Ghiduri
NIS2 pentru IMM și furnizori: ești obligat sau nu, și ce trebuie să faci concret
Toată lumea vorbește despre NIS2, dar nimeni nu îți spune clar dacă te aplică pe tine. Vezi un test rapid pentru IMM și furnizori, ce obligații ai și de unde începi, fără jargon juridic.
Primești al treilea email într-o lună de la o firmă de consultanță care îți spune că „trebuie să te conformezi la NIS2 urgent, altfel riști amenzi uriașe". Un client mare îți cere brusc o grămadă de documente de securitate. Pe LinkedIn toată lumea pare expertă în NIS2. Tu ai o firmă de cincisprezece oameni și o singură întrebare simplă, la care nimeni nu îți răspunde clar: mă privește pe mine sau nu?
Hai să lămurim asta fără jargon juridic. Vei vedea un test rapid prin care îți dai seama dacă ești vizat, ce înseamnă să fii furnizor pentru o firmă mare, care sunt termenele și amenzile reale și, mai ales, de unde începi practic. Fără alarmism, doar răspunsuri pe care le poți folosi.
Ce este NIS2, pe scurt
NIS2 este o directivă europeană care ridică ștacheta la securitatea cibernetică pentru sectoarele importante din economie. În România a fost transpusă prin OUG 155/2024 și aprobată, cu modificări, prin Legea 124/2025. Practic, le cere organizațiilor vizate să își gestioneze riscul cibernetic serios: măsuri tehnice, analiză de risc, raportarea incidentelor și responsabilitatea conducerii pentru toate acestea.
Ideea de fond e simplă. Dacă firma ta ține în funcțiune ceva important pentru societate sau pentru alte firme, statul vrea să fie sigur că nu pici la primul atac. Întrebarea nu e dacă NIS2 e o idee bună, ci dacă firma ta intră sub această lege și ce trebuie să faci dacă da.
Testul rapid: ești sau nu vizat?
Ca regulă generală, două condiții trebuie îndeplinite împreună: să activezi într-un sector vizat și să atingi cel puțin dimensiunea de întreprindere mijlocie. Dacă una lipsește, de obicei nu intri direct, dar citește până la capăt, fiindcă există excepții și un efect de lanț care prinde și firme mici.
Ești într-un sector vizat?
Anexele I și II ale OUG 155/2024 acoperă, printre altele, energie, transport, sănătate, apă, infrastructură digitală, servicii poștale, gestiunea deșeurilor, alimente și producție. Dacă activitatea ta e pe listă, primul filtru e trecut.
Atingi dimensiunea de întreprindere mijlocie?
Adică minimum 50 de angajați sau o cifră de afaceri de peste 10 milioane de euro. Sub ambele praguri (sub 50 de angajați ȘI sub 10 milioane), de regulă ești exceptat.
Ești o excepție „indiferent de mărime"?
Unele entități intră chiar dacă sunt mici: furnizori de DNS, registre de domenii, furnizori de servicii de încredere sau anumită infrastructură digitală critică. Dacă te regăsești aici, mărimea nu te scapă.
Entitate „esențială" sau „importantă", și ce amenzi riști
Legea împarte organizațiile vizate în două categorii, în funcție de mărime și de sector. Entitățile esențiale sunt, în general, firmele mari din sectoarele cu impact ridicat; entitățile importante sunt, de regulă, cele mijlocii. Diferența contează, fiindcă schimbă nivelul de supraveghere și plafonul amenzilor.
Cifrele sunt serioase. Pentru entitățile esențiale, amenda ajunge până la 10 milioane de euro sau 2% din cifra de afaceri netă, se ia valoarea cea mai mare. Pentru cele importante, până la 7 milioane de euro sau 1,4% din cifra de afaceri netă. Important de reținut: în legea românească baza de calcul este cifra de afaceri netă din ultimul exercițiu financiar, nu o cifră „mondială".
Sunt doar furnizor pentru o firmă mare. Mă prinde?
Aici e partea pe care mulți o ratează. Chiar dacă tu nu intri direct sub NIS2, firmele care intră au obligația să își gestioneze riscul din lanțul de aprovizionare. Adică riscul pe care îl aduci tu, furnizorul. În practică, asta înseamnă că vei primi prin contract cerințe de securitate, dreptul de a fi auditat și obligația de a raporta incidentele. Cerințele coboară pe lanț, de la firma mare către micii ei furnizori.
De multe ori, primul semn că NIS2 te-a ajuns indirect este un chestionar de securitate de la un client. Despre cum răspunzi la el fără să intri în panică și fără să minți am scris separat, în ghidul despre chestionarul de securitate de la un client.
Termene: ce s-a întâmplat deja
Dacă tot amâni, află că o parte din calendar a trecut. Entitățile esențiale și importante au avut termen de înregistrare la DNSC până la 22 septembrie 2025, iar Responsabilul NIS se declară în 30 de zile de la înregistrare. Dacă firma ta era vizată și nu s-a înregistrat, pune-te la punct cât mai repede și înregistrează-te. Te poate costa și neconformarea în sine, nu doar un atac.
