mobile-logo

NIS2 în România: Actualizările DNSC la OUG 155/2024 și ce trebuie să știe organizațiile

16 Sep

NIS2 în România: Actualizările DNSC la OUG 155/2024 și ce trebuie să știe organizațiile

by Admin
in IT
Comments

În ultimele luni, tema NIS2 a revenit în prim-planul discuțiilor din zona de securitate cibernetică și guvernanță IT. În România, Directiva NIS2 este transpusă prin OUG 155/2024, iar noile ordine emise de Directoratul Național de Securitate Cibernetică (DNSC) clarifică pașii pe care companiile trebuie să îi urmeze. Mulți analiști estimează că 19 septembrie 2025 ar putea deveni noul termen-limită pentru conformarea organizațiilor, ceea ce face ca perioada actuală să fie una critică pentru toate entitățile vizate.

 

Pe 20 august 2025, în Monitorul Oficial au apărut Ordinele nr. 1 și 2/2025, care detaliază procedurile de notificare și metodologia de evaluare a riscului. Pentru entitățile esențiale și importante, aceste ordine nu sunt doar recomandări, ci obligații legale, iar neconformarea atrage sancțiuni semnificative.

 

În continuare, vom analiza cele mai relevante modificări și obligații aduse de NIS2 România și ce pași concreți trebuie să facă organizațiile pentru a fi conforme.

 

1. Identificarea organizației în raport cu NIS2

Primul pas pentru orice companie este să determine dacă intră sau nu sub incidența NIS2. Pentru aceasta, DNSC pune la dispoziție două instrumente oficiale:

 

  • Platforma NIS2@RO, disponibilă online, destinată evaluării și notificării.
  • Instrumentul NIS2@RO local, un fișier descărcabil, utilizabil chiar și în lipsa platformei.

    •  

După completarea datelor, organizația va primi o evaluare preliminară care stabilește dacă este:

  • În afara domeniului de aplicare (nu se aplică obligațiile din OUG 155/2024).
  • Entitate importantă.
  • Entitate esențială.

 

Această etapă este fundamentală pentru că deschide procesul de notificare și înregistrare în Registrul Entităților NIS2.

 

2. Notificarea către DNSC – formularul oficial

Odată obținută evaluarea preliminară, organizația trebuie să genereze formularul de notificare. Acest document se salvează în format PDF și se semnează fie electronic (pentru transmitere online), fie olograf (în cazul depunerii fizice).

 

Modalități de transmitere:

  • Direct prin Platforma NIS2.ro, după autentificare.
  • Prin e-mail, la adresa evidenta@dnsc.ro.
  • Fizic, la sediul DNSC din București (Str. Italiană nr. 22).

 

Important: toate entitățile, inclusiv cele care consideră că nu intră în domeniul NIS2, trebuie să trimită formularul. Doar DNSC confirmă statutul oficial al organizației.

 

3. Crearea contului pe platformă și validarea datelor

Dacă formularul a fost trimis prin e-mail sau pe hârtie, organizația are obligația de a crea ulterior un cont pe platforma NIS2@RO și de a încărca datele deja transmise.

  • Termenul pentru completarea datelor pe platformă: 20 de zile de la momentul în care platforma devine disponibilă.
  • DNSC validează și confirmă datele în 10 zile lucrătoare.

 

În total, întreg procesul de notificare și înregistrare trebuie finalizat în maximum 30 de zile de la publicarea ordinelor în Monitorul Oficial. Cu alte cuvinte, entitățile trebuie să acționeze rapid, având în vedere termenul estimat pentru septembrie 2025.

 

4. Autoevaluarea impactului asupra serviciilor

Un element central al Ordinului nr. 2/2025 este introducerea procesului de autoevaluare a gradului de perturbare. Aceasta se aplică în special entităților care nu au fost încă clasificate oficial drept esențiale sau importante.

 

Organizațiile trebuie să analizeze în ce măsură serviciile lor ar putea fi afectate de un incident de securitate, ținând cont de factori precum:

  • Impact economic.
  • Consecințe asupra drepturilor fundamentale.
  • Posibile efecte asupra securității naționale.

 

Impactul este încadrat în trei niveluri: ridicat, mediu sau scăzut. Autoevaluarea completată se transmite împreună cu formularul de notificare.

