Devino avocat partener Încearcă acum
<
Imagine articol

Ce aduce nou Directiva NIS2 în materia securității cibernetice și cum afectează companiile din România?

Publicat pe 30 august 2025 · de Ionut Adrian Mititi

Directiva (UE) 2022/2555, cunoscută sub numele de Directiva NIS2, reprezintă un pas esențial al Uniunii Europene în direcția consolidării rezilienței cibernetice la nivelul statelor membre. Adoptată în contextul intensificării atacurilor informatice și al digitalizării accelerate a serviciilor esențiale, NIS2 înlocuiește vechea Directivă NIS (UE) 2016/1148 și extinde semnificativ sfera de aplicare a reglementărilor în domeniul securității rețelelor și sistemelor informatice.

Ce trebuie sa stii?

Principala noutate adusă de Directiva NIS2 constă în lărgirea domeniului de aplicare, incluzând un număr mult mai mare de entități, atât publice, cât și private. Pe lângă sectoarele clasice, precum energie, transporturi, sănătate, infrastructură digitală și furnizorii de servicii cloud, NIS2 acoperă și domenii precum gestionarea deșeurilor, serviciile poștale, furnizarea de produse critice, serviciile de comunicații electronice și chiar serviciile de cercetare în anumite domenii. Practic, toate entitățile care prestează activități esențiale pentru funcționarea societății sau a economiei devin obligate să respecte cerințe stricte în materia securității cibernetice.

Directiva impune obligații tehnice și organizatorice riguroase, printre care se numără identificarea și gestionarea riscurilor, implementarea unor măsuri preventive eficiente, notificarea incidentelor de securitate într-un termen foarte scurt, precum și asigurarea unei culturi organizaționale axate pe securitate informatică. Deosebit de importantă este prevederea potrivit căreia conducerea societății – membrii organelor de decizie – poate răspunde personal pentru neîndeplinirea obligațiilor instituite prin legislația de transpunere a NIS2. Aceasta aduce un plus de responsabilizare la nivel managerial și plasează securitatea cibernetică în centrul strategiilor corporative.

În ceea ce privește sancțiunile, regimul instituit de Directiva NIS2 este considerabil mai sever decât cel anterior. Pentru entitățile esențiale, amenzile pot ajunge până la 10 milioane de euro sau 2% din cifra de afaceri globală anuală, în timp ce pentru entitățile importante, sancțiunile pot fi de până la 7 milioane de euro sau 1,4% din cifra de afaceri. Aceste cuantumuri plasează Directiva NIS2 pe același plan cu reglementările în materie de protecție a datelor cu caracter personal, subliniind seriozitatea cu care UE tratează securitatea digitală.

Directiva a intrat în vigoare la data de 16 ianuarie 2023, iar statele membre, inclusiv România, au obligația de a o transpune în legislația națională până cel târziu în luna septembrie 2024. Aceasta înseamnă că entitățile vizate trebuie să ia din timp măsuri concrete de conformare, având în vedere complexitatea implementării și implicațiile juridice și tehnice ale noilor reglementări.

Concluzia?

În concluzie, Directiva NIS2 impune un standard unitar ridicat de securitate cibernetică pentru toate entitățile care desfășoară activități considerate esențiale sau importante. Având în vedere riscurile de conformare, precum și sancțiunile prevăzute, companiile trebuie să trateze cu maximă seriozitate noile obligații și să demareze din timp procesele interne de evaluare, restructurare și implementare. În acest context, asistența juridică specializată devine esențială pentru a asigura respectarea cerințelor legale și protejarea activității în fața unui peisaj digital din ce în ce mai complex și amenințător.