Guvernanță și management · NIS2 Pilot Resurse

NIS2 pentru management: ce trebuie să știe conducerea unei companii

Ce trebuie să înțeleagă conducerea unei companii din România despre NIS2: responsabilități, guvernanță, formare profesională și pași practici de pregătire internă.

Publicat: 29 mai 202614 min de citire

Pe scurt

NIS2 nu este o problemă exclusiv tehnică. Cadrul legislativ românesc — GEO 155/2024, completat de Legea 124/2025 — stabilește responsabilități directe pentru organul de conducere al organizațiilor vizate: aprobarea măsurilor de securitate, formarea profesională, desemnarea unui responsabil și supravegherea implementării. Această pagină explică ce prevede legea și ce poate pregăti intern conducerea, fără a oferi concluzii juridice.

Idei principale

  • NIS2 trebuie tratat ca subiect de conducere, nu doar ca proiect IT.
  • Art. 14 din GEO 155/2024 leagă conducerea de aprobarea măsurilor, formare și desemnarea responsabilului.
  • Pregătirea internă poate începe înainte de clarificări oficiale, dar nu înlocuiește analiza specializată.

De ce NIS2 este o temă de management, nu doar de IT

Până la adoptarea cadrului NIS2, securitatea cibernetică era tratată în multe organizații ca o responsabilitate exclusiv a departamentului IT. GEO 155/2024 schimbă fundamental această abordare. Art. 14(1) prevede explicit că organul de conducere al entităților esențiale și importante aprobă măsurile de gestionare a riscurilor de securitate cibernetică și răspunde de implementarea lor.

Această responsabilitate nu poate fi delegată unui director IT sau unui furnizor extern fără ca organul de conducere să rămână responsabil. Altfel spus, un consiliu de administrație sau un director general nu poate invoca lipsa de cunoștințe tehnice ca justificare pentru nerespectarea obligațiilor prevăzute de lege.

În contextul materialelor publice de orientare disponibile — inclusiv sesiunile informative organizate de DNSC și proiectele de pregătire sectorială — mesajul este consecvent: securitatea cibernetică trebuie tratată ca o prioritate de management, nu doar ca un proiect tehnic.

Ce prevede Art. 14 din GEO 155/2024 pentru conducere

Art. 14 din GEO 155/2024 stabilește patru categorii principale de obligații pentru organul de conducere.

  1. 1Aprobarea măsurilor de securitate — Art. 14(1)Organul de conducere aprobă măsurile de gestionare a riscurilor de securitate cibernetică implementate de organizație, conform Art. 11 din GEO 155/2024. Conducerea răspunde de implementarea acestor măsuri și poate fi trasă la răspundere de DNSC în caz de nerespectare.
  2. 2Formarea profesională obligatorie — Art. 14(2)Membrii organului de conducere trebuie să urmeze formare profesională acreditată în domeniul securității cibernetice pentru a înțelege riscurile, practicile de management al riscului și impactul asupra serviciilor furnizate.
  3. 3Desemnarea responsabilului de securitate — Art. 14(3)Art. 14(3), astfel cum a fost modificat prin Legea 124/2025, prevede desemnarea responsabilului cu securitatea rețelelor și a sistemelor informatice în termen de 30 de zile de la data comunicării deciziei DNSC.
  4. 4Supravegherea implementării — Art. 14(1) și Art. 11Obligația de aprobare nu este un act unic. Conducerea trebuie să supravegheze aplicarea continuă a măsurilor tehnice, operaționale și organizatorice prevăzute de Art. 11 din GEO 155/2024.

Răspunderea personală a conducerii

GEO 155/2024 prevede explicit că organul de conducere răspunde de implementarea măsurilor de securitate cibernetică. Nerespectarea obligațiilor din Art. 14 poate atrage sancțiuni aplicate de DNSC atât organizației, cât și persoanelor fizice din conducere.

