📚 Modul 1: Fundamentele NIS2 și Legislația

Pregătire pentru Examenul Responsabil NIS - România 2025

Progres: Modul 1 / 6 - Fundamentele → Domenii → Măsuri → Riscuri → Grile Practice → Simulare Finală

🎯 Ce este Directiva NIS2?

NIS2 este acronimul pentru Network and Information Systems Directive 2 - Directiva europeană 2022/2555 privind securitatea cibernetică. Aceasta înlocuiește și extinde Directiva NIS1 din 2016, aducând cerințe mult mai stricte și aplicabile la mai multe sectoare de activitate.

De ce a fost creată NIS2?

  • Creșterea exponențială a atacurilor cibernetice asupra infrastructurilor critice
  • Interdependența din ce în ce mai complexă a sistemelor digitale (IoT, 5G, Cloud, AI)
  • Incidente majore care au afectat servicii esențiale (de ex: 26 de spitale în 2024)
  • Necesitatea unui cadru unificat la nivel european pentru apărare colectivă
  • Protejarea drepturilor fundamentale și a economiei digitale europene
NIS2 nu este doar o directivă de conformitate - este o strategie de apărare cibernetică la nivel național. România o transpune prin OUG 155/2024, sub coordonarea DNSC (Directoratul Național de Securitate Cibernetică).

📋 Cadrul Legislativ Românesc

Actele Normative Principale

Act Normativ Data Publicării Scop Principal Status
OUG nr. 155/2024 31 decembrie 2024 Transpunere NIS2 - cadrul legal complet Activ
Legea nr. 124/2025 7 iulie 2025 Aprobarea OUG 155/2024 Activ
Ordinul DNSC nr. 1/2025 20 august 2025 Cerințe notificare și înregistrare Activ
Ordinul DNSC nr. 2/2025 20 augusztus 2025 Metodologie evaluare risc și impact Activ

Rolul Fiecărui Act Normativ

OUG 155/2024 - Baza Legislativă Definește entitățile esențiale și importante, obligațiile lor, responsabilități, sancțiuni. Este cadrul principal în care se va mișca activitatea ta ca Responsabil NIS.
Ordinul DNSC nr. 1/2025 - Proceduri de Notificare Stabilește exact cum transmiti datele cu privire la entitate către DNSC, prin ce platformă (NIS2@RO), în ce format, cu ce semnătură. Este ghidul operațional pentru înregistrare.
Ordinul DNSC nr. 2/2025 - Evaluarea Riscurilor Conține metodologia pentru a calcula nivelul de risc al entității (scor: 0-3000 puncte). Aceasta determină ce măsuri de securitate trebuie să implementezi (de bază, importante, esențiale).

🏢 Entități Esențiale (EE) vs Entități Importante (EI)

Diferența Fundamentală

Aspect Entități Esențiale Entități Importante
Domenii Tipice Energie, Transport, Sănătate, Apă, Bancar, Administrație Alimentație, Deșeuri, Curierat, Poștă, Cloud, Marketplace
Impactul Unei Întreruperi Foarte major - afectează siguranța națională Semnificativ - afectează o parte importantă a populației
Mărimea (general) Orice mărime, dar de obicei mari organizații Medii și mari (250+ angajați sau 50M EUR)
Obligații de Securitate Nivelul maxim - esențial + important Nivelul mediu-ridicat - important
Audit Extern OBLIGATORIU, anual Pentru unele categorii
Sancțiuni (max) 10.000.000 EUR sau 2% din cifra de afaceri 7.000.000 EUR sau 1,4% din cifra de afaceri

🥛 Care este Situația Companiei Tale?

Pentru o fabrică de lactate (producție și distribuție alimentară):

✓ Se încadrează ca Entitate Importantă (EI) conform Anexei 2
✓ Obligații de securitate: nivelul "Important" și "Esențial"
✓ Raportarea incidentelor în 24 de ore
✓ Audit extern (dacă conform metodologiei)
✓ Implementarea unui Responsabil NIS (tu!)

👥 Instituții și Autorități Implicate

European Level

ENISA (European Union Agency for Cybersecurity)

Agenția europeană care coordonează implementarea NIS2 în toate statele membre.

Naţional

DNSC (Directoratul Național de Securitate Cibernetică)

Autoritatea principală în România pentru implementarea și supravegherea NIS2.

Sectorial

Autorități Sectoriale

ANCOM (telecomunicații), ANRE (energie), etc. - supraveghează domenii specifice.

👤 Responsabilul NIS - Cine Ești Tu?

Responsabilul NIS este persoana care:
  • Coordonează implementarea cerințelor de securitate cibernetică
  • Este punctul de contact permanent cu DNSC
  • Monitorizează riscurile și incidentele
  • Asigură raportarea corectă și la timp
  • Elaborează și revizuiește politici de securitate

Cerințe pentru Responsabil NIS

Cerință Termen
Desemnare după înregistrare la DNSC 30 zile
Curs acreditat DNSC (dacă fără certificare) 12 luni
Acces direct la conducere Permanent

🎓 Concepte Cheie pentru Examen

Entitate Esențială (EE) Organizație din sectoare critice cu impact major asupra siguranței și funcționării societății.
Entitate Importantă (EI) Organizație din sectoare semnificative cu impact semnificativ la nivel economic și social.
Incident Cibernetic Semnificativ Orice eveniment care afectează disponibilitatea/integritate datelor și trebuie raportat DNSC în 24 de ore.
Risc Cibernetic Combinația dintre probabilitatea unui atac și impactul acestuia: Risc = Impact × Probabilitate

✅ Recap - Răspunsuri la Grile din Modul 1

1. Actul normativ principal NIS 2 în România? - OUG nr. 155/2024

2. Autoritate competentă în domeniu? - DNSC

3. Procesul de notificare reglementat de? - Ordinul DNSC nr. 1/2025

4. Desemnarea Responsabil NIS în? - 30 de zile

Curs Responsabil NIS - Pregătire pentru Examen

Modul 1 Completat ✓ | Versiune: 2025