 

5. Calculul nivelului de risc cibernetic

Tot în Ordinul nr. 2, DNSC oferă metodologia de calcul a nivelului de risc cibernetic. Procesul include evaluarea:

  • Tipurilor de atacuri cibernetice probabile.
  • Actorilor de amenințare relevanți.
  • Dimensiunii și expunerii organizației.
  • Impactului și probabilității incidentelor.

 

Rezultatul este un scor de risc care determină tipul de măsuri de securitate pe care entitatea trebuie să le implementeze:

  • Măsuri de bază.
  • Măsuri pentru entități importante.
  • Măsuri pentru entități esențiale.

 

Instrumentele puse la dispoziție sunt:

  • Platforma NIS2@RO.
  • Instrumentul ENIRE@RO, utilizabil local, care trebuie ulterior sincronizat cu platforma în maximum 20 de zile.

 

Conform legislației, autoevaluarea riscului trebuie transmisă în maximum 60 de zile de la momentul în care DNSC identifică oficial entitatea ca fiind esențială sau importantă.

 

6. Ce urmează după înregistrare?

Înregistrarea în Registrul Entităților NIS2 reprezintă doar începutul. Odată confirmat statutul, organizațiile trebuie să se pregătească pentru:

  • Implementarea măsurilor tehnice și organizatorice prevăzute de OUG 155/2024.
  • Raportarea incidentelor de securitate către DNSC, în termene stricte.
  • Audituri și controale periodice pentru verificarea conformității.

 

De asemenea, trebuie reținut că Directiva NIS2 aduce sancțiuni semnificative pentru entitățile care nu respectă obligațiile – amenzi ce pot ajunge la milioane de euro, în funcție de dimensiunea organizației și de gravitatea neconformităților.

 

7. NIS2 România – ce organizații trebuie să fie atente

Lista entităților vizate de NIS2 este extinsă și include atât sectoare critice tradiționale, cât și noi domenii adăugate de directiva europeană. Printre acestea:

  • Energie (electricitate, gaze, petrol).
  • Transport (rutier, feroviar, aerian, maritim).
  • Sănătate (spitale, laboratoare, furnizori de servicii medicale).
  • Infrastructuri digitale (centre de date, furnizori de servicii cloud, rețele electronice).
  • Apă și canalizare.
  • Sectorul public și administrația.
  • Furnizori de servicii gestionate (MSP și MSSP).

 

Pentru toate aceste organizații, conformarea la NIS2 România nu este opțională, ci o cerință legală obligatorie.

 

8. Recomandări practice pentru companii

Pentru a nu fi luați prin surprindere de termenele și cerințele stricte, recomandăm organizațiilor:

  1. Să efectueze rapid evaluarea preliminară prin instrumentele puse la dispoziție de DNSC.
  2. Să transmită notificarea oficială indiferent de rezultatul evaluării.
  3. Să dezvolte un plan intern de conformare, care să includă auditul securității IT și definirea responsabilităților.
  4. Să stabilească proceduri de raportare a incidentelor și canale clare de comunicare cu DNSC.
  5. Să colaboreze cu parteneri specializați în securitate cibernetică, care pot oferi soluții de protecție, monitorizare și răspuns la incidente.

 

Directiva NIS2 România, prin transpunerea realizată de OUG 155/2024 și completările aduse de Ordinele DNSC nr. 1 și 2/2025, marchează o schimbare majoră pentru modul în care companiile și instituțiile trebuie să gestioneze securitatea cibernetică.

 

De la procesul de notificare și autoevaluare până la implementarea măsurilor avansate de protecție, responsabilitatea este acum mult mai clară și mai strictă. Pentru multe organizații, conformarea înseamnă nu doar evitarea sancțiunilor, ci și creșterea nivelului de reziliență în fața atacurilor cibernetice tot mai sofisticate.

Pe măsură ce termenul din septembrie 2025 se apropie, este esențial ca fiecare entitate vizată să acționeze din timp, să-și înțeleagă rolul și să investească în securitate. În definitiv, NIS2 nu este doar o obligație legală, ci și o oportunitate de a construi un mediu digital mai sigur pentru întreaga economie.

  

Network Consulting & Security Solutions sprijină organizațiile din România în procesul de conformare la NIS2 prin consultanță, evaluări de risc, soluții de securitate, precum și servicii de Managed Security adaptate cerințelor directivei.

Tags:
,,
Suna acum!