Ghid de conformitate

Directiva NIS2 și documentele dumneavoastră: Ce trebuie să știe companiile din UE

Q: Se aplică NIS2 întreprinderilor mici?

În general, NIS2 se aplică întreprinderilor mijlocii și mari (peste 50 de angajați sau cifră de afaceri anuală de peste 10 milioane EUR) care își desfășoară activitatea în unul dintre cele 18 sectoare desemnate. Majoritatea întreprinderilor mici cu mai puțin de 50 de angajați nu intră direct în domeniul de aplicare. Cu toate acestea, unele entități se califică indiferent de dimensiune — inclusiv furnizorii de DNS, registrele TLD, furnizorii de servicii de încredere și furnizorii unici de servicii esențiale într-un stat membru. În plus, dacă sunteți furnizor al unei entități care intră în domeniul de aplicare, obligațiile acesteia privind securitatea lanțului de aprovizionare (articolul 21 alineatul (2) litera (d)) se pot extinde asupra dumneavoastră prin contract.

Q: De ce documente am nevoie pentru conformitatea cu NIS2?

Regulamentul de punere în aplicare al Comisiei (CIR 2024/2690) identifică aproximativ 30 de documente pentru cele 10 măsuri prevăzute la Articolul 21. Setul minim viabil include: o politică de securitate a informațiilor, un registru de riscuri cu planuri de tratare, un plan de răspuns la incidente, un plan de continuitate a activității, o politică de securitate a furnizorilor, un plan de instruire și conștientizare, o politică de control al accesului, o politică de criptare, o politică de impunere a MFA și un calendar de audit intern. Toate acestea trebuie să fie controlate din punct de vedere al versiunii, aprobate de conducere și revizuite cel puțin anual.

Q: Cât costă conformitatea cu NIS2 pentru un IMM?

Costurile variază semnificativ în funcție de punctul de plecare. Dacă aveți deja certificarea ISO 27001, diferența este mică — NIS2 se aliniază strâns cu controalele ISO 27001. Dacă porniți de la zero, așteptați-vă să investiți 50–200 de ore de muncă internă pe parcursul a 3–6 luni pentru documentare, evaluarea lacunelor și instruirea conducerii. Costurile de consultanță externă variază de la 5.000 EUR la 30.000 EUR, în funcție de domeniu și complexitate. Costul recurent este în principal de timp: analize trimestriale, actualizări anuale ale politicilor și înregistrări ale instruirilor.

Q: Mă poate face un DMS conform cu NIS2?

Nu. Un DMS reprezintă doar un nivel din structura de conformitate, nu întregul sistem. NIS2 necesită controale tehnice (firewall-uri, MFA, criptare), măsuri organizatorice (managementul riscurilor, proceduri de răspuns la incidente) și guvernanță (responsabilitatea conducerii, instruire). Un DMS acoperă nivelul de documentare și dovezi: politici cu versiuni controlate, fluxuri de lucru pentru aprobare, piste de audit și înregistrări organizate. Acest nivel este necesar, dar nu și suficient. Gândiți-vă la el ca la sistemul de arhivare pentru dovezile dumneavoastră de conformitate — fără el, nu puteți dovedi că respectați normele.

Q: Ce se întâmplă dacă țara mea nu a transpus încă NIS2?

NIS2 este o lege a UE și este în vigoare din 18 octombrie 2024 — indiferent dacă statul dumneavoastră membru a finalizat sau nu transpunerea națională. Odată ce legile naționale sunt adoptate, aplicarea va acoperi perioada de la data inițială de aplicare. Începerea demersurilor de conformare acum este singura abordare sigură. Așteptarea legislației naționale nu reprezintă o apărare valabilă împotriva sancțiunilor viitoare.

Q: Care este legătura dintre NIS2 și GDPR?

NIS2 și GDPR se suprapun în mai multe domenii: ambele necesită evaluări documentate ale riscurilor, ambele impun proceduri de notificare a incidentelor (GDPR: 72 de ore pentru încălcarea securității datelor cu caracter personal; NIS2: 24/72 de ore/1 lună pentru incidente semnificative), ambele solicită responsabilitatea conducerii și ambele impun amenzi substanțiale. Dacă sunteți deja conform cu GDPR, aveți un avantaj pentru NIS2 — în special în ceea ce privește practicile de documentare, controlul accesului și criptarea. Principalele noutăți aduse de NIS2 sunt securitatea lanțului de aprovizionare, planificarea continuității activității și domeniul mai larg de raportare a incidentelor.

