QUARTZ MATRIX
Soluții de finanțare pentru investiții în infrastructură
QUARTZ MATRIX
Apeleaza-ne
NORSIT Logo
 0232 217 248
Contact
NORSIT Logo
Meniu

Directiva NIS2 în România – Legea 124/2025 este în vigoare

Respectarea cerințelor privind securitatea cibernetică este acum obligatorie pentru organizațiile vizate.

Legea 124/2025 operaționalizează OUG 155/2024 și introduce obligații clare atât pentru companiile din sectoare esențiale și importante, cât și pentru furnizorii acestora.

Noi preluăm integral procesul de conformare și oferim o soluție completă, de la evaluarea inițială și documentație, până la implementarea tehnică a măsurilor de securitate.

Solicită o evaluare gratuită
Discută cu un specialist NIS2
Descoperă serviciile de conformitate NIS2

Status legislativ NIS2 în România în 2026

Directiva (UE) 2022/2555 (NIS2) este transpusă în legislația națională prin OUG nr. 155/2024 privind securitatea cibernetică a rețelelor și sistemelor informatice, aprobată prin Legea nr. 124/2025.

În acest context, cadrul legislativ este deja complet funcțional, iar obligațiile privind securitatea cibernetică pentru entitățile vizate se aplică în mod direct. Autoritatea responsabilă pentru coordonarea și supravegherea implementării acestor cerințe este DNSC – Directoratul Național de Securitate Cibernetică.

Implementarea Directivei NIS2 în România

Repere importante pentru conformitate

  1. Octombrie 2024

    OUG 155/2024

    Directiva NIS2 este transpusă în legislația națională prin OUG 155/2024 privind securitatea cibernetică.

  2. Iulie 2025

    Legea 124/2025

    Este adoptată legea care aprobă OUG 155/2024 și consolidează cadrul legislativ NIS2 în România.

  3. Septembrie 2025
  4. 2026 Suntem aici

    Implementare și controale

    Organizațiile trebuie să implementeze măsurile de securitate prevăzute de legislație, iar verificările DNSC devin operaționale.

    Solicită Consultanță NIS2
  5. Permanent

    Raportare incidente

    Notificare inițială în max. 24h și raport detaliat în max. 72h pentru incidentele de securitate.

    Platforma Raportare PNRISC

În 2026, obligațiile NIS2 sunt deja aplicabile. Dacă organizația dumneavoastră nu a început încă procesul de conformare, vă ajutăm să recuperați rapid pașii necesari pentru a reduce riscul de neconformitate.

Cine este vizat de Directiva NIS2?

Directiva NIS2 stabilește măsuri obligatorii de securitate cibernetică pentru organizațiile care operează în sectoare critice sau cu impact major asupra economiei și societății. 

În practică, aplicarea cadrului NIS2 poate afecta organizațiile în două moduri: direct, prin obligații legale, sau indirect, prin relațiile comerciale cu entități reglementate.

1. Incidență directă 

Organizațiile care activează în sectoarele prevăzute în Anexa I și Anexa II ale Directivei NIS2 sunt încadrate în două categorii principale: entități esențiale și entități importante, în funcție de sectorul în care operează și de rolul lor în economie și societate.

Aceste categorii sunt definite după cum urmează:

Entități esențiale

Sectoare cu importanță critică ridicată

  • Energie
  • Transporturi
  • Sectorul bancar
  • Infrastructuri ale pieței financiare
  • Sănătate
  • Alimentare apă potabilă
  • Gestionare ape uzate
  • Infrastructură digitală
  • Furnizori de servicii TIC gestionate (MSP / MSSP)
  • Administrație publică
  • Sectorul spațial

Entități importante

Alte sectoare critice

  • Servicii poștale și de curierat
  • Gestionarea deșeurilor
  • Substanțe chimice
  • Alimente (producție, prelucrare și/sau distribuție)
  • Producție industrială / manufactură
  • Furnizori de servicii digitale (platforme de comerț electronic, motoare de căutare online, platforme de social media)
  • Organizații de cercetare

2. Incidență indirectă: securitatea lanțului de aprovizionare

Directiva NIS2 introduce cerințe stricte privind securitatea lanțului de aprovizionare. Organizațiile reglementate trebuie să evalueze și să gestioneze riscurile cibernetice asociate furnizorilor și partenerilor lor.

În practică, acest lucru înseamnă că furnizorii sunt obligați să demonstreze măsuri adecvate de securitate cibernetică pentru a continua colaborarea cu clienții reglementați de NIS2.

Chiar dacă organizația dumneavoastră nu se încadrează direct în categoriile de mai sus, veți fi afectat indirect dacă furnizați servicii sau produse către entități reglementate. Lipsa dovezilor de conformitate atrage riscul iminent de reziliere a contractelor B2B actuale și excluderea de la viitoarele licitații.

Care sunt riscurile neconformării?

Răspunderea managementului. Conform OUG 155/2024, conducerea executivă a organizațiilor are responsabilitate directă pentru implementarea și respectarea cerințelor NIS2. Managementul trebuie să se asigure că sunt adoptate măsuri adecvate de securitate cibernetică, că riscurile sunt evaluate și gestionate corespunzător și că incidentele de securitate sunt raportate conform obligațiilor legale. 

