
Directiva NIS 2: criterii pentru evaluarea conformității companiilor și obligațiile legale din următoarea perioadă
14 Mai 2025
Silvia Axinescu, Senior Associate Manager, și Corina Damaschin, Senior Associate, Reff & Asociații | Deloitte LegalSilvia Axinescu, Senior Associate Manager, și Corina Damaschin, Senior Associate, Reff & Asociații | Deloitte Legal
![]() |
Trei criterii pentru evaluarea conformității unei companii cu OUG 155/2024
Primul pas pe care trebuie să îl aibă în vedere companiile în vederea asigurării conformării cu cerințele OUG 155/2024 este să efectueze o analiză preliminară pentru a vedea în ce măsură cadrul legislativ în materia securității cibernetice le este aplicabil. Pentru a stabili dacă intră sub incidența ordonanței, fiecare entitate trebuie să efectueze o analiză internă bazată pe trei criterii.
Aplicabilitatea ordonanței se stabilește, în primul rând, prin identificarea sectorului de activitate, lucru realizat prin verificarea codurilor CAEN autorizate conform Registrului Comerțului și care trebuie să corespundă celor listate în anexele 1 și 2 ale OUG 155/2024. Doar activitățile autorizate la Registrul Comerțului pot genera obligații de înregistrare. În lipsa unor coduri CAEN relevante sau autorizate, entitatea nu este supusă cerințelor ordonanței.
De asemenea, este important de determinat dimensiunea companiei. Aceasta este stabilită conform Legii nr. 346/2004 privind stimularea înființării și dezvoltării întreprinderilor mici și mijlocii, în funcție de o serie de aspecte, precum numărul mediu de angajați, cifra de afaceri sau totalul activelor principale ale societății. Această clasificare presupune un demers de analiză complex și esențial pentru diferențierea între entitățile esențiale și cele importante, în scopul aplicării proporționale a obligațiilor relevante din perspectiva prevederilor OUG 155/2024.
Al treilea criteriu de luat în considerare este profilul entității. O companie poate fi considerată importantă sau esențială chiar și în lipsa îndeplinirii primelor două criterii, dacă are un impact sistemic sau strategic asupra sănătății publice, economiei, siguranței cetățenilor sau securității naționale. Acest criteriu este reglementat în articolele 9 și 10 din OUG 155/2024.
Recent, pe 30 aprilie, DNSC a publicat în transparență decizională un nou proiect de ordin pentru aprobarea criteriilor și pragurilor de determinare a gradului de perturbare a unui serviciu și a metodologiei de evaluare a nivelului de risc al entităților. Proiectul referitor la evaluarea nivelului de risc detaliază criteriile și pragurile de determinare a gradului de perturbare a unui serviciu, precum și modalitatea prin care entitățile își calculează scorul în acest sens, pornind de la valorile de bază aferente sectorului din care fac parte, prevăzute în cadrul uneia dintre anexele proiectului de ordin, precum și în conformitate cu dimensiunea acestora.
În fiecare vineri, la sediul DNSC sunt organizate consultări publice dedicate implementării OUG 155/2024, la care pot participa reprezentanți ai entităților vizate, consultanți și alți actori relevanți pentru sectorul securității cibernetice. Aceste sesiuni de lucru reprezintă o oportunitate importantă de a adresa întrebări directe și de a contribui la modelarea detaliilor procedurale.
Care sunt obligațiile și termenele pe care companiile trebuie să le aibă în vedere?
Companiile care se încadrează în prevederile OUG 155/2024 trebuie să țină cont de anumite aspecte, precum înregistrarea în Registrul Entităților esențiale gestionat de DNSC, desemnarea unei persoane de contact pentru gestionarea relației cu autoritatea, implementarea unor măsuri tehnice și organizaționale pentru protejarea sistemelor informatice și notificarea incidentele de securitate în termenul prevăzut de lege.
Termenul de înregistrare în registru este de 30 de zile de la data intrării în vigoare a OUG 155/2024 sau de la momentul la care condițiile devin aplicabile pentru o entitate. Totuși, cerințele legislative vor deveni aplicabile doar la momentul la care vor exista instrumentele tehnice puse la dispoziție de către DNSC și care vor operaționaliza Registrul Entităților și procedura de notificare. DNSC a emis un proiect de ordin la finalul lunii aprilie, care are ca obiect procedura de notificare și modul de transmitere a informațiilor în Registrul Entităților, astfel încât obligația va deveni aplicabilă pentru companii începând cu publicarea acestuia în Monitorul Oficial.
