NIS2 en Roumanie

1. Aperçu rapide de l'applicabilité aux SME en Romania

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l'applicabilité aux SME en Romania ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S'applique aux entités établies en Romania et, dans certains cas, aux fournisseurs numériques étrangers desservant le marché roumain.

Les SMEs doivent évaluer si elles relèvent du cadre national de cybersécurité de Romania, sur la base de la classification sectorielle et des seuils prévus par la loi.

2. Aperçu de la mise en œuvre de NIS2 en Romania

La Roumanie a transposé la directive NIS2 par l'Ordonnance gouvernementale d'urgence n° 155/2024 (GEO 155/2024), adoptée le 30 décembre 2024 et en vigueur depuis le 31 décembre 2024, remplaçant le précédent cadre NIS1. Elle a été affinée par la Loi n° 124/2025 (en vigueur depuis le 10 juillet 2025), qui a élargi le périmètre santé pour inclure les secteurs pharmaceutiques et les pharmacies de détail.

Le cadre a été opérationnalisé par l'Arrêté DNSC n° 1/2025 (procédure d'enregistrement) et l'Arrêté n° 2/2025 (méthodologie d'évaluation des risques), tous deux entrés en vigueur le 20 août 2025. Le cadre aligne le régime roumain sur la directive (UE) 2022/2555 et introduit plusieurs spécificités nationales au-delà de la base directive.

Le DNSC a le pouvoir de doubler les amendes maximales (y compris les plafonds de 10 millions d'€ / 2 %) dans certains cas aggravés. Les entités doivent s'enregistrer via la plateforme NIS2@RO, effectuer une auto-évaluation du niveau de risque, puis une auto-évaluation de la maturité en cybersécurité dans les 60 jours suivant la soumission de l'évaluation des risques, et soumettre un plan de remédiation dans les 30 jours suivant l'évaluation de la maturité — créant une chaîne de conformité structurée en quatre étapes. Les entités doivent également désigner une personne responsable de la cybersécurité opérant indépendamment du chef opérationnel de l'informatique.

3. Champ d'application en Romania

Le périmètre roumain dépasse le minimum de la directive. La Loi n° 124/2025 a explicitement étendu le secteur de la santé pour inclure les entités de la chaîne d'approvisionnement pharmaceutique et les pharmacies de détail (NACE 4773). Les entités de la défense nationale, de l'ordre public, de la sécurité nationale, du ministère des Affaires étrangères et de l'application de la loi sont exclues du champ d'application de la GEO 155/2024.

4. Seuils de taille et applicabilité des SME en Romania

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités remplissant les deux critères dans les secteurs couverts sont automatiquement dans le périmètre.

Les petites et micro-entreprises peuvent être désignées si elles sont considérées comme essentielles à la sécurité nationale, à la stabilité économique ou à la continuité des services essentiels — par exemple, si elles sont le seul fournisseur d'un service critique, ou si l'interruption de leurs services aurait un impact significatif sur la sécurité publique, l'économie ou la sécurité nationale. Les autorités roumaines conservent des pouvoirs formels de désignation lorsque le risque systémique justifie l'inclusion.

Les entités doivent évaluer leur statut en examinant l'affiliation sectorielle, les seuils de taille et la criticité des services qu'elles fournissent.

5. Cadre de classification des entités en Romania

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive, y compris des inspections et un suivi structuré de la conformité.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations de conformité.

La classification est déterminée par le secteur et la taille. Les autorités peuvent reclassifier des entités lorsque l'impact opérationnel ou l'exposition au risque justifie une supervision renforcée.

Romania applique la structure de supervision à deux niveaux de la Directive.