NIS2 este cea mai mare extindere a reglementărilor UE privind securitatea cibernetică din ultimul deceniu. Aceasta vizează peste 160.000 de entități din 18 sectoare — iar majoritatea cerințelor sale se referă la documentație. Registre de riscuri, înregistrări ale incidentelor, aprobări de politici, evaluări ale furnizorilor, jurnale de instruire. Iată ce trebuie să faceți concret.

Ultima actualizare: aprilie 2026

Răspunsul pe scurt

→ NIS2 este în primul rând o provocare de documentare și guvernanță, nu una tehnologică. Șapte dintre cele zece măsuri de securitate obligatorii prevăzute la articolul 21 se referă în esență la procese documentate, politici aprobate și dovezi auditabile.
→ Dacă organizația dumneavoastră își desfășoară activitatea în unul dintre cele 18 sectoare vizate și are 50 sau mai mulți angajați (sau depășește o cifră de afaceri anuală de 10 milioane €), este foarte probabil să fiți vizați — fie ca entitate esențială, fie ca entitate importantă.
Concluzia: Un sistem de gestionare a documentelor nu vă asigură conformitatea NIS2 de unul singur. Însă o gestionare defectuoasă a documentelor — politici lipsă, lipsa istoricului versiunilor, lipsa fluxurilor de aprobare — vă garantează picarea unui audit.

Ce este NIS2 și de ce contează?

Directiva privind securitatea rețelelor și a informațiilor 2 (NIS2) este Directiva (UE) 2022/2555, adoptată în decembrie 2022 și în vigoare din ianuarie 2023. Aceasta înlocuiește directiva NIS inițială din 2016. Creșterea domeniului de aplicare este uriașă: NIS1 viza aproximativ 15.000 de entități din 7 sectoare. NIS2 acoperă peste 160.000 de entități din 18 sectoare. Este o extindere de zece ori.

Statele membre au avut obligația de a transpune NIS2 în legislația națională până la 17 octombrie 2024. Până în aprilie 2026, 21 din cele 27 de state membre au făcut acest lucru. Comisia Europeană a trimis avize motivate către 19 state membre în mai 2025 pentru necomunicarea transpunerii complete. Germania și-a finalizat transpunerea în decembrie 2025. Franța este așteptată să își finalizeze Loi Résilience la mijlocul anului 2026. Aplicarea legii a început deja.

Aspect	NIS1 (2016)	NIS2 (2022)
Entități vizate	~15.000	~160.000+
Sectoare acoperite	7	18
Amenda maximă	A variat în funcție de statul membru	10 mil. € sau 2% din cifra de afaceri globală
Răspunderea conducerii	Niciuna	Răspundere personală (Art. 20)
Raportarea incidentelor	"Fără întârzieri nejustificate"	24h / 72h / 1 lună (Art. 23)
Cerințe privind lanțul de aprovizionare	Niciuna	Obligatoriu (Art. 21 alin. (2) lit. (d))

Cu toate acestea, conform unui sondaj CyberSmart realizat în rândul a 670 de lideri de afaceri din opt țări UE, publicat în aprilie 2026, doar 16% dintre companiile vizate sunt pe deplin conforme cu NIS2. Principalele obstacole sunt constrângerile bugetare și lipsa de îndrumare privind modul de implementare a măsurilor. Acest ghid abordează cea de-a doua problemă.

Vă încadrați în domeniul de aplicare?

NIS2 se aplică entităților care își desfășoară activitatea în unul dintre cele 18 sectoare desemnate ȘI care îndeplinesc pragul privind dimensiunea. Există două clasificări ale entităților: esențiale (obligații mai stricte, supraveghere proactivă) și importante (supraveghere reactivă, dar se aplică aceleași măsuri de securitate de bază).

Pragul general de dimensiune este cel al unei întreprinderi mijlocii sau mai mari: 50 sau mai mulți angajați, SAU o cifră de afaceri anuală de peste 10 milioane EUR, SAU un bilanț anual de peste 10 milioane EUR. Unele entități se califică indiferent de dimensiune — inclusiv furnizorii de servicii DNS, registrele de nume de domenii de nivel superior (TLD), furnizorii de servicii de încredere și furnizorii de rețele publice de comunicații electronice.

