Pe scurt
Dacă firma dvs. activează într-un sector menționat în Anexa 1 sau Anexa 2 ale GEO 155/2024 și are cel puțin 50 de angajați sau depășește pragurile financiare din Art. 8, este posibil să intre în sfera de aplicare a legii. Determinarea oficială aparține exclusiv DNSC — dar pregătirea internă nu trebuie să aștepte acea determinare.
De unde începi: citiți GEO 155/2024 și Legea 124/2025, verificați pagina DNSC — Legislație NIS2, organizați intern documentele și responsabilii, și pregătiți-vă pentru discuția cu specialiști.
Cinci întrebări de pornire pentru orice organizație
Înainte de orice altceva, aceste întrebări vă ajută să orientați pregătirea internă. Răspunsurile nu constituie o determinare — ele arată unde trebuie să căutați mai departe și ce să pregătiți pentru discuția cu specialiști:
Sectorul meu de activitate apare în Anexa 1 sau Anexa 2 ale GEO 155/2024?
Verificați textul complet al anexelor pe legislatie.just.ro. Prezența în sector nu constituie automat o determinare de aplicabilitate.
Organizația are 50 sau mai mulți angajați sau depășește pragurile financiare din Art. 8?
Conform Art. 8 din GEO 155/2024, dimensiunea organizației este un criteriu important. Există și excepții pentru organizații mai mici care furnizează servicii critice.
Organizația furnizează servicii de care depind alte organizații sau publicul larg?
Conform Art. 9, anumite organizații pot fi incluse indiferent de dimensiune dacă sunt unicul furnizor al unui serviciu esențial.
Am deja o persoană responsabilă cu securitatea cibernetică sau IT?
Conform Art. 14(3) din GEO 155/2024, modificat prin Legea 124/2025, organizațiile trebuie să desemneze un responsabil cu securitatea în 30 de zile de la decizia DNSC de clasificare.
Există politici interne de securitate, proceduri IT sau registre de incidente?
Documentele existente sunt punctul de pornire pentru orice discuție cu specialiști. Lipsa lor este o informație la fel de valoroasă.
Cine trebuie implicat intern
Pregătirea NIS2 nu este doar o sarcină IT. Informațiile necesare sunt dispersate în mai multe departamente. Conform Art. 14 din GEO 155/2024, conducerea organizației are obligații directe — implicarea managementului de la început nu este opțională, ci parte din cerințele legii:
| Rol intern | Contribuție la pregătire |
|---|---|
| Director general / management | Acordă resurse, stabilește prioritățile și aprobă măsurile — obligație directă conform Art. 14 din GEO 155/2024 |
| Director IT / responsabil tehnic | Cunoaște infrastructura, aplicațiile, furnizorii și incidentele anterioare |
| Director operațional / COO | Oferă perspectiva proceselor critice de business și a dependențelor operaționale |
| Responsabil juridic / compliance | Sprijină interpretarea cerințelor legale și coordonarea cu consultanți externi |
| Responsabil achiziții | Identifică furnizorii relevanți de servicii TIC, cloud și comunicații |
Ce documente să adunați prima dată
Nu trebuie să creați documente noi înainte de a centraliza ce există deja. Prima etapă este inventarierea a ce aveți — documente complete, incomplete sau lipsă. Consultați și ghidul nostru detaliat despre documentele interne utile pentru pregătirea NIS2.
| Categorie | Exemple |
|---|---|
| Documente organizaționale | Organigrama, CUI, CAEN, număr angajați, cifră de afaceri, servicii principale |
| Infrastructură IT | Lista aplicațiilor, platformele cloud, furnizorii de hosting, echipamentele de rețea principale |
| Furnizori critici | Contracte IT, SLA-uri, furnizori de comunicații, procesatori de plată dacă e cazul |
| Politici și proceduri existente | Politici de securitate, proceduri de backup, reguli de acces, proceduri de incident dacă există |
| Incidente anterioare | Orice incident de securitate sau întrerupere de serviciu documentat, chiar informal |
| Certificări sau audituri anterioare | ISO 27001, audituri interne, rapoarte de penetration testing dacă există |
Marcați fiecare categorie cu una din trei stări: există, trebuie actualizat sau lipsește. Această hartă internă este mai utilă decât documentele incomplete prezentate ca definitive. Consultați și checklistul de pregătire internă NIS2 pentru un cadru mai detaliat.
Cum se desfășoară procesul oficial — orientare generală
Procesul oficial este administrat de DNSC. Pașii de mai jos sunt un ghid orientativ bazat pe informațiile publice din GEO 155/2024 și Ordinul DNSC 1/2025:
1. Citiți GEO 155/2024 și Legea 124/2025
Disponibile pe legislatie.just.ro. Focalizați-vă pe Anexa 1, Anexa 2, Art. 5, 6, 8, 9, 13, 14 și 15.
2. Verificați pagina DNSC
dnsc.ro/pagini/legislatie-nis2 conține Ordinele DNSC 1 și 2 din 2025, ghiduri de orientare și instrucțiuni despre procesul de înregistrare.
