NIS2 in Rumänien

1. Kurzer Anwendbarkeitsüberblick für SMEs in Rumänien

Gilt NIS2 für KMU in Rumänien?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in Rumänien ansässige Unternehmen und in bestimmten Fällen für ausländische digitale Anbieter, die den rumänischen Markt bedienen.

SMEs sollten ihre Einstufung nach dem nationalen Cybersicherheitsrahmen Rumäniens anhand der Sektorklassifizierung und gesetzlicher Schwellenwerte prüfen.

2. Überblick zur Umsetzung von NIS2 in Rumänien

Rumänien hat NIS2 durch die Regierungs-Notverordnung Nr. 155/2024 (GEO 155/2024) umgesetzt, die am 30. Dezember 2024 verabschiedet wurde und seit dem 31. Dezember 2024 in Kraft ist und den bisherigen NIS1-Rahmen ersetzt. Sie wurde durch das Gesetz Nr. 124/2025 (in Kraft seit 10. Juli 2025) verfeinert, das den Gesundheitssektor auf pharmazeutische Sektoren und Apotheken im Einzelhandel ausweitete.

Der Rahmen wurde durch die DNSC-Verordnung Nr. 1/2025 (Registrierungsverfahren) und die Verordnung Nr. 2/2025 (Risikobewertungsmethodik) operationalisiert, die beide am 20. August 2025 in Kraft traten. Der Rahmen passt Rumäniens Regelung an die Richtlinie (EU) 2022/2555 an und führt mehrere nationale Besonderheiten über den Richtlinienbasiswert hinaus ein.

Die DNSC ist befugt, in bestimmten erschwerenden Fällen die Höchstbußgelder zu verdoppeln (einschließlich der Obergrenzen von 10 Mio. € / 2 %). Unternehmen müssen sich über die NIS2@RO-Plattform registrieren, eine Risikostufen-Selbstbewertung durchführen, dann innerhalb von 60 Tagen nach Einreichung der Risikobewertung eine Selbstbewertung der Cybersicherheitsreife und innerhalb von 30 Tagen nach der Reifebewertung einen Sanierungsplan vorlegen — was eine strukturierte vierstufige Compliance-Kette schafft. Unternehmen müssen außerdem eine für Cybersicherheit verantwortliche Person benennen, die unabhängig vom operativen IT-Leiter agiert.

3. Anwendungsbereich in Rumänien

Rumäniens Geltungsbereich geht über das Mindestmaß der Richtlinie hinaus. Das Gesetz Nr. 124/2025 hat den Gesundheitssektor ausdrücklich auf Einrichtungen der pharmazeutischen Lieferkette und Apotheken im Einzelhandel (NACE 4773) ausgeweitet. Einrichtungen der nationalen Verteidigung, der öffentlichen Ordnung, der nationalen Sicherheit, des Außenministeriums und der Strafverfolgung sind vom Anwendungsbereich der GEO 155/2024 ausgenommen.

4. Größenschwellen und SME-Anwendbarkeit in Rumänien

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Unternehmen, die beide Kriterien in den abgedeckten Sektoren erfüllen, fallen automatisch in den Anwendungsbereich.

Kleine und Kleinstunternehmen können benannt werden, wenn sie als kritisch für die nationale Sicherheit, wirtschaftliche Stabilität oder Kontinuität wesentlicher Dienste angesehen werden — beispielsweise wenn sie der einzige Anbieter eines kritischen Dienstes sind oder wenn eine Unterbrechung ihrer Dienste erhebliche Auswirkungen auf die öffentliche Sicherheit, die Wirtschaft oder die nationale Sicherheit hätte. Die rumänischen Behörden behalten formelle Benennungsbefugnisse, wenn systemische Risiken die Einbeziehung rechtfertigen.

Unternehmen sollten ihren Status bewerten, indem sie die Sektorzugehörigkeit, Größenschwellen und die Kritikalität der angebotenen Dienste prüfen.

5. Klassifizierungsrahmen für Einrichtungen in Rumänien

Einrichtungen werden wie folgt eingestuft:

• Essential Entities — Unterliegen einer proaktiven Aufsicht, einschließlich Inspektionen und strukturierter Compliance-Überwachung.
• Important Entities — Unterliegen vorwiegend reaktiver Aufsicht, die durch erhebliche Vorfälle oder Compliance-Bedenken ausgelöst wird.

Die Einstufung wird durch Sektor und Größe bestimmt. Behörden können Einrichtungen neu einstufen, wenn betriebliche Auswirkungen oder die Risikoexposition eine verstärkte Aufsicht rechtfertigen.

Rumänien folgt der zweistufigen Aufsichtsstruktur der Richtlinie.