Cele 18 sectoare sunt împărțite în două anexe. Ambele implică aceleași cerințe de securitate prevăzute la Articolul 21. Diferența constă în modul în care autoritățile de supraveghere interacționează cu dumneavoastră:

Clasificare	Sectoare (Anexă)	Supraveghere
Esențială (Anexa I)	Energie, transporturi, sectorul bancar, infrastructuri ale pieței financiare, sănătate, apă potabilă, ape uzate, infrastructură digitală, gestionarea serviciilor TIC (B2B), administrație publică, spațiu	Proactivă — autoritățile pot efectua audituri, inspecții și pot solicita dovezi în orice moment
Importantă (Anexa II)	Servicii poștale și de curierat, gestionarea deșeurilor, fabricarea, producerea și distribuția de substanțe chimice, producția, prelucrarea și distribuția de alimente, fabricare (dispozitive medicale, produse electronice, echipamente, autovehicule), furnizori de servicii digitale (piețe online, motoare de căutare, rețele sociale), cercetare	Reactivă — autoritățile investighează după producerea unui incident sau când apar dovezi de neconformitate

Notă: propunerea de amendament a Comisiei din ianuarie 2026 introduce o nouă categorie de „întreprinderi cu capitalizare medie mică” (small mid-cap) pentru entitățile cu mai puțin de 750 de angajați și o cifră de afaceri sub 150 de milioane EUR. Conform acestei propuneri, aceste entități ar fi clasificate ca importante, nu esențiale, chiar dacă activează în sectoarele din Anexa I. Aceasta se află încă în faza de negocieri legislative și nu este încă în vigoare.

Cele 10 măsuri de securitate obligatorii (Articolul 21)

Articolul 21 alineatul (2) enumeră zece măsuri minime de securitate pe care fiecare entitate vizată trebuie să le implementeze. Acestea nu sunt sugestii — sunt cerințe legale, detaliate suplimentar în Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei.

Aspectul cheie: urmăriți coloana „Document necesar”. Șapte din cele zece măsuri se referă în mod fundamental la existența unor politici sau proceduri documentate, aprobate și auditabile. Aici intervine în mod direct un sistem de management al documentelor (DMS).

#	Cerință	Ce înseamnă	Document necesar
(a)	Politici privind analiza riscurilor și securitatea sistemelor informatice	Identificați-vă riscurile, evaluați-le și documentați modul în care le gestionați	Registru de riscuri, metodologie de evaluare a riscurilor, politică de securitate
(b)	Gestionarea incidentelor	Detectați, răspundeți și învățați din incidentele de securitate	Plan de răspuns la incidente, matrice de escaladare, șablon de analiză post-incident
(c)	Continuitatea activității și gestionarea crizelor	Gestionarea copiilor de rezervă (backup), recuperarea în caz de dezastru și răspunsul la criză	Plan de continuitate a activității, plan de recuperare în caz de dezastru, politică de backup
(d)	Securitatea lanțului de aprovizionare	Evaluați și gestionați riscurile de securitate cibernetică provenite de la furnizori	Politică de securitate a furnizorilor, fișe de evaluare a partenerilor
(e)	Securitatea în achiziția, dezvoltarea și întreținerea sistemelor	Gestionarea vulnerabilităților și practici de dezvoltare securizată	Procedură de gestionare a patch-urilor, politică de divulgare a vulnerabilităților
(f)	Testarea eficacității	Evaluați dacă măsurile dumneavoastră de securitate funcționează cu adevărat	Calendar de audit intern, rapoarte de testare, tablou de bord KPI
(g)	Practici de bază de igienă cibernetică și instruire	Instruiți personalul și transformați bunele practici de securitate într-o rutină	Plan de instruire, liste de prezență, materiale de conștientizare
(h)	Criptografie și criptare	Politici pentru criptarea datelor stocate și în tranzit	Politică de criptografie, procedură de gestionare a cheilor
(i)	Securitatea resurselor umane și controlul accesului	Gestionați cine are acces la ce resurse, de la angajare până la plecare	Politică de control al accesului, procedură de onboarding/offboarding
(j)	Autentificarea cu mai mulți factori și comunicații securizate	MFA pe sistemele critice, comunicații securizate de voce/video/text	Politică de impunere a MFA, standarde de comunicații securizate

NIS2 este o problemă de documentare

Aici eșuează majoritatea ghidurilor NIS2. Acestea explică cele 10 măsuri, enumeră sectoarele și trec mai departe. Însă adevărata provocare de conformitate nu este instalarea unui firewall sau activarea MFA — majoritatea companiilor mijlocii le au deja. Provocarea este să puteți dovedi acest lucru.

