Obligații NIS2 pentru management: ce trebuie să știe conducerea

Obligațiile specifice ale conducerii conform Art. 14

Tabelul de mai jos sintetizează principalele obligații ale organului de conducere, cu referința la articolul specific din GEO 155/2024.

Aprobarea măsurilor de securitate (Art. 14(1))

Art. 14(1) din GEO 155/2024 stabilește că organul de conducere aprobă măsurile de gestionare a riscurilor de securitate cibernetică și răspunde de implementarea lor. Aceasta înseamnă că securitatea cibernetică nu mai poate fi delegată exclusiv departamentului IT — conducerea are o responsabilitate formală și documentată.

În practică, aceasta implică faptul că:

• Politicile de securitate cibernetică trebuie aprobate la nivel de conducere, nu doar semnate de un responsabil tehnic.
• Rapoartele privind incidentele semnificative și riscurile identificate trebuie să ajungă la nivelul organului de conducere, nu doar la departamentul IT.
• Bugetele alocate pentru securitate cibernetică sunt o decizie de management, nu strict o decizie tehnică.

DNSC poate verifica existența și conținutul documentelor de aprobare la nivel de conducere în cadrul procesului de supraveghere.

Formarea profesională obligatorie (Art. 14(2))

Art. 14(2) din GEO 155/2024 prevede că membrii organului de conducere trebuie să urmeze formare profesională acreditată în domeniul securității cibernetice. Obiectivul este ca membrii conducerii să dobândească cunoștințele și competențele necesare pentru:

• identificarea riscurilor de securitate cibernetică relevante pentru organizație;
• evaluarea practicilor de management al riscului;
• evaluarea impactului riscurilor de securitate asupra serviciilor furnizate.

Legea nu specifică un număr minim de ore sau un furnizor anume. DNSC poate emite orientări suplimentare privind programele de formare acceptate. Verificați pagina DNSC — Legislație NIS2 pentru ghiduri actualizate.

Desemnarea responsabilului cu securitatea cibernetică (Art. 14(3))

Art. 14(3) din GEO 155/2024, astfel cum a fost modificat prin Legea 124/2025, prevede că organizațiile incluse de DNSC în lista entităților esențiale sau importante trebuie să desemneze un responsabil cu securitatea cibernetică în termen de 30 de zile de la data comunicării deciziei DNSC.

Responsabilul poate fi:

• un angajat intern al organizației, cu atribuții specifice definite în fișa de post;
• un furnizor extern de servicii de securitate cibernetică, printr-un contract de servicii.

Indiferent de opțiunea aleasă, desemnarea trebuie comunicată la DNSC conform procedurilor stabilite de Ordinul DNSC 1/2025. Verificați textul ordinului pentru formatul și canalele de comunicare acceptate.

Legătura cu raportarea incidentelor (Art. 15)

Obligațiile de management din Art. 14 sunt strâns legate de obligațiile de raportare a incidentelor din Art. 15. Conducerea trebuie să asigure că organizația dispune de proceduri interne care permit notificarea incidentelor semnificative la DNSC:

• Avertizare inițială (Art. 15(6)): în termen de 24 de ore de la constatarea incidentului semnificativ.
• Notificare completă (Art. 15(7)): în termen de 72 de ore, cu informații detaliate despre incident.
• Raport final (Art. 15(7)): în termen de maximum o lună de la producerea incidentului.

Conducerea nu trebuie să gestioneze tehnic incidentul, dar trebuie să fie conștientă de aceste termene și să se asigure că procedurile interne le permit respectarea.

Pași practici de pregătire pentru conducere

Indiferent de momentul comunicării deciziei DNSC, conducerea poate demara o serie de acțiuni de pregătire internă:

Ce nu poate stabili un articol public

Această pagină descrie obligațiile legale ale conducerii la nivel general. Nu poate determina:

• dacă organizația dvs. specifică este sau nu în sfera de aplicare a GEO 155/2024;
• ce programe de formare acreditate sunt disponibile și potrivite pentru organizația dvs.;
• dacă persoana internă identificată îndeplinește criteriile pentru rolul de responsabil;
• cum se aplică Art. 14 în corelație cu alte reglementări sau cu structura de guvernanță specifică organizației.

