NIS2 en Roumanie

1. Aperçu rapide de l'applicabilité aux SME en Romania

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l'applicabilité aux SME en Romania ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S'applique aux entités établies en Romania et, dans certains cas, aux fournisseurs numériques étrangers desservant le marché roumain.

Les SMEs doivent évaluer si elles relèvent du cadre national de cybersécurité de Romania, sur la base de la classification sectorielle et des seuils prévus par la loi.

2. Aperçu de la mise en œuvre de NIS2 en Romania

Romania met en œuvre la directive au moyen de modifications apportées à la Law on the Security and Defence of National Cyber Space et à la législation connexe en matière de cybersécurité.

Le cadre révisé aligne le régime de Romania sur la Directive (EU) 2022/2555 et renforce les obligations relatives à la gouvernance, à la gestion des risques de cybersécurité, à la notification des incidents, à la surveillance des autorités compétentes et aux sanctions administratives.

La mise en œuvre s'appuie sur le système de cybersécurité bien établi de Romania tout en élargissant le champ d'application et les outils d'exécution, en ligne avec les normes de l'EU.

3. Champ d'application en Romania

Le champ d'application de Romania reflète les catégories sectorielles minimales de la Directive, sans extension structurelle confirmée.

4. Seuils de taille et applicabilité des SME en Romania

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités qui satisfont aux deux critères au sein des secteurs couverts sont automatiquement incluses dans le champ d'application.

guides.country.romania.s4P2

guides.country.romania.s4P3

5. Cadre de classification des entités en Romania

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive, y compris des inspections et un suivi structuré de la conformité.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations de conformité.

La classification est déterminée par le secteur et la taille. Les autorités peuvent reclassifier des entités lorsque l'impact opérationnel ou l'exposition au risque justifie une supervision renforcée.

Romania applique la structure de supervision à deux niveaux de la Directive.

6. Exigences en matière de gestion des risques de cybersécurité en Romania

Le régime national de Romania est aligné sur la base de référence de la Directive en matière de gestion des risques de cybersécurité. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées portant sur :

• Analyse des risques et protection des systèmes
• Détection et réponse aux incidents
• Continuité d'activité et gestion de crise
• Contrôles des risques liés à la chaîne d'approvisionnement NIS2 en Romania
• Acquisition et développement sécurisés des systèmes ICT
• Contrôle d'accès et gestion des identités
• Chiffrement et protections cryptographiques
• Procédures de gestion des vulnérabilités
• Formation du personnel à la cybersécurité

Les mesures doivent refléter les normes de l'état de l'art et l'exposition aux risques de l'organisation. L'alignement sur ISO/IEC 27001 et sur les orientations de cybersécurité de Romania est encouragé.

7. Responsabilité des organes de direction et gouvernance en Romania

Les organes de direction doivent approuver formellement les mesures de gestion des risques de cybersécurité et en superviser la mise en œuvre.

Selon le cadre de Romania :

• Les conseils d'administration sont responsables de la supervision de la conformité.
• La haute direction doit garantir des compétences suffisantes en cybersécurité.
• Des sanctions administratives peuvent s'appliquer en cas de défaillances de gouvernance.
• La suspension temporaire de fonctions de direction peut être prévue dans le cadre de mécanismes d'exécution alignés sur la Directive.

Les attentes de Romania concernant la responsabilité de la direction au titre de NIS2 élèvent la gouvernance de la cybersécurité au rang de responsabilité de niveau exécutif.

8. Obligations de notification des incidents en Romania

9. Autorités de contrôle et modèle d'exécution en Romania

Autorité principale : National Cyber Security Directorate (DNSC).

Romania met en œuvre un modèle de supervision centralisé coordonné par le DNSC, avec l'implication de régulateurs sectoriels lorsque nécessaire.

Les pouvoirs de supervision comprennent :

• Demandes de documentation et d'informations
• Audits de sécurité
• Inspections sur site
• Instructions de conformité contraignantes
• Participation aux mécanismes de coordination de la cybersécurité de l'EU

La structure d'application est alignée sur les exigences de coopération au niveau de la Directive.

10. Amendes et sanctions NIS2 en Romania

Romania applique des sanctions administratives alignées sur la Directive.

L'application des amendes NIS2 en Romania peut également inclure :

• Ordres de remédiation contraignants
• Identification publique des entités non conformes
• Suspension des autorisations ou des certifications
• Pouvoirs de suspension des dirigeants

Jusqu’à 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial total (le montant le plus élevé s’applique)

11. Sécurité de la chaîne d’approvisionnement et des fournisseurs au titre de NIS2 en Romania

Les entités doivent gérer l’exposition aux risques de cybersécurité des tiers au moyen de :

• Évaluations des risques fournisseurs
• Clauses contractuelles imposant le report en cascade des exigences de sécurité
• Surveillance continue des fournisseurs ICT
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

L’approche de Romania est conforme aux attentes minimales de la Directive concernant la gestion des risques liés aux fournisseurs.

12. Obligations d’enregistrement et d’auto-identification en Romania

Les entités relevant du champ d’application doivent :

• S’enregistrer auprès des autorités compétentes
• Fournir les informations d’identification de l’entreprise
• Déclarer la classification sectorielle
• Maintenir à jour les points de contact de notification

Les délais procéduraux suivent le cadre de mise en œuvre de Romania. Au stade actuel de la transposition, Romania applique le cadre de base de la NIS2 Directive. Les modalités nationales de mise en œuvre peuvent préciser certaines obligations spécifiques.

L'auto-identification est obligatoire lorsque les entités satisfont aux seuils légaux.

13. Interaction avec le GDPR et d'autres lois en Romania

The General Data Protection Regulation continue de s'appliquer parallèlement.

Les considérations de chevauchement comprennent :

• Notification de violation de données à caractère personnel dans les 72 heures
• Coordination avec l'autorité de contrôle

14. Applicabilité transfrontalière

Les entités dont l'établissement principal se situe en Romania sont supervisées par les autorités roumaines pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services en Romania peuvent être soumis à des obligations nationales en fonction de leur structure d’établissement.

Les exigences en matière de représentation suivent les normes de la Directive pour les prestataires non-EU desservant le marché roumain.

15. Calendrier de mise en œuvre en Romania

• Adoption de la Directive : 2022
• Modifications législatives nationales : 2024–2025
• Entrée en vigueur : À la publication nationale
• Notification à la Commission : Conformément aux procédures de l’EU
• Jalons de conformité : Échéances alignées sur la Directive

Le calendrier de transposition de Romania est aligné sur les exigences de mise en œuvre de l’EU.

16. Points essentiels pour les SMEs en Romania

• Les entités de taille moyenne des secteurs couverts relèvent automatiquement du champ d’application.
• Les petites entités peuvent être désignées si elles sont critiques pour la stabilité nationale ou économique.
• La supervision de la gouvernance au niveau du conseil d’administration est obligatoire.
• La notification des incidents suit des délais de 24 h / 72 h / 1 mois.
• Les sanctions financières peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial.
• La gestion des risques liés aux fournisseurs est requise.
• Une planification précoce de la conformité réduit l’exposition aux mesures d’exécution.

FAQ : Guide NIS2 pour les SMEs en Romania