Auditorii nu vă verifică regulile din firewall. Ei vă verifică documentația. Vor să vadă că politicile există, sunt actuale (revizuite în ultimele 12 luni), au aprobarea documentată a conducerii și sunt versionate cu un istoric al modificărilor. Sub directiva NIS2, dovezile reprezintă conformitatea în sine.

Regulamentul de punere în aplicare al Comisiei (UE 2024/2690) transpune Articolul 21 în aproximativ 30 de documente specifice pe care entitățile trebuie să le genereze și să le mențină. Acestea nu sunt opționale — sunt exact documentele pe care autoritățile de supraveghere le vor solicita în timpul unui audit sau în urma unui incident.

Tip de dovadă	Ce verifică auditorii	Cum ajută un DMS
Documente de politică	Versiunea curentă, aprobarea conducerii, data revizuirii, istoricul versiunilor	Controlul versiunilor, fluxuri de aprobare, istoric de audit pentru fiecare modificare
Registrul de riscuri	Corelarea active-riscuri-controale, responsabili desemnați, stadiul tratării, jurnale de revizuire	Stocare structurată cu metadate, căutare după responsabil sau status
Înregistrări ale incidentelor	Cronologie, clasificare, acțiuni de răspuns, analiză post-incident, retenție de minimum 5 ani	Jurnale de audit imutabile, politici de retenție, căutare în textul complet
Evaluări ale furnizorilor	Chestionare de securitate completate, clauze de securitate în contracte, revizuiri periodice	Stocarea contractelor, etichetare după furnizor, memento-uri pentru reînnoiri
Înregistrări ale instruirilor	Jurnale de prezență, date de finalizare, dovezi de instruire a conducerii	Arhivarea documentelor, căutare pe bază de dată, organizare pe categorii
Decizii de management	Minute ale ședințelor de consiliu care atestă discuțiile despre securitatea cibernetică, aprobarea acceptării riscurilor	Fluxuri de aprobare cu marcaje temporale și aprobatori nominalizați

Tema recurentă este trasabilitatea. Fiecare document trebuie să răspundă la întrebările: cine l-a creat, când, cine l-a aprobat, când a fost revizuit ultima dată și ce s-a schimbat față de versiunea anterioară. Un simplu folder pe un drive partajat nu poate oferi acest lucru. Un DMS cu istoric al versiunilor și fluxuri de aprobare o face.

Raportarea incidentelor: regula 24-72-1

Articolul 23 impune un proces de raportare a incidentelor în trei etape pentru incidentele semnificative. Nerespectarea acestor termene limită reprezintă în sine o încălcare a conformității. Fiecare etapă necesită dovezi documentate — ceea ce înseamnă că nivelul de calitate al înregistrărilor dumneavoastră privind incidentele este direct legat de expunerea dumneavoastră la riscuri de reglementare.

24 de ore

Avertizare timpurie

Notificați CSIRT-ul național în termen de 24 de ore de la momentul în care ați luat cunoștință de un incident semnificativ. Aceasta este o alertă preliminară — nu o analiză completă.

72 de ore

Notificarea incidentului

Trimiteți o evaluare inițială a incidentului: severitatea, impactul, indicatorii de compromitere și efectele transfrontaliere.

1 lună

Raport final

Prezentați un raport detaliat: analiza cauzei principale, măsurile de remediere luate și impactul transfrontalier. Dacă incidentul este încă în desfășurare, trimiteți un raport de progres.

În practică, organizațiile care nu dispun de un sistem structurat de management al documentelor fac eforturi disperate să adune dovezile incidentului sub presiunea timpului. Cele care mențin înregistrări organizate — cu marcaje temporale, istoric al versiunilor și arhive ușor de căutat — pot furniza autorităților de reglementare tot ce au nevoie în câteva ore, nu în săptămâni.

Care este situația în țara dumneavoastră?

