Plan de acțiune NIS2 pe 30/60/90 de zile pentru pregătire internă

Notă de utilizare

Acest plan este orientativ și descrie activități de pregătire internă, nu termene legale. Nu substituie consultanța juridică sau de securitate cibernetică. Termenele legale efective sunt stabilite de GEO 155/2024 și de deciziile individuale ale DNSC.

Pe scurt

Planul de acțiune NIS2 pe 30/60/90 de zile este un cadru orientativ pentru organizarea internă înainte de discuția cu DNSC sau cu specialiștii. Primele 30 de zile clarifică sectorul, dimensiunea și responsabilul intern; zilele 30–60 inventariază documentele și lacunele; zilele 60–90 pregătesc consultarea specialiștilor și actualizarea documentelor.

Acest plan nu stabilește termene legale și nu confirmă situația organizației față de GEO 155/2024. Este o listă de lucru pentru pregătire internă, nu o evaluare oficială.

De ce un plan structurat de pregătire internă

GEO 155/2024 aduce obligații operaționale concrete pentru organizațiile din sfera sa de aplicare. Chiar dacă determinarea oficială a sferei de aplicare aparține DNSC, organizațiile care consideră că ar putea fi vizate pot demara pregătirea internă fără a aștepta decizia oficială.

Pregătirea internă anticipată are trei avantaje practice:

Reduce presiunea operațională după primirea deciziei oficiale DNSC, când termenele legale încep să curgă.
Permite o interacțiune mai eficientă cu specialiștii externi — juridici sau de securitate cibernetică — deoarece organizația vine cu informații structurate, nu de la zero.
Identifică lacunele documentare și organizatorice în timp util pentru remediere.

Planul de mai jos este structurat pe trei etape orientative de câte 30 de zile. Fiecare etapă poate fi comprimată sau extinsă în funcție de dimensiunea și capacitatea internă a organizației.

Etapa 1 — Primele 30 de zile: înțelegerea contextului

Prima etapă se concentrează pe înțelegerea cadrului legal și pe autoevaluarea de nivel înalt a situației organizației dvs. față de GEO 155/2024.

Citiți textul GEO 155/2024 și al Legii 124/2025

Descărcați și citiți textul integral al GEO 155/2024 și al Legii 124/2025 de pe legislatie.just.ro. Marcați secțiunile relevante: definițiile (Art. 1–10), obligațiile (Art. 11–15) și Anexele 1 și 2.

GEO 155/2024 integral

Verificați dacă sectorul dvs. apare în Anexa 1 sau 2

Identificați sectorul de activitate principal al organizației în Anexele 1 și 2 ale GEO 155/2024. Dacă există incertitudine privind încadrarea sectorială, notați-o explicit — aceasta va fi o întrebare pentru specialistul consultantat ulterior.

Art. 5–6, Anexa 1, Anexa 2 GEO 155/2024

Calculați indicatorii de dimensiune relevanți

Adunați datele privind numărul de angajați, cifra de afaceri anuală și totalul bilanțului pentru ultimul exercițiu financiar. Comparați cu pragurile orientative din Art. 8 GEO 155/2024.

Art. 8 GEO 155/2024

Identificați responsabilul intern pentru coordonarea pregătirii

Desemnați intern o persoană responsabilă de coordonarea procesului de pregătire NIS2. Aceasta nu trebuie să fie neapărat responsabilul formal care va fi comunicat ulterior la DNSC — poate fi un manager sau specialist intern care coordonează procesul de documentare.

Art. 14(3) GEO 155/2024

Verificați pagina DNSC pentru orientări actuale

Accesați pagina dnsc.ro/pagini/legislatie-nis2 pentru a descărca Ordinul DNSC 1/2025 (procedura de înregistrare) și orice alte ghiduri publicate. Notați ce informații solicită DNSC în formularul de înregistrare.

Ordinul DNSC 1/2025

La sfârșitul primelor 30 de zile, organizația dvs. ar trebui să poată răspunde orientativ la trei întrebări: sectorul de activitate apare în Anexa 1 sau 2? Dimensiunea organizației se situează peste pragurile relevante? Cine coordonează intern procesul?

Etapa 2 — Zilele 30–60: inventarul documentar și identificarea lacunelor

A doua etapă se concentrează pe inventarierea documentelor interne existente și pe identificarea lacunelor față de cerințele GEO 155/2024. Nu este un audit tehnic — este o evaluare documentară internă.

Inventariați documentele de securitate cibernetică existente

Colectați toate politicile, procedurile și documentele interne legate de securitate IT: politica de securitate, procedurile de backup, planul de continuitate a activității, procedura de gestionare a incidentelor, registrul de riscuri, contractele cu furnizorii IT.

