ISO 27001 acoperă aproximativ 70% din cerințele Directivei NIS2. Este punctul de plecare logic pentru conformitate, dar nu este suficient singur. Rămân lacune pe care trebuie să le acoperi separat.
Peste 6.000 de organizații din România sunt vizate de NIS2. Dacă firma ta are peste 50 de angajați sau o cifră de afaceri peste 10 milioane EUR și activezi într-un sector reglementat, te privește direct.
Ce este NIS2 și cum s-a transpus în România?
Directiva NIS2 (UE 2022/2555) a fost transpusă prin OUG 155/2024, publicată în Monitorul Oficial nr. 1332 din 31 decembrie 2024. Legea 124/2025 a completat și aprobat OUG 155/2024, intrând în vigoare pe 10 iulie 2025.
OUG 155/2024 abrogă Legea 362/2018 (fostul cadru NIS1). DNSC (Directoratul Național de Securitate Cibernetică) este autoritatea care monitorizează și aplică prevederile.
Entitățile vizate trebuiau să se înroleze la DNSC în 30 de zile de la emiterea Ordinelor DNSC nr. 1/2025 și nr. 2/2025 (20 august 2025).
Ce sectoare sunt vizate?
Entități esențiale (Anexa 1 la OUG 155/2024): energie, transport, infrastructură digitală, sănătate, apă și canalizare, administrație publică centrală, spațiu, piețe financiare, servicii bancare.
Entități importante (Anexa 2): servicii poștale și de curierat, gestionarea deșeurilor, substanțe chimice, prelucrarea și distribuția alimentelor, industria prelucrătoare, cercetarea, furnizori de servicii digitale. Pentru firmele IT, vezi ghidul specific ISO 27001 pentru firme IT.
Legea 124/2025 a adăugat două categorii noi în sectorul sănătății: distribuitorii farmaceutici cu autorizație conform art. 803 din Legea 95/2006 și comerțul cu produse farmaceutice (CAEN 4646 și 4773).
Cum se mapează ISO 27001 pe cerințele NIS2?
Art. 21(2) din Directiva NIS2 impune 10 categorii de măsuri de securitate. Recitalul 79 din directivă recomandă seria ISO/IEC 27000 ca referință pentru implementare. Iată ce acoperă ISO 27001:2022 din fiecare cerință:
| Cerință NIS2 Art. 21(2) | Controale ISO 27001:2022 | Acoperire |
|---|---|---|
| (a) Politici de analiză a riscurilor | Clauza 5.2, A.5.1, A.5.36 | Acoperit |
| (b) Gestionarea incidentelor | A.5.24 până la A.5.27 | Parțial (nu acoperă timpii legali de raportare la DNSC) |
| (c) Continuitatea activității | A.5.29 | Parțial (nu include managementul crizelor) |
| (d) Securitatea lanțului de aprovizionare | A.5.19 până la A.5.23 | Parțial (acoperă furnizori IT, nu și non-IT) |
| (e) Securitatea rețelelor | A.8.9, A.8.20, A.8.25, A.8.32 | Acoperit |
| (f) Evaluarea eficacității măsurilor | Clauza 9 | Acoperit |
| (g) Igienă cibernetică și formare | A.5.34 până la A.5.37, A.6.3 | Acoperit |
| (h) Criptografie | A.8.24 | Acoperit |
| (i) Securitatea resurselor umane și controlul accesului | A.5.9 până la A.5.18, A.6.1 până la A.6.8 | Acoperit |
| (j) Autentificare multi-factor | A.8.20, A.5.15 | Acoperit |
ISO 27001 acoperă 25 din 26 de cerințe de securitate cibernetică ale NIS2. Singura cerință complet neacoperită este managementul crizelor.
Ce nu acoperă ISO 27001?
Chiar dacă acoperirea este de ~70%, rămân lacune pe care ISO 27001 nu le rezolvă. Iată ce trebuie să acoperi separat:
Raportarea incidentelor la DNSC
NIS2 cere alerta inițială în 24 de ore, raport detaliat în 72 de ore, raport final în 30 de zile. Pentru incidente cu impact transfrontalier, notificarea trebuie trimisă în 6 ore. ISO 27001 are proceduri de gestionare a incidentelor (A.5.24 până la A.5.27), dar nu include timpii legali de raportare și nici integrarea cu platforma DNSC.