NIS2 ar fi trebuit să fie transpusă în legislația națională până la 17 octombrie 2024. În realitate, implementarea a fost lentă. Până în aprilie 2026, 21 din cele 27 de state membre au finalizat transpunerea conform monitorizării ECSO. Comisia Europeană a trimis avize motivate către 19 state în mai 2025, acordându-le două luni pentru a finaliza transpunerea sau pentru a risca proceduri în fața Curții de Justiție.

Iată situația celor mai mari șase economii din UE:

Țară	Status	Detalii
Germania	Transpusă	Legea BSI adoptată la 6 decembrie 2025. În vigoare fără perioadă de tranziție. Prima amendă aplicată: 850.000 EUR unui furnizor de servicii cloud (februarie 2026).
Franța	În curs	Proiectul de lege „Loi Résilience” a trecut de prima lectură în Adunarea Națională. Adoptarea finală este estimată pentru T1/T2 2026. ANSSI a deschis investigații vizând 14 entități.
Italia	Transpusă	Decretul legislativ 138/2024 este în vigoare din octombrie 2024. ACN raportează peste 4.800 de entități înregistrate; aproximativ 2.000 sunt încă neînregistrate.
Spania	Blocată	Nu se preconizează progrese legislative în viitorul apropiat.
Țările de Jos	În curs	Legea privind securitatea cibernetică (Cbw) este în pregătire. Termenul limită pentru autoevaluarea entităților este stabilit pentru iunie 2026.
Polonia	În curs	Modificarea Legii privind sistemul național de securitate cibernetică este aproape de finalizare.

Chiar dacă țara dumneavoastră nu a transpus încă NIS2, directiva se aplică.

NIS2 este în vigoare ca legislație a UE din 18 octombrie 2024. Autoritățile naționale vor aplica cerințele retroactiv odată ce transpunerea este finalizată. Începerea demersurilor de conformare acum — în loc de a aștepta legislația națională — este singura abordare sigură.

Sancțiunile sunt reale

NIS2 introduce două niveluri de amenzi administrative, modelate după structura de sancțiuni din GDPR. Statele membre pot stabili plafoane maxime peste aceste praguri minime, dar nu sub ele.

Tip de entitate	Amendă maximă	Alternativă bazată pe cifra de afaceri	Competențe suplimentare
Esențială	10.000.000 EUR	sau 2% din cifra de afaceri anuală globală (oricare dintre acestea este mai mare)	Instrucțiuni obligatorii, audituri de securitate pe cheltuiala entității, interdicții temporare de exercitare a funcțiilor de conducere
Importantă	7.000.000 EUR	sau 1,4% din cifra de afaceri anuală globală (oricare dintre acestea este mai mare)	Instrucțiuni obligatorii, audituri de securitate pe cheltuiala entității

Articolul 20 adaugă răspunderea personală: organele de conducere trebuie să aprobe măsurile de gestionare a riscurilor de securitate cibernetică și să supravegheze punerea lor în aplicare. Membrii conducerii pot fi trași la răspundere personal pentru neconformitate. În unele state membre, inclusiv în Germania, aceasta se extinde la interdicții temporare de a ocupa funcții de conducere.

Aplicarea legii urmează modelul de început al GDPR. Autoritatea germană BSI a emis 47 de notificări oficiale în T4 2025 și prima sa sancțiune financiară (850.000 EUR împotriva unui furnizor de servicii cloud) în februarie 2026. ANSSI din Franța a deschis 14 investigații. ACN din Italia s-a concentrat pe impunerea înregistrării. Se preconizează că sancțiunile financiare semnificative vor crește pe parcursul anilor 2026–2027, pe măsură ce mecanismele naționale de aplicare devin mature.

Propunerea de simplificare din ianuarie 2026

La 20 ianuarie 2026, Comisia Europeană a publicat o propunere de amendamente punctuale la NIS2, ca parte a unui pachet mai amplu de securitate cibernetică. Scopul declarat este de a simplifica conformarea, de a crește securitatea juridică și de a armoniza implementarea. Propunerea va urma procedura legislativă ordinară, un acord politic fiind vizat pentru începutul anului 2027.

