Intri sub NIS2? Entități esențiale vs importante în România
Prima întrebare pe care și-o pune orice manager când aude de NIS2: „ne afectează pe noi?". Răspunsul depinde de trei criterii: sectorul de activitate, dimensiunea companiei și câteva excepții speciale.
Distincția esențial vs important nu este birocratică — determină nivelul amenzilor și intensitatea supravegherii DNSC.
Criteriul 1: sectorul
Anexa 1 (sectoare de criticitate ridicată — entități în general esențiale): energie (electricitate, petrol, gaze, hidrogen, termoficare), transport (aerian, feroviar, naval, rutier), sector bancar, infrastructuri ale pieței financiare, sănătate (inclusiv producători farma), apă potabilă, ape uzate, infrastructură digitală (DNS, TLD, cloud, data centere, CDN), administrarea serviciilor TIC B2B (MSP/MSSP), administrație publică, spațiu.
Anexa 2 (alte sectoare critice — entități în general importante): servicii poștale și curierat, managementul deșeurilor, chimice, alimente, producție (dispozitive medicale, computere și electronice, echipamente electrice, mașini și utilaje, autovehicule, alte mijloace de transport), furnizori digitali (marketplace-uri online, motoare de căutare, platforme sociale), organizații de cercetare.
Criteriul 2: dimensiunea
- ▸Companii medii (50–249 angajați sau 10–50 mil. EUR cifră de afaceri) dintr-un sector acoperit → de regulă entități importante.
- ▸Companii mari (250+ angajați sau peste 50 mil. EUR) din sectoarele Anexei 1 → de regulă entități esențiale.
- ▸Sub 50 de angajați și sub 10 mil. EUR → în general exceptate, cu excepțiile de mai jos.
Excepțiile care anulează pragul de mărime
- ▸Furnizori de rețele sau servicii publice de comunicații electronice — indiferent de mărime.
- ▸Furnizori de servicii de încredere (semnătură electronică), registre TLD și furnizori DNS — indiferent de mărime.
- ▸Entitate unică furnizoare a unui serviciu esențial într-un stat membru sau a cărei perturbare ar avea impact sistemic.
- ▸Administrația publică centrală — automat.
Esențial vs important: ce se schimbă concret
- ▸Supraveghere: entitățile esențiale sunt supravegheate ex-ante (DNSC poate audita proactiv, oricând); cele importante ex-post (controlul vine de regulă după un incident sau o sesizare).
- ▸Amenzi: până la 10 mil. EUR / 2% din cifra de afaceri globală pentru esențiale; până la 7 mil. EUR / 1,4% pentru importante.
- ▸Obligațiile de fond (Art. 21, Art. 23, înregistrare DNSC) sunt însă identice — nu există „NIS2 light".
Cum verifici practic
- ▸Identifică-ți codul CAEN principal și compară-l cu sectoarele din anexele OUG 155/2024.
- ▸Calculează media angajaților și cifra de afaceri din ultimul exercițiu financiar.
- ▸Verifică dacă vreo excepție de mărime ți se aplică.
- ▸Dacă ești la limită, cere opinia DNSC — autoclasificarea greșită nu te scutește de sancțiuni.
Ești în domeniu? Următorul pas e managementul vulnerabilităților
Indiferent dacă ești entitate esențială sau importantă, Art. 21 cere același lucru: vulnerabilități gestionate și documentate. Awarely Monitor face exact asta, de la 59 EUR/lună.
