Amenzile NIS2 în România: cât te poate costa neconformitatea
NIS2 a fost proiectată explicit ca directiva care „doare": legiuitorul european a copiat modelul GDPR și a legat amenzile de cifra de afaceri globală, ca să nu mai poată fi tratate ca un cost de operare.
În România, OUG 155/2024 preia integral acest regim și îl completează cu sancțiuni specifice pentru neînregistrare. Iată exact ce riști.
Plafoanele principale de amendă
- ▸Entități esențiale: până la 10.000.000 EUR sau 2% din cifra de afaceri mondială anuală a grupului — oricare e mai mare. Pragul inferior pornește de la 10.000 RON.
- ▸Entități importante: până la 7.000.000 EUR sau 1,4% din cifra de afaceri mondială — oricare e mai mare. Prag inferior: 5.000 RON.
- ▸Neîndeplinirea obligațiilor din ordinele DNSC (înregistrare, transmitere date): amenzi de până la 500.000 RON pentru entități esențiale și 300.000 RON pentru cele importante.
Răspunderea personală a conducerii
Noutatea absolută a NIS2 față de vechea NIS: organele de conducere răspund personal. Conducerea trebuie să aprobe măsurile de management al riscului, să supravegheze implementarea lor și să participe la traininguri de securitate.
În caz de încălcări grave și repetate, autoritatea poate cere inclusiv suspendarea temporară a persoanelor cu funcții de conducere din exercitarea acestor funcții (pentru entitățile esențiale) — pe lângă amenzile aplicate companiei.
Ce verifică DNSC în practică
- ▸Înregistrarea în NIS2@RO și actualitatea datelor raportate.
- ▸Evaluarea de risc transmisă conform metodologiei și termenelor.
- ▸Existența și aplicarea reală a măsurilor Art. 21 — nu doar politici pe hârtie, ci dovezi: jurnale de patch-uri, registre de vulnerabilități cu date de remediere, teste de backup.
- ▸Respectarea termenelor de notificare a incidentelor (24h / 72h / 1 lună).
- ▸Securitatea lanțului de aprovizionare: contracte și evaluări pentru furnizorii critici.
Factori agravanți și atenuanți
- ▸Agravant: încălcări repetate, ignorarea avertismentelor DNSC, lipsa oricărei documentații, incidente cu impact asupra altor state membre.
- ▸Atenuant: cooperarea cu autoritatea, notificarea voluntară și promptă, măsuri de remediere demonstrabile, istoricul de conformare documentat.
- ▸Practic: aceeași vulnerabilitate neremediată valorează diferit dacă poți arăta un proces funcțional de management al vulnerabilităților cu SLA-uri respectate în 95% din cazuri.
Costul conformării vs costul amenzii
Pentru un IMM tipic, fundația conformării NIS2 — MFA, backup-uri, training, monitorizarea vulnerabilităților și documentare — costă de ordinul câtorva mii de euro pe an. Amenda minimă pentru neînregistrare singură poate depăși această sumă, iar plafonul de 7–10 milioane EUR transformă neconformarea într-un risc existențial.
Dovezile care reduc riscul de amendă
La control, diferența o face istoricul documentat: când ai aflat de vulnerabilitate, când ai remediat-o, cine a aprobat. Awarely Monitor generează automat acest audit trail. Începe gratuit.