Iată ce s-ar putea schimba — și ce va rămâne neschimbat:

NU se va schimba

×Cele 10 măsuri de securitate obligatorii (Articolul 21)
×Cerințele de documentare și dovezi
×Termenele de raportare a incidentelor (24h/72h/1 lună)
×Structura sancțiunilor și răspunderea conducerii

Se poate schimba (în stadiu de propunere)

✓O nouă categorie de „întreprinderi cu capitalizare medie mică” (<750 de angajați, <150 mil. EUR cifră de afaceri) — reclasificate ca importante în loc de esențiale
✓Cale de conformare bazată pe certificare prin intermediul Cadrului European de Certificare a Securității Cibernetice
✓Furnizorii micro și mici de servicii DNS sunt excluși din domeniul de aplicare
✓Armonizare maximă pentru actele de punere în aplicare — mai puține divergențe naționale

Direcția este clară: conformarea cu NIS2 devine mai simplă, dar nu mai puțin riguroasă. Obligațiile de bază rămân. Dacă amânați conformarea sperând că amendamentele vă vor excepta, vă asumați un risc juridic. Propunerea restrânge domeniul de aplicare la margini, dar nu reduce cerințele pentru entitățile care rămân vizate.

Listă de verificare practică pentru IMM-uri

Dacă citiți acest ghid pentru că responsabilul dumneavoastră cu conformitatea a spus „s-ar putea să fim vizați” — iată calea minimă viabilă de urmat. Acesta nu este un plan complet de implementare NIS2. Este setul de acțiuni care vă va duce de la zero la stadiul de pregătire pentru audit în ceea ce privește cerințele de documentare.

Determinați dacă vă încadrați în domeniul de aplicare

Verificați sectorul dumneavoastră de activitate în Anexele I și II. Aplicați pragul de dimensiune (peste 50 de angajați sau peste 10 mil. EUR cifră de afaceri). Dacă aveți nelămuriri, consultați registrul autorității naționale — mai multe state membre au publicat liste de entități sau instrumente de autoevaluare.

Clasificați entitatea ca esențială sau importantă

Sectoarele din Anexa I sunt, în general, esențiale; cele din Anexa II sunt, de regulă, importante. Distincția afectează intensitatea supravegherii, dar nu și cerințele de bază ale Articolului 21. Documentați argumentația clasificării dumneavoastră.

Efectuați o evaluare a lacunelor (gap assessment) pentru cele 10 măsuri

Pentru fiecare dintre cele 10 măsuri din Articolul 21, răspundeți: avem o politică documentată? Este aprobată de conducere? A fost revizuită în ultimele 12 luni? Avem dovezi ale implementării? Notați lacunele identificate.

Construiți-vă pachetul de dovezi

Începeți cu cele trei registre de bază: riscuri, incidente și furnizori. Adăugați o politică de securitate a informațiilor, un plan de continuitate a activității și un jurnal de instruire. Fiecare document are nevoie de un responsabil, o dată de revizuire, controlul versiunilor și aprobarea conducerii.

Configurați managementul ciclului de viață al documentelor

Fiecare document de politică NIS2 are nevoie de o dată de creare, o înregistrare a aprobării, un program de revizuire și un istoric al versiunilor. Dacă gestionați acest lucru într-un folder partajat, veți pierde evidența în câteva luni. Un DMS cu fluxuri de aprobare și jurnale de audit face acest proces sustenabil.

Planificați revizuirile conducerii și instruirile

Articolul 20 impune organelor de conducere să aprobe măsurile de securitate cibernetică și să urmeze instruiri specifice. Planificați revizuiri trimestriale, documentați prezența și păstrați evidența deciziilor. Acestea sunt dovezile pe care auditorii le verifică primele.

Cum ajută Veluvanto la documentarea NIS2

Veluvanto nu este o platformă GRC. Nu înlocuiește metodologia dumneavoastră de evaluare a riscurilor sau procedurile de răspuns la incidente. Ceea ce face este să ofere nivelul de management al documentelor care face sustenabilă gestionarea dovezilor NIS2 — partea cu care majoritatea companiilor se luptă după efortul inițial de conformare.

