Entități esențiale vs entități importante în NIS2: diferența explicată simplu

Sectoarele din Anexa 1 (entități posibil esențiale)

Conform Anexei 1 a GEO 155/2024, sectoarele care pot genera entități esențiale includ, orientativ:

• Energie (electricitate, petrol, gaze, hidrogen)
• Transport (aerian, feroviar, maritim, rutier)
• Sectorul bancar
• Infrastructura piețelor financiare
• Sănătate
• Apă potabilă
• Apă uzată
• Infrastructură digitală
• Administrarea serviciilor TIC (B2B)
• Administrație publică
• Spațiu

Prezența unui sector în această listă nu înseamnă că orice organizație din acel sector este automat entitate esențială. Criteriile de dimensiune (Art. 8) și excepțiile (Art. 9) joacă un rol determinant în clasificarea finală.

Anexa 2 acoperă sectoare suplimentare față de Anexa 1. Organizațiile din sectoarele Anexei 2 sunt, în general, candidate pentru categoria de entitate importantă, sub rezerva îndeplinirii criteriilor de dimensiune și a altor condiții din lege.

Criteriile de dimensiune (Art. 8 GEO 155/2024)

Art. 8 din GEO 155/2024 face referire la pragurile de dimensiune ale Recomandării Comisiei Europene privind întreprinderile mici și mijlocii. Orientativ:

• Entitate mare: cel puțin 250 de angajați sau cifră de afaceri anuală de cel puțin 50 milioane EUR.
• Entitate mijlocie: cel puțin 50 de angajați sau cifră de afaceri anuală de cel puțin 10 milioane EUR.

În general, organizațiile mari din sectoarele Anexei 1 sunt candidate pentru categoria esențială, iar organizațiile mijlocii — fie din Anexa 1, fie din Anexa 2 — sunt candidate pentru categoria importantă. Aceasta este o simplificare orientativă; situațiile concrete pot fi mai complexe.

Excepția furnizorului unic sau critic (Art. 9)

Art. 9 din GEO 155/2024 permite DNSC să includă în sfera de aplicare o organizație care, deși nu îndeplinește pragurile de dimensiune, este singurul furnizor al unui serviciu esențial la nivel național sau regional, sau a cărei perturbație ar genera un impact semnificativ asupra serviciilor publice ori ale altor entități vizate.

Această excepție este aplicată de DNSC prin decizie individuală și nu poate fi anticipată cu certitudine de organizația în cauză fără consultarea directă a autorității.

Comparație directă: esențiale vs importante

Tabelul de mai jos sintetizează principalele diferențe orientative. Cifrele privind amenzile sunt exprimate în EUR și reprezintă valorile maxime prevăzute orientativ în GEO 155/2024; sancțiunile concrete sunt stabilite de DNSC în funcție de circumstanțele specifice.

Ce obligații au ambele categorii

Indiferent de categorie, organizațiile incluse în sfera de aplicare au obligații similare, grupate în principal în jurul Art. 11 și Art. 13 din GEO 155/2024:

• Art. 11 — Managementul riscului: identificarea, evaluarea și gestionarea riscurilor de securitate cibernetică prin măsuri tehnice, operaționale și organizatorice proporționale.
• Art. 13 — Măsuri minime de securitate: cel puțin 10 categorii de măsuri obligatorii, inclusiv politici de securitate, gestionarea incidentelor, continuitatea activității, criptografia, autentificarea multifactor și altele.
• Art. 14 — Responsabilitatea conducerii: organul de conducere aprobă măsurile de securitate și urmează formare profesională acreditată.
• Art. 15 — Raportarea incidentelor: incidentele semnificative se notifică la DNSC cu avertizare în 24 de ore, notificare în 72 de ore și raport final în maximum o lună.

Diferența majoră rămâne în supraveghere: entitățile esențiale sunt supuse inspecțiilor proactive din partea DNSC, în timp ce entitățile importante intră în atenția DNSC mai ales ca urmare a unui incident sau sesizare.

Cum se desfășoară procesul de clasificare oficială

Procesul oficial de înregistrare și clasificare este reglementat de Ordinul DNSC 1/2025. Organizațiile care consideră că s-ar putea afla în sfera de aplicare a GEO 155/2024 trebuie să se înregistreze la DNSC; autoritatea evaluează informațiile transmise și comunică oficial categoria atribuită.

DNSC este singura autoritate care poate confirma că o organizație este entitate esențială sau importantă în sensul GEO 155/2024. Nicio autoevaluare internă sau instrument de planificare nu poate substitui această determinare oficială.

Implicații practice pentru pregătirea internă

Indiferent dacă o organizație se estimează a fi entitate esențială sau importantă, pregătirea internă urmează un traseu similar:

• Citiți Anexele 1 și 2 ale GEO 155/2024 și verificați dacă sectorul de activitate apare.
• Calculați indicatorii de dimensiune relevanți (angajați, cifră de afaceri, bilanț).
• Identificați responsabilul intern pentru coordonarea pregătirii.
• Colectați documentele interne existente: politici, proceduri, registre de incidente, contracte IT.
• Consultați pagina DNSC — Legislație NIS2 pentru ghiduri și proceduri actualizate.
• Pregătiți documentele pentru discuția cu un specialist juridic sau de securitate cibernetică.