6. Anforderungen an das Cybersicherheits-Risikomanagement in Rumänien

Das nationale Regelwerk Rumäniens entspricht den Mindestvorgaben der Richtlinie für das Cybersicherheits-Risikomanagement. Erfasste Einrichtungen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes abdecken:

• Risikoanalyse und Schutz der Systeme
• Vorfallserkennung und -reaktion
• Geschäftskontinuität und Krisenmanagement
• NIS2-Lieferketten-Risikokontrollen in Rumänien
• Sichere Beschaffung und Entwicklung von IKT-Systemen
• Zugriffskontrolle und Identitätsmanagement
• Verschlüsselung und kryptografische Schutzmaßnahmen
• Verfahren zum Schwachstellenmanagement
• Mitarbeiterschulungen zur Cybersicherheit

Die Maßnahmen müssen den Stand der Technik widerspiegeln und der organisationsspezifischen Risikoexposition Rechnung tragen. Eine Ausrichtung an ISO/IEC 27001 sowie an rumänischen Leitlinien zur Cybersicherheit wird empfohlen.

7. Managementhaftung und Governance in Rumänien

Leitungsorgane müssen die Maßnahmen des Cybersicherheits-Risikomanagements formell genehmigen und deren Umsetzung überwachen.

Nach dem rumänischen Rechtsrahmen:

• Vorstände sind für die Compliance-Aufsicht verantwortlich.
• Die Geschäftsleitung muss eine ausreichende Cybersicherheitskompetenz sicherstellen. GEO 155/2024 verlangt, dass das Management eine Cybersicherheitsschulung zur Prävention und zum Management von Cyberrisiken absolviert. Unternehmen müssen außerdem eine für Cybersicherheit verantwortliche Person benennen, die unabhängig vom operativen IT-Leiter agiert.
• Verwaltungsstrafen können Governance-Versäumnisse adressieren.
• Eine vorübergehende Aussetzung von Führungsfunktionen kann im Rahmen richtlinienkonformer Durchsetzungsmechanismen verfügbar sein.

Die NIS2-Erwartungen zur Managementhaftung in Rumänien heben die Cybersicherheits-Governance auf eine Verantwortung auf Führungsebene.

8. Meldepflichten für Sicherheitsvorfälle in Rumänien

9. Aufsichtsbehörden und Durchsetzungsmodell in Rumänien

Federführende Behörde: National Cyber Security Directorate (DNSC).

Rumänien betreibt ein zentrales Aufsichtsmodell, das vom DNSC koordiniert wird; sektorspezifische Aufsichtsbehörden werden bei Bedarf einbezogen.

Aufsichtsbefugnisse umfassen:

• Anforderung von Unterlagen und Informationen
• Sicherheitsaudits
• Vor-Ort-Kontrollen
• Verbindliche Compliance-Anordnungen
• Teilnahme an EU-Cybersicherheits-Koordinierungsmechanismen

Die Durchsetzungsstruktur steht im Einklang mit den Kooperationsanforderungen auf Richtlinienebene.

10. NIS2-Geldbußen und Sanktionen in Rumänien

Rumänien wendet richtlinienkonforme Verwaltungssanktionen an.

Die Durchsetzung von NIS2-Geldbußen in Rumänien kann außerdem Folgendes umfassen:

• Verbindliche Sanierungsanordnungen
• Öffentliche Bekanntmachung nicht konformer Einrichtungen
• Aussetzung von Genehmigungen oder Zertifizierungen
• Befugnisse zur Aussetzung von Führungskräften
• Verdoppelte Höchstbußgelder: In bestimmten erschwerenden Fällen kann die DNSC bis zum Doppelten der Standard-Höchstbußgeldgrenzen verhängen (einschließlich der Obergrenzen von 10 Mio. € / 2 % für wesentliche Einrichtungen)

11. NIS2-Lieferketten- und Lieferantensicherheit in Rumänien

Einrichtungen müssen Cyberrisiken durch Dritte steuern mittels:

• Lieferantenrisikobewertungen
• vertragliche Sicherheits-Flow-down-Klauseln
• kontinuierliche Überwachung von IKT-Lieferanten
• Analyse von Konzentrationsrisiken
• Eindämmung der Ausbreitung von Vorfällen

Der Ansatz Rumäniens entspricht den Mindestanforderungen der Richtlinie hinsichtlich des Lieferantenrisikomanagements.

12. Registrierungs- und Selbstidentifizierungspflichten in Rumänien

Einrichtungen im Anwendungsbereich müssen:

• Registrierung bei der DNSC über die NIS2@RO-Plattform (platformanis2.ro). Die anfängliche Registrierungsfrist war etwa 19. September 2025 (30 Tage nach Inkrafttreten der DNSC-Verordnung 1/2025 am 20. August 2025) — diese ist nun abgelaufen. Nur Registrierungen, die nach dem 20. August 2025 eingereicht wurden, sind rechtsgültig. Noch nicht registrierte Unternehmen sollten dies als dringende Priorität behandeln.
• Angabe von Unternehmensidentifikationsdaten
• Offenlegung der Sektorklassifizierung
• Pflege aktualisierter Meldekontakte

Nach Bestätigung der Registrierung durch die DNSC müssen Unternehmen eine Risikostufen-Selbstbewertung gemäß Verordnung Nr. 2/2025 durchführen, dann eine Selbstbewertung der Cybersicherheitsreife innerhalb von 60 Tagen, gefolgt von der Einreichung eines Sanierungsplans innerhalb von 30 Tagen nach der Reifebewertung. Die DNSC trifft eine formelle Entscheidung zur Klassifizierung der Einrichtung als wesentlich oder wichtig.