✓Stocarea documentelor cu controlul versiunilor: fiecare editare este înregistrată cu marcaj temporal, utilizator și versiunea anterioară. Puteți reconstitui starea oricărui document în orice moment — exact ceea ce solicită auditorii.
✓Fluxuri de aprobare: direcționați documentele de politică spre aprobarea conducerii, cu urmărirea statusului. Lanțul de aprobare creează istoricul de dovezi cerut de Articolul 20.
✓Jurnal de audit complet: fiecare acțiune asupra unui document (încărcare, vizualizare, editare, aprobare, arhivare) este înregistrată. Nu este necesară urmărirea manuală — dovezile de conformitate sunt generate automat.
✓Căutare și organizare bazate pe AI: găsiți orice document în câteva secunde folosind interogări în limbaj natural. Când un auditor vă solicită evaluările de securitate ale furnizorilor din T3, le puteți accesa imediat, fără a căuta prin foldere.
✓Găzduirea datelor în UE și criptare: documentele sunt stocate în UE cu criptare AES-256 la stocare și în tranzit. Nicio dată nu părăsește spațiul de date al UE — spre deosebire de anumite instrumente bazate pe AI care direcționează procesarea prin centre de date din SUA în perioadele de vârf.
✓Conform GDPR prin design: izolare la nivel de client (tenant), criptare SSE-C și management al ciclului de viață al datelor. NIS2 și GDPR se suprapun semnificativ în ceea ce privește cerințele de documentare — un sistem care satisface una dintre reglementări vă aduce aproape de conformitatea cu cealaltă.

Cea mai dificilă parte a conformității cu NIS2 nu este configurarea inițială — ci menținerea dovezilor în timp. Politicile devin învechite, revizuirile sunt omise, înregistrările instruirilor dispar. Un DMS care impune controlul versiunilor, urmărește aprobările și înregistrează fiecare acțiune transformă conformitatea dintr-un efort trimestrial haotic într-un proces automatizat de fundal.

Surse și lecturi suplimentare

Acest ghid se bazează pe următoarele surse primare. Datele din paranteze indică data publicării sau a ultimei actualizări a fiecărei surse.

Directiva (UE) 2022/2555 (Directiva NIS2) — Textul complet pe EUR-Lex (decembrie 2022)
Regulamentul de punere în aplicare (UE) 2024/2690 al Comisiei — Măsuri tehnice pentru conformitatea cu NIS2 (octombrie 2024)
COM(2026) 13 — Propunere de amendamente specifice la NIS2 și alinierea cu Regulamentul privind securitatea cibernetică (ianuarie 2026)
ECSO NIS2 Transposition Tracker — 21/27 de state membre au transpus directiva până în aprilie 2026
Comisia Europeană, Aviz motivat adresat unui număr de 19 state membre privind transpunerea NIS2 (mai 2025)
CyberSmart, „Doar 16% dintre companii sunt pe deplin conforme cu NIS2” — Sondaj realizat în rândul a 670 de lideri de afaceri (aprilie 2026)
ENISA, Ghid de implementare tehnică NIS2 (2025)
BSI Germania — Prima sancțiune NIS2: 850.000 € aplicată unui furnizor de servicii cloud (februarie 2026)
Evaluarea impactului realizată de Comisia Europeană — Domeniul de aplicare NIS2: ~160.000 de entități din 18 sectoare

Ghiduri similare

Managementul documentelor pentru GDPR

Cum să stocați, să organizați și să protejați datele cu caracter personal în DMS-ul dumneavoastră — NIS2 și GDPR prezintă suprapuneri semnificative în ceea ce privește documentația

Regulamentul UE privind IA și managementul documentelor

Celălalt termen-limită major de conformitate din UE în 2026 — obligații de transparență pentru funcțiile AI din DMS-ul dumneavoastră

Fluxuri de lucru pentru aprobarea documentelor

Cum să configurați lanțuri de aprobare pentru documentele de politici — fundamentul dovezilor de guvernanță NIS2

Întrebări frecvente

Se aplică NIS2 întreprinderilor mici?

În general, NIS2 se aplică întreprinderilor mijlocii și mari (peste 50 de angajați sau cifră de afaceri anuală de peste 10 milioane EUR) care își desfășoară activitatea în unul dintre cele 18 sectoare desemnate. Majoritatea întreprinderilor mici cu mai puțin de 50 de angajați nu intră direct în domeniul de aplicare. Cu toate acestea, unele entități se califică indiferent de dimensiune — inclusiv furnizorii de DNS, registrele TLD, furnizorii de servicii de încredere și furnizorii unici de servicii esențiale într-un stat membru. În plus, dacă sunteți furnizor al unei entități care intră în domeniul de aplicare, obligațiile acesteia privind securitatea lanțului de aprovizionare (articolul 21 alineatul (2) litera (d)) se pot extinde asupra dumneavoastră prin contract.