Ce nu poate stabili un articol public

Această pagină descrie logica textului oficial. Nu poate determina:

• dacă organizația dvs. specifică este sau nu în sfera de aplicare a GEO 155/2024;
• dacă sectorul dvs. de activitate se încadrează în Anexa 1 sau Anexa 2 în situația concretă;
• categoria oficială (esențială sau importantă) care vă va fi atribuită de DNSC;
• dacă excepțiile din Art. 9 se aplică organizației dvs.

Nu se calculează scor, clasificare sau concluzii.

Cum poate ajuta NIS2 Pilot

NIS2 Pilot este un instrument de planificare internă, nu un instrument de clasificare juridică. Vă ajută să organizați informațiile interne relevante — sectorul de activitate, dimensiunea, documentele existente, responsabilii interni — astfel încât să intrați pregătit în discuția cu specialiștii sau în procesul de înregistrare la DNSC.

Instrumentul de orientare disponibil la Verificare sferă de aplicare vă permite să organizați informațiile relevante și să identificați punctele de incertitudine înainte de consultarea unui specialist.

Întrebări frecvente

Care este diferența principală dintre o entitate esențială și una importantă?

Principala diferență nu este în obligațiile de securitate — acestea sunt similare — ci în modul de supraveghere. Entitățile esențiale sunt supuse supravegherii proactive (ex-ante) de către DNSC, în timp ce entitățile importante sunt supravegheate reactiv (ex-post), în special după un incident sau sesizare. Categoriile sunt definite în Art. 5 și Art. 6 din GEO 155/2024.

Ce înseamnă "entitate esențială" conform GEO 155/2024?

Conform Art. 5 din GEO 155/2024, entitățile esențiale sunt organizațiile care activează în sectoarele menționate în Anexa 1 a legii și care îndeplinesc criteriile de dimensiune stabilite. Sectoarele din Anexa 1 includ, orientativ: energie, transport, sănătate, sectorul bancar, infrastructura piețelor financiare, infrastructură digitală, administrație publică și altele. Determinarea oficială ca entitate esențială aparține DNSC.

Ce înseamnă "entitate importantă" conform GEO 155/2024?

Conform Art. 6 din GEO 155/2024, entitățile importante sunt organizațiile care activează în sectoarele din Anexa 2 sau care, deși activează în sectoare din Anexa 1, se situează sub pragul de dimensiune pentru clasificarea ca entitate esențială. Categoriile de obligații rămân aceleași; diferă intensitatea supravegherii.

Cum se stabilesc pragurile de dimensiune?

GEO 155/2024 face referire la criteriile de dimensiune ale Recomandării Comisiei Europene privind întreprinderile mici și mijlocii — numărul de angajați, cifra de afaceri anuală și totalul bilanțului. Conform Art. 8 din GEO 155/2024, pragurile orientative sunt: entitate mare ≥250 angajați sau CA ≥50 M€; entitate mijlocie ≥50 angajați sau CA ≥10 M€. Art. 9 prevede excepții pentru furnizori unici sau critici.

O organizație mică poate intra totuși în sfera de aplicare?

Da. Art. 9 din GEO 155/2024 prevede că dimensiunea nu este singurul criteriu. Dacă o organizație este singurul furnizor al unui serviciu esențial la nivel național sau regional, DNSC poate decide includerea sa în sfera de aplicare indiferent de dimensiune. Aceasta este o excepție, nu regula generală.

Pot afla categoria exactă a organizației mele fără să mă adresez DNSC?

Nu definitiv. Orice analiză internă sau instrument de orientare — inclusiv articolele publice — produce o estimare orientativă bazată pe informațiile disponibile public. Determinarea oficială a categoriei (esențiale sau importante) aparține exclusiv DNSC conform GEO 155/2024. DNSC este autoritatea competentă de clasificare în România.

Ce se întâmplă dacă organizația mea crede că nu este vizată, dar DNSC o clasifică altfel?

Clasificarea DNSC prevalează asupra oricărei autoevaluări interne. Dacă DNSC notifică o organizație că este inclusă în registrul entităților esențiale sau importante, aceasta este obligată să respecte prevederile GEO 155/2024. De aceea, pregătirea internă prealabilă — organizarea documentelor și politicilor interne — este recomandată indiferent de autoevaluarea inițială.

Legea 124/2025 a modificat criteriile de clasificare?

Legea 124/2025 a adus modificări GEO 155/2024, inclusiv extinderea sferei de aplicare către sectoare suplimentare precum farma și retail în anumite condiții, și a ajustat unele termene operative. Criteriile fundamentale de clasificare în entități esențiale și importante rămân structurate pe baza Anexelor 1 și 2 și a pragurilor de dimensiune. Citiți textul Legii 124/2025 pe legislatie.just.ro pentru detalii actualizate.

Acest articol are scop informativ. Nu constituie consultanță juridică sau evaluare tehnică de specialitate. Toate resursele NIS2 Pilot