3. Organizați informațiile interne
Adunați documentele, identificați responsabilii, notați lipsurile și întrebările deschise.
4. Consultați un specialist de specialitate
Un consultant juridic specializat în drept digital sau un consultant de securitate cibernetică poate evalua situația concretă a organizației și poate ghida procesul de înregistrare.
5. Interacționați cu procesul oficial DNSC
Înregistrarea la DNSC se realizează prin procesul oficial detaliat de Ordinul DNSC 1/2025. DNSC este autoritatea care confirmă sau infirmă situația organizației.
Consultanții specializați în securitate cibernetică sau drept digital pot ghida organizația prin fiecare etapă a acestui proces. Pregătirea internă descrisă mai sus face discuția cu consultantul mai eficientă și mai scurtă.
Ce nu înseamnă pregătirea internă
Pregătirea internă nu este o evaluare de conformitate și nu stabilește situația organizației față de GEO 155/2024. Documentele adunate intern nu înlocuiesc procesul oficial și nu constituie o validare externă. O colecție internă bine organizată sprijină discuțiile — nu le înlocuiește și nu produce concluzii oficiale. Nu se calculează scor, clasificare sau concluzii.
Cum ajută NIS2 Pilot
NIS2 Pilot oferă un spațiu de lucru structurat pentru organizarea informațiilor interne descrise în acest ghid. Permite echipei responsabile să centralizeze documentele, să noteze starea fiecărei categorii și să pregătească întrebările pentru specialiști. Nu generează documente oficiale, nu transmite date la DNSC și nu stabilește situația organizației.
Întrebări frecvente
Trebuie să aştept o notificare de la DNSC înainte să mă pregătesc?
Nu. Pregătirea internă — colectarea documentelor, identificarea responsabililor, citirea cadrului public — poate și ar trebui să înceapă oricând. O organizație pregătită intern interacționează mai eficient cu DNSC și cu specialiștii externi.
NIS2 se aplică firmelor mici?
Conform Art. 8 din GEO 155/2024, dimensiunea este un criteriu important. În general, organizațiile cu sub 50 de angajați și sub pragurile financiare stabilite nu intră în sfera legii, cu excepțiile prevăzute în Art. 9 pentru furnizori unici de servicii critice. Determinarea oficială aparține DNSC.
Pot să delegez tot procesul de pregătire unui consultant?
Un consultant extern poate fi de ajutor, dar pregătirea internă eficientă necesită implicarea directă a managementului și a echipei IT. Consultantul nu cunoaște infrastructura și procesele organizației — informațiile interne trebuie adunate de echipa internă.
Ce se întâmplă dacă descopăr că nu suntem pregătiți?
Descoperirea lipsurilor este un rezultat util al pregătirii. O listă clară cu ce lipsește, ce trebuie actualizat și ce întrebări rămân deschise este mai valoroasă decât o imagine incompletă și prezentată ca definitivă.
Cât durează pregătirea internă înainte de a interacționa cu DNSC?
Nu există un termen fix pentru pregătirea internă. Organizările mai structurate finalizează o primă imagine internă în câteva săptămâni. Prioritizați informațiile esențiale: activitate, dimensiune, sisteme principale, responsabili și documente existente.
Ce este Ordinul DNSC 1/2025 și de ce este relevant?
Ordinul DNSC 1/2025 detaliază procedura de înregistrare a organizațiilor la DNSC, inclusiv informațiile necesare și modalitatea de transmitere. Este documentul operațional pentru procesul oficial de înregistrare, disponibil pe dnsc.ro.
Resurse utile
Checklist de pregătire internă NIS2
Pregătire internăChecklist pregătire NIS2 pentru organizarea informațiilor interne, documentelor și responsabilităților înainte de discuțiile cu specialiștii.
Deschideți resursa: Checklist de pregătire internă NIS2 →Sfera de aplicare NIS2 în România — context general pentru pregătire internă
LegislațieCum se citesc informațiile publice despre sfera de aplicare NIS2 și ce poate pregăti intern o organizație înainte de discuțiile cu specialiștii.
Deschideți resursa: Sfera de aplicare NIS2 în România — context general pentru pregătire internă →Surse oficiale și context
- GEO 155/2024 — textul complet al legii NIS2 în România, sursă obligatorie de pornire (legislatie.just.ro)
- Legea 124/2025 — modificările aduse GEO 155/2024, în vigoare din iulie 2025 (legislatie.just.ro)
- DNSC — Legislație NIS2 — Ordinul DNSC 1/2025, ghiduri de înregistrare și materiale oficiale de orientare (dnsc.ro)
Faceți primul pas concret
Verificați orientarea generală NIS2 pentru compania dvs. sau organizați informațiile interne în spațiul de lucru NIS2 Pilot.
Verificați dacă compania dvs. intră în sfera NIS2 →Acest articol are scop informativ. Nu constituie consultanță juridică sau evaluare tehnică de specialitate. Toate resursele NIS2 Pilot