NIS2 in Rumänien

1. Kurzer Anwendbarkeitsüberblick für SMEs in Rumänien

Gilt NIS2 für KMU in Rumänien?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in Rumänien ansässige Unternehmen und in bestimmten Fällen für ausländische digitale Anbieter, die den rumänischen Markt bedienen.

SMEs sollten ihre Einstufung nach dem nationalen Cybersicherheitsrahmen Rumäniens anhand der Sektorklassifizierung und gesetzlicher Schwellenwerte prüfen.

2. Überblick zur Umsetzung von NIS2 in Rumänien

Rumänien setzt die Richtlinie durch Änderungen am Law on the Security and Defence of National Cyber Space und an einschlägigen Cybersicherheitsgesetzen um.

Der überarbeitete Rahmen bringt das rumänische Regime in Einklang mit Directive (EU) 2022/2555 und stärkt die Pflichten in Bezug auf Governance, Cybersicherheits-Risikomanagement, Meldung von Sicherheitsvorfällen, aufsichtsbehördliche Kontrolle und verwaltungsrechtliche Sanktionen.

Die Umsetzung baut auf dem etablierten Cybersicherheitssystem Rumäniens auf und erweitert zugleich den Anwendungsbereich und die Durchsetzungsinstrumente im Einklang mit EU-Standards.

3. Anwendungsbereich in Rumänien

Der Anwendungsbereich Rumäniens spiegelt die in der Richtlinie vorgesehenen Mindestsektorkategorien wider, ohne bestätigte strukturelle Ausweitung.

4. Größenschwellen und SME-Anwendbarkeit in Rumänien

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die innerhalb der erfassten Sektoren beide Kriterien erfüllen, fallen automatisch in den Anwendungsbereich.

guides.country.romania.s4P2

guides.country.romania.s4P3

5. Klassifizierungsrahmen für Einrichtungen in Rumänien

Einrichtungen werden wie folgt eingestuft:

• Essential Entities — Unterliegen einer proaktiven Aufsicht, einschließlich Inspektionen und strukturierter Compliance-Überwachung.
• Important Entities — Unterliegen vorwiegend reaktiver Aufsicht, die durch erhebliche Vorfälle oder Compliance-Bedenken ausgelöst wird.

Die Einstufung wird durch Sektor und Größe bestimmt. Behörden können Einrichtungen neu einstufen, wenn betriebliche Auswirkungen oder die Risikoexposition eine verstärkte Aufsicht rechtfertigen.

Rumänien folgt der zweistufigen Aufsichtsstruktur der Richtlinie.

6. Anforderungen an das Cybersicherheits-Risikomanagement in Rumänien

Das nationale Regelwerk Rumäniens entspricht den Mindestvorgaben der Richtlinie für das Cybersicherheits-Risikomanagement. Erfasste Einrichtungen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes abdecken:

• Risikoanalyse und Schutz der Systeme
• Vorfallserkennung und -reaktion
• Geschäftskontinuität und Krisenmanagement
• NIS2-Lieferketten-Risikokontrollen in Rumänien
• Sichere Beschaffung und Entwicklung von IKT-Systemen
• Zugriffskontrolle und Identitätsmanagement
• Verschlüsselung und kryptografische Schutzmaßnahmen
• Verfahren zum Schwachstellenmanagement
• Mitarbeiterschulungen zur Cybersicherheit

Die Maßnahmen müssen den Stand der Technik widerspiegeln und der organisationsspezifischen Risikoexposition Rechnung tragen. Eine Ausrichtung an ISO/IEC 27001 sowie an rumänischen Leitlinien zur Cybersicherheit wird empfohlen.

7. Managementhaftung und Governance in Rumänien

Leitungsorgane müssen die Maßnahmen des Cybersicherheits-Risikomanagements formell genehmigen und deren Umsetzung überwachen.

Nach dem rumänischen Rechtsrahmen:

• Leitungsorgane sind für die Überwachung der Compliance verantwortlich.
• Das obere Management muss ausreichende Kompetenz in der Cybersicherheit sicherstellen.
• Verwaltungsrechtliche Sanktionen können Governance-Versäumnisse ahnden.
• Eine vorübergehende Suspendierung von Leitungsfunktionen kann im Rahmen richtlinienkonformer Durchsetzungsmechanismen möglich sein.

Die NIS2-Erwartungen zur Managementhaftung in Rumänien heben die Cybersicherheits-Governance auf eine Verantwortung auf Führungsebene.

8. Meldepflichten für Sicherheitsvorfälle in Rumänien

9. Aufsichtsbehörden und Durchsetzungsmodell in Rumänien

Federführende Behörde: National Cyber Security Directorate (DNSC).

