Share

 

Umblă vorba în târg, mai ales printre analiști și manageri, că 19 septembrie 2025 ar putea fi noul termen-limită în procesul de aplicare în România a Directivei NIS 2, prin OUG 155/2024. Despre ce e vorba? Pe 20 august, DNSC a publicat în Monitorul Oficial Ordinele nr. 1 și 2/2025. Primul aduce claritate asupra pașilor/cerințelor de notificare în vederea înregistrării entităților și a modului de transmitere a informațiilor. Al doilea explică criteriile și pragurile care stabilesc cât de grav poate fi afectat un serviciu, alături de metodologia de evaluare a riscului.

Pentru entitățile esențiale și importante, asta înseamnă un pas obligatoriu: înregistrarea în Registrul Entităților în termen de 30 de zile de la publicarea ordinelor. Însă înainte de a se înregistra, entitățile trebuie să afle dacă sunt vizate de NIS 2. Citește în continuare cele mai utile 5 informații  despre update-urile aduse recent de Directoratul Naţional de Securitate Cibernetică la OUG 155/2024.

1. Primul pas: evaluarea preliminară

În primul rând e util să știi că ai la dispoziție Platforma NIS2@RO și, dacă aceasta nu este disponibilă, Instrumentul NIS2@RO – un fișier utilizabil local, pe care îl poți descărca de aici. După completarea datelor, acestea permit entităților să verifice dacă li se aplică OUG nr. 155/2024. Mai precis, generează evaluarea preliminară, care încadrează entitățile în trei categorii:

  • În afara domeniului de aplicare (organizația nu este obligată să aplice legislația de transpunere a Directivei)
  • Entitate importantă
  • Entitate esențială

2. Generarea și trimiterea formularului de notificare

După ce ai evaluarea preliminară, generezi, folosind aceleași tool-uri de mai sus, formularul de notificare. Salvează-l ca PDF și semnează-l: electronic, dacă îl trimiți online, sau olograf, dacă îl depui pe hârtie. Transmite-l apoi către DNSC pentru înregistrare în Registrul Entităților. Poți face asta prin:

  • Platforma NIS2.ro (poate fi accesată după autentificare pe site-ul platformanis2.ro)
  • poşta electronică: la adresa de e-mail evidenta@dnsc.ro
  • depunerea fizică: la sediul DNSC, Str. Italiană nr. 22, Bucureşti, sectorul 2 (personal sau prin serviciu de poştă şi curierat cu confirmare de primire)

Important: indiferent de rezultatul evaluării preliminare, entitățile sunt obligate să trimită formularul de notificare la DNSC pentru confirmarea statutului lor.

Mai multe detalii despre despre conținutul formularului de notificare găsești în Ordinul Directorului DNSC nr. 1/2025.

3. Crearea unui cont pe platformă

Ce se întâmplă după ce ai trimis formularul? Pe de o parte, după evaluarea notificării, DNSC înregistrează entitățile esențiale și importante în Registrul Entităților și emite decizia oficială de înregistrare. Dacă o entitate nu intră în domeniul de aplicare al OUG 155/2024, aceasta nu va fi înregistrată, drept urmare, DNSC o va notifica în acest sens.

În al doilea rând, dacă ai ales să trimiți formularul prin poșta electronică sau pe hârtie, pentru că platforma nu a fost disponibilă, trebuie să creezi un cont pentru organizație și să introduci datele din formularul de notificare trimis anterior, în maximum 20 de zile de la data la care platforma a devenit disponibilă. Ulterior, DNSC va valida și confirma datele în 10 zile lucrătoare.

Nu uita, procesul de notificare pentru înregistrarea în Registrul Entităților trebuie finalizat în maximum 30 de zile de la publicarea noilor Ordine în Monitorul Oficial (20 august), adică în jurul datei de 19-20 septembrie.

4. Autoevaluarea gradului de perturbare a serviciilor

Ordinul nr. 2 emis de DNSC se adresează entităților care nu au fost încă clasificate drept esențiale sau importante. Acestea trebuie să își evalueze singure potențialul de perturbare a serviciilor pe care le oferă pentru a putea completa informațiile necesare procesului de notificare.

Anexa 1 a Ordinului aduce explicații detaliate în acest sens și clasifică impactul unei perturbări a unui serviciu în trei niveluri – ridicat, mediu și scăzut – ținând cont și de aspecte precum efectele asupra economiei, drepturilor fundamentale și securității naționale. Autoevaluarea completată trebuie trimisă împreună cu formularul de notificare amintit mai sus.

5. Calcularea nivelului de risc al entităţilor

În Anexa 2 a Ordinului nr. 2 găsești metoda de calcul a nivelului de risc cibernetic al unei entități. Aceasta ia în considerare tipurile de atac, actorii de amenințare, dimensiunea entității și impactul/probabilitatea incidentelor. Rezultatul este un scor care determină ce fel de măsuri de securitate cibernetică trebuie să implementeze entitatea: de bază, importante sau esențiale.

Pentru a realiza și trimite această autoevaluare ai la dispoziție:

  • Platforma NIS2@RO
  • Instrumentul ENIRE@RO (poate fi descărcat de pe dnsc.ro și platformanis2.ro), dacă platforma NIS2@RO nu este disponibilă
  • Dacă ai ales să folosești ENIRE@RO, la fel ca în cazul formularului de notificare, DNSC obligă entitățile să completeze și să încarce raportul și pe platformă, în termen de maximum 20 de zile de la data la care aceasta devine disponibilă.

Găsești mai multe detalii despre criteriile şi pragurile de determinare a gradului de perturbare a unui serviciu şi despre metodologia privind evaluarea nivelului de risc al entităţilor, accesând Ordinul nr. 2/2025.

Nu uita nici că, potrivit OUG 155/2024, această autoevaluare trebuie depusă în termen de 60 de zile de la comunicarea DNSC prin care entitatea este identificată ca esențială sau importantă.

Acestea sunt principalele noutăți aduse de noile ordine DNSC, însă abia după înregistrare încep să curgă termenele de raportare. Află ce presupune pe termen lung Directiva NIS 2 din articolul nostru, „Ce prevede Directiva NIS 2 și ce organizații trebuie să o respecte”.