6. Exigences en matière de gestion des risques de cybersécurité en Romania

Le régime national de Romania est aligné sur la base de référence de la Directive en matière de gestion des risques de cybersécurité. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées portant sur :

• Analyse des risques et protection des systèmes
• Détection et réponse aux incidents
• Continuité d'activité et gestion de crise
• Contrôles des risques liés à la chaîne d'approvisionnement NIS2 en Romania
• Acquisition et développement sécurisés des systèmes ICT
• Contrôle d'accès et gestion des identités
• Chiffrement et protections cryptographiques
• Procédures de gestion des vulnérabilités
• Formation du personnel à la cybersécurité

Les mesures doivent refléter les normes de l'état de l'art et l'exposition aux risques de l'organisation. L'alignement sur ISO/IEC 27001 et sur les orientations de cybersécurité de Romania est encouragé.

7. Responsabilité des organes de direction et gouvernance en Romania

Les organes de direction doivent approuver formellement les mesures de gestion des risques de cybersécurité et en superviser la mise en œuvre.

Selon le cadre de Romania :

• Les conseils sont responsables de la supervision de la conformité.
• La direction générale doit garantir une compétence suffisante en cybersécurité. La GEO 155/2024 exige que la direction suive une formation en cybersécurité sur la prévention et la gestion des cyber-risques. Les entités doivent également désigner une personne responsable de la cybersécurité opérant indépendamment du chef opérationnel de l'informatique.
• Les sanctions administratives peuvent traiter les défaillances de gouvernance.
• La suspension temporaire des fonctions managériales peut être disponible dans le cadre de mécanismes d'application alignés sur la directive.

Les attentes de Romania concernant la responsabilité de la direction au titre de NIS2 élèvent la gouvernance de la cybersécurité au rang de responsabilité de niveau exécutif.

8. Obligations de notification des incidents en Romania

9. Autorités de contrôle et modèle d'exécution en Romania

Autorité principale : National Cyber Security Directorate (DNSC).

Romania met en œuvre un modèle de supervision centralisé coordonné par le DNSC, avec l'implication de régulateurs sectoriels lorsque nécessaire.

Les pouvoirs de supervision comprennent :

• Demandes de documentation et d'informations
• Audits de sécurité
• Inspections sur site
• Instructions de conformité contraignantes
• Participation aux mécanismes de coordination de la cybersécurité de l'EU

La structure d'application est alignée sur les exigences de coopération au niveau de la Directive.

10. Amendes et sanctions NIS2 en Romania

Romania applique des sanctions administratives alignées sur la Directive.

L'application des amendes NIS2 en Romania peut également inclure :

• Ordres de remédiation contraignants
• Identification publique des entités non conformes
• Suspension d'autorisations ou de certifications
• Pouvoirs de suspension des dirigeants
• Amendes maximales doublées : dans certains cas aggravés, le DNSC peut imposer jusqu'au double des seuils d'amende maximaux standard (y compris les plafonds de 10 millions d'€ / 2 % pour les entités essentielles)

11. Sécurité de la chaîne d’approvisionnement et des fournisseurs au titre de NIS2 en Romania

Les entités doivent gérer l’exposition aux risques de cybersécurité des tiers au moyen de :

• Évaluations des risques fournisseurs
• Clauses contractuelles imposant le report en cascade des exigences de sécurité
• Surveillance continue des fournisseurs ICT
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

L’approche de Romania est conforme aux attentes minimales de la Directive concernant la gestion des risques liés aux fournisseurs.

12. Obligations d’enregistrement et d’auto-identification en Romania

Les entités relevant du champ d’application doivent :

• S'enregistrer auprès du DNSC via la plateforme NIS2@RO (platformanis2.ro). Le délai initial d'enregistrement était environ le 19 septembre 2025 (30 jours après l'entrée en vigueur de l'Arrêté DNSC 1/2025 le 20 août 2025) — il est maintenant dépassé. Seuls les enregistrements soumis après le 20 août 2025 sont juridiquement valides. Les entités non encore enregistrées doivent traiter cela comme une priorité urgente.
• Fournir les détails d'identification de l'entreprise
• Divulguer la classification sectorielle
• Maintenir à jour les contacts de notification

Après confirmation de l'enregistrement par le DNSC, les entités doivent compléter une auto-évaluation du niveau de risque selon l'Arrêté n° 2/2025, puis une auto-évaluation de la maturité en cybersécurité dans les 60 jours, suivie de la soumission d'un plan de remédiation dans les 30 jours suivant l'évaluation de la maturité. Le DNSC émettra une décision formelle classant l'entité comme essentielle ou importante.