Sancțiunile prevăzute de GEO 155/2024 variază în funcție de clasificarea entității (esențială sau importantă) și de gravitatea încălcării. Pentru context general privind nivelurile de sancțiuni, consultați sancțiunile NIS2 România.

Este important de subliniat că răspunderea conducerii nu se limitează la situațiile de neglijență gravă. Simpla neaprobare a măsurilor de securitate sau nedesemnarea responsabilului în termenul legal poate constitui o încălcare. Consultați un specialist juridic pentru evaluarea situației specifice a organizației dvs. Pentru tipurile de decizii interne pe care le poate lua conducerea fără a substitui concluzia oficială, vedeți și deciziile de management în pregătirea NIS2.

Legătura cu raportarea incidentelor

Obligațiile de management din Art. 14 sunt strâns legate de obligațiile de raportare a incidentelor din Art. 15. Conform Art. 15(6)–(7), organizațiile trebuie să notifice incidentele semnificative la DNSC:

  • Avertizare inițială — în termen de 24 de ore de la constatare
  • Notificare completă — în termen de 72 de ore, cu detalii despre incident
  • Raport final — în termen de maximum o lună de la producere

Conducerea nu gestionează tehnic incidentul, dar trebuie să fie conștientă de aceste termene și să se asigure că procedurile interne le permit respectarea. Lipsa unei proceduri interne de escaladare poate genera probleme în momentul în care termenele de raportare încep să curgă. Citiți mai multe despre raportarea incidentelor NIS2.

Ce înseamnă guvernanța în contextul NIS2

Guvernanța NIS2 nu se referă doar la existența unor documente. Cadrul legislativ presupune un sistem funcțional în care:

Elemente de guvernanță de verificat

  • Responsabil desemnat cu atribuții clareRolul trebuie înțeles intern înainte de desemnarea formală și comunicarea către DNSC.
  • Politici de securitate aprobate formalAprobarea trebuie să ajungă la nivelul conducerii, nu să rămână doar în zona IT.
  • Riscuri evaluate periodic și documentateArt. 11 cere măsuri proporționale și adecvate pentru identificarea, evaluarea și gestionarea riscurilor.
  • Furnizori critici identificați și monitorizațiLanțul de aprovizionare este relevant prin Art. 13(d) din GEO 155/2024.
  • Proceduri de raportare a incidentelor testate internProcedura trebuie să susțină termenele de raportare prevăzute de Art. 15(6)-(7).
  • Formarea conducerii documentatăArt. 14(2) cere formare profesională acreditată pentru membrii organului de conducere.

Fiecare dintre aceste componente derivă din articole specifice ale GEO 155/2024 — Art. 11 pentru managementul riscului, Art. 13 pentru măsurile minime de securitate, Art. 14 pentru responsabilitățile conducerii și Art. 15 pentru raportarea incidentelor.

Pași de pregătire internă pentru conducere

Indiferent de momentul comunicării deciziei DNSC, conducerea poate demara acțiuni de pregătire internă. Lista este orientativă și nu substituie consultanța specializată.

  1. 1Citiți Art. 14 din GEO 155/2024Familiarizați-vă cu textul original al obligațiilor conducerii, disponibil pe legislatie.just.ro, și cu modificările din Legea 124/2025.
  2. 2Verificați formarea conducerii în securitate ciberneticăInventariați certificările, cursurile sau formările existente. Dacă nu există, identificați furnizori acreditați de formare profesională.
  3. 3Identificați candidați pentru rolul de responsabil de securitateChiar dacă decizia DNSC nu a fost comunicată, identificarea internă a candidaților accelerează desemnarea formală ulterioară.
  4. 4Verificați documentele interne de guvernanțăRegulamentele interne, fișele de post și deciziile conducerii trebuie să reflecte responsabilități de securitate cibernetică.
  5. 5Stabiliți o procedură internă de escaladare a incidentelorClarificați cine detectează, cine escaladează, cine raportează extern și în ce termene.
  6. 6Evaluați dependențele de furnizori criticiIdentificați furnizorii IT, cloud, hosting, ERP și email care pot afecta continuitatea activității.
  7. 7Pregătiți un brief intern pentru conducereRezumați obligațiile legale, termenele relevante și starea actuală a pregătirii interne pentru prima discuție cu un consultant extern.

