Contextul European si Termenul de Transpunere
Directiva NIS2 (Network and Information Security 2) reprezinta cea mai importanta reforma a cadrului european de securitate cibernetica din ultimul deceniu, extinzand substantial sfera de aplicare fata de NIS1 (Directiva 2016/1148/UE). Numarul sectoarelor vizate a crescut de la 7 la 18, incluzand acum administratia publica, spatiul, gestionarea deseurilor, fabricarea de produse critice si serviciile postale.
Termenul de transpunere a fost 17 octombrie 2024. Romania a adoptat Legea nr. 58/2025 privind masurile pentru un nivel comun ridicat de securitate cibernetica la 12 martie 2025, cu o intarziere de aproximativ 145 de zile. In aceasta perioada, Comisia Europeana a initiat procedura de infringement impotriva Romaniei si a altor 23 de state membre care nu respectasera termenul, conform comunicatelor din noiembrie 2024.
Categorii de Entitati Vizate
NIS2 introduce o distinctie clara intre entitati esentiale (essential entities) si entitati importante (important entities). In Romania, DNSC (Directia Nationala de Securitate Cibernetica) a estimat ca circa 3.200 de organizatii intra sub incidenta legii, fata de aproximativ 400 sub NIS1 — o crestere de opt ori a bazei de conformitate.
Entitati esentiale includ operatorii de energie, transport, banci, infrastructura pietelor financiare, sanatate, apa potabila si infrastructura digitala. Entitati importante includ servicii postale, gestionarea deseurilor, chimie, alimentatie, productie, servicii digitale si furnizori de servicii gestionate.
Obligatii Principale de Conformitate
Legea nr. 58/2025 transpune urmatoarele obligatii-cheie din NIS2:
Guvernanta si responsabilitate manageriala. Membrii organelor de conducere sunt personal responsabili de implementarea masurilor de securitate cibernetica. Legea prevede obligatia formarii periodice a managementului superior in domeniul securitatii cibernetice.
Gestionarea riscurilor. Organizatiile trebuie sa implementeze masuri tehnice si organizatorice proportionale cu riscul, incluzand politici de securitate informatica, gestionarea incidentelor, continuitatea afacerilor, securitatea lantului de aprovizionare, criptografia, controlul accesului si autentificarea multi-factor.
Notificarea incidentelor. Termenele sunt stricte: preaviz in 24 de ore, notificare initiala in 72 de ore si raport final in 30 de zile, catre DNSC si, daca este cazul, catre autoritatile competente de sector.
Sanctiuni. Entitati esentiale risca amenzi de pana la 10 milioane EUR sau 2% din cifra de afaceri globala anuala totala. Entitati importante risca pana la 7 milioane EUR sau 1,4% din cifra de afaceri.
Riscuri Identificate pentru Organizatii
Principalele riscuri de conformitate identificate sunt: (1) necunoasterea incadrarii in categoria de entitate vizata — multe organizatii nu stiu inca daca intra sub incidenta legii; (2) lanturile de aprovizionare — NIS2 extinde obligatiile si la furnizorii critici, nu doar la organizatia primara; (3) termenele de notificare a incidentelor, extrem de stricte, care presupun procese si instrumente pregatite in avans.
Concluzie
NIS2 nu este o conformitate optionala. Organizatiile din sectoarele vizate au obligatia legala imediata de a demara evaluari de maturitate cibernetica, de a actualiza politicile interne si de a nominaliza responsabili conform cerintelor legii. Intarzierea in transpunere nu a eliminat obligatiile — le-a comprimat termenul de implementare.