DIRECTIVA NIS2: OBLIGAȚII DE NOTIFICARE PENTRU ENTITĂȚILE VIZATE, DUPĂ PUBLICAREA NORMELOR DE APLICARE

Cu o întârziere de aproape șase luni de la termenul inițial anunțat (31 martie 2025),  au fost publicate normele de aplicare a Directivei NIS2¹ , prin Ordinul nr. 1/2025 pentru aprobarea Cerințelor privind procesul de notificare în vederea înregistrării și metoda de transmitere a informațiilor, și Ordinul nr. 2/2025 pentru aprobarea Criteriilor și pragurile de determinare a gradului de perturbare a unui serviciu și a metodologiei de evaluare a nivelului de risc al entităților, emise de Directoratul Național de Securitate Cibernetică (DNSC) și publicate în Monitorul Oficial nr. 776 din 20 august 2025.

Pentru mai multe informații privind Directiva NIS2, a se vedea articolul nostru publicat anterior: https://www.gruiadufaut.com/ro/postari/transpunerea-directivei-nis2-ce-obligatii-noi-apar-pentru-companii

Termen-limită pentru notificare

Potrivit noilor reglementări, entitățile vizate de OUG nr. 155/2024 au obligația să notifice DNSC cu privire la încadrarea lor ca entitate esențială sau importantă, până la data de 19 septembrie 2025. Până la operaționalizarea platformei NIS2 anunțate, notificările pot fi transmise prin Instrumentul NIS2 disponibil pe site-ul DNSC, care generează un formular în format PDF, ce trebuie semnat de reprezentantul legal și trimis pe e-mail ².

Îndată ce platforma va fi operațională, fiecare entitate vizată are obligația de a-și creea un cont propriu. Formularul de notificare este structurat în șase secțiuni:

• Date generale: denumirea și identificarea entității, după caz, număr de înregistrare în alte registre naţionale, pentru entităţile care nu sunt înregistrate în România, date de contact, activitatea principală și, după caz, secundară autorizată (CAEN). Se completează CAEN-urile secundare autorizate care au corespondenţă în sectoarele şi subsectoarele cuprinse în anexele nr. 1 şi 2 la Ordonanţa de urgenţă a Guvernului nr. 155/2024
• Date specifice: dimensiunea entității (număr de angajați, cifră de afaceri, active), sectorul și subsectorul în care activează, date despre responsabilul cu securitatea cibernetică³ (atunci când acesta este deja desemnat) și persoanele de contact, intervalele de adrese IP publice, prezența în alte state UE.
• Situații specifice: rezultatele autoevaluării privind impactul perturbării serviciilor, statutul de entitate critică (dacă a fost sau nu identificată astfel), analiza dependenței de infrastructuri IT&C de interes național sau de rolul de furnizor unic al unui serviciu esențial.
• Documente anexate: este obligatorie atașarea documentelor prevăzute de dispozițiile legale, precum acte privind dimensiunea entității (extrase ONRC, situații financiare, declarații pe proprie răspundere), rezultatele autoevaluării și, după caz, documente suplimentare solicitate de DNSC.
• Evaluare preliminară: se referă la propunerea de calificare drept entitate esențială sau importantă, ca urmare a autoevaluării entității în conformitate cu OUG nr. 155/2024 și cu cerințele prevăzute de Ordinul nr. 1/2025.
• Reprezentare entitate: datele de identificare, funcția deținută și semnătura reprezentantului legal.

Notificarea trebuie semnată cu semnătură electronică calificată. În cazul transmiterii prin Instrumentul NIS2, este permisă și utilizarea semnăturii olografe.

Note: 

1. Directiva (UE) 2022/2555, cunoscută sub numele de Diectiva NIS2, reprezintă noul cadru european privind securitatea cibernetică, adoptat în 2022 și înlocuiește Directiva NIS din 2016. Aceasta extinde categoriile de entități vizate (energie, transport, sănătate, infrastructuri digitale, administrație publică, servicii poștale, alimentare, IT și altele), introduce obligații clare de implementare a măsurilor de securitate și de raportare a incidentelor, precum și sancțiuni severe (amenzi de până la 10 milioane euro sau 2% din cifra de afaceri anuală globală). Statele membre trebuie să o aplice prin legislația națională începând cu 17 octombrie 2024; în România a fost transpusă prin OUG nr. 155/2024.
2. Adresa email este:evidenta@dnsc.ro
3. Potrivit modificărilor recente aduse OUG nr. 155/2024, entitățile au la dispoziție 30 de zile de la primirea notificării privind înscrierea în registrul DNSC pentru a numi această persoană.