Ce este NIS2?
Directiva Europeană care schimbă regulile securității cibernetice în România
NIS2 în 60 de secunde
NIS2 (Network and Information Security Directive 2) este Directiva (UE) 2022/2555 privind măsurile pentru un nivel comun ridicat de securitate cibernetică în Uniunea Europeană.
Extinderea sferei
De la ~7 sectoare la 18 sectoare
Cerințe mai stricte
Măsuri obligatorii în Art. 21
Sancțiuni mai dure
Până la 10M EUR sau 2% din cifra globală
Răspundere personală
Conducerea poate fi trasă la răspundere
Autoritatea competentă în România: DNSC (Directoratul Național de Securitate Cibernetică)
Ce NU este NIS2 — clarificări importante
Nu este doar un set de documente de completat
NIS2 cere implementare efectivă, nu hârtii. Auditorii verifică dacă măsurile funcționează.
Nu este o certificare pe care o obții și gata
Nu există «certificat NIS2». Conformarea este continuă și supusă auditurilor periodice.
Nu se rezolvă cu un singur tool sau produs software
Niciun software nu te face conform NIS2 prin simpla achiziție. Tool-urile sunt acceleratori, nu soluții complete.
Nu este responsabilitatea exclusivă a departamentului IT
NIS2 este o problemă de business și guvernanță, nu doar de tehnologie.
Nu este opțional pentru entitățile vizate
Dacă îndeplinești criteriile de aplicabilitate, conformarea este obligatorie prin lege.
Cine trebuie să se conformeze NIS2 în România?
Entități esențiale
Essential Entities
- Energie (electricitate, petrol, gaz)
- Transport (aerian, feroviar, naval)
- Sănătate (spitale, laboratoare)
- Apă potabilă și uzată
- Infrastructură digitală (DNS, cloud)
- Administrație publică
- Spațiu
Sancțiuni: până la 10.000.000 EUR sau 2% din cifra de afaceri mondială
Entități importante
Important Entities
- Servicii poștale și curierat
- Gestionarea deșeurilor
- Producție (chimice, alimente)
- Dispozitive medicale
- Furnizori servicii digitale
- Cercetare
Sancțiuni: până la 7.000.000 EUR sau 1,4% din cifra de afaceri mondială
Praguri de aplicabilitate
| Criteriu | Entități esențiale | Entități importante |
|---|---|---|
| Număr angajați | ≥ 250 | ≥ 50 |
| Cifră de afaceri anuală | ≥ 50 milioane EUR | ≥ 10 milioane EUR |
| Bilanț anual total | ≥ 43 milioane EUR | ≥ 10 milioane EUR |
Excepții: Unele entități sunt vizate indiferent de mărime (furnizori DNS, registre TLD, servicii de încredere calificate).
De ce NIS2 contează pentru management
Răspundere personală
Conducerea poate fi ținută personal responsabilă pentru neconformare (Art. 32)
Obligație de supraveghere
Managementul trebuie să aprobe și să supravegheze măsurile de securitate
Obligație de formare
Conducerea trebuie să urmeze cursuri de securitate cibernetică
Sancțiuni administrative
Interdicția de a exercita funcții de conducere pentru persoane fizice
Calendar NIS2 — termene importante
Intrarea în vigoare a Directivei NIS2
Termen transpunere în legislația națională
Începerea aplicării efective
Statele membre comunică regimul de sancțiuni
Statele membre stabilesc lista entităților esențiale și importante
Întrebări frecvente despre NIS2
Următorul pas: înțelege ce trebuie să faci concret
Acum că știi ce este NIS2 și de ce contează, următorul pas este să înțelegi cerințele specifice și cum se traduc în acțiuni concrete.
Vezi Cerințele NIS2 Explicate Practic