România a intrat oficial în era directivei europene NIS2: din 10 iulie 2025, prin Legea 124/2025 (care modifică OUG 155/2024), regulile europene de reziliență cibernetică devin obligatorii.
Iar pe 20 august, Directoratul Național de Securitate Cibernetică (DNSC) a publicat ordinele privind procedura de notificare/înregistrare a entităților și criteriile/pragurile de perturbare a serviciilor, cu termen de implementare de 30 de zile.
NIS2 este directiva UE (2022/2555) care impune standarde unitare de securitate cibernetică. Extinde aria la „entități esențiale/ importante”, cere guvernanță la vârf, managementul riscului, controale minime și raportarea incidentelor (24h/72h/30 zile), cu sancțiuni și răspundere a conducerii.
Firmele vizate de directiva care trebuie să aibă un responsabil NIS care să anunțe atacurile cibernetice
Consecința directă: până la 20 septembrie 2025, organizațiile vizate trebuie să se înregistreze la DNSC și să declare un Responsabil NIS.
Cadrul NIS2 vizează entități esențiale și entități importante din sectoare precum: energie, transport, bancar/financiar, sănătate, apă/canal, infrastructuri digitale/servicii digitale, administrație publică, poștă/deșeuri, chimic, agro-alimentar, producție, cercetare ș.a.
Pasul 1: identificați-vă statutul (esențial/important). Pasul 2: notificați DNSC în formatul stabilit de ordin și declarați Responsabilul NIS.
„Responsabil NIS” (securitatea Rețelelor și Sistemelor Informatice) este persoana desemnată de o firmă încadrată în aria Directivei NIS/NIS2 să coordoneze conformarea și să fie punctul unic de contact cu autoritatea competentă (în România: DNSC – Directoratul Național de Securitate Cibernetică). Rolul poate fi îndeplinit de CISO, IT/security manager sau un responsabil dedicat.
„Pentru prima dată, reglementarea aduce răspunderea personală a managementului executiv în centrul arhitecturii de securitate cibernetică. Responsabilitatea nu mai aparține exclusiv echipelor tehnice – ci se extinde la nivel de guvernanță, incluzând CEO-ul, consiliul de administrație și echipa executivă.” — Cristiana Deca, CEO Decalex.
Răspunderea personală a conducerii (CEO, CA, echipa executivă) intră explicit în ecuația securității
Noutatea majoră: răspunderea personală a conducerii (CEO, CA, echipa executivă) intră explicit în ecuația securității. Nu mai este „doar o chestiune IT”. Este guvernanță și strategie de business, cu impact direct în continuitatea operațională și reputație.
10 iulie 2025 – intră în vigoare Legea 124/2025 (transpunere NIS2 și modificare OUG 155/2024).
20 august 2025 – DNSC publică două ordine:
- procedura de notificare și înregistrare a entităților;
- criteriile și pragurile de determinare a gradului de perturbare a serviciilor.
„Implementarea Directivei NIS2 nu este un exercițiu birocratic, ci un proces complex care presupune expertiză multidisciplinară în securitate cibernetică, audit, conformitate și guvernanță IT. Auditorii autorizați de DNSC pot asigura o abordare structurată, scalabilă și conformă cu cerințele legale.” — Cristiana Deca
Cristiana Deca subliniază că auditorii autorizați DNSC pot ghida structurat întreg parcursul (evaluare riscuri, politici/proceduri, controale, audit final). În industrii critice (energie, producție, transport, servicii digitale), experiența sectorială a auditorului este un diferențiator strategic.
Ce înseamnă „Responsabil NIS”
Persoană desemnată oficial ca punct unic de contact cu DNSC, care coordonează:
- conformarea NIS2 (politici, proceduri, controale);
- managementul riscului (inventar active, evaluări, tratament);
- răspunsul la incidente și raportarea (≈24h alertă, ≈72h raport inițial, ≈30 zile raport final);
- continuitatea & reziliența (BCP/DR, backup testat, exerciții);
- securitatea furnizorilor (clauze, due-diligence, monitorizare);
- training și conștientizare pentru personal și management.
Rolul poate fi îndeplinit de un CISO/IT Security Manager sau o persoană dedicată. Important: declararea oficială la DNSC.
Raportarea incidentelor – timpii care contează
Raportarea are trei etape:
- alertă timpurie în ~24h de la detectarea incidentului semnificativ;
- raport inițial în ~72h (impact, vector, măsuri);
- raport final în ~30 de zile (lecții învățate, remediere).
Ordinele DNSC stabilesc pragurile de perturbare; definiți criterii interne și mecanisme de escaladare.
Companiile listate: ciberneticul devine ESG
„Pentru companiile listate la bursă, NIS2 introduce un nivel suplimentar de responsabilitate, cu implicații directe asupra valorii de piață și încrederii investitorilor. Securitatea cibernetică devine indicator de guvernanță și componentă de capital reputațional; lipsa unui cadru matur poate genera reacții negative, investigații și costuri reputaționale.” — Cristiana Deca
Pentru emitenți, maturitatea cibernetică influențează percepția investitorilor, ratingurile ESG și volatilitatea. Un incident prost gestionat poate genera scăderi de preț, anchete și pierderi de reputație. NIS2 transformă securitatea în capital reputațional și metrică de performanță.
Lanțul de aprovizionare: veriga slabă
Subcontractorii mici și mijlocii sunt deseori puncte de intrare. NIS2 impune extinderea controlului: criterii minime, evaluări recurente, notificarea incidentelor de către furnizori și remedieri cu termene. Neglijarea acestui front expune operatorul principal la riscuri ascunse și sancțiuni.
.png)
.png)
