← Toate articolele
Compliance · NIS2
NIS2 în România:
NIS2 în România:
ghid pentru
entitățile esențiale
📅 15 APR 2026
⏱ 12 min citire
👤 Echipa ARTEMIS
NIS2
DNSC
OUG 89/2024
Compliance
Directiva NIS2 (UE 2022/2555) e transpusă în România prin OUG 89/2024. Aplicabilă din 17 octombrie 2024, vizează entități esențiale și importante. Iată ce trebuie să faci practic.
Cine intră sub NIS2 în România
OUG 89/2024 distinge două categorii:
Entități esențiale (sectoarele de înaltă criticitate)
- Energie (electricitate, gaze, hidrogen, petrol)
- Transport (aerian, feroviar, maritim, rutier)
- Bancar și piețe financiare
- Sănătate (spitale + producători medicamente)
- Apă potabilă + apă uzată
- Infrastructură digitală (DNS, TLD, cloud, data centers)
- Administrație publică (centrală + servicii de asistență TIC)
- Spațiu
Entități importante (alte sectoare critice)
- Servicii poștale și de curierat
- Gestionarea deșeurilor
- Producție, prelucrare și distribuție alimentară
- Producție (medical devices, computere, mașini)
- Servicii digitale (motoare căutare, marketplaces, social networks)
- Cercetare
Prag dimensiune: minimum 50 angajați SAU 10 mil EUR cifră afaceri / total bilanț. (Pentru sectoarele critice anumite entități intră indiferent de dimensiune.)
Cele 10 măsuri tehnice obligatorii
Articolul 21 NIS2 + OUG 89/2024 cere:
| Măsură | Acoperire ARTEMIS |
|---|---|
| 1. Politici analiză risc | Compliance audit (5€) |
| 2. Tratarea incidentelor | SOC integration (Wazuh) |
| 3. Continuitate (BCP/DR) | Asset inventory automat |
| 4. Securitate lanț aprovizionare | Code Audit + SBOM |
| 5. Securitate achiziții/dezvoltare | Code Audit (15€) |
| 6. Evaluare eficacitate | Pentest anual |
| 7. Practici igienă cibernetică | Awareness training |
| 8. Politici criptografie | Site Audit (TLS check) |
| 9. Securitate resurse umane | HR + access control |
| 10. MFA / autentificare puternică | CAI-AUTH MFA hibrid |
Reporting incidente — termenele
NIS2 introduce 3 termene cu impact major:
- 24h — early warning (DNSC + CSIRT)
- 72h — notificare incident (cu indicators of compromise)
- 1 lună — raport final cu lessons learned
Sancțiuni pentru entități esențiale: maxim 10 mil EUR sau 2% cifră anuală globală. Pentru entități importante: maxim 7 mil EUR sau 1.4%.
Cum se pregătește o entitate
- Auto-evaluare gap NIS2 — chestionar BeLegal (5€ via ARTEMIS Compliance)
- Notificare către DNSC ca entitate esențială/importantă (Reg DNSC 2/2024)
- Numire CSO/CISO intern sau outsourced
- Plan tratament incident documentat + testat
- Pentest anual certificat (ARTEMIS Full Audit, 40€/an minim per perimetru)
- Audit lanț aprovizionare — verificare furnizori critici TIC
Template SLA pentru pentest NIS2
Conform Art. 21(2)(f) NIS2, contractul cu furnizorul de pentest trebuie să includă:
- Frecvență minimă: anual + post-major-change
- Scope: aplicații expuse Internet + infrastructură critică
- Standarde acoperite: OWASP Top 10 + ISO 27001 + ENISA Pentest Framework
- Termen retenție raport: 5 ani (compliance audit trail)
- Confidențialitate: NDA + acces controlat findings
- Re-test post-remediere: inclus în primele 30 zile
ARTEMIS oferă toate aceste elemente în pachetul Business (1700€/lună) cu SLA contractual.
Resurse oficiale
- Directiva (UE) 2022/2555 — text NIS2
- DNSC — Direcția Națională Securitate Cibernetică
- OUG 89/2024 — Monitorul Oficial Partea I, Nr. 1042 / 2024
- ENISA NIS2 Implementation Guide
Ești entitate esențială/importantă?
Compliance Audit (5€) îți spune în 12 minute ce-ți lipsește pentru NIS2. Plus Network + Web audit pentru evidence pack DNSC.
Compliance check →