NIS2 in Romania: ghid practic pentru institutii publice si companii

De Cristian Iosub · actualizat 22 iunie 2026 · ~7 min de citit

NIS2 nu este inca un proiect de viitor: este cadrul european care redefineste ce inseamna securitate cibernetica obligatorie pentru mii de organizatii din Romania. Acest ghid explica, fara jargon, cine este vizat, ce trebuie facut si de unde sa incepi.

Ce este, de fapt, NIS2

NIS2 este Directiva (UE) 2022/2555, adoptata pentru a ridica nivelul comun de securitate cibernetica in intreaga Uniune Europeana. Inlocuieste prima directiva NIS din 2016 si corecteaza principalele ei limite: acoperire prea ingusta, aplicare inegala intre state si sanctiuni neuniforme.

Spre deosebire de un regulament (cum este GDPR), o directiva se aplica prin transpunere in legislatia nationala a fiecarui stat membru. In Romania, autoritatea competenta pentru securitate cibernetica este DNSC - Directoratul National de Securitate Cibernetica, iar cerintele se aplica prin actul normativ national de transpunere. Recomandarea practica este sa verifici intotdeauna forma in vigoare a transpunerii nationale inainte de a lua decizii de conformitate.

Cine intra sub incidenta NIS2

NIS2 imparte organizatiile vizate in doua categorii: entitati esentiale si entitati importante. Diferenta tine de sector, de marime si de criticitatea serviciului.

• Sectoare de mare criticitate: energie, transport, banci si piete financiare, sanatate, apa potabila si ape uzate, infrastructura digitala (centre de date, DNS, cloud), administratie publica, spatiu.
• Alte sectoare critice: servicii postale si de curierat, gestionarea deseurilor, productia si distributia de produse chimice si alimentare, fabricatie, furnizori de servicii digitale, cercetare.

Ca regula generala, sunt vizate organizatiile medii si mari (de regula peste 50 de angajati sau peste 10 milioane euro cifra de afaceri), insa unele entitati intra indiferent de marime din cauza rolului critic pe care il joaca.

Ce obligatii aduce, concret

NIS2 cere masuri tehnice si organizatorice proportionale cu riscul. In practica, ele se traduc in cateva zone clare:

1. Gestionarea riscurilor: analize de risc, politici de securitate, control al accesului, criptare, gestionarea vulnerabilitatilor.
2. Raportarea incidentelor: notificare initiala catre autoritate in maximum 24 de ore de la constatarea unui incident semnificativ, urmata de o notificare detaliata in 72 de ore si un raport final.
3. Continuitatea activitatii: planuri de backup, recuperare in caz de dezastru si gestionarea crizelor.
4. Securitatea lantului de aprovizionare: evaluarea furnizorilor si a dependentelor critice.
5. Responsabilitatea conducerii: organele de conducere trebuie sa aprobe masurile, sa fie instruite si pot raspunde personal pentru neconformitate.

Cum te pregatesti, pas cu pas

1. Stabileste daca esti vizat - identifica sectorul, marimea si rolul in lantul de aprovizionare.
2. Fa o analiza de tip gap - compara situatia actuala cu cerintele NIS2 si cu un cadru recunoscut precum ISO/IEC 27001.
3. Prioritizeaza pe risc - rezolva intai vulnerabilitatile cu impact mare si probabilitate mare.
4. Implementeaza procesul de raportare a incidentelor - cine detecteaza, cine decide, cine notifica si in cat timp.
5. Testeaza - un test de penetrare si o simulare de incident arata daca masurile chiar functioneaza, nu doar pe hartie.
6. Instruieste conducerea si echipele - conformitatea NIS2 este, in mare parte, o problema de cultura organizationala.

Legatura cu ISO 27001 si GDPR

Daca ai deja un sistem de management al securitatii informatiei aliniat la ISO/IEC 27001, esti cu mult inaintea cerintelor NIS2 - cele doua se suprapun semnificativ. La fel, masurile tehnice cerute de GDPR pentru protectia datelor personale se regasesc, in buna parte, si in NIS2. O abordare integrata iti economiseste timp si bani: construiesti un singur sistem de control, nu trei separate.