Art. 13 GEO 155/2024 (măsuri minime)

Evaluați stadiul celor 10 categorii de măsuri din Art. 13

Art. 13 din GEO 155/2024 prevede cel puțin 10 categorii de măsuri: politici de securitate, gestionarea incidentelor, continuitatea activității, securitatea lanțului de aprovizionare, securitatea achiziției și dezvoltării sistemelor, managementul vulnerabilităților, politici de control al accesului, criptografia, securitatea resurselor umane și autentificarea multifactor. Faceți o evaluare orientativă a stadiului fiecărei categorii.

Art. 13(a–j) GEO 155/2024

Verificați obligațiile de management din Art. 14

Confirmați dacă organul de conducere a aprobat formal politicile de securitate cibernetică. Identificați dacă membrii conducerii au urmat formare profesională în domeniu. Dacă nu, identificați furnizori de formare acreditată.

Art. 14(1)–(2) GEO 155/2024

Verificați existența procedurii de raportare a incidentelor

Confirmați că organizația dispune de o procedură internă care permite notificarea unui incident semnificativ la DNSC în termenele prevăzute de Art. 15: avertizare 24h, notificare completă 72h, raport final o lună. Dacă procedura nu există sau nu menționează aceste termene, notați-o ca lacună.

Art. 15(6)–(7) GEO 155/2024

Documentați lacunele identificate

Creați un document intern care listează lacunele identificate față de cerințele GEO 155/2024. Acesta nu este un raport de audit — este o listă de lucru internă pentru pregătirea discuției cu specialiștii externi.

Art. 11 GEO 155/2024 (managementul riscului)

La sfârșitul etapei de 60 de zile, organizația dvs. ar trebui să dispună de un document intern care listează: ce documente există, ce lipsesc, ce necesită actualizare și care sunt incertitudinile care necesită clarificare cu un specialist.

Etapa 3 — Zilele 60–90: consolidare și dialog cu specialiștii

A treia etapă folosește informațiile colectate în etapele anterioare pentru a iniția remedierea lacunelor prioritare și pentru a consulta specialiștii cu informații structurate.

Consultați un specialist juridic sau de securitate cibernetică

Cu documentele organizate din etapele anterioare, programați o consultație cu un avocat specializat în drept digital sau cu un specialist în securitate cibernetică. Prezentați sectorul de activitate, indicatorii de dimensiune și lacunele identificate. Obțineți o opinie profesională privind sfera de aplicare și prioritățile de remediere.

Recomandare generală

Pregătiți documentația pentru procesul de înregistrare la DNSC

Pe baza consultației cu specialistul, pregătiți informațiile necesare pentru formularul de înregistrare la DNSC conform Ordinului DNSC 1/2025. Verificați pagina DNSC pentru cerințele actualizate și eventualele formate standardizate.

Ordinul DNSC 1/2025

Actualizați documentele interne pe baza lacunelor identificate

Inițiați actualizarea documentelor identificate ca lipsă sau incomplete în etapa de 60 de zile. Prioritizați documentele cu impact direct asupra obligațiilor Art. 13 și 14: politica de securitate, procedura de incidente, planul de continuitate.

Art. 13–14 GEO 155/2024

Stabiliți planul de formare pentru conducere

Identificați un furnizor de formare profesională acreditată în securitate cibernetică și programați sesiunile de formare pentru membrii organului de conducere, conform Art. 14(2) GEO 155/2024.

Art. 14(2) GEO 155/2024

Verificați progresul față de etapele anterioare

Revizuiți lista de lacune din etapa de 60 de zile și marcați ce a fost rezolvat, ce este în curs și ce rămâne deschis. Actualizați planul intern în funcție de orice orientări noi publicate de DNSC.

Plan intern de pregătire

Ce nu înseamnă pregătirea internă de 90 de zile

Parcurgerea acestui plan orientativ:

Nu confirmă că organizația dvs. este sau nu în sfera de aplicare a GEO 155/2024 — aceasta este o decizie a DNSC.
Nu înlocuiește consultanța juridică sau de securitate cibernetică — specialiștii pot identifica obligații sau riscuri pe care o evaluare internă le poate rata.
Nu constituie un audit de securitate cibernetică — planul descrie organizarea documentară și identificarea lacunelor evidente, nu o evaluare tehnică a controalelor de securitate.
Nu satisface obligațiile formale față de DNSC — înregistrarea la DNSC se face prin procedura oficială din Ordinul DNSC 1/2025.

Nu se calculează scor, clasificare sau concluzii.

Resurse utile pentru planul de pregătire

Pe lângă textele legale, câteva resurse suplimentare pot fi utile în parcurgerea planului de 90 de zile:

Lista de verificare pentru pregătire internă NIS2 — pentru urmărirea progresului pe categoriile de măsuri din Art. 13 GEO 155/2024.
Documente interne pentru pregătire NIS2 — pentru detalii despre categoriile de documente recomandate în etapa de inventariere.
Obligații NIS2 pentru management — pentru detalii despre Art. 14 și implicațiile pentru organul de conducere.
DNSC — Legislație NIS2 — pentru ordine, ghiduri și materiale actualizate ale autorității competente.

