Cine intra sub incidenta Directivei NIS2?
Afla cine intra sub Directiva NIS2 in Romania: entitati esentiale si importante, praguri de marime si un test de autoverificare in 3 pasi.
Cine intra sub incidenta Directivei NIS2? Intra firmele care activeaza intr-un sector reglementat de OUG 155/2024 si au peste 50 de angajati sau o cifra de afaceri anuala peste 10 milioane EUR. La acestea se adauga cateva categorii vizate indiferent de marime.
Directiva NIS2 (UE 2022/2555) a fost transpusa in Romania prin OUG 155/2024 si completata de Legea 124/2025, in vigoare din 10 iulie 2025. Peste 6.000 de organizatii sunt vizate direct. Autoritatea care monitorizeaza aplicarea este DNSC, Directoratul National de Securitate Cibernetica.
Verificarea apartenentei in trei pasi
Poti afla daca firma ta intra sub NIS2 raspunzand la trei intrebari, in ordine.
- Activezi intr-un sector reglementat? Verifica daca obiectul tau de activitate se regaseste in Anexa 1 sau Anexa 2 din OUG 155/2024 (vezi tabelul de mai jos). Daca nu, NIS2 nu te priveste.
- Atingi pragul de marime? Daca ai peste 50 de angajati sau cifra de afaceri anuala peste 10 milioane EUR, treci pragul. Microintreprinderile si firmele mici, sub 50 de angajati si sub 10 milioane EUR, sunt in principiu exceptate.
- Intri printr-o exceptie? Cateva categorii intra indiferent de numarul de angajati. Daca te regasesti acolo, pasul 2 nu mai conteaza.
Daca treci de pasul 1 si fie pasul 2, fie pasul 3, firma ta intra sub NIS2 si trebuie sa se inroleze la DNSC.
Sectoarele esentiale si importante
| Entitati esentiale (Anexa 1) | Entitati importante (Anexa 2) |
|---|---|
| Energie | Servicii postale si de curierat |
| Transport | Gestionarea deseurilor |
| Infrastructura digitala | Productia si distributia substantelor chimice |
| Sanatate | Productia, prelucrarea si distributia alimentelor |
| Apa si canalizare | Industria prelucratoare |
| Administratia publica centrala | Cercetarea |
| Spatiu, piete financiare, servicii bancare | Furnizori de servicii digitale |
Entitatile esentiale sunt de regula organizatii mari din sectoarele de inalta criticitate. Entitatile importante sunt firme medii din aceleasi sectoare sau din sectoarele suplimentare din Anexa 2. Diferenta conteaza pentru regimul de supraveghere si pentru nivelul amenzilor.
Legea 124/2025 a extins sectorul sanatatii cu doua categorii noi: distribuitorii farmaceutici autorizati conform art. 803 din Legea 95/2006 si comertul cu produse farmaceutice, codurile CAEN 4646 si 4773.
Entitatile vizate indiferent de marime
Pragul de 50 de angajati nu se aplica tuturor. Cateva categorii intra sub NIS2 chiar daca sunt firme mici: administratia publica centrala, furnizorii de servicii DNS, registrele de nume de domenii de prim nivel, prestatorii de servicii de incredere calificate si furnizorii de retele publice de comunicatii electronice.
In plus, o firma mica poate fi inclusa daca este unicul furnizor al unui serviciu esential intr-o regiune sau daca are un rol strategic pentru economie ori siguranta publica. Decizia finala apartine DNSC.
Exemplu pentru un SRL din industria alimentara
Ai un SRL care prelucreaza si distribuie carne, cu 80 de angajati si o cifra de afaceri de 14 milioane EUR. Pasul 1: prelucrarea si distributia alimentelor sunt in Anexa 2, deci esti intr-un sector reglementat. Pasul 2: ai peste 50 de angajati, deci treci pragul de marime. Rezultatul: firma intra ca entitate importanta si trebuie inrolata la DNSC.
Daca aceeasi firma ar avea 30 de angajati si 6 milioane EUR cifra de afaceri, ar fi exceptata, cu conditia sa nu fie unicul furnizor al unui serviciu esential in zona.
Dupa ce confirmi ca firma intra sub NIS2, urmatorul pas este inrolarea la DNSC, conform Ordinelor nr. 1/2025 si nr. 2/2025. Pentru masurile de securitate cibernetica cerute, ISO 27001 acopera o buna parte din cerinte. Vezi cum se mapeaza ISO 27001 pe cerintele NIS2 si ce amenzi prevede NIS2 in Romania.
Intrebari frecvente
Microintreprinderile intra sub NIS2?
De regula nu. Firmele cu sub 50 de angajati si sub 10 milioane EUR cifra de afaceri sunt exceptate. Exceptie fac categoriile speciale, precum administratia publica centrala, furnizorii DNS si prestatorii de servicii de incredere calificate, si firmele cu rol strategic.
Cum afli sigur daca firma ta e vizata?
NIS2 functioneaza prin autoidentificare. Firma isi evalueaza singura apartenenta si se inroleaza la DNSC. Termenul de inrolare a fost de 30 de zile de la Ordinele DNSC din 20 august 2025. Daca ai dubii, compara codurile CAEN ale firmei cu anexele OUG 155/2024.
NIS2 inlocuieste obligatia de a avea ISO 27001?
Nu. ISO 27001 ramane un standard voluntar, iar NIS2 este o obligatie legala. Certificarea te ajuta sa demonstrezi ca ai masurile cerute, dar nu este impusa explicit. Vezi daca ISO 27001 este obligatoriu pentru firma ta.
Elena este specializată în securitatea informației și protecția datelor. Ajută companiile IT și fintech să obțină certificarea ISO 27001 și să demonstreze conformitatea GDPR.
Vezi toate articolele