Amenzi NIS2 in Romania: cat sunt si cine le plateste

Cat de mari sunt amenzile NIS2 in Romania? Pana la 10 milioane EUR sau 2% din cifra de afaceri mondiala pentru entitatile esentiale si pana la 7 milioane EUR sau 1,4% pentru cele importante. Abaterile mai usoare se sanctioneaza cu sume in lei, intre 1.000 si 500.000 lei.

Plafoanele vin din OUG 155/2024, care a transpus Directiva NIS2 in Romania, si din Legea 124/2025, care a completat ordonanta si este in vigoare de la 10 iulie 2025.

Cine poate primi o amenda NIS2?

Amenzile se aplica firmelor si institutiilor care intra sub incidenta NIS2. Intre 15.000 si 20.000 de entitati din Romania intra acum sub aceste reguli, fata de aproximativ 1.000 sub fostul cadru de securitate cibernetica.

Legea imparte entitatile vizate in doua categorii: esentiale (energie, transport, sanatate, infrastructura digitala, banci) si importante (servicii postale, gestionarea deseurilor, productie alimentara, furnizori de servicii digitale). Categoria in care intri stabileste plafonul amenzii.

Cat sunt amenzile NIS2?

Tip de abatere	Entitati esentiale	Entitati importante
Abateri principale (masuri de securitate, raportare incidente)	10.000 EUR pana la 10.000.000 EUR sau 2% din cifra de afaceri mondiala	5.000 EUR pana la 7.000.000 EUR sau 1,4% din cifra de afaceri mondiala
Abateri secundare (termene de notificare, evaluare de risc)	1.500-500.000 lei	1.000-300.000 lei
Alte abateri	1.000-100.000 lei	1.000-100.000 lei

La abaterile principale se aplica valoarea cea mai mare dintre suma fixa si procentul din cifra de afaceri. Pentru o firma cu cifra de afaceri mare, procentul depaseste rapid plafonul exprimat in euro.

Doua detalii utile: amenda se reduce cu 50% daca o platesti in 15 zile, conform art. 60 din OUG 155/2024, iar DNSC nu mai poate aplica sanctiunea dupa 3 ani de la fapta.

Cine aplica amenzile si ce le declanseaza?

DNSC, Directoratul National de Securitate Cibernetica, constata abaterile si stabileste amenda. Cele mai frecvente cauze sunt lipsa masurilor de securitate, neraportarea incidentelor in termenele legale, neinrolarea la DNSC si obstructionarea unui audit.

Amenda nu loveste doar firma. OUG 155/2024 cere conducerii sa aprobe masurile de securitate. Daca nu o face, conducerea raspunde direct si poate fi suspendata temporar din functii de conducere.

Ai o firma de distributie farmaceutica cu 60 de angajati, intrata in categoria entitatilor importante dupa Legea 124/2025. Un atac informatic iti cripteaza serverele. Nu trimiti alerta initiala catre DNSC in 24 de ore si nici raportul in 72 de ore. Este o abatere de raportare: amenda poate urca spre 7 milioane EUR, iar administratorul raspunde personal pentru lipsa procedurii. Cu o procedura de raportare documentata, costul ar fi fost zero.

Cum reduci riscul de amenda?

Cel mai direct mod este sa implementezi masurile de securitate inainte de un control. Recitalul 79 din Directiva NIS2 recomanda seria de standarde ISO/IEC 27000 ca referinta de implementare.

ISO 27001 acopera aproximativ 70% din cerintele tehnice de securitate ale NIS2, deci este baza logica de la care pornesti. Certificarea costa o fractiune din amenda minima pentru o abatere principala. Vezi cat costa ISO 27001 si cum obtii certificarea.

Standardul nu acopera tot. Timpii legali de raportare la DNSC raman in sarcina ta. Detalii ai in ghidul despre ISO 27001 si Directiva NIS2 si in cel despre gestionarea incidentelor de securitate.

NIS2 este obligatoriu pentru firma mea?

Daca activezi intr-un sector reglementat si depasesti pragul de marime (in general peste 50 de angajati sau 10 milioane EUR cifra de afaceri), da. Vezi si daca ISO 27001 este obligatoriu in cazul tau.

Cine plateste amenda, firma sau administratorul?

Amenda contraventionala se aplica entitatii. Separat, conducerea raspunde direct pentru neaprobarea masurilor de securitate si poate fi suspendata temporar din functie.

Se poate contesta o amenda NIS2?

Da. Procesul-verbal de constatare se ataca in instanta de contencios administrativ. Contestatia suspenda doar plata amenzii pana la hotararea definitiva a instantei.