitate cibernetică clienților, partenerilor și autorităților de reglementare.
Leximise este în prevânzare acum. Primele companii înscrise beneficiază de prețuri speciale blocate pentru primul an și sesiune de onboarding personalizată.
Ești pregătit pentru inspecția DNSC?
Leximise este în prevânzare acum. Înscrie-te mai jos și primești prețuri speciale blocate pentru primul an.
Programează-ți Demonstrația
Completează detaliile tale și te contactăm în 1 zi lucrătoare pentru un demo de 30 de minute. Beneficiezi de prețul nostru pentru clienții early blocat pentru primul an dacă te înscrii după apel.
Acest articol are caracter informativ și nu constituie consultanță juridică. Pentru situații specifice, consultați un avocat sau consultant specializat în securitate cibernetică și conformitate.