De ce documente am nevoie pentru conformitatea cu NIS2?

Regulamentul de punere în aplicare al Comisiei (CIR 2024/2690) identifică aproximativ 30 de documente pentru cele 10 măsuri prevăzute la Articolul 21. Setul minim viabil include: o politică de securitate a informațiilor, un registru de riscuri cu planuri de tratare, un plan de răspuns la incidente, un plan de continuitate a activității, o politică de securitate a furnizorilor, un plan de instruire și conștientizare, o politică de control al accesului, o politică de criptare, o politică de impunere a MFA și un calendar de audit intern. Toate acestea trebuie să fie controlate din punct de vedere al versiunii, aprobate de conducere și revizuite cel puțin anual.

Cât costă conformitatea cu NIS2 pentru un IMM?

Costurile variază semnificativ în funcție de punctul de plecare. Dacă aveți deja certificarea ISO 27001, diferența este mică — NIS2 se aliniază strâns cu controalele ISO 27001. Dacă porniți de la zero, așteptați-vă să investiți 50–200 de ore de muncă internă pe parcursul a 3–6 luni pentru documentare, evaluarea lacunelor și instruirea conducerii. Costurile de consultanță externă variază de la 5.000 EUR la 30.000 EUR, în funcție de domeniu și complexitate. Costul recurent este în principal de timp: analize trimestriale, actualizări anuale ale politicilor și înregistrări ale instruirilor.

Mă poate face un DMS conform cu NIS2?

Nu. Un DMS reprezintă doar un nivel din structura de conformitate, nu întregul sistem. NIS2 necesită controale tehnice (firewall-uri, MFA, criptare), măsuri organizatorice (managementul riscurilor, proceduri de răspuns la incidente) și guvernanță (responsabilitatea conducerii, instruire). Un DMS acoperă nivelul de documentare și dovezi: politici cu versiuni controlate, fluxuri de lucru pentru aprobare, piste de audit și înregistrări organizate. Acest nivel este necesar, dar nu și suficient. Gândiți-vă la el ca la sistemul de arhivare pentru dovezile dumneavoastră de conformitate — fără el, nu puteți dovedi că respectați normele.

Ce se întâmplă dacă țara mea nu a transpus încă NIS2?

NIS2 este o lege a UE și este în vigoare din 18 octombrie 2024 — indiferent dacă statul dumneavoastră membru a finalizat sau nu transpunerea națională. Odată ce legile naționale sunt adoptate, aplicarea va acoperi perioada de la data inițială de aplicare. Începerea demersurilor de conformare acum este singura abordare sigură. Așteptarea legislației naționale nu reprezintă o apărare valabilă împotriva sancțiunilor viitoare.

Care este legătura dintre NIS2 și GDPR?

NIS2 și GDPR se suprapun în mai multe domenii: ambele necesită evaluări documentate ale riscurilor, ambele impun proceduri de notificare a incidentelor (GDPR: 72 de ore pentru încălcarea securității datelor cu caracter personal; NIS2: 24/72 de ore/1 lună pentru incidente semnificative), ambele solicită responsabilitatea conducerii și ambele impun amenzi substanțiale. Dacă sunteți deja conform cu GDPR, aveți un avantaj pentru NIS2 — în special în ceea ce privește practicile de documentare, controlul accesului și criptarea. Principalele noutăți aduse de NIS2 sunt securitatea lanțului de aprovizionare, planificarea continuității activității și domeniul mai larg de raportare a incidentelor.

Schimbă limba

Schimbă limba

Directiva NIS2 și documentele dumneavoastră: Ce trebuie să știe companiile din UE

Răspunsul pe scurt

Ce este NIS2 și de ce contează?

Vă încadrați în domeniul de aplicare?

Cele 10 măsuri de securitate obligatorii (Articolul 21)

NIS2 este o problemă de documentare

Raportarea incidentelor: regula 24-72-1

Care este situația în țara dumneavoastră?

Sancțiunile sunt reale

Propunerea de simplificare din ianuarie 2026

Listă de verificare practică pentru IMM-uri

Cum ajută Veluvanto la documentarea NIS2

Surse și lecturi suplimentare

Ghiduri similare

Întrebări frecvente

Nu mai căuta documente. Începe să le găsești.