NIS2 în România: ce s-a schimbat cu OUG 155/2024 și Legea 124/2025 -ce trebuie să știe companiile din 2025

Article NIS2 în România: Ce aduc OUG 155/2024 și Legea 124/2025 pentru companiile esențiale și importante

Introducere

De ce transpunerea NIS2 schimbă jocul din 2025

2025 reprezintă momentul cheie în armonizarea legislației naționale cu cea europeană. Deja, putem spune că de anul trecut, Legea Nr. 124/2025 ce modifică OUG 155/2024 a consolidat transpunerea Directivei NIS2 în România. Punctele cheie ale modificărilor și clarificărilor aduse de acest ansamblu de legi sunt conformarea (prin reducerea riscului de atacuri cibernetice și implicit creșterea încrederii partenerilor în compania dvs.), desemnarea unui responsabil cu implementarea NIS2 (care să ofere suport companiei dvs. În procesul de conformare), confidențialitatea raportărilor către DNSC (Directoratul Național de Securitate Cibernetică) și responsabilizarea managementului companiei dvs. 

Pe cine afectează noile obligații

NIS2 și legile subsecvente impun noi obligații companiilor mari și medii din sectoarele considerate critice și importante, cum ar fi energia, transportul, sănptatea, producția alimentară, cercetare, finanțe, administrație publică, apă, producție chimică, servicii poștale și de curierat etc. 

Ce este Directiva NIS2 și de ce a fost adoptată

NIS2 (Network and Information Security 2) este directiva europeană care modernizează NIS1. Aceasta a fost adoptată datorită evoluțiilor tehnologice. Amenințările atacurilor cibernetice crescând exponențial, atât prin complexitate, cât și prin frecvență. 

Diferențe majore față de NIS1

Acestea pot fi împărțite în 3 puncte majore. În primul rând, NIS2 extinde aria actorilor implicați. Astfel, NIS1 se aplica doar operatorilor de servicii esențiale, în timp ce NIS2 se aplică entităților esențiale și importante. De asemenea, noi obligații sunt introduse prin NIS2, entitățile esențiale și importante au obligația de a asigura formarea profesională a întregului personal, pentru ca acesta să aibă un nivel minim de cunoștințe în gestionarea riscurilor cibernetice. Nu în ultimul rând, prin NIS2 a crescut valoarea sancțiunilor. 

Obiectivele directivei

Obiectivele  NIS2 sunt de a oferi un cadru adaptat gestionării amențărilor cibernetice din ce în ce mai frecvente și complexe. Astfel, organizațiile care sunt vizate de NIS2 vor trebui să implementeze măsuri tehnice și organizatorice care să gestioneze riscurile cibernetice, un mecanism eficient de raportare a incidentelor, managemntul acestora va răspunde dirrect pentru conformitatea proceselor interne. 

Ce prevede OUG 155/2024

Structura legislației

OUG 155/2024 este structurată în 4 capitole principale: cadrul general, măsuri de management al riscului, modalitatea de raportare a incidentelor și sanțiuni. 

Domenii vizate

Domeniile vizate sunt cele menționate și de NIS2 ca fiind sectoarele esențiale și importante: energia (electricitate, petrol, gaz), transporturile (aerian, feroviar, naval și rutier), sănătatea (furnizorii de servicii medicale sau producătorii de medicamente), infrastructura digitală (cloud, centre de date), servicii financiare (bănci, asigurări), admnistrația publică prin autorități centrale și locale, furnizorii de servicii IT și altele precum apa, serviciile poștale, producția (alimentară, chimică), cercetarea. 

Obligații tehnice și operaționale

OUG 155/2024 entails obligations such as risk assessment through periodic cybersecurity analyses, effectively implemented security measures such as data encryption, access restrictions, a well-defined incident management plan, data backup, prompt notification of security incidents within pre-established deadlines, and direct management responsibility for compliance with legal requirements. 

Ce aduce nou Legea 124/2025

Obligații pentru entități esențiale și entități importante

Obligațiile principale introduce de Legea 124/2025 presupun desemnarea unui responsabil NIS2, formarea continuă a personalului companiei dvs. pentru mitogarea riscurilor generate de atacurile cibernetice și raportarea vulnerabilităților.

Termene de conformare

Entitățile esențiale sau importante au avut obligația, conform legii 124/2025, de a se înscrie la DNSC până la 19 septembrie 2025. Ulterior, acestea au obligația ca, în timp de 30 de zile la înscriere, să numească un responsabil NIS2. Deși termenul este depășit, timpul nu este pierdut, o înscriere chiar și la acest moment sau unul imediat următor poate însemna evitarea aplicării unei sancțiuni sau poate sugera o atitudine proactivă în momentul unui eventual control, ceea ce ar determina aplicarea unei sancțiuni mai reduse companiei dvs. 

