Termene NIS2 România: ce trebuie urmărit după GEO/OUG 155/2024
Termene NIS2 România explicate ca repere declanșate de status, comunicări oficiale, incidente și autoevaluare, fără calculator juridic de deadline-uri.
Pe scurt
Termenele NIS2 trebuie citite impreuna cu evenimentul care le declanseaza: comunicare oficiala, desemnare, incident, autoevaluare sau recalculare de risc.
Pentru management, lista utila nu este doar un calendar, ci o matrice cu responsabil, sursa oficiala, dovada si actiune urmatoare.
NIS2 Pilot nu calculeaza deadline-uri oficiale; ajuta la pregatirea interna inainte de discutii cu specialisti.
Termene NIS2 Romania este o cautare utila, dar periculoasa daca este tratata ca un simplu calendar universal. In practica, multe repere depind de situatia concreta a organizatiei: daca este vizata, cand primeste o comunicare oficiala, cand desemneaza responsabilul cu securitatea cibernetica, cand ia cunostinta de un incident semnificativ sau cand finalizeaza o autoevaluare. De aceea, pregatirea corecta incepe cu o matrice interna de termene si declansatori, nu cu o promisiune ca un articol poate calcula data exacta.
Acest ghid foloseste repere generale din cadrul romanesc NIS2 si le explica pentru management. Nu inlocuieste textul oficial, nu este consultanta juridica si nu stabileste daca o companie este sau nu vizata. Pentru contextul de baza, cititi si ghidul despre GEO/OUG 155/2024 pentru pregatire interna si articolul despre obligatii NIS2 Romania.
De ce termenele NIS2 trebuie citite ca repere declansate
Un termen NIS2 poate fi legat de o decizie oficiala, de o desemnare interna, de un incident sau de un ciclu de risc. Daca organizatia noteaza doar durata, fara evenimentul care porneste termenul, managementul poate intelege gresit urgenta. De exemplu, termenele pentru incidente nu pornesc din ziua publicarii unui act normativ, ci de la momentul la care entitatea ia cunostinta de incidentul semnificativ.
In acelasi fel, reperele privind responsabilul cu securitatea cibernetica trebuie citite impreuna cu contextul oficial aplicabil. Articolul despre responsabil securitate cibernetica NIS2 explica separat acest rol si legatura lui cu managementul.
| Reper | Sursa | Declansator | Durata | Atentie |
|---|---|---|---|---|
| Desemnarea responsabilului cu securitatea cibernetica | Art. 14(3) | dupa comunicarea deciziei DNSC, potrivit textului actualizat | 30 de zile | Nu este un termen de auto-incadrare; depinde de comunicarea oficiala relevanta. |
| Cursul acreditat pentru responsabil | Art. 14(4)(e) | de la desemnarea responsabilului | 12 luni | Organizatia trebuie sa verifice cerintele de formare aplicabile rolului desemnat. |
| Avertizare timpurie pentru incident semnificativ | Art. 15(7)(a) | de la data la care entitatea a luat cunostinta de incidentul semnificativ | 24 de ore | Nu orice eveniment IT este automat incident semnificativ; clasificarea trebuie verificata. |
| Notificare incident semnificativ | Art. 15(7)(b) | de la data la care entitatea a luat cunostinta de incidentul semnificativ | 72 de ore | Necesita informatii operationale si coordonare intre IT, legal si management. |
| Raport final pentru incident semnificativ | Art. 15(7)(d) | dupa notificarea incidentului semnificativ | o luna | Continutul raportului trebuie pregatit cu specialistii relevanti. |
| Autoevaluare periodica | Art. 12(4) | ciclu intern periodic | anual | Nu inlocuieste auditul sau verificarea oficiala. |
| Plan de remediere dupa autoevaluare | Art. 12(5) | dupa autoevaluare | 30 de zile | Planul trebuie corelat cu constatarile reale si cu deciziile managementului. |
| Recalcularea riscului | Ordinul DNSC 2/2025, Art. 5 | ciclu de risc sau schimbari relevante | la 3 ani | Verificati metodologia aplicabila si forma oficiala actualizata. |
Ce nu ar trebui transformat intr-un deadline automat
Inregistrarea, notificarile si interactiunile cu autoritatea trebuie tratate cu prudenta. Nu este recomandat sa transformati o mentiune generala despre Ordinul DNSC 1/2025 sau despre un articol procedural intr-un termen exact pentru orice companie. Verificati textul oficial, comunicarea DNSC si situatia proprie inainte de a construi un calendar operational.
Pentru zona de inregistrare, folositi ca punct de plecare articolul despre inregistrarea DNSC pentru NIS2, dar pastrati o intrebare deschisa pentru specialisti: ce termen se aplica organizatiei concrete si de la ce eveniment incepe sa curga?
Checklist intern pentru urmarirea termenelor
- separati termenele certe din textul oficial de termenele care depind de o decizie sau comunicare oficiala
- notati pentru fiecare termen evenimentul care il declanseaza, nu doar durata
- stabiliti cine observa evenimentul declansator si cine informeaza managementul
- pregatiti un registru intern cu termene, responsabili si dovezi disponibile
- verificati cu specialisti juridici sau cybersecurity orice termen care poate avea efect operational sau legal
- evitati sa tratati un articol online ca pe un calculator oficial de deadline-uri
Workflow de lucru pentru management
1. Inventariati reperele
Porniti de la responsabil, autoevaluare, incidente, remediere si risc. Pentru fiecare, notati articolul, sursa si persoana interna care il urmareste.
