Pe 20 august 2025 au intrat în vigoare două ordine emise de Directoratul Național de Securitate Cibernetică (DNSC), care fac aplicabile în mod efectiv prevederile Directivei Europene NIS2 (UE 2022/2555) în România, prin transpunerea sa în legislația internă.
Directiva NIS2 definește un cadru unitar la nivelul Uniunii Europene pentru îmbunătățirea securității cibernetice a rețelelor și sistemelor informatice, fiind o actualizare semnificativă a Directivei NIS inițiale. În România, acest cadru legal este finalizat prin Ordonanța de Urgență nr. 155/2024, aprobată ulterior prin Legea nr. 124/2025.
Ce reglementează ordinele DNSC
Cele două ordine ale DNSC au rolul de a clarifica și operaționaliza cerințele Directivei NIS2, astfel încât organizațiile vizate să știe exact cum și în ce termene trebuie să se conformeze legislației:
Acest act normativ pune bazele procesului de notificare și înregistrare a entităților la DNSC. Începând cu 20 august 2025, toate organizațiile care se încadrează în prevederile OUG 155/2024 trebuie să transmită notificarea de înregistrare către DNSC în 30 de zile de la intrarea în vigoare a ordinului. Pentru aceasta, DNSC a pus la dispoziție două instrumente:
- Platforma online NIS2@RO
- Formularul NIS2@RO (în format Excel)
Formularul trebuie completat și semnat de reprezentantul legal al entității cu semnătură electronică calificată. Dacă entitatea nu dispune de instrumentul online, notificarea poate fi transmisă pe email la evidenta@dnsc.ro, împreună cu documentația necesară.
Acest ordin aduce criterii clare privind:
- modul de evaluare a nivelului de risc al entităților
- stabilirea pragurilor pentru determinarea gradului de perturbare a serviciilor oferite
Entitățile care nu sunt deja clasificate ca „esențiale” sau „importante” trebuie să realizeze o auto-evaluare a impactului potențial al întreruperii serviciilor pe care le furnizează, pe baza unor criterii precum:
- drepturile și libertățile fundamentale
- impact economic și financiar
- securitatea națională și publică
- efectele transsectoriale sau transfrontaliere
Această evaluare se traduce într-un scor de risc care determină nivelul de măsuri de securitate aplicabile entității.
Pașii de conformare pentru entități
Conform celor două ordine DNSC, organizațiile vizate trebuie să respecte următorul calendar de conformare:
- Înregistrare la DNSC – Notificarea trebuie transmisă în termen de 30 de zile de la 20 august 2025.
- Evaluarea nivelului de risc – În termen de 60 de zile de la decizia DNSC de identificare și înscriere în registru.
- Autoevaluarea măsurilor de securitate – În termen de 60 de zile de la încheierea evaluării de risc.
Aceste etape sunt obligatorii pentru toate entitățile încadrate conform legislației privind securitatea cibernetică din România.
Sancțiuni pentru neconformare
Nerespectarea obligațiilor stabilite prin Directiva NIS2, OUG 155/2024 și ordinele DNSC atrage amenzi semnificative, care diferă în funcție de tipul entității:
Pentru entități importante:
- amenzi de la 5.000 lei până la 7.000.000 euro sau până la 1,4% din cifra de afaceri globală anuală.
Pentru entități esențiale:
- amenzi de la 10.000 lei până la 10.000.000 euro sau până la 2% din cifra de afaceri globală anuală.
Concluzie
Directivele și ordinele DNSC marchează un pas esențial către o securitate cibernetică consolidată la nivel național. Prin clarificarea obligațiilor privind notficarea, înregistrarea și evaluarea riscului entităților, autoritățile oferă un cadru aplicabil și concret pentru implementarea NIS2 în România. Pentru organizațiile vizate, este vital să înceapă procesul de conformare fără întârziere, pentru a evita sancțiunile și a-și proteja infrastructurile critice împotriva amenințărilor cibernetice.