Cadrul legislativ și normativ pentru începerea procesului de conformare cu NIS2 în România

Cadrul legislativ și normativ pentru începerea procesului de conformare cu NIS2 în România și calendarul de conformare cu prevederile legislative naționale

Ordonanta de Urgență a Guvernului nr. 155 din 30 decembrie 2024, privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil, aprobata prin Legea nr. 124 din 7 iulie 2025 reprezintă transpunerea în legislatia româneasca a Directivei Europene 2022/2555 NIS2. Împreuna, cele doua acte specifică etapizat cerințele pe care entitățile esențiale și importante trebuie să le îndeplinească pentru conformare.

De asemenea, în 20 august 2025 s-au publicat în Monitorul Oficial al României două ordine ale directorului Directoratului Național de Securitate Cibernetică (DNSC) privind norme de aplicare a acestei legi:

• Ordinul Directorului DNSC nr. 1/2025 pentru aprobarea Cerințelor privind procesul de notificare în vederea înregistrării și metoda de transmitere a informațiilor, link: https://legislatie.just.ro/Public/DetaliiDocument/301473
• Ordinul Directorului DNSC nr. 2/2025 pentru aprobarea Criteriilor și pragurilor de determinare a gradului de perturbare a unui serviciu și a Metodologiei privind evaluarea nivelului de risc al entităților, link: https://legislatie.just.ro/Public/DetaliiDocument/301475 .

Totodata, DNSC a pus la dispozitie și instrumentul oficial de înregistrare online NIS2@RO, disponibil aici: Instrument NIS2@RO .

Prin urmare, în prezent există cadrul legislativ și normativ pentru a se începe procesul de conformare cu prevederile legislative locale ale directivei NIS2, după următorul calendar:

• T1 = 22 septembrie → Notificarea DNSC de către entități în vederea înregistrării,
• T2 = T1 + max. 60 zile pentru entități esențiale) / max. 150 zile pentru entități importante → Înregistrarea entităților de către DNSC,
• T3 = T2 + max. 30 zile → Organele de conducere ale entităților desemnează responsabilii cu securitatea rețelelor și sistemelor informatice,
• T4 = T2 + max. 60 zile → Transmiterea către DNSC a evaluării nivelului de risc al entității,
• T5 = T4 + max. 60 zile → Transmiterea către DNSC a autoevaluării nivelului de maturitate a măsurior de gestionare a riscurilor de securitate cibernetică,
• T6 = T5 + max. 30 zile → Transmiterea către DNSC a planului de măsuri pentru remedierea deficiențelor identificate.

Nerespectarea de către entitățile aflate sub incidența NIS2 a obligației de notificare în termenul de 30 de zile, calculat de la data de 20.08.2025, constituie contravenție și se sancționează cu amendă de la 1.000 la 300.000 RON pentru entitățile importante,respectiv cu amendă de la 1.500 la 500.000 RON pentru entitățile esențiale.

Independent de aceste termene, entitățile aflate sub incidența directivei:

• prin organele de conducere, care trebuie să urmeze cursuri de formare profesională specifice, aprobă măsurile de gestionare a riscurilor de securitate cibernetică și supraveghează punerea acestora în aplicare;
• asigură, în mod regulat, formarea profesională a întregului personal în vederea asigurării unui nivel suficient de cunoștințe și competențe de securitate cibernetică;
• au obligații de management al incidentelor și de raportare timpurie (în max. 24h) către DNSC a incidentelor care au un impact semnificativ asupra prestării serviciilor lor. În acest sens, ordonanța menționează la art. 30 că entitățile esențiale și importante pot constitui echipe de răspuns la incidente de securitate (CSIRT), proprii sau sectoriale ori pot achiziționa servicii de la furnizori de servicii specifice CSIRT, autorizați de către DNSC.
• trebuie să susțină activitățile de supraveghere, verificare și control (solicitări de informații, audituri, scanări etc.) dispuse de către DNSC.

Safetech Innovations susține organizațiile din sectoarele vizate de Directiva NIS2 în procesul de conformare, punând la dispoziție expertiza și experiența acumulată în domeniul securității cibernetice și în managementului riscurilor în aproape 15 ani de activitate și în peste 100 de proiecte pentru implementarea directivei anterioare, NIS1.

Prin intermediul personalului certificat în domeniu conform celor mai înalte standarde internaționale, Safetech Innovations oferă suport complet – de la faza de notificare si până la implementarea măsurilor tehnice și organizatorice, raportare și pregătirea pentru audit – astfel încât entitățile esențiale și importante să îndeplinească cerințele legale și să își consolideze reziliența cibernetică. În mod particular, Safetech oferă pachete dedicate pentru:

• instruirea personalului și a organelor de conducere ale entităților aflate sub incidența directivei;
• abonamente de servicii de consultanță tip virtual CISO pentru susținerea într-o maniera flexibilă a unei game complete de activități de guvernanță, management al riscurilor și conformare;
• furnizare de sisteme de securitate cibernetică necesare pentru conformarea cu cerințele NIS2, punere in funcțiune și integrare în rețeaua și procesele clientului, instruire pentru utilizarea și administrarea sistemelor;
• pregătire pentru audit sau realizare de audit prin auditori atestați de către DNSC. Safetech este înscrisă în Registrul național al auditorilor de securitate cibernetică, figurând ca persoană juridică atestată (cu valabilitate până la 25.08.2027) în cea mai recentă Lista a Auditorilor de Securitate Cibernetică atestați (LASC), publicată de către Directoratul Național de Securitate Cibernetică, la poziția 6 (șase);
• abonamente de servicii CSIRT, prin intermediul propriului centru STI CERT fondat acum 10 ani și acreditat Trusted Introducer, care oferă servicii de monitorizare, detecție și răspuns la incidente de securitate, cu acoperire 24×7.

Pentru a verifica rapid conformitatea organizației dv. cu cerințele Directivei NIS2, Safetech vă pune la dispoziție un chestionar online.