Conformitate NIS2 în România — Ce Trebuie Să Știe Proprietarii de Website-uri

De Echipa SoftAudit — 2026-01-22T12:45:00.000Z

Directiva NIS2 (Network and Information Security Directive 2) este cel mai important cadru legislativ european privind securitatea cibernetică. Adoptată în 2022, a fost transpusă în România prin OUG 155/2024 și Legea 124/2025. Dacă operezi un website comercial sau furnizezi servicii digitale, acest ghid te ajută să înțelegi dacă ești afectat și ce trebuie să faci.

Ce este NIS2 și de ce contează

NIS2 (Directiva 2022/2555) înlocuiește directiva NIS originală din 2016 și aduce schimbări majore:

• Domeniu extins — acoperă mult mai multe sectoare și entități decât NIS1
• Amenzi semnificative — până la 10 milioane EUR sau 2% din cifra de afaceri globală
• Responsabilitate la nivel de conducere — managementul este direct responsabil
• Raportare obligatorie a incidentelor — în 24 de ore de la detectare
• Măsuri tehnice specifice — cerințe clare pentru securitatea cibernetică

Cine este afectat în România

NIS2 clasifică entitățile în două categorii:

Entități esențiale (Essential Entities)

Organizații din sectoare critice cu peste 250 angajați sau cifra de afaceri > 50M EUR:

• Energie (electricitate, petrol, gaze, hidrogen)
• Transport (aerian, feroviar, naval, rutier)
• Sector bancar și infrastructuri piețelor financiare
• Sănătate (spitale, laboratoare, producători farmaceutici)
• Apă potabilă și ape uzate
• Infrastructură digitală (IXP, DNS, TLD, cloud, data center)
• Administrație publică
• Spațiu

Entități importante (Important Entities)

Organizații din sectoare relevante cu peste 50 angajați sau cifra de afaceri > 10M EUR:

• Servicii poștale și de curierat
• Gestionare deșeuri
• Fabricare produse chimice
• Producție alimentară
• Furnizori de servicii digitale (marketplace-uri online, motoare de căutare, platforme social media)
• Cercetare
• Fabricare dispozitive medicale, computere, echipamente electrice

Te afectează NIS2?

Dacă ești un IMM cu website și sub 50 de angajați, probabil nu ești direct vizat de NIS2 (cu excepții: furnizori de servicii DNS, registre TLD, furnizori de servicii de încredere). Totuși, dacă ești furnizor sau subcontractor al unei entități vizate, cerințele pot fi impuse indirect prin supply chain security.

Transpunerea în România

România a transpus NIS2 prin:

• OUG 155/2024 — cadrul legislativ principal
• Legea 124/2025 — completări și norme de aplicare
• DNSC (Directoratul Național de Securitate Cibernetică) — autoritatea de supraveghere

Termene limită:

• Septembrie 2025 — termenul de înregistrare la DNSC pentru entitățile vizate
• Continuu — implementare măsuri tehnice și organizatorice
• 24 ore — termen de raportare inițială a incidentelor de securitate
• 72 ore — raport intermediar detaliat al incidentului
• 1 lună — raport final complet

Cerințe tehnice NIS2

Articolul 21 al directivei impune măsuri tehnice și organizatorice care includ:

1. Analiza riscurilor și politica de securitate — evaluare periodică a riscurilor cibernetice
2. Gestionarea incidentelor — proceduri de detectare, raportare și răspuns
3. Continuitatea activității — backup-uri, disaster recovery, management criză
4. Securitatea lanțului de aprovizionare — evaluarea furnizorilor și subcontractorilor
5. Securitatea rețelelor și sistemelor — configurare securizată, patch management
6. Evaluarea eficacității — audituri și teste periodice de securitate
7. Criptografie — utilizarea adecvată a criptării
8. Securitatea resursei umane — training, controlul accesului, autentificare multi-factor

Amenzi și sancțiuni

• Entități esențiale — amenzi de până la 10 milioane EUR sau 2% din cifra de afaceri anuală globală (care este mai mare)
• Entități importante — amenzi de până la 7 milioane EUR sau 1.4% din cifra de afaceri anuală globală
• Responsabilitate personală — membrii conducerii pot fi trași la răspundere individual
• Interdicții temporare — suspendarea activității pentru neconformitate gravă

Pași concreți de conformare

Pasul 1: Evaluare inițială

Determină dacă organizația ta este vizată de NIS2. Verifică: sectorul de activitate, numărul de angajați, cifra de afaceri, și dacă ești furnizor al unei entități vizate.

Pasul 2: Audit de securitate

Realizează un audit complet al infrastructurii digitale. Auditul nostru gratuit verifică 27 de aspecte ale website-ului — un prim pas concret pentru evaluarea stării de securitate.

Pasul 3: Identificare lacune

Compară rezultatele auditului cu cerințele NIS2. Prioritizează remedierea vulnerabilităților critice: SSL, headere securitate, porturi expuse, autentificare email.

Pasul 4: Plan de remediere

Dezvoltă un plan de acțiune cu termene, responsabili și bugete. Include: configurare securitate, politici și proceduri, training angajați, plan incident response.

Pasul 5: Înregistrare la DNSC

Dacă ești entitate vizată, înregistrează-te la Directoratul Național de Securitate Cibernetică conform termenelor legale.

Pasul 6: Monitorizare continuă

NIS2 nu este un proiect one-time — necesită monitorizare și îmbunătățire continuă. Realizează audituri periodice și actualizează măsurile de securitate.

Cum te ajută SoftAudit

SoftAudit.ro verifică automat multe dintre cerințele tehnice ale NIS2:

• Verificare Securitate — SSL, headere, porturi, WAF, blacklist (cerința 5)
• Verificare SSL — criptare, protocoale TLS (cerința 7)
• Verificare Email — SPF, DKIM, DMARC (cerința 5)
• Test Accesibilitate — conformitate WCAG (cerința 5)
• Audit Complet — 27 module, raport PDF (cerința 6 — evaluare)

Începe cu un audit complet gratuit pentru a evalua starea curentă a securității website-ului tău.