Amenzi de până la 35.000.000 RON sau 1,4% din cifra de afaceri pentru entitățile importante și de până la 50.000.000 RON sau 2% din cifra de afaceri pentru entitățile esențiale, în cazul nerespectării măsurilor de gestionare a riscurilor și a obligațiilor de raportare. În cazul încălcărilor specifice, entitățile importante riscă amenzi de până la 300.000 RON, iar entitățile esențiale pot fi sancționate cu sume de până la 500.000 RON.

Cerințele de securitate pentru conformitatea cu NIS2

Gestionarea riscurilor

Organizațiile trebuie să adopte măsuri bazate pe o abordare multirisc, vizând protejarea rețelelor și sistemelor informatice.

Măsurile includ politici de analiză a riscurilor, gestionarea incidentelor și continuitatea activităților.

Securitatea lanțului de aprovizionare și gestionarea vulnerabilităților sunt, de asemenea, aspecte esențiale.

Responsabilitățile managementului

Conducerea entităților esențiale și importante trebuie să aprobe măsurile de securitate cibernetică.

Managementul trebuie să supravegheze implementarea măsurilor și să participe la instruiri periodice.

În cazul nerespectării cerințelor, conducerea poate fi sancționată.

Raportarea incidentelor

Companiile trebuie să notifice CSIRT în termen de 24 de ore de la identificarea unui incident semnificativ.

Raportul inițial trebuie să fie completat în termen de 72 de ore, evaluând gravitatea și impactul incidentului.

Este necesară o raportare detaliată a incidentului, inclusiv măsurile de atenuare aplicate.

Securitatea lanțului de aprovizionare

Entitățile trebuie să acorde o atenție deosebită riscurilor provenite de la furnizorii și prestatorii de servicii.

Este esențială evaluarea calității produselor și practicilor de securitate ale acestora.

Vulnerabilitățile specifice fiecărui furnizor trebuie identificate și gestionate corespunzător

Abordarea măsurilor tehnice, operaționale și organizaționale

Măsurile implementate trebuie să fie tehnice, operaționale și organizaționale pentru a gestiona riscurile.

Este important să se minimizeze impactul incidentelor asupra utilizatorilor serviciilor oferite.

Abordare holistică, care să includă toate aspectele de securitate, este esențială.

Audituri periodice de securitate

Organizațiile trebuie să efectueze audituri de securitate regulate pentru a evalua eficacitatea măsurilor de protecție implementate.

Auditurile pot include inspecții de conformitate cu politicile interne de securitate și cu cerințele NIS2.

Rezultatele auditului trebuie să fie documentate și folosite pentru a îmbunătăți constant sistemele de securitate și a gestiona riscurile identificate.

Rămâi informat cu privire la NIS2! Explorează broșura noastră pentru detalii importante.

DESCARCĂ BROȘURA NIS 2

Cum vă putem ajuta?

Evaluare gratuită a nivelului de conformitate actual

Punem la dispoziție un chestionar gratuit care permite organizației să se auto-evalueze și totodată să determine nivelul de conformitate cu Directiva NIS2. Chestionarul este disponibil aici .

Analiză GAP

Asigurăm o analiză completă a organizației pentru a identifica lacunele în ceea ce privește conformitate cu NIS2 și pentru a oferi recomandări specifice pentru atingerea conformității complete.

Șabloane profesionale pentru documentație

Punem la dispoziție șabloane personalizabile în vederea realizării documentației, adaptate la specificul, nivelul de securitate și caracteristicile organizației.

Ghid practic pentru implementare

Oferim consultanță activă în vederea implementării măsurilor de securitate necesare, asigurând conformitatea cu NIS2. Propunem soluții tehnice de implementare sau îmbunătățire, pentru a vă alinia la cerințele directivei.

Consultanță continuă

După finalizarea colaborării, oferim opțiunea de consultanță continuă. Aceasta include întreținerea măsurilor de securitate implementate, traininguri de securitate pentru angajați și actualizări în timp real cu privire la modificările din domeniul Securității Informațiilor.

Beneficii pentru client

Prin colaborarea cu noi asigurați un nivel superior de protecție împotriva amenințărilor cibernetice, în ceea ce privește securitatea datelor și a sistemelor.

Achiziționarea serviciilor noastre vă asigură conformitatea cu reglementările obligatorii prevăzute de NIS2.

Prin implementarea măsurilor necesare, veți minimiza riscul de a fi supus sancțiunilor legale care pot afecta activitatea organizației.

Oferim soluții adaptate nevoilor dumneavoastră, cu pachete personalizate în funcție de stadiul actual al organizației, pentru a maximiza eficiența.

Beneficiați de o etapizare clară a procesului de implementare, adaptată nevoilor și stadiului de pregătire al clientului, pentru a facilita tranziția.

Furnizăm propuneri de soluții tehnice pentru implementare sau îmbunătățire, astfel încât să asigurați alinierea completă la cerințele NIS2.

Urmărește webinarul legat de Legea NIS pentru o analiză detaliată

Rulează videoul

Completează formularul și un specialist NIS te va contacta în cel mai scurt timp

Completează formularul de contact și începe Pre-Analiza NIS 2

1 2 3 4 5 6 7