Pe scurt
NIS2 este Directiva (UE) 2022/2555, adoptată la nivelul Uniunii Europene pentru a ridica nivelul comun de securitate cibernetică în statele membre. În România, a fost transpusă prin GEO 155/2024, modificată ulterior prin Legea 124/2025. Legea stabilește obligații concrete pentru organizațiile din sectoarele cu relevanță pentru economia și societatea românească. Nu toate companiile sunt vizate. Determinarea oficială a situației unei organizații aparține exclusiv DNSC.
Pregătirea internă poate și ar trebui să înceapă independent de clarificarea oficială. O organizație care și-a organizat documentele, rolurile și întrebările intră mai pregătită în orice proces oficial sau discuție cu specialiști.
De la Directivă europeană la lege românească
Directiva (UE) 2022/2555 — numită NIS2 — a fost adoptată de Parlamentul European și Consiliul UE și a intrat în vigoare în ianuarie 2023. Ea înlocuiește Directiva NIS1 din 2016 și extinde semnificativ sfera de aplicare și obligațiile de securitate cibernetică.
Fiecare stat membru UE a trebuit să transpună Directiva NIS2 în legislație națională. România a realizat această transpunere prin GEO 155/2024 — Ordonanța de urgență a Guvernului nr. 155/2024 privind securitatea rețelelor și sistemelor informatice. Actul a intrat în vigoare în 2024 și a fost modificat prin Legea 124/2025, în vigoare din iulie 2025, care a extins sfera de aplicare față de varianta inițială.
Textul GEO 155/2024 și al Legii 124/2025 sunt disponibile public pe legislatie.just.ro. Ordinele DNSC 1 și 2 din 2025 au detaliat ulterior procedurile de înregistrare și metodologia de evaluare a riscului. Toate acestea sunt accesibile pe dnsc.ro.
Notă: Articolele din GEO 155/2024 diferă numeric față de articolele Directivei NIS2 europene. Când citiți resurse internaționale, verificați întotdeauna că citările se referă la articolele din GEO 155/2024, nu din Directiva europeană.
De ce contează NIS2 pentru organizațiile din România
GEO 155/2024 introduce pentru prima dată în România un cadru unificat și obligatoriu de securitate cibernetică pentru sectoarele considerate esențiale sau importante din punct de vedere economic și societal. Implicațiile sunt concrete:
- Obligații legale directe. Organizațiile din sfera legii trebuie să implementeze măsuri de securitate, să se înregistreze la DNSC și să raporteze incidentele semnificative în termene stricte.
- Răspunderea conducerii. Conform Art. 14 din GEO 155/2024, organul de conducere al organizației aprobă și supraveghează implementarea măsurilor de securitate. Membrii conducerii pot răspunde personal pentru nerespectarea acestor obligații.
- Sancțiuni semnificative. GEO 155/2024 prevede amenzi diferențiate pentru entitățile esențiale și entitățile importante care nu respectă obligațiile legale. Cuantumul acestora este prevăzut în actul normativ disponibil pe legislatie.just.ro.
- Impactul asupra lanțului de aprovizionare. Conform Art. 13(d) din GEO 155/2024, organizațiile vizate trebuie să gestioneze riscurile de securitate din lanțul de aprovizionare, ceea ce poate afecta și furnizorii lor.
Cine poate fi vizat — criterii generale din GEO 155/2024
GEO 155/2024 nu se aplică tuturor companiilor. Sfera de aplicare se bazează pe trei criterii cumulative care trebuie analizate împreună:
| Criteriu | Ce prevede GEO 155/2024 |
|---|---|
| Sectorul de activitate | Sectoarele relevante sunt enumerate în Anexa 1 (sectoare esențiale: energie, transport, sector bancar, infrastructura piețelor financiare, sănătate, apă, infrastructură digitală etc.) și Anexa 2 (sectoare importante). Textul complet al anexelor este disponibil pe legislatie.just.ro. |
| Dimensiunea organizației | Conform Art. 8 din GEO 155/2024, pragurile generale se referă la numărul de angajați și cifra de afaceri sau totalul bilanțului, urmând definițiile din Legea 346/2004. Organizațiile medii și mari sunt, în general, vizate. Există excepții pentru anumite categorii indiferent de dimensiune. |
| Natura serviciului | Conform Art. 9 din GEO 155/2024, anumite organizații pot fi incluse indiferent de dimensiune dacă sunt singurul furnizor al unui serviciu esențial sau dacă perturbarea serviciului ar putea afecta semnificativ ordinea publică, siguranța sau sănătatea. |
Citirea criteriilor din lege nu constituie o determinare. Aplicarea lor la situația specifică a unei organizații necesită o evaluare concretă, realizată prin procesul oficial sau cu sprijin de specialitate. Consultați și ghidul despre sfera de aplicare NIS2 în România pentru context suplimentar.