Cum se conectează obligațiile de management cu celelalte arii

SubiectArticol GEO 155/2024Legătura cu conducerea
Managementul riscurilorArt. 11Conducerea aprobă și supraveghează implementarea.
Măsuri minime de securitateArt. 13(a-j)Conducerea aprobă setul de măsuri și alocă resurse.
Raportarea incidentelorArt. 15(6)-(7)Conducerea asigură existența procedurilor și respectarea termenelor.
Lanțul de aprovizionareArt. 13(d)Conducerea verifică identificarea furnizorilor critici.
Formarea profesionalăArt. 14(2)Membrii conducerii participă personal la formare.
Responsabil de securitateArt. 14(3)Conducerea desemnează și comunică la DNSC.

Greșeli frecvente în abordarea NIS2 la nivel de management

Pe baza informațiilor publice disponibile și a materialelor de orientare, câteva abordări greșite apar frecvent în organizațiile care încep pregătirea NIS2:

  • Delegarea totală către IT. NIS2 necesită implicarea conducerii. Un proiect intern gestionat exclusiv de departamentul IT nu respectă cerințele Art. 14(1).
  • Amânarea până la decizia DNSC. Deși obligația formală de desemnare a responsabilului curge de la comunicarea deciziei DNSC, pregătirea internă poate și ar trebui să înceapă înainte.
  • Confundarea formării cu certificarea. Art. 14(2) cere formare profesională acreditată, nu certificarea organizației sau a responsabilului.
  • Ignorarea lanțului de aprovizionare. Securitatea furnizorilor este parte din măsurile prevăzute de Art. 13(d). Conducerea nu poate trata dependențele externe ca fiind în afara responsabilității organizației.
  • Tratarea NIS2 ca proiect cu termen fix. Obligațiile de management sunt continue — evaluare periodică a riscurilor, formare profesională, supraveghere a implementării măsurilor.

Întrebări pe care conducerea ar trebui să le adreseze intern

Aceste întrebări pot servi ca punct de plecare pentru discuția internă la nivelul conducerii. Nu sunt exhaustive și nu substituie o evaluare specializată.

  • Cine este responsabil intern de securitatea cibernetică în acest moment?
  • Există un document formal care atribuie această responsabilitate?
  • Au membrii conducerii formare în securitate cibernetică?
  • Cine ar fi notificat DNSC în cazul unui incident semnificativ?
  • Cunoaștem furnizorii IT și cloud de care depinde continuitatea activității?
  • Există o politică internă de securitate cibernetică aprobată de conducere?
  • Ce buget este alocat pentru securitate cibernetică și cine l-a aprobat?
  • Avem un plan intern pentru primele 30/60/90 de zile după o decizie DNSC?

Resurse suplimentare

Pentru context suplimentar privind temele conexe discutate în acest articol:

Cum poate ajuta NIS2 Pilot

NIS2 Pilot este un instrument de planificare internă care ajută conducerea să structureze informațiile relevante — sectorul de activitate, dimensiunea organizației, documentele existente, responsabilii potențiali — înainte de interacțiunea cu DNSC sau cu specialiștii externi.

Instrumentul nu oferă consultanță juridică, audit de securitate sau determinare oficială a clasificării. Generează un raport de planificare pe baza răspunsurilor auto-raportate, util ca punct de plecare pentru organizarea internă și pentru discuția cu un consultant.

Întrebări frecvente

Este NIS2 doar responsabilitatea departamentului IT?