Raportare la DNSC

Raportarea la DNSC este alcătuită din 3 pași principali. Practic compania dvs., în cazul unui atac cibernetic, va trebui să emită o alertă timpurie, în 24h. Ulterior, va trebui redactat un raport initial, în 72h, care să cuprindă impactul atacului cibernetic, precum și măsurile inițiale luate de organizația dvs. Ulterior, în 30 de zile, va trebui să prezentați DNSC-ului un raport care să cuprindă măsurile de remediere luate, precum și lecțiile învățate. 

Cine trebuie să se conformeze în România

În general, NIS2 se aplică entităților mari și mijlocii care sunt considerate esențiale sau importante.

Entități esențiale

Acestea sunt enumerate în Anexa 1 a OUG 155/2024. Câteva exemple sunt sectoarele energiei, transporturilor, finanțelor, administrației publice, sănătății, infrastructurii digitale, apei.

Entități importante

Acestea sunt enumerate în Anexa 2 a OUG 155/2024. Căteva exemple sunt sectoarele serviciilor poștale și de curierat, gestionării deșeurilor, industriei chimijce, producției alimentare, cercetării sau furnizorilor digitali. 

Excepții și situații speciale

Anumite entități sunt considerate esențiale indifferent de dimensiune: entitățile critice desemnate de Centrul Național pentru Coordonarea Protecției Infrastructurii Critice din cadrul Ministerului Afacerilor Interne, entitățile administrației publice centrale (cu excepțiile specificate în legislație), furnizorii de servicii DNS, registrele de nume TLD și prestatorii de servicii de încredere calificați.

De asemenea, există și categorii de entități care beneficiază de un regim special:

  1. Furnizorii de servicii de securitate gestionate:
    • dacă sunt companii mari sau mijlocii, sunt clasificați ca entități esențiale
    • dacă sunt companii mici, nu intră sub incidența NIS 2
  2. Furnizorii de servicii de încredere
    • dacă sunt companii mari, sunt clasificați ca entități esențiale (pe baza art. 5 alin. 2 OUG nr. 155/2024)
    • dacă sunt companii mijlocii sau mici, sunt clasificați ca entități importante (pe baza art. 6 alin. 2 OUG nr. 155/2024)
  3. Furnizorii de rețele publice de comunicații electronice sau de servicii de comunicații electronice destinate publicului
    • dacă sunt companii mari sau mijlocii, sunt clasificați ca entități esențiale
    • dacă sunt companii mici, sunt clasificați ca entități importante

Termene-cheie pentru 2025 și impactul asupra companiilor

Deadline-uri aplicabile

Din acest articol relevant pentru organizația dvs., este de reițnut că termenul impus de DNSC pentru înregistrarea ca entitate ce se află sub aplicabilitatea NIS2 este depășit (19 septembrie 2025), automat fiind și termenul de numire a unui responsabil NIS, dar acesta nu este un motiv de panică, ci unul de încurajare, pentru a contacta o companie de consultanță externă pentru a vă ajuta să navigați criteriile impuse de Directivă NIS2 și legislația națională, cât și să îndepliniți formalitățile legale. 

Riscuri la depășirea termenelor

Cu toate acestea, există riscuri legate de nerespectarea termenului de înregistrare DNSC care se amplifică cu trecerea timpului. Astfel, managementul va răspunde direct și personal pentru această omisiune. Va exista un impact reputational și contractual prin scăderea încrederii partenerilor dvs. din lanțul de producție. Vă veți confrunta cu o vulnerabilitate operațională reală. În cazul unui control din partea DNSC veți risca prioritizarea companiei dvs., precum și aplicarea unor amenzi costisitoare. 

Concluzie: De ce conformarea rapidă e critică din 2025

Odată cu trecerea în noul an, putem trage atât concluzii, cât și să prevedem ce se va întâmpla în 2026. NIS2 nu mai este o obligație teoretică, ci o realitate juridică și operațională pentru companiile aflate sub incidența sa. Astfel, dacă organizația dvs. a acționat sau va acționa rapid, poate transforma conformarea într-un avantaj competitive, în timp ce amânarea crește riscurile financiare, juridice și reputaționale.



Oana Sîrbu

Junior Privacy and Data Protection Consultant

 

Share:
DECALEX TEAM
Autor: DECALEX TEAM We make privacy easy
Ultimele articole
Transparența în inteligența artificială: De ce este ea inevitabilă

Transparența în inteligența artificială: De ce este ea inevitabilă

AEPD amendează Curenergía cu 500.000 de euro

AEPD amendează Curenergía cu 500.000 de euro

”2026 is the new 2016” sau cum platformele online redescoperă GDPR-ul

”2026 is the new 2016” sau cum platformele online redescoperă GDPR-ul

Digital Omnibus – cum se rearanjează puterea în Europa digitală

Digital Omnibus – cum se rearanjează puterea în Europa digitală

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI