ISO 27001 vs NIS2: standard voluntar vs directivă obligatorie
ISO 27001 este standard voluntar. NIS2 este directivă UE obligatorie cu amenzi până la 10M EUR. Vezi cum se mapează și când ai nevoie de fiecare.
ISO 27001 este un standard voluntar de certificare a securității informațiilor. NIS2 este o directivă UE obligatorie pentru anumite sectoare, transpusă în România prin OUG 155/2024 și completată de Legea 124/2025. Una îți aduce un certificat. Cealaltă îți aduce o obligație legală cu amenzi până la 10 milioane EUR. Întrebarea „ISO 27001 vs NIS2” apare des, dar cele două nu sunt alternative.
Cum se compară pe scurt?
| Criteriu | ISO 27001 | NIS2 |
|---|---|---|
| Natură | Standard internațional (ISO/IEC) | Directivă UE transpusă în lege națională |
| Statut | Voluntar | Obligatoriu pentru entitățile vizate |
| Cine impune | Tu alegi sau clientul cere | Lege: OUG 155/2024, Legea 124/2025 |
| Rezultat | Certificat valabil 3 ani | Conformitate continuă, cu controale periodice |
| Autoritate de control | Organism de certificare acreditat | DNSC (Directoratul Național de Securitate Cibernetică) |
| Versiune curentă | SR EN ISO/IEC 27001:2023, 93 de controale | OUG 155/2024 + Legea 124/2025 (în vigoare 10 iulie 2025) |
| Sancțiune | Niciuna directă; poți pierde contracte sau certificatul | Până la 10 milioane EUR sau 2% din cifra de afaceri |
| Sferă | Orice organizație | Peste 6.000 de entități din România |
Ce este ISO 27001 și ce este NIS2?
ISO 27001 este un standard. Descrie cum construiești un sistem de management al securității informațiilor (SMSI): politici, evaluarea riscurilor, controale tehnice și organizatorice, audit intern, reevaluare anuală. Te certifici dacă vrei să demonstrezi unui client, unei autorități sau pieței că ai sistemul. Versiunea curentă, SR EN ISO/IEC 27001:2023, conține 93 de controale grupate în Anexa A.
NIS2 este o lege. Directiva (UE) 2022/2555 obligă statele membre să impună măsuri de securitate cibernetică pentru sectoare critice. România a transpus-o prin OUG 155/2024 (publicată pe 31 decembrie 2024) și a completat-o prin Legea 124/2025, în vigoare din 10 iulie 2025. Dacă firma ta intră sub incidența ei, nu ai de ales. Trebuie să te înrolezi la DNSC și să aplici măsurile cerute.
Diferența fundamentală: ISO 27001 spune cum faci securitatea informațiilor. NIS2 spune că trebuie să o faci, cu termene legale și sancțiuni.
Cum acoperă ISO 27001 cerințele NIS2?
Recitalul 79 din Directiva NIS2 recomandă explicit seria ISO/IEC 27000 ca referință pentru implementare. Concret, ISO 27001 acoperă aproximativ 70% din cerințele tehnice ale NIS2.
Art. 21(2) din NIS2 listează 10 categorii de măsuri: analiza riscurilor, gestionarea incidentelor, continuitatea activității, securitatea lanțului de aprovizionare, securitatea rețelelor, evaluarea eficacității, igienă cibernetică, criptografie, controlul accesului, autentificare multi-factor. Din acestea, ISO 27001:2022 acoperă 25 din 26 de cerințe prin controalele din Anexa A.
Ce rămâne neacoperit de standard:
- Termenele legale de raportare a incidentelor la DNSC: alertă inițială în 24 de ore, raport detaliat în 72 de ore, raport final în 30 de zile, notificare în 6 ore pentru impact transfrontalier
- Înrolarea și raportarea pe platforma DNSC
- Responsabilitatea directă a conducerii cerută de Art. 14 din OUG 155/2024
- Securitatea furnizorilor critici non-IT
- Managementul crizelor, zonă acoperită mai bine de ISO 22301
Maparea detaliată cerință cu cerință o ai în ghidul ISO 27001 și Directiva NIS2.
Când alegi ISO 27001, când NIS2, când pe ambele?
Nu sunt opțiuni alternative. Întrebarea reală e dacă ai obligație legală sau doar oportunitate de business.
Dacă firma ta intră sub NIS2 (sector reglementat, peste 50 de angajați sau peste 10 milioane EUR cifră de afaceri), ai obligația legală automat. ISO 27001 devine cea mai rapidă cale de a acoperi majoritatea cerințelor și de a demonstra ce ai făcut. Detalii despre cine intră găsești în articolul cine intră sub incidența Directivei NIS2.