Faceți primul pas concret al planului

Verificați orientativ dacă sectorul și dimensiunea organizației dvs. corespund criteriilor GEO 155/2024 — primul pas al etapei de 30 de zile.

Verificați dacă compania dvs. intră în sfera NIS2 →

Întrebări frecvente

De ce 30/60/90 de zile și nu un alt interval?: Structura pe 30/60/90 de zile este un cadru orientativ de planificare internă, nu un termen legal. Prima etapă (30 zile) acoperă înțelegerea cadrului legal și autoevaluarea de nivel înalt. A doua etapă (60 zile) acoperă inventarierea documentară și identificarea lacunelor. A treia etapă (90 zile) acoperă consultarea specialiștilor și inițierea remedierilor prioritare. Puteți ajusta intervalele în funcție de dimensiunea și capacitatea internă a organizației dvs.
Există termene legale specifice în GEO 155/2024 pentru pregătirea internă?: GEO 155/2024 prevede termene pentru obligații specifice după includerea oficială în lista DNSC — de exemplu, 30 de zile pentru desemnarea responsabilului cu securitatea cibernetică conform Art. 14(3), astfel cum a fost modificat de Legea 124/2025. Planul de 30/60/90 de zile descris în această pagină este un instrument orientativ de pregătire internă, nu o reproducere a termenelor legale. Consultați textul integral al legii și un specialist pentru termenele aplicabile situației dvs.
Ce facem dacă nu știm sigur dacă intrăm în sfera de aplicare a GEO 155/2024?: Incertitudinea privind sfera de aplicare este frecventă, mai ales pentru organizațiile care activează în sectoare de frontieră sau care au o structură mixtă. Planul orientativ de 30/60/90 de zile este util tocmai în această situație: vă ajută să organizați informațiile relevante — sectorul de activitate, indicatorii de dimensiune, documentele existente — înainte de consultarea unui specialist juridic sau a DNSC. Determinarea oficială aparține DNSC.
Trebuie să angajăm un consultant extern sau putem face totul intern?: Etapele de 30 și 60 de zile — citirea legii, verificarea sectorului, inventarierea documentelor — pot fi realizate intern. Etapa de 90 de zile recomandă consultarea unui specialist tocmai pentru că interpretarea obligațiilor specifice situației organizației dvs. poate necesita expertiză juridică sau tehnică pe care un consultant o poate oferi. NIS2 Pilot este un instrument de pregătire internă, nu un substitut pentru consultanța profesională.
Documentele colectate în planul de 60 de zile sunt suficiente pentru înregistrarea la DNSC?: Documentele inventariate în etapa de 60 de zile reprezintă o bază pentru pregătirea procesului de înregistrare, dar nu înlocuiesc formatul și conținutul specific solicitat de Ordinul DNSC 1/2025. Verificați pagina DNSC pentru cerințele exacte ale formularului de înregistrare și consultați un specialist pentru pregătirea documentației oficiale.
Cum prioritizăm lacunele identificate în etapa de 60 de zile?: O abordare orientativă este să prioritizați în funcție de trei criterii: (1) obligații cu termene legale explicite după decizia DNSC (ex: desemnarea responsabilului — Art. 14(3)); (2) obligații cu impact operațional imediat (ex: procedura de raportare a incidentelor — Art. 15); (3) obligații care necesită timp semnificativ pentru implementare (ex: formarea conducerii — Art. 14(2)). Un specialist poate ajusta această prioritizare în funcție de situația concretă a organizației.

Acest articol are scop informativ. Nu constituie consultanță juridică sau evaluare tehnică de specialitate. Toate resursele NIS2 Pilot

Surse oficiale și context

GEO 155/2024 — textul complet al transpunerii NIS2 în România, inclusiv obligațiile Art. 11, 13, 14 și 15 (legislatie.just.ro)
Legea 124/2025 — modificările aduse GEO 155/2024, în vigoare din iulie 2025 (legislatie.just.ro)
DNSC — Legislație NIS2 — ordine, ghiduri și materiale publice de orientare (dnsc.ro)

Resurse utile

Checklist de pregătire internă NIS2

Pregătire internă

Checklist pregătire NIS2 pentru organizarea informațiilor interne, documentelor și responsabilităților înainte de discuțiile cu specialiștii.

Deschideți resursa: Checklist de pregătire internă NIS2 →

Documente interne utile pentru pregătirea NIS2

Pregătire internă

Documente pregătire NIS2 pe care o organizație le poate centraliza intern înainte de discuții cu specialiști și procese oficiale relevante public.

Deschideți resursa: Documente interne utile pentru pregătirea NIS2 →