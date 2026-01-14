România a pus în aplicare Directiva europeană NIS2 privind securitatea cibernetică, prin Ordonanța de Urgență nr. 155/2024, un act normativ care introduce obligații extinse pentru companiile și instituțiile din sectoarele critice și importante ale economiei. Legea prevede sancțiuni fără precedent în legislația românească, cu amenzi care pot ajunge până la 10 milioane de euro sau 2% din cifra de afaceri anuală globală.

Potrivit datelor citate de Centrul de Formare APSAP, preluate de Agerpres, între 15.000 și 20.000 de entități din România intră sub incidența noilor reglementări, față de aproximativ 1.000 în cazul vechii directive NIS1.

Ce presupune, concret, NIS2

Directiva stabilește un cadru comun la nivelul Uniunii Europene pentru creșterea nivelului de securitate a rețelelor și sistemelor informatice. Entitățile vizate sunt obligate să:

implementeze măsuri tehnice, operaționale și organizatorice de securitate cibernetică;

raporteze incidentele semnificative într-un termen strict;

efectueze audituri periodice de securitate;

realizeze autoevaluări privind nivelul de maturitate în securitate cibernetică;

elaboreze și aplice planuri de remediere;

desemneze un responsabil NIS, care trebuie să fi absolvit cursuri de specialitate;

asigure formarea profesională a conducerii în domeniul securității cibernetice.

Aplicarea și controlul respectării legislației sunt gestionate de Directoratul Național de Securitate Cibernetică (DNSC).

Cine este vizat

Legea se aplică atât „entităților esențiale”, cât și „entităților importante”.

Entitățile esențiale includ operatori din domenii critice precum:

energie, transporturi, sănătate, apă potabilă și ape uzate;

infrastructură digitală și spațială;

sector bancar și infrastructura piețelor financiare.

Entitățile importante includ, printre altele:

servicii poștale, gestionarea deșeurilor, industria chimică;

producția și distribuția alimentelor, industria prelucrătoare;

furnizori de servicii digitale (cloud, centre de date, rețele de livrare de conținut);

cercetare și alte domenii prevăzute expres în anexele OUG 155/2024.

Regimul sancțiunilor

Pentru entitățile esențiale, amenzile pot varia între 10.000 de lei și echivalentul a 10 milioane de euro sau până la 2% din cifra de afaceri anuală la nivel mondial, fiind aplicată valoarea cea mai mare.

Pentru entitățile importante, sancțiunile sunt cuprinse între 5.000 de lei și până la șapte milioane de euro sau maximum 1,4% din cifra de afaceri anuală globală.

Pentru abateri administrative, cum ar fi raportări incomplete sau lipsa unor documente, amenzile pot fi între 1.000 și 600.000 de lei, iar pentru încălcări grave sau repetate se poate ajunge, independent, la sancțiuni de până la 600.000 de lei.

Ce fapte sunt sancționate

Printre neregulile care pot atrage amenzi se numără:

lipsa măsurilor de securitate cibernetică;

neefectuarea auditurilor de securitate;

neîndeplinirea obligațiilor de raportare a incidentelor;

lipsa autoevaluărilor de maturitate;

neimplementarea planurilor de remediere;

nealocarea resurselor necesare;

refuzul sau obstrucționarea controalelor DNSC;

furnizarea de informații false.

Răspunderea cade pe conducere

Un element nou introdus de NIS2 este responsabilizarea directă a managementului. Membrii conducerii pot fi sancționați dacă nu supraveghează implementarea măsurilor de securitate, nu alocă resursele necesare, nu desemnează responsabili NIS sau nu urmează programe de formare în domeniul securității cibernetice.

Deși sancțiunile au intrat în vigoare la finalul anului 2025, specialiștii avertizează că multe dintre entitățile vizate nu sunt încă conforme cu noile cerințe, expunându-se riscului unor penalități majore.