NIS2 en Rumanía

1. Panorama rápido de la aplicabilidad para pymes en Rumanía

¿Se aplica NIS2 a las pymes en 1. Panorama rápido de la aplicabilidad para pymes en Rumanía?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Se aplica a entidades establecidas en Rumanía y, en ciertos casos, a proveedores digitales extranjeros que prestan servicios al mercado rumano.

Las pymes deben evaluar si encuadran en el marco nacional de ciberseguridad de Rumanía en función de la clasificación sectorial y de los umbrales legales.

2. Panorama general de la implementación de NIS2 en Rumanía

Rumanía ha transpuesto NIS2 a través de la Ordenanza Gubernamental de Emergencia n.º 155/2024 (GEO 155/2024), adoptada el 30 de diciembre de 2024 y en vigor desde el 31 de diciembre de 2024, sustituyendo el marco NIS1 anterior. Fue refinada por la Ley n.º 124/2025 (en vigor desde el 10 de julio de 2025), que amplió el ámbito sanitario para incluir los sectores farmacéuticos y las farmacias minoristas.

El marco se operativizó mediante la Orden DNSC n.º 1/2025 (procedimiento de registro) y la Orden n.º 2/2025 (metodología de evaluación de riesgos), ambas en vigor desde el 20 de agosto de 2025. El marco alinea el régimen rumano con la Directiva (UE) 2022/2555 e introduce varias especificidades nacionales más allá de la línea base de la Directiva.

DNSC tiene la facultad de duplicar las multas máximas (incluidos los topes de 10 millones de € / 2 %) en ciertos casos agravados. Las entidades deben registrarse a través de la plataforma NIS2@RO, completar una autoevaluación de nivel de riesgo, luego una autoevaluación de madurez en ciberseguridad dentro de los 60 días posteriores a la presentación de la evaluación de riesgos, y presentar un plan de remediación dentro de los 30 días posteriores a la evaluación de madurez — creando una cadena de cumplimiento estructurada de cuatro pasos. Las entidades también deben designar a una persona responsable de la ciberseguridad que opere de forma independiente del jefe operativo de TI.

3. Ámbito de aplicación en Rumanía

El alcance de Rumanía se extiende más allá del mínimo de la Directiva. La Ley n.º 124/2025 amplió explícitamente el sector sanitario para incluir entidades de la cadena de suministro farmacéutica y farmacias minoristas (NACE 4773). Las entidades de defensa nacional, orden público, seguridad nacional, Ministerio de Asuntos Exteriores y aplicación de la ley están excluidas del ámbito de aplicación de la GEO 155/2024.

4. Umbrales de tamaño y aplicabilidad a las pymes en Rumanía

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios dentro de los sectores cubiertos están automáticamente dentro del ámbito.

Las pequeñas y microempresas pueden ser designadas si se consideran críticas para la seguridad nacional, la estabilidad económica o la continuidad de los servicios esenciales — por ejemplo, si son el único proveedor de un servicio crítico, o si la interrupción de sus servicios tendría un impacto significativo en la seguridad pública, la economía o la seguridad nacional. Las autoridades rumanas conservan facultades formales de designación cuando el riesgo sistémico justifica la inclusión.

Las entidades deben evaluar su estado examinando la afiliación sectorial, los umbrales de tamaño y la criticidad de los servicios que prestan.

5. Marco de clasificación de entidades en Rumanía

Las entidades se clasifican en:

• Entidades esenciales — Sujetas a supervisión proactiva, incluyendo inspecciones y seguimiento estructurado del cumplimiento.
• Entidades importantes — Principalmente sujetas a supervisión reactiva desencadenada por incidentes significativos o preocupaciones de cumplimiento.

La clasificación se determina por sector y tamaño. Las autoridades pueden reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifiquen una supervisión reforzada.

Rumanía sigue la estructura de supervisión de dos niveles de la Directiva.

6. Requisitos de gestión de riesgos de ciberseguridad en Rumanía

El régimen nacional de Rumanía se alinea con los requisitos básicos de la Directiva para la gestión de riesgos de ciberseguridad. Las entidades incluidas en el ámbito de aplicación deben implementar medidas técnicas y organizativas proporcionales que aborden:

• Análisis de riesgos y protección de sistemas
• Detección y respuesta ante incidentes
• Continuidad del negocio y gestión de crisis
• Controles de riesgo de la cadena de suministro según NIS2 en Rumanía
• Adquisición y desarrollo seguros de sistemas TIC
• Control de acceso y gestión de identidades
• Cifrado y salvaguardas criptográficas
• Procedimientos de gestión de vulnerabilidades
• Formación del personal en ciberseguridad

Las medidas deben reflejar el estado del arte y la exposición al riesgo de la organización. Se alienta la alineación con ISO/IEC 27001 y las directrices rumanas de ciberseguridad.