Instrumente de suport
Conform proiectului de ordin referitor la procedura de notificare emis de DNSC, autoritatea oferă sprijin prin platforma NIS2@RO atât pentru autoevaluare și informare, cât și pentru depunerea documentelor de înregistrare și notificare. Această platformă este încă în faza de dezvoltare tehnică, nefiind operațională pentru moment.
O altă opțiune pentru realizarea unei analize la nivelul organizației în vederea verificării încadrării în categoria de entități din domeniul de aplicare a OUG 155/2024 pot fi și instrumentele de autoevaluare.
Așteptările pentru perioada următoare
După publicarea celor două proiecte de ordin ale DNSC în Monitorul Oficial, entitățile vizate de OUG 155/2024 vor avea la dispoziție toate clarificările necesare legate de documentația ce va trebui depusă la autoritatea competentă, platforma de transmitere a notificărilor și etapele de verificare procedurală.
În contextul actual, este esențial ca entitățile vizate să acorde o atenție sporită în ceea ce privește intrarea sau nu sub sfera de aplicare a OUG 155/2024 și, ulterior publicării proiectelor de ordin în Monitorul Oficial, să se concentreze pe înregistrarea în Registrul Entităților.
Publicitate pe BizLawyer? |
![]() ![]() |
Articol 148 / 9641 | Următorul articol |
Publicitate pe BizLawyer? |
![]() |

RTPR a asistat acționarii Lensa la atragerea unei investiții de la OH Holding Limited. Echipa de proiect a fost coordonată de Alina Stăvaru (Partner) și Marina Fechetă-Giurgică (Senior Associate)
O gamă variată de mandate pentru avocații de Employment de la Mitel & Asociații | Schimbările din zona legislației muncii și noile tendințe în politica de personal, analizate de Mădălina Mitel (Partener) și Cristina Dan (Counsel)
PNSA, alături de un sindicat de bănci românești și internaționale cu privire la acordarea unei facilități de credit în valoare de aproximativ 173 milioane de dolari firmei Black Sea Oil & Gas. Ce avocați au fost implicați în finanțare
LegiTeam | Mitel & Asociații recrutează avocat definitiv (Real Estate)
Schoenherr, alături de M Core în achiziția Focșani Shopping Centre de la KBC Bank. Markus Piuk (partner) a coordonat echipa
LegiTeam | Mitel & Asociații recrutează avocat definitiv (Drept Societar și Comercial)
Cariere în Drept | De vorbă cu Andra Mălina Stroe, șefă de promoție a generației care și-a finalizat studiile în 2022, urmărind mai apoi o carieră în magistratură: ”Dacă te-ai ridicat la înălțimea sarcinilor în timpul facultății, este imposibil să nu reușești în a avea o carieră de succes. Înveți de la cei mai buni și ești coleg cu cei mai buni”
LegiTeam | Mitel & Asociații caută avocat stagiar pentru practica de Drept Societar și Comercial
Women Lawyers | Să fii femeie în lumea avocaturii de business de astăzi înseamnă atât provocări, cât și oportunități semnificative. Dana Bivol (Partener): ”Alături de ceilalți colegi parteneri am reușit să creăm o firmă cu un brand puternic, recunoscut pentru expertiza sa, atât pe plan local, cât și internațional. Popescu & Asociații oferă un mix ideal de oportunități profesionale, mediu de lucru pozitiv și resurse pentru dezvoltare personală și profesională”
Proiectul eșuat de lobby, prin care liderii Alianței pentru Unirea Românilor ar fi beneficiat de o întâlnire și o ședință foto cu Donald Trump la reședința din Mar-a-Lago (Florida) se lasă cu un proces în SUA. Pretenții de 4,6 mil. USD pentru că șefii partidului AUR nu s-au întâlnit cu înalți oficiali americani, peste Ocean
Rising Stars | Raluca Biță, unul dintre cei mai buni studenți ai generației sale, a ales să profeseze în sfera Dreptului financiar-bancar în echipa Filip & Company: ” Una dintre principalele mele așteptări a fost să găsesc un mediu care să mă stimuleze intelectual și să-mi ofere ocazia de a rezolva probleme complexe și am întâlnit exact asta. Fiecare caz aduce provocări unice, care necesită o combinație de cunoștințe juridice, gândire critică și creativitate în găsirea celor mai bune soluții pentru clienți”
OMV Aktiengesellschaft a mers pe mâna avocaților de la ZRVP într-un alt arbitraj ICC cu statul român și a câștigat încă 47 mil. €, plus dobânzi. Pretenții de alte 50 mil. € la orizont, într-o procedură nouă, inițiată în decembrie 2024, în care lucrează deja aceeași echipă de avocați
-
BizBanker
-
BizLeader
- in curand...
-
SeeNews
in curand...