Dacă firma ta nu intră sub NIS2, directiva nu te privește direct. ISO 27001 rămâne o decizie de business. Îți aduce contracte cu clienți UE și SUA, te scoate din zona de risc reputațional în GDPR și e util în licitații private unde clientul cere o dovadă de securitate.
Ai un SRL cu 80 de angajați și 14 milioane EUR cifră de afaceri în distribuția farmaceutică. Legea 124/2025 a adăugat distribuitorii farmaceutici în sectorul sănătății, deci firma ta a intrat ca entitate importantă sub NIS2. Termenul de înrolare la DNSC a expirat în septembrie 2025. Pentru a demonstra măsurile cerute, începi cu ISO 27001 (acoperă în câteva luni baza tehnică), apoi adaugi în paralel procedura de raportare DNSC, responsabilul cu securitatea și clauzele cu furnizorii.
Ce plătești și ce riști?
Costul certificării și sancțiunea NIS2 nu sunt comparabile direct. Una e investiție planificată. Cealaltă e risc de business.
| Element | Ordin de mărime |
|---|---|
| Certificare ISO 27001 (inițială, fără consultanță) | de la câteva mii de lei |
| Implementare SMSI cu consultanță | 5.000 până la 25.000 lei, în funcție de mărime |
| Reînnoire ISO 27001 la 3 ani | aproximativ 50% din costul inițial |
| Amendă NIS2 entități esențiale | până la 10.000.000 EUR sau 2% din cifra de afaceri |
| Amendă NIS2 entități importante | până la 7.000.000 EUR sau 1,4% din cifra de afaceri |
| Amenzi pe abateri secundare (Legea 124/2025) | 3.000 până la 600.000 lei |
Conducerea răspunde personal. Art. 14 din OUG 155/2024 cere consiliului de administrație sau administratorului să aprobe măsurile de securitate, să asigure formarea și să desemneze un responsabil cu securitatea rețelelor. Dacă nu o face, poate fi suspendat temporar din funcție. Cuantumul detaliat al amenzilor îl găsești în amenzi NIS2 în România.
Ce pași urmezi dacă ești vizat de NIS2?
- Verifică dacă firma ta intră sub NIS2 (Anexa 1 sau 2 din OUG 155/2024, prag de mărime, categorii speciale)
- Înrolează firma la DNSC conform Ordinului nr. 1/2025
- Începe implementarea ISO 27001 pentru a acoperi rapid baza tehnică de ~70% din cerințe
- Documentează procedura internă de raportare a incidentelor cu termenele de 24h, 72h și 30 de zile
- Desemnează responsabilul cu securitatea cibernetică și obține aprobarea conducerii pe măsurile adoptate
- Acoperă lacunele rămase: furnizori critici non-IT, plan de management al crizelor (vezi ISO 22301 vs ISO 27001)
Întrebări frecvente
Dacă am ISO 27001, sunt conform automat cu NIS2?
Nu. ISO 27001 acoperă aproximativ 70% din cerințele tehnice. Rămân de acoperit termenele legale de raportare la DNSC, responsabilitatea conducerii, evaluarea furnizorilor non-IT și înrolarea pe platforma DNSC. Pentru maparea completă cerință cu cerință, vezi ghidul ISO 27001 și Directiva NIS2.
NIS2 cere obligatoriu certificarea ISO 27001?
Nu. NIS2 cere măsurile de securitate, nu certificatul. Poți avea măsurile fără certificat, dar atunci tu demonstrezi conformitatea cu propriile documente și înregistrări. Certificatul ISO 27001 este cea mai simplă dovadă în fața unui audit DNSC.
Cine plătește amenda dacă firma nu se conformează NIS2?
Amenda contravențională se aplică firmei. Separat, conducerea răspunde direct pentru lipsa aprobării măsurilor sau a desemnării responsabililor, conform Art. 14 din OUG 155/2024, și poate fi suspendată temporar din funcție.
Ce face DNSC mai exact?
DNSC primește înrolările, primește notificările de incidente, face audituri și aplică sancțiuni. Procedura de înrolare este definită în Ordinul DNSC nr. 1/2025, iar criteriile de evaluare a riscului în Ordinul nr. 2/2025, ambele emise pe 20 august 2025.
Elena este specializată în securitatea informației și protecția datelor. Ajută companiile IT și fintech să obțină certificarea ISO 27001 și să demonstreze conformitatea GDPR.
Vezi toate articolele