Principalele obligații prevăzute de GEO 155/2024
Organizațiile din sfera de aplicare a GEO 155/2024 au mai multe categorii de obligații. Tabelul de mai jos oferă o imagine orientativă — textul complet este disponibil în actul normativ:
| Arie | Articol | Context |
|---|---|---|
| Managementul riscului | Art. 11 GEO 155/2024 | Organizațiile trebuie să identifice, evalueze și gestioneze riscurile aferente securității rețelelor și sistemelor informatice, prin măsuri tehnice, operaționale și organizatorice proporționale. |
| Măsuri minime de securitate | Art. 13 GEO 155/2024 | Cel puțin 10 categorii de măsuri obligatorii: politici de securitate, gestionarea incidentelor, continuitatea activității, criptografia, securitatea resurselor umane, autentificarea multifactor și altele. |
| Responsabilitatea conducerii | Art. 14 GEO 155/2024 | Organul de conducere aprobă măsurile de securitate, răspunde de implementarea lor și trebuie să urmeze formare profesională acreditată în domeniu. |
| Raportarea incidentelor | Art. 15 GEO 155/2024 | Incidentele semnificative trebuie notificate la DNSC: avertizare în 24 de ore, notificare în 72 de ore, raport final în maximum o lună. |
| Înregistrarea la DNSC | Art. 14 Ordinul DNSC 1/2025 | Organizațiile din sfera de aplicare a GEO 155/2024 trebuie să se înregistreze la DNSC prin procedura oficială stabilită de Ordinul DNSC 1/2025. |
Această trecere în revistă are scop orientativ. Fiecare obligație are detalii, excepții și condiții de aplicare care pot diferi în funcție de tipul și dimensiunea organizației. Consultați ghidul despre GEO 155/2024 pentru mai mult context.
Ce poate face organizația dvs. acum
Pregătirea internă poate începe independent de clarificarea oficială a situației organizației. Pașii de mai jos sunt relevanți pentru orice organizație care consideră că ar putea fi vizată de GEO 155/2024:
- Citiți textul GEO 155/2024 și al Legii 124/2025 disponibile pe legislatie.just.ro.
- Verificați dacă sectorul dvs. de activitate apare în Anexa 1 sau Anexa 2 ale GEO 155/2024.
- Notați numărul de angajați și indicatorii financiari relevanți față de pragurile din lege.
- Identificați responsabilul intern care poate coordona pregătirea.
- Adunați documentele interne existente: politici, proceduri, contracte IT, registre de incidente.
- Verificați pagina DNSC pentru ordine, ghiduri și actualizări despre procesul de înregistrare.
- Pregătiți întrebările pentru discuția cu un specialist de specialitate.
Acești pași nu constituie o evaluare și nu înlocuiesc procesul oficial de înregistrare la DNSC. Ei reprezintă pregătire internă de bază, utilă înainte de orice interacțiune cu autoritatea competentă sau cu specialiști externi.
Ce nu poate stabili un articol public
Niciun articol public — inclusiv acesta — nu poate determina dacă organizația dvs. intră în sfera de aplicare a GEO 155/2024, nu poate interpreta obligațiile specifice situației concrete și nu constituie consultanță de specialitate. DNSC este autoritatea competentă pentru procesul oficial de înregistrare și clasificare a organizațiilor. Nu se calculează scor, clasificare sau concluzii.
