OUG 155/2024 explicat: legea NIS2 a României, pe înțelesul tuturor
OUG 155/2024 este actul normativ prin care România a transpus Directiva NIS2 (Directiva (UE) 2022/2555) — cel mai important cadru european de securitate cibernetică de până acum. Ordonanța a fost publicată în Monitorul Oficial la finalul lui decembrie 2024 și a fost ulterior aprobată cu modificări prin Legea 124/2025.
Dacă firma ta operează într-unul dintre sectoarele acoperite — energie, transport, sănătate, infrastructură digitală, producție, servicii poștale și multe altele — acest ghid îți explică, fără jargon juridic, ce trebuie să faci concret.
Ce reglementează OUG 155/2024
Ordonanța stabilește cadrul național de securitate cibernetică pentru entitățile esențiale și importante: măsurile minime de management al riscului, obligațiile de notificare a incidentelor, mecanismul de înregistrare la DNSC și regimul sancțiunilor.
Autoritatea competentă este DNSC (Directoratul Național de Securitate Cibernetică), care operează platforma NIS2@RO pentru înregistrarea entităților și instrumentul ENIRE@RO pentru evaluarea riscurilor.
Cine intră sub incidența legii
Regula de bază: organizațiile medii și mari (de la 50 de angajați sau peste 10 milioane EUR cifră de afaceri anuală) care activează în sectoarele din anexele directivei. Sectoarele sunt împărțite în două categorii:
- ▸Entități esențiale — energie, transport, sector bancar, infrastructuri ale pieței financiare, sănătate, apă potabilă, ape uzate, infrastructură digitală, administrarea serviciilor TIC B2B, administrație publică, spațiu.
- ▸Entități importante — servicii poștale și de curierat, managementul deșeurilor, substanțe chimice, alimente, producție (dispozitive medicale, electronice, mașini, autovehicule), furnizori digitali (marketplace-uri, motoare de căutare, rețele sociale), cercetare.
- ▸Excepții de mărime: unele entități intră sub NIS2 indiferent de dimensiune — furnizori de DNS, registre TLD, furnizori de servicii de încredere, rețele publice de comunicații electronice.
Obligațiile principale
- ▸Înregistrarea la DNSC prin platforma NIS2@RO — termenul inițial a expirat pe 19 septembrie 2025, dar obligația rămâne în vigoare; întârzierea în sine este sancționabilă.
- ▸Evaluarea de risc conform metodologiei DNSC (Ordinul nr. 2), transmisă în 60 de zile de la decizia de înscriere în registru.
- ▸Implementarea măsurilor minime de securitate din Art. 21 al directivei: politici de risc, tratarea incidentelor, continuitate, securitatea lanțului de aprovizionare, gestionarea vulnerabilităților, criptografie, controlul accesului, MFA.
- ▸Notificarea incidentelor semnificative către DNSC: avertizare timpurie în 24h, notificare detaliată în 72h, raport final în o lună.
- ▸Răspunderea conducerii: organele de conducere aprobă măsurile, supervizează implementarea și răspund personal pentru încălcări.
Sancțiuni
Pentru entitățile esențiale, amenzile pot ajunge la 10 milioane EUR sau 2% din cifra de afaceri globală anuală (oricare este mai mare). Pentru entitățile importante, plafonul este de 7 milioane EUR sau 1,4% din cifra de afaceri. Pe lângă acestea, ordinele DNSC prevăd amenzi de până la 500.000 RON pentru neîndeplinirea obligațiilor de înregistrare și raportare.
De unde începi
- ▸Stabilește dacă ești entitate esențială sau importantă (vezi ghidul nostru dedicat).
- ▸Înregistrează-te în NIS2@RO dacă nu ai făcut-o — întârzierea suplimentară agravează situația.
- ▸Fă inventarul activelor IT și pornește un proces continuu de management al vulnerabilităților — este cerință explicită în Art. 21 lit. (e).
- ▸Documentează tot: la control, DNSC cere dovezi, nu declarații.
Documentează conformitatea Art. 21 cu Awarely Monitor
Awarely Monitor urmărește CVE-urile relevante pentru produsele tale din NVD, CISA KEV, EUVD și GitHub, trimite alerte și generează rapoarte de conformitate NIS2 gata de audit. Încearcă gratuit 14 zile.