Selbstidentifikation ist verpflichtend. Unternehmen sollten im Rahmen ihrer Registrierungseinreichung eine Bewertung der Auswirkungen einer Dienstunterbrechung gemäß den Kriterien der Verordnung Nr. 2/2025 (Auswirkungen auf Grundrechte, Wirtschaft, Gesundheit, Finanzen, nationale Sicherheit) durchführen.

13. Wechselwirkung mit GDPR und anderen Gesetzen in Rumänien

The General Data Protection Regulation gilt weiterhin parallel.

Überschneidungen umfassen:

• 72-Stunden-Meldung bei Verletzungen des Schutzes personenbezogener Daten
• Koordination der Aufsichtsbehörden

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Rumänien werden für grenzüberschreitende Dienste von rumänischen Behörden beaufsichtigt.

Ausländische digitale Anbieter, die Dienste in Rumänien erbringen, können je nach Niederlassungsstruktur nationalen Verpflichtungen unterliegen.

Vertretungspflichten folgen den Standards der Richtlinie für Nicht-EU-Anbieter, die den rumänischen Markt bedienen.

15. Umsetzungszeitplan in Rumänien

• Annahme der Richtlinie: 2022
• Nationale Gesetzesänderungen: GEO 155/2024 verabschiedet am 30. Dezember 2024 (in Kraft seit 31. Dezember 2024); Gesetz Nr. 124/2025 in Kraft seit 10. Juli 2025 (Verfeinerung der GEO 155/2024 und Erweiterung des Geltungsbereichs für Gesundheit/Pharma); DNSC-Verordnung Nr. 1/2025 (Registrierung) und Verordnung Nr. 2/2025 (Risikobewertung) beide in Kraft seit 20. August 2025
• Inkrafttreten: 31. Dezember 2024 (GEO 155/2024); Sanktionsbestimmungen ab 30. Januar 2025; DNSC-Durchführungsverordnungen ab 20. August 2025
• Mitteilung an die Kommission: Rumänien hat die Umsetzung über GEO 155/2024 abgeschlossen; nicht Gegenstand einer ausstehenden mit Gründen versehenen Stellungnahme der EK zur Primärgesetzgebung
• Compliance-Meilenstein: Registrierungsfrist etwa 19. September 2025 (abgelaufen); Risikostufen-Selbstbewertung innerhalb von 60 Tagen nach DNSC-Registrierungsbestätigung; Selbstbewertung der Cybersicherheitsreife innerhalb von 60 Tagen nach Einreichung der Risikobewertung; Sanierungsplan innerhalb von 30 Tagen nach der Reifebewertung

Rumänien hat die NIS2-Umsetzung am 31. Dezember 2024 abgeschlossen, vor vielen EU-Partnern. Alle anfänglichen Compliance-Meilensteine — einschließlich der Registrierungsfrist von etwa 19. September 2025 — sind nun abgelaufen. Noch nicht bei der DNSC über die NIS2@RO-Plattform registrierte Unternehmen sollten die Registrierung als unmittelbare Priorität behandeln und die anschließende Risiko- und Reifebewertungskette unverzüglich beginnen.

16. Zentrale Erkenntnisse für KMU in Rumänien

• Mittelständische Unternehmen in abgedeckten Sektoren fallen automatisch in den Anwendungsbereich. GEO 155/2024 ist seit 31. Dezember 2024 in Kraft. Rumäniens Geltungsbereich erstreckt sich auch über die Richtlinie hinaus auf pharmazeutische und Apotheken-Einzelhandelssektoren (Gesetz 124/2025).
• Kleine Einrichtungen können benannt werden, wenn sie für die nationale oder wirtschaftliche Stabilität kritisch sind.
• Die Governance-Aufsicht auf Vorstandsebene ist verpflichtend. Das Management muss eine Cybersicherheitsschulung gemäß GEO 155/2024 absolvieren, und Unternehmen müssen eine für Cybersicherheit verantwortliche Person unabhängig vom operativen IT-Leiter benennen.
• Die Vorfallmeldung folgt den Fristen 24h / 72h / 1 Monat.
• Finanzielle Strafen können 10 Mio. € oder 2% des globalen Umsatzes erreichen. Rumänien erlaubt der DNSC zudem, in erschwerenden Fällen die Höchstgeldstrafe zu verdoppeln.
• Lieferantenrisikomanagement ist erforderlich.
• Die Registrierungsfrist (~19. September 2025) ist abgelaufen — noch nicht bei der DNSC über die NIS2@RO-Plattform registrierte Unternehmen sollten unverzüglich handeln. Nach der Registrierung die Risikostufen-Selbstbewertung durchführen, dann die Cybersicherheitsreifebewertung (innerhalb von 60 Tagen nach der Risikobewertung) und einen Sanierungsplan einreichen (innerhalb von 30 Tagen nach der Reifebewertung).

FAQ: NIS2-Leitfaden für KMU in Rumänien