NIS2: Ce înseamnă noua directivă UE pentru firma ta

Ce este NIS2 și de ce este diferită

Directiva NIS2 (Network and Information Security 2) este legislația europeană de securitate cibernetică care a înlocuit NIS1 și a fost transpusă în legislația românească. Diferența majoră față de varianta anterioară: a crescut dramatic numărul de entități obligate să se conformeze și a introdus sancțiuni personale pentru conducere.

Dacă până în 2024 regulile vizau doar operatori esențiali de infrastructură critică (energie, telecomunicații, bănci), acum NIS2 acoperă mii de firme medii și mari din sectoare considerate relevante pentru economia UE.

Cine trebuie să se conformeze

Entități esențiale (cerințe stricte)

• Energie — producție, transport, distribuție electricitate, gaz, petrol
• Transport — aerian, feroviar, rutier, naval
• Bancar și piețe financiare
• Sănătate — spitale, laboratoare, producători medicamente
• Infrastructură digitală — datacenters, ISP, DNS, cloud providers
• Administrație publică centrală și regională

Entități importante (cerințe adaptate)

• Servicii poștale și curierat
• Management deșeuri
• Producție alimentară
• Industrie — fabricare dispozitive medicale, computere, autovehicule, mașini
• Servicii digitale — marketplace-uri online, motoare de căutare, rețele sociale
• Cercetare

Criterii de dimensiune

În general, NIS2 se aplică firmelor cu peste 50 de angajați SAU cifră de afaceri anuală peste 10 milioane de euro. Există excepții pentru sectoarele considerate critice, unde chiar și firmele mici intră sub directivă.

Sancțiuni: ce riști dacă ignori

NIS2 prevede cele mai severe sancțiuni din istoria cibersecurității europene:

• Entități esențiale: amenzi până la 10 milioane € sau 2% din cifra de afaceri globală (cea mai mare)
• Entități importante: amenzi până la 7 milioane € sau 1.4% din cifra de afaceri
• Răspundere personală a membrilor conducerii — pot fi suspendați temporar
• Obligație de notificare publică a incidentelor majore
• Control direct al autorităților, cu acces la sisteme și documentație

În România, autoritatea competentă este DNSC (Directoratul Național de Securitate Cibernetică), care deja a început controale la primele entități obligate.

Cele 10 cerințe de securitate obligatorii

NIS2 impune implementarea unui sistem de management al securității informației, cu accent pe:

• Politici de analiză a riscurilor și securitate a sistemelor IT
• Gestionarea incidentelor — detecție, răspuns, raportare
• Continuitatea activității — backup, disaster recovery, management crize
• Securitatea lanțului de aprovizionare — inclusiv furnizorii IT
• Securitate în achiziții, dezvoltare, întreținere sisteme
• Proceduri de evaluare a eficacității măsurilor
• Practici de bază — igienă cibernetică, training
• Politici de criptografie și control al accesului
• Securitatea resurselor umane și managementul activelor
• Autentificare multi-factor și comunicații securizate

Termenele de raportare a incidentelor

NIS2 introduce obligații stricte de notificare, pe care multe firme le subestimează:

• 24 de ore — notificare inițială la DNSC (alertă timpurie)
• 72 de ore — raport detaliat cu evaluarea inițială a incidentului
• 1 lună — raport final cu cauze, impact și măsuri corective

Aceste termene curg de la momentul descoperirii incidentului. Un atac descoperit vineri seara trebuie raportat sâmbătă seara — nu luni dimineața.

Checklist de conformitate NIS2

Verifică status-ul firmei tale pe punctele esențiale:

• Ai identificat dacă ești entitate esențială sau importantă?
• Ai desemnat un responsabil (CISO) sau echivalent?
• Ai o politică de securitate informației aprobată de conducere?
• Ai efectuat o analiză de risc în ultimele 12 luni?
• Ai MFA pentru toate conturile cu acces la date sensibile?
• Ai un plan de răspuns la incidente documentat și testat?
• Ai contracte cu furnizori IT care includ clauze NIS2?
• Ai training de securitate pentru toți angajații, anual?
• Ai backup testat periodic și plan de disaster recovery?
• Ai sistem de monitorizare și log management centralizat?

Dacă ai bifat sub 7 puncte, ești în zona de risc de sancțiuni.

Pași concreți pentru conformitate în 2026

Pasul 1: Audit de conformitate (lună 1)

Evaluare completă a stării curente, identificarea lacunelor și prioritizarea lor pe baza riscului și impactului.

Pasul 2: Plan de remediere (lună 2)

Roadmap cu acțiuni, termene și bugete. Este documentul pe care îl vei prezenta autorităților dacă este solicitat.

Pasul 3: Implementare tehnică (luni 3-6)

MFA, EDR, SIEM, backup, segmentare rețea, politici de acces. Aici se concentrează cea mai mare parte a investiției.

Pasul 4: Documentare și proceduri (paralel)

Politici scrise, proceduri operaționale, registre de incidente, contracte actualizate cu furnizori.

Pasul 5: Training și exerciții (luna 6)

Instruire angajați, simulări de phishing, exerciții tabletop pentru echipa de răspuns la incidente.

Pasul 6: Monitorizare continuă

NIS2 nu este un proiect unic, ci un sistem viu. Audit intern anual, actualizări ale analizei de risc, testări de DR.

Concluzie

NIS2 nu este încă o birocrație UE — este realitatea legală pentru orice firmă medie din România care operează în sectoare relevante. Amenzile de milioane de euro și răspunderea personală a conducerii transformă securitatea din "opțiune IT" în responsabilitate de top management.

Vestea bună: majoritatea cerințelor NIS2 sunt și bune practici de business. O firmă conformă NIS2 este o firmă care rezistă atacurilor, pierde mai puține date și inspiră încredere clienților.

AXA IT oferă audit de conformitate NIS2 și implementare completă a măsurilor tehnice. Contactează-ne pentru o consultație inițială.

Articole și servicii conexe

• Serviciul de consultanță & audit IT include audit de conformitate NIS2.
• Pentru implementarea tehnică, detalii despre pachetul de protecție cibernetică cu SIEM și EDR.
• Cerință NIS2 directă — vezi planul de Disaster Recovery corect structurat.
• Detalii practice despre securitatea cibernetică pentru IMM-uri, compatibilă NIS2.
• Training anti-phishing obligatoriu — vezi cum îți protejezi angajații.