Nu. Art. 14 din GEO 155/2024 stabilește responsabilități pentru organul de conducere, inclusiv aprobarea măsurilor și formarea profesională. IT-ul poate coordona tehnic, dar conducerea rămâne implicată în guvernanță și supraveghere.

Când trebuie desemnat responsabilul de securitate cibernetică?

Art. 14(3), modificat prin Legea 124/2025, indică termenul de 30 de zile de la data comunicării deciziei DNSC pentru identificarea și înscrierea în registru. Organizațiile pot pregăti intern rolul înainte de comunicarea formală.

Trebuie conducerea să urmeze cursuri de securitate cibernetică?

Da, Art. 14(2) din GEO 155/2024 prevede formare profesională acreditată pentru membrii organului de conducere. Detaliile operaționale trebuie verificate în materialele oficiale DNSC și cu specialiști calificați.

Poate NIS2 Pilot să confirme că organizația este pregătită?

Nu. NIS2 Pilot este un instrument de planificare internă, nu consultanță juridică, audit de securitate sau determinare DNSC. Poate ajuta la organizarea informațiilor înainte de discuția cu specialiștii.

Pregătiți conducerea pentru procesul oficial DNSC

Organizați informațiile interne relevante — responsabili, documente, politici existente — astfel încât conducerea să aibă o imagine de ansamblu înainte de discuția cu specialiștii.

Verificați dacă compania dvs. intră în sfera NIS2 →

Acest articol are scop informativ. Nu constituie consultanță juridică sau evaluare tehnică de specialitate. Toate resursele NIS2 Pilot

Surse oficiale și context

  • GEO 155/2024textul complet al transpunerii NIS2 în România, inclusiv Art. 14 privind responsabilitatea conducerii (legislatie.just.ro)
  • Legea 124/2025modificările aduse GEO 155/2024, inclusiv Art. 14(3) privind termenul de desemnare, în vigoare din iulie 2025 (legislatie.just.ro)
  • DNSC — Legislație NIS2ordine, ghiduri și materiale publice de orientare (dnsc.ro)

Resurse utile

Obligații NIS2 pentru management: ce trebuie să știe conducerea

Guvernanță și management

Ce prevede GEO 155/2024 pentru conducerea organizației: desemnarea responsabilului, formarea profesională și aprobarea măsurilor de securitate cibernetică.

Deschideți resursa: Obligații NIS2 pentru management: ce trebuie să știe conducerea

Responsabilul cu securitatea cibernetică NIS2: ce prevede Art. 14 din GEO 155/2024

Guvernanță și management

Ce înseamnă responsabilul cu securitatea cibernetică NIS2, când se desemnează și ce poate pregăti intern managementul potrivit GEO 155/2024.

Deschideți resursa: Responsabilul cu securitatea cibernetică NIS2: ce prevede Art. 14 din GEO 155/2024

Plan de acțiune NIS2 pe 30/60/90 de zile pentru pregătire internă

Pregătire internă

Un plan orientativ de pregătire internă NIS2 pe etape de 30, 60 și 90 de zile. Cum organizați informațiile, documentele și dialogul cu specialiștii.

Deschideți resursa: Plan de acțiune NIS2 pe 30/60/90 de zile pentru pregătire internă

Decizii de management in pregatirea NIS2, fara concluzie oficiala

Pregatire interna

Ce decizii interne poate lua managementul in pregatirea NIS2, fara concluzie oficiala, audit, certificare sau dovada.

Deschideți resursa: Decizii de management in pregatirea NIS2, fara concluzie oficiala

Sancțiuni NIS2 România: ce trebuie să știe managementul despre amenzi și risc

Legislație

Sancțiuni NIS2 România explicate ca risc de management și context de pregătire internă, fără calculator de amenzi sau concluzii juridice.

Deschideți resursa: Sancțiuni NIS2 România: ce trebuie să știe managementul despre amenzi și risc