7. Responsabilidad de la dirección y gobernanza en Rumanía

Los órganos de dirección deben aprobar formalmente las medidas de gestión de riesgos de ciberseguridad y supervisar su implantación.

Según el marco de Rumanía:

• Los consejos son responsables de la supervisión del cumplimiento.
• La alta dirección debe garantizar una competencia suficiente en ciberseguridad. GEO 155/2024 exige que la dirección reciba formación en ciberseguridad en la prevención y gestión de riesgos cibernéticos. Las entidades también deben designar a una persona responsable de la ciberseguridad que opere de forma independiente del jefe operativo de TI.
• Las sanciones administrativas pueden abordar fallos de gobernanza.
• La suspensión temporal de funciones directivas puede estar disponible bajo mecanismos de aplicación alineados con la Directiva.

Las expectativas de Rumanía sobre la responsabilidad de la dirección en NIS2 elevan la gobernanza de la ciberseguridad a una responsabilidad a nivel ejecutivo.

8. Obligaciones de notificación de incidentes en Rumanía

9. Autoridades supervisoras y modelo de aplicación en Rumanía

Autoridad principal: Dirección Nacional de Ciberseguridad (DNSC).

Rumanía opera un modelo de supervisión centralizado coordinado por el DNSC, con reguladores sectoriales implicados cuando sea necesario.

Las facultades de supervisión incluyen:

• Solicitudes de documentación e información
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones de cumplimiento vinculantes
• Participación en los mecanismos de coordinación de ciberseguridad de la UE

La estructura de aplicación se alinea con los requisitos de cooperación a nivel de la Directiva.

10. Multas y sanciones de NIS2 en Rumanía

Rumanía aplica sanciones administrativas alineadas con la Directiva.

La aplicación de las multas de NIS2 en Rumanía también puede incluir:

• Órdenes vinculantes de remediación
• Identificación pública de entidades incumplidoras
• Suspensión de autorizaciones o certificaciones
• Facultades de suspensión de directivos
• Multas máximas duplicadas: en ciertos casos agravados, DNSC puede imponer hasta el doble de los umbrales máximos de multa estándar (incluidos los topes de 10 millones de € / 2 % para entidades esenciales)

11. Seguridad de la cadena de suministro y de proveedores según NIS2 en Rumanía

Las entidades deben gestionar la exposición a riesgos de ciberseguridad de terceros mediante:

• Evaluaciones de riesgos de proveedores
• Cláusulas contractuales de seguridad en cascada
• Supervisión continua de proveedores de TIC
• Análisis del riesgo de concentración
• Mitigación de la propagación de incidentes

El enfoque de Rumanía se alinea con las expectativas de referencia de la Directiva respecto a la gestión del riesgo de proveedores.

12. Obligaciones de registro y autoidentificación en Rumanía

Las entidades dentro del ámbito de aplicación deben:

• Registrarse en DNSC a través de la plataforma NIS2@RO (platformanis2.ro). El plazo inicial de registro fue aproximadamente el 19 de septiembre de 2025 (30 días después de que la Orden DNSC 1/2025 entrara en vigor el 20 de agosto de 2025) — ya ha expirado. Solo los registros presentados después del 20 de agosto de 2025 son legalmente válidos. Las entidades aún no registradas deben tratarlo como una prioridad urgente.
• Proporcionar datos de identificación corporativa
• Revelar la clasificación sectorial
• Mantener actualizados los contactos de notificación

Tras la confirmación del registro por parte de DNSC, las entidades deben completar una autoevaluación de nivel de riesgo según la Orden n.º 2/2025, luego una autoevaluación de madurez en ciberseguridad dentro de 60 días, seguida de la presentación de un plan de remediación dentro de 30 días después de la evaluación de madurez. DNSC emitirá una decisión formal clasificando a la entidad como esencial o importante.