Cum ajută NIS2 Pilot
NIS2 Pilot este un instrument de planificare internă. Ajută organizațiile să structureze informațiile relevante, să organizeze documentele existente și să pregătească întrebările pentru discuțiile cu specialiști. Nu transmite date la DNSC, nu stabilește situația oficială a organizației și nu înlocuiește consultanța de specialitate sau procesul oficial.
Întrebări frecvente
Ce este NIS2 pe scurt?
NIS2 este Directiva (UE) 2022/2555 privind securitatea rețelelor și sistemelor informatice, adoptată la nivelul Uniunii Europene. În România, a fost transpusă prin GEO 155/2024, modificată ulterior prin Legea 124/2025. Legea stabilește obligații de securitate cibernetică pentru organizațiile din sectoarele considerate critice sau importante.
Toate companiile din România trebuie să respecte NIS2?
Nu. GEO 155/2024 se aplică organizațiilor din sectoarele menționate în Anexele 1 și 2 ale legii, care îndeplinesc anumite criterii de dimensiune sau furnizează servicii cu caracter critic. Nu toate companiile din România intră în sfera de aplicare. Determinarea oficială aparține DNSC.
Ce se întâmplă dacă o organizație ignoră NIS2?
GEO 155/2024 prevede sancțiuni pentru nerespectarea obligațiilor, inclusiv amenzi semnificative diferențiate în funcție de categoria entității — esențiale sau importante. Conducerea organizației poate răspunde personal pentru neimplementarea măsurilor prevăzute de Art. 14.
Poate o organizație să înceapă pregătirea înainte de clarificarea oficială a situației sale?
Da. Organizarea internă a informațiilor, documentelor și responsabililor este utilă indiferent de rezultatul procesului oficial de înregistrare. O organizație pregătită intern interacționează mai eficient cu DNSC și cu specialiștii externi.
GEO 155/2024 este deja în vigoare?
Da. GEO 155/2024 este în vigoare din 2024 și a fost modificată prin Legea 124/2025, în vigoare din iulie 2025. Ordinele DNSC 1 și 2 din 2025 au detaliat ulterior procedurile de înregistrare și metodologia de evaluare a riscului.
Ce face DNSC în contextul NIS2?
DNSC — Direcția Națională de Securitate Cibernetică — este autoritatea națională competentă pentru aplicarea GEO 155/2024. DNSC administrează procesul de înregistrare, emite ordine și ghiduri, și realizează supravegherea organizațiilor din sfera legii. Pagina dnsc.ro/pagini/legislatie-nis2 publică actualizările oficiale.
Resurse utile
Sfera de aplicare NIS2 în România — context general pentru pregătire internă
LegislațieCum se citesc informațiile publice despre sfera de aplicare NIS2 și ce poate pregăti intern o organizație înainte de discuțiile cu specialiștii.
Deschideți resursa: Sfera de aplicare NIS2 în România — context general pentru pregătire internă →GEO 155/2024 — ce înseamnă pentru pregătirea internă a companiei
LegislațieCe conține GEO 155/2024 și cum poate pregăti intern o organizație din România informațiile necesare înainte de discuțiile cu specialiști NIS2.
Deschideți resursa: GEO 155/2024 — ce înseamnă pentru pregătirea internă a companiei →Surse oficiale și context
- GEO 155/2024 — textul complet al transpunerii NIS2 în România, inclusiv Anexele 1 și 2 (legislatie.just.ro)
- Legea 124/2025 — modificările aduse GEO 155/2024, în vigoare din iulie 2025 (legislatie.just.ro)
- Directiva NIS2 (UE) 2022/2555 — cadrul european pe baza căruia a fost elaborat GEO 155/2024 (eur-lex.europa.eu)
- DNSC — Legislație NIS2 — ordine, ghiduri și materiale publice de orientare (dnsc.ro)
Verificați dacă firma dvs. ar putea fi vizată de NIS2
Instrumentul NIS2 Pilot vă ajută să organizați intern informațiile relevante și să vă pregătiți pentru discuțiile cu specialiști.
Verificați dacă compania dvs. intră în sfera NIS2 →Acest articol are scop informativ. Nu constituie consultanță juridică sau evaluare tehnică de specialitate. Toate resursele NIS2 Pilot