2. Legati termenul de declansator
Intrebarea principala este ce eveniment porneste termenul: comunicare DNSC, desemnare, constatare interna, luare la cunostinta a incidentului sau finalizarea autoevaluarii.
3. Pregatiti dovezile
Pentru management conteaza cine a decis, cand a primit informatia, ce documente exista si ce actiuni au fost pornite.
4. Validati extern zonele sensibile
Termenele legate de incidente, inregistrare, raportari si interactiuni oficiale trebuie verificate cu textul oficial si cu specialistii relevanti.
Exemplu practic: cum arata o matrice de termene
O companie posibil vizata poate construi un tabel intern cu cinci coloane: termen, declansator, responsabil intern, dovezi necesare si intrebari pentru specialist. Pentru incidente, responsabilul poate fi echipa IT sau securitate, dar managementul trebuie sa stie cand este informat si cine decide escaladarea. Pentru autoevaluare, responsabilul poate fi o functie interna de coordonare, dar actiunile de remediere au nevoie de buget si aprobari.
Un astfel de tabel nu garanteaza conformarea si nu inlocuieste un audit. El face insa discutia cu specialistii mai eficienta. Pentru o planificare mai larga, consultati si planul orientativ NIS2 pe 30/60/90 de zile si ghidul despre raportare incident NIS2.
Intrebari pe care sa le duceti catre specialisti
- Ce termen oficial se aplica organizatiei noastre si care este evenimentul declansator?
- Ce dovada trebuie pastrata pentru momentul declansator: comunicare, decizie, tichet, raport intern sau minuta?
- Cine are dreptul sa transmita informatii oficiale si cine aproba continutul?
- Ce termene trebuie integrate in procedurile de incident, risc, audit intern si raportare catre management?
Verificati orientativ situatia organizatiei
Folositi NIS2 Pilot pentru a organiza informatiile interne inainte de discutii cu specialisti. Nu se calculeaza deadline-uri oficiale.
Verificați dacă compania dvs. intră în sfera NIS2 →Întrebări frecvente
Exista un calendar unic NIS2 pentru toate companiile?
Nu este prudent sa lucrati cu un calendar unic. Unele termene depind de statusul organizatiei, de comunicari oficiale, de desemnari interne sau de momentul in care entitatea ia cunostinta de un incident semnificativ.
Ce termene NIS2 sunt repere generale sigure?
Reperele utile includ 30 de zile pentru desemnarea responsabilului dupa comunicarea deciziei relevante, 12 luni pentru cursul acreditat al responsabilului, 24h/72h/o luna pentru incident semnificativ, autoevaluarea anuala si planul de remediere dupa autoevaluare.
De ce nu calculam data exacta pentru inregistrare?
Pentru ca un termen exact poate depinde de texte, proceduri si comunicari oficiale aplicabile unei situatii concrete. Acest articol foloseste repere de pregatire si recomanda verificarea textului oficial si a specialistilor.
Termenele pentru incidente se aplica oricarui incident IT?
Nu. Reperele de 24h, 72h si raport final se refera la incidentul semnificativ, iar incadrarea necesita analiza operationala si juridica. NIS2 Pilot nu clasifica oficial incidente.
Ce trebuie sa pregateasca managementul pentru termene?
Managementul ar trebui sa aiba o lista cu declansatori, responsabili, escaladari, dovezi, documente si decizii. O pregatire interna clara reduce confuzia cand apare o comunicare oficiala sau un incident.
NIS2 Pilot calculeaza deadline-uri NIS2?
Nu. NIS2 Pilot ajuta la organizarea interna a informatiilor, documentelor, actiunilor, intrebarilor si notelor. Nu calculeaza deadline-uri oficiale si nu ofera determinari juridice.
Resurse utile
Obligații NIS2 pentru management: ce trebuie să știe conducerea
Guvernanță și managementCe prevede GEO 155/2024 pentru conducerea organizației: desemnarea responsabilului, formarea profesională și aprobarea măsurilor de securitate cibernetică.
Deschideți resursa: Obligații NIS2 pentru management: ce trebuie să știe conducerea →Plan de acțiune NIS2 pe 30/60/90 de zile pentru pregătire internă
Pregătire internăUn plan orientativ de pregătire internă NIS2 pe etape de 30, 60 și 90 de zile. Cum organizați informațiile, documentele și dialogul cu specialiștii.
Deschideți resursa: Plan de acțiune NIS2 pe 30/60/90 de zile pentru pregătire internă →Înregistrarea la DNSC pentru NIS2 — context public și pregătire internă
ÎnregistrareCe spun GEO 155/2024 și Ordinul DNSC 1/2025 despre înregistrarea NIS2 și ce informații poate pregăti intern o organizație înainte de procesul oficial.
Deschideți resursa: Înregistrarea la DNSC pentru NIS2 — context public și pregătire internă →Surse oficiale și context
- GEO 155/2024 - legislatie.just.ro — Textul cadrului romanesc NIS2, inclusiv repere privind responsabilul cu securitatea cibernetica, autoevaluarea si raportarea incidentelor semnificative.
- Legea 124/2025 - legislatie.just.ro — Actul de aprobare si modificare a cadrului romanesc NIS2, util pentru verificarea formei actualizate a obligatiilor.
- DNSC - legislatie NIS2 — Pagina DNSC cu acte si materiale relevante pentru cadrul NIS2 din Romania.
Acest articol are scop informativ. Nu constituie consultanță juridică sau evaluare tehnică de specialitate. Toate resursele NIS2 Pilot