La autoidentificación es obligatoria. Las entidades deben realizar una evaluación del impacto de la interrupción del servicio según los criterios de la Orden n.º 2/2025 (impacto en derechos fundamentales, economía, salud, finanzas, seguridad nacional) como parte de su presentación de registro.

13. Interacción con el RGPD y otras leyes en Rumanía

El Reglamento General de Protección de Datos continúa aplicándose de forma simultánea.

Las consideraciones de solapamiento incluyen:

• Notificación de violación de datos personales en 72 horas
• Coordinación con la autoridad de control

14. Aplicabilidad transfronteriza

Las entidades cuyo establecimiento principal se encuentra en Rumanía están supervisadas por las autoridades rumanas respecto de los servicios transfronterizos.

Los proveedores digitales extranjeros que ofrezcan servicios en Rumanía pueden estar sujetos a obligaciones nacionales en función de su forma de establecimiento.

Los requisitos de representación siguen las normas de la Directiva para los proveedores no pertenecientes a la UE que prestan servicios en el mercado rumano.

15. Calendario de implementación en Rumanía

• Adopción de la Directiva: 2022
• Modificaciones legislativas nacionales: GEO 155/2024 adoptada el 30 de diciembre de 2024 (en vigor desde el 31 de diciembre de 2024); Ley n.º 124/2025 en vigor desde el 10 de julio de 2025 (refinando la GEO 155/2024 y ampliando el ámbito sanitario/farmacéutico); Orden DNSC n.º 1/2025 (registro) y Orden n.º 2/2025 (evaluación de riesgos) ambas en vigor desde el 20 de agosto de 2025
• Entrada en vigor: 31 de diciembre de 2024 (GEO 155/2024); disposiciones sancionadoras desde el 30 de enero de 2025; órdenes de aplicación de DNSC desde el 20 de agosto de 2025
• Notificación a la Comisión: Rumanía completó la transposición a través de GEO 155/2024; no está sujeta a un dictamen motivado pendiente de la CE sobre la legislación primaria
• Hito de cumplimiento: Plazo de registro aproximadamente 19 de septiembre de 2025 (vencido); autoevaluación de nivel de riesgo dentro de los 60 días posteriores a la confirmación del registro de DNSC; autoevaluación de madurez en ciberseguridad dentro de los 60 días posteriores a la presentación de la evaluación de riesgos; plan de remediación dentro de los 30 días posteriores a la evaluación de madurez

Rumanía completó la transposición de NIS2 el 31 de diciembre de 2024, antes que muchos países de la UE. Todos los hitos iniciales de cumplimiento — incluido el plazo de registro de aproximadamente el 19 de septiembre de 2025 — ya han vencido. Las entidades aún no registradas en DNSC a través de la plataforma NIS2@RO deben tratar el registro como una prioridad inmediata e iniciar sin demora la cadena posterior de evaluación de riesgos y madurez.

16. Puntos clave para las pymes en Rumanía

• Las entidades medianas en sectores cubiertos están automáticamente dentro del ámbito. GEO 155/2024 está en vigor desde el 31 de diciembre de 2024. El alcance de Rumanía también se extiende más allá de la Directiva para incluir los sectores farmacéutico y de farmacias minoristas (Ley 124/2025).
• Las entidades pequeñas pueden ser designadas si son críticas para la estabilidad nacional o económica.
• La supervisión de gobernanza a nivel de consejo es obligatoria. La dirección debe recibir formación en ciberseguridad bajo GEO 155/2024, y las entidades deben designar a una persona responsable de la ciberseguridad independiente del jefe operativo de TI.
• La notificación de incidentes sigue los plazos de 24h / 72h / 1 mes.
• Las sanciones financieras pueden alcanzar los 10 millones de € o el 2% de la facturación global. Rumanía además permite a DNSC duplicar la multa máxima en casos agravados.
• Se requiere la gestión del riesgo de proveedores.
• El plazo de registro (~19 de septiembre de 2025) ha vencido — las entidades aún no registradas en DNSC a través de la plataforma NIS2@RO deben actuar de inmediato. Tras el registro, completar la autoevaluación de nivel de riesgo, luego la evaluación de madurez en ciberseguridad (dentro de los 60 días posteriores a la evaluación de riesgos), y presentar un plan de remediación (dentro de los 30 días posteriores a la evaluación de madurez).

Preguntas frecuentes: Guía NIS2 para pymes en Rumanía