Ce faci: stabilește o procedură internă de raportare cu timpii din OUG 155/2024 și pregătește accesul la platforma DNSC.
Responsabilitatea conducerii
Art. 14 din OUG 155/2024 impune conducerii să aprobe măsurile de securitate, să asigure formarea profesională și să desemneze responsabili cu securitatea rețelelor. Pentru entitățile esențiale, responsabilul trebuie să aibă autoritate managerială, raportare directă, independență față de structurile IT și credențiale specializate obținute în 12 luni. Conducerea poate fi sancționată direct dacă nu respectă aceste cerințe, inclusiv prin suspendarea temporară din funcție.
Ce faci: numește un responsabil cu securitatea cibernetică și documentează aprobarea măsurilor de către conducere.
Securitatea lanțului de aprovizionare non-IT
ISO 27001 acoperă furnizori de servicii IT prin controalele A.5.19 până la A.5.23. NIS2 extinde cerința la toți furnizorii critici, inclusiv cei non-IT.
Ce faci: evaluează toți furnizorii critici, nu doar cei IT, și include clauze de securitate în contractele cu aceștia.
Înrolarea și raportarea pe platforma DNSC
Trebuie să te înrolezi la DNSC și să răspunzi la termenele administrative: 60 de zile (entități esențiale) sau 150 de zile (entități importante) pentru decizia DNSC, apoi 60 de zile pentru evaluarea riscului, 60 de zile pentru autoevaluarea maturității și 30 de zile pentru planul de remediere.
Ce faci: verifică dacă firma ta s-a înrolat și respectă calendarul.
Cât costă ISO 27001 vs amenda NIS2?
| Element | Cost |
|---|---|
| Certificare ISO 27001 (1 standard) | între 1.500 și 2.500 lei + TVA |
| Reînnoire anuală | de la 800 lei |
| Pachet 2 standarde (de exemplu, ISO 27001 + ISO 9001) | între 2.800 și 4.000 lei + TVA |
| Amendă NIS2 entități esențiale | până la 10.000.000 EUR sau 2% din cifra de afaceri |
| Amendă NIS2 entități importante | până la 7.000.000 EUR sau 1,4% din cifra de afaceri |
| Amenzi Legea 124/2025 (încălcări repetate, obstrucționare audit) | 3.000 până la 600.000 lei |
Certificarea ISO 27001 costă de câteva sute de ori mai puțin decât amenda minimă NIS2. Dacă ai nevoie de certificare rapidă, sunt furnizori care oferă procesul 100% online, cu proces accelerat — de la 3 zile lucrătoare. Mai multe detalii la certificarestandarde.com.
Ce pași urmezi dacă vrei ISO 27001 ca bază pentru NIS2?
- Verifică dacă firma ta intră sub incidența NIS2 (peste 50 de angajați sau cifra de afaceri peste 10M EUR, sector reglementat)
- Obține certificarea ISO 27001 pentru a acoperi baza de ~70% din cerințe
- Acoperă lacunele: procedura de raportare incidente, responsabilul la nivel de conducere, evaluarea furnizorilor non-IT
- Înrolează-te la DNSC și respectă termenele din Ordinele nr. 1/2025 și nr. 2/2025
ISO 27001 este suficient pentru conformitatea NIS2?
Nu. ISO 27001 acoperă aproximativ 70% din cerințe și este baza pe care Recitalul 79 din directivă o recomandă. Dar raportarea incidentelor la DNSC, responsabilitatea la nivel de conducere și securitatea lanțului de aprovizionare non-IT trebuie acoperite separat. Vezi și este ISO 27001 obligatoriu? pentru contextul complet.
Cât costă certificarea ISO 27001?
Între 1.500 și 2.500 lei + TVA pentru certificare standard. Cu consultanță și implementare completă, prețul ajunge la 5.000 până la 15.000 lei. Vezi detalii despre costul ISO 27001.
Ce risc dacă nu mă conformez NIS2?
Amenzi de până la 10.000.000 EUR sau 2% din cifra de afaceri globală (entități esențiale). DNSC poate sesiza autoritățile pentru suspendarea certificărilor, autorizațiilor sau chiar interdicția temporară a conducerii de a exercita funcția.