Rumänien betreibt ein zentrales Aufsichtsmodell, das vom DNSC koordiniert wird; sektorspezifische Aufsichtsbehörden werden bei Bedarf einbezogen.

Aufsichtsbefugnisse umfassen:

• Anforderung von Unterlagen und Informationen
• Sicherheitsaudits
• Vor-Ort-Kontrollen
• Verbindliche Compliance-Anordnungen
• Teilnahme an EU-Cybersicherheits-Koordinierungsmechanismen

Die Durchsetzungsstruktur steht im Einklang mit den Kooperationsanforderungen auf Richtlinienebene.

10. NIS2-Geldbußen und Sanktionen in Rumänien

Rumänien wendet richtlinienkonforme Verwaltungssanktionen an.

Die Durchsetzung von NIS2-Geldbußen in Rumänien kann außerdem Folgendes umfassen:

• Verbindliche Anordnungen zur Abhilfe
• Öffentliche Identifizierung nicht konformer Einrichtungen
• Aussetzung von Genehmigungen oder Zertifizierungen
• Befugnisse zur Suspendierung von Mitgliedern der Leitung

Bis zu €7 Millionen oder 1,4 % des weltweiten Jahresgesamtumsatzes (je nachdem, welcher Wert höher ist)

11. NIS2-Lieferketten- und Lieferantensicherheit in Rumänien

Einrichtungen müssen Cyberrisiken durch Dritte steuern mittels:

• Lieferantenrisikobewertungen
• vertragliche Sicherheits-Flow-down-Klauseln
• kontinuierliche Überwachung von IKT-Lieferanten
• Analyse von Konzentrationsrisiken
• Eindämmung der Ausbreitung von Vorfällen

Der Ansatz Rumäniens entspricht den Mindestanforderungen der Richtlinie hinsichtlich des Lieferantenrisikomanagements.

12. Registrierungs- und Selbstidentifizierungspflichten in Rumänien

Einrichtungen im Anwendungsbereich müssen:

• sich bei den zuständigen Behörden registrieren
• Unternehmensidentifikationsdaten bereitstellen
• Sektorklassifizierung offenlegen
• aktuelle Meldekontakte vorhalten

Verfahrensfristen richten sich nach Rumäniens Umsetzungsrahmen. Nach dem aktuellen Umsetzungsstand folgt Rumänien dem Baseline-Framework der NIS2 Directive. Nationale Umsetzungsdetails können spezifische Pflichten präzisieren.

Selbstidentifizierung ist verpflichtend, wenn Einrichtungen die gesetzlichen Schwellenwerte erfüllen.

13. Wechselwirkung mit GDPR und anderen Gesetzen in Rumänien

The General Data Protection Regulation gilt weiterhin parallel.

Überschneidungen umfassen:

• 72-Stunden-Meldung bei Verletzungen des Schutzes personenbezogener Daten
• Koordination der Aufsichtsbehörden

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Rumänien werden für grenzüberschreitende Dienste von rumänischen Behörden beaufsichtigt.

Ausländische digitale Anbieter, die Dienste in Rumänien erbringen, können je nach Niederlassungsstruktur nationalen Verpflichtungen unterliegen.

Vertretungspflichten folgen den Standards der Richtlinie für Nicht-EU-Anbieter, die den rumänischen Markt bedienen.

15. Umsetzungszeitplan in Rumänien

• Annahme der Richtlinie: 2022
• Nationale Gesetzesänderungen: 2024–2025
• Inkrafttreten: Mit nationaler Veröffentlichung
• Notifizierung der Kommission: Gemäß EU-Verfahren
• Compliance-Meilenstein: Richtlinienkonforme Fristen

Der Zeitplan für die Umsetzung in Rumänien entspricht den EU-Umsetzungsvorgaben.

16. Zentrale Erkenntnisse für KMU in Rumänien

• Mittelgroße Unternehmen in erfassten Sektoren fallen automatisch in den Anwendungsbereich.
• Kleine Unternehmen können benannt werden, wenn sie für die nationale oder wirtschaftliche Stabilität kritisch sind.
• Aufsicht auf Ebene des Leitungsorgans ist verpflichtend.
• Die Vorfallmeldung folgt Fristen von 24h / 72h / 1 Monat.
• Finanzielle Sanktionen können bis zu €10 Millionen oder 2% des weltweiten Umsatzes erreichen.
• Lieferantenrisikomanagement ist erforderlich.
• Frühzeitige Compliance-Planung reduziert das Risiko von Durchsetzungsmaßnahmen.

FAQ: NIS2-Leitfaden für KMU in Rumänien