Nu se calculează scor, clasificare sau concluzii.

Cum poate ajuta NIS2 Pilot

NIS2 Pilot este un instrument de planificare internă care ajută conducerea organizației să structureze informațiile relevante — sectorul de activitate, dimensiunea, documentele existente, responsabilii potențiali — înainte de interacțiunea cu DNSC sau cu specialiștii externi.

Puteți folosi lista de verificare pentru pregătire internă NIS2 pentru a urmări progresul intern al organizației în raport cu cerințele GEO 155/2024.

Întrebări frecvente

Ce obligații concrete are conducerea unei organizații față de NIS2?

Conform Art. 14 din GEO 155/2024, organul de conducere are cel puțin trei obligații directe: (1) să aprobe măsurile de gestionare a riscurilor de securitate cibernetică, (2) să urmeze formare profesională acreditată în domeniu și (3) să desemneze un responsabil cu securitatea cibernetică în 30 de zile de la decizia de includere comunicată de DNSC (termen modificat de Legea 124/2025).

Poate conducerea fi trasă la răspundere personal pentru nerespectarea NIS2?

GEO 155/2024 prevede că organul de conducere răspunde de implementarea măsurilor de securitate cibernetică. Nerespectarea obligațiilor din Art. 14 poate atrage sancțiuni aplicate de DNSC atât organizației, cât și persoanelor fizice din conducere. Consultați un specialist juridic pentru a evalua impactul specific al răspunderii personale în situația concretă a organizației dvs.

Ce înseamnă "formare profesională acreditată" conform Art. 14(2)?

GEO 155/2024 menționează formarea profesională acreditată în securitate cibernetică fără a specifica un furnizor sau un program anume. Acreditarea se referă la recunoașterea oficială a programului de formare de către o autoritate competentă. DNSC poate emite ghiduri suplimentare privind furnizorii sau programele acceptate. Verificați pagina DNSC pentru orientări actualizate.

Cine poate fi responsabilul cu securitatea cibernetică desemnat conform Art. 14(3)?

Art. 14(3) din GEO 155/2024, astfel cum a fost modificat prin Legea 124/2025, permite desemnarea unui responsabil intern (angajat al organizației) sau externalizarea acestui rol către un furnizor de servicii specializat. Indiferent de opțiune, desemnarea trebuie comunicată la DNSC conform procedurilor Ordinului DNSC 1/2025.

Care este termenul de 30 de zile pentru desemnarea responsabilului?

Conform Art. 14(3) din GEO 155/2024, astfel cum a fost modificat prin Legea 124/2025, termenul de 30 de zile curge de la data comunicării oficiale a deciziei DNSC prin care organizația este inclusă în lista entităților esențiale sau importante. Termenul nu curge de la data autoevaluării interne sau a înregistrării inițiale.

Ce legătură există între obligațiile de management și raportarea incidentelor?

Art. 15(6)–(7) din GEO 155/2024 stabilesc că organizațiile trebuie să notifice incidentele semnificative la DNSC: avertizare în 24 de ore, notificare completă în 72 de ore, raport final în maximum o lună. Organul de conducere trebuie să fie familiarizat cu aceste termene și să se asigure că procedurile interne permit respectarea lor — aceasta este o componentă a responsabilității de management prevăzute de Art. 14(1).

Dacă organizația noastră nu a primit decizia DNSC, trebuie să facem ceva acum?

Nu există o obligație formală de desemnare înainte de comunicarea deciziei DNSC. Cu toate acestea, pregătirea internă — identificarea candidaților pentru rolul de responsabil, inventarierea formărilor existente și actualizarea documentelor de guvernanță — reduce semnificativ presiunea operațională după primirea deciziei oficiale. Pregătirea internă anticipată nu substituie procesul oficial, dar îl facilitează.

Acest articol are scop informativ. Nu constituie consultanță juridică sau evaluare tehnică de specialitate. Toate resursele NIS2 Pilot