Nu confunda conformarea juridică cu securitatea reală
Checklistul tehnic minim cu care începi
Vestea bună e că măsurile cerute de NIS2 se suprapun aproape complet cu igiena de securitate de care orice firmă serioasă are oricum nevoie. Dacă intri sub lege sau ești furnizor presat de clienți, de aici începi.
Autentificare în doi pași
Pe email, pe acces de la distanță și pe aplicațiile critice. Una dintre cele mai ieftine și eficiente măsuri.
Backup testat și offline
O copie pe care un atac nu o poate cripta, verificată periodic că se poate restaura.
Gestiunea actualizărilor
Sisteme și aplicații patch-uite la zi, ca să închizi vulnerabilitățile cunoscute.
Analiză de risc și plan de răspuns
Știi ce te poate lovi, cât te-ar costa și cine ce face în prima oră a unui incident.
Raportarea incidentelor
O procedură clară de notificare către DNSC și, dacă sunt date personale, către ANSPDCP în 72 de ore.
Evidența furnizorilor și instruirea oamenilor
Știi pe cine te bazezi și ce risc aduce fiecare, iar angajații sunt instruiți pe phishing și pe regulile de bază.
Dacă nu ai un om dedicat de securitate, nu trebuie să angajezi o echipă. Un partener extern îți poate ține partea de conformare și monitorizare ca serviciu. Cum alegi un astfel de partener, fără să plătești de două ori, am detaliat în ghidul despre cum alegi o firmă de securitate cibernetică.
Vrei să știi clar dacă NIS2 te privește și ce ai de făcut
Întrebări frecvente
Cum știu dacă NIS2 se aplică firmei mele?
Două condiții se verifică împreună: să activezi într-un sector vizat (anexele I și II ale OUG 155/2024, de la energie, transport, sănătate, apă și infrastructură digitală, până la servicii poștale, alimente sau producție) și să atingi cel puțin dimensiunea de întreprindere mijlocie, adică minimum 50 de angajați sau peste 10 milioane de euro cifră de afaceri. Sub aceste praguri ești, de regulă, exceptat, dar atenție: unele entități intră indiferent de mărime, de exemplu furnizorii DNS, registrele de domenii sau anumită infrastructură digitală critică.
Sunt furnizor pentru o firmă mare. Am și eu obligații NIS2?
Direct, doar dacă te încadrezi singur ca entitate esențială sau importantă. Indirect, aproape sigur: firmele aflate sub NIS2 trebuie să își gestioneze riscul din lanțul de aprovizionare, așa că îți vor cere prin contract măsuri de securitate, dreptul de a fi auditat și raportarea incidentelor. În practică, cerințele coboară spre IMM-uri prin chestionare de securitate și clauze contractuale, chiar dacă legea nu te obligă direct.
Care sunt termenele și amenzile NIS2 în România?
NIS2 a fost transpusă prin OUG 155/2024 și aprobată, cu modificări, prin Legea 124/2025. Entitățile esențiale și importante au avut termen de înregistrare la DNSC până la 22 septembrie 2025, iar Responsabilul NIS se declară în 30 de zile de la înregistrare. Amenzile ajung până la 10 milioane de euro sau 2% din cifra de afaceri netă pentru entitățile esențiale și până la 7 milioane de euro sau 1,4% pentru cele importante.
De unde încep, practic, dacă intru sub NIS2?
Începe cu un minim tehnic și organizatoric: autentificare în doi pași peste tot, backup testat și offline, gestiunea actualizărilor, segmentarea rețelei, un plan de răspuns la incident și instruirea angajaților. Adaugă apoi analiza de risc, evidența furnizorilor și procedura de raportare a incidentelor. Dacă nu ai om dedicat, un vCISO sau un MSSP îți poate ține partea de conformare și monitorizare, fără să angajezi o echipă internă.
Citește și
GhiduriChestionar de securitate de la un client: cum răspunzi
Un client important îți trimite un chestionar de securitate cu zeci de întrebări și intri în panică fiindcă nu ai om de securitate. Vezi ce înseamnă, de ce l-ai primit și cum răspunzi corect, fără să minți și fără să pierzi contractul.
AmenințăriAmenzi GDPR 2025: firme sparte, sancțiuni reale
O firmă spartă nu plătește doar incidentul. Plătește și amenda GDPR care vine după. Iată cazurile reale din România și cele patru greșeli care apar mereu în deciziile ANSPDCP.
GhiduriCum alegi o firmă de securitate cibernetică
Două oferte, una ieftină și una serioasă. Cum le compari corect: ce înseamnă „managed", ce SLA să ceri, ce certificări contează și ce red flags trădează un furnizor slab.