L'auto-identification est obligatoire. Les entités doivent effectuer une évaluation de l'impact de l'interruption du service selon les critères de l'Arrêté n° 2/2025 (impact sur les droits fondamentaux, l'économie, la santé, les finances, la sécurité nationale) dans le cadre de leur soumission d'enregistrement.

13. Interaction avec le GDPR et d'autres lois en Romania

The General Data Protection Regulation continue de s'appliquer parallèlement.

Les considérations de chevauchement comprennent :

• Notification de violation de données à caractère personnel dans les 72 heures
• Coordination avec l'autorité de contrôle

14. Applicabilité transfrontalière

Les entités dont l'établissement principal se situe en Romania sont supervisées par les autorités roumaines pour les services transfrontaliers.

Les prestataires numériques étrangers offrant des services en Romania peuvent être soumis à des obligations nationales en fonction de leur structure d’établissement.

Les exigences en matière de représentation suivent les normes de la Directive pour les prestataires non-EU desservant le marché roumain.

15. Calendrier de mise en œuvre en Romania

• Adoption de la Directive : 2022
• Modifications législatives nationales : GEO 155/2024 adoptée le 30 décembre 2024 (en vigueur depuis le 31 décembre 2024) ; Loi n° 124/2025 en vigueur depuis le 10 juillet 2025 (affinant la GEO 155/2024 et étendant le périmètre santé/pharma) ; Arrêté DNSC n° 1/2025 (enregistrement) et Arrêté n° 2/2025 (évaluation des risques) tous deux en vigueur depuis le 20 août 2025
• Entrée en vigueur : 31 décembre 2024 (GEO 155/2024) ; dispositions de sanction depuis le 30 janvier 2025 ; arrêtés d'application du DNSC depuis le 20 août 2025
• Notification à la Commission : La Roumanie a achevé la transposition via GEO 155/2024 ; non soumise à un avis motivé pendant de la CE sur la législation primaire
• Jalon de conformité : Délai d'enregistrement environ le 19 septembre 2025 (dépassé) ; auto-évaluation du niveau de risque dans les 60 jours suivant la confirmation de l'enregistrement par le DNSC ; auto-évaluation de la maturité en cybersécurité dans les 60 jours suivant la soumission de l'évaluation des risques ; plan de remédiation dans les 30 jours suivant l'évaluation de la maturité

La Roumanie a achevé la transposition de NIS2 le 31 décembre 2024, avant de nombreux pairs de l'UE. Tous les jalons de conformité initiaux — y compris le délai d'enregistrement d'environ le 19 septembre 2025 — sont maintenant dépassés. Les entités non encore enregistrées auprès du DNSC via la plateforme NIS2@RO doivent traiter l'enregistrement comme une priorité immédiate et entamer sans délai la chaîne d'évaluation des risques et de la maturité qui s'ensuit.

16. Points essentiels pour les SMEs en Romania

• Les entités de taille moyenne dans les secteurs couverts sont automatiquement dans le périmètre. La GEO 155/2024 est en vigueur depuis le 31 décembre 2024. Le périmètre de la Roumanie s'étend également au-delà de la directive pour inclure les secteurs pharmaceutique et des pharmacies de détail (Loi 124/2025).
• Les petites entités peuvent être désignées si elles sont essentielles à la stabilité nationale ou économique.
• La supervision de la gouvernance au niveau du conseil est obligatoire. La direction doit suivre une formation en cybersécurité en vertu de la GEO 155/2024, et les entités doivent désigner une personne responsable de la cybersécurité indépendante du chef opérationnel de l'informatique.
• La notification d'incident suit les délais de 24h / 72h / 1 mois.
• Les sanctions financières peuvent atteindre 10 millions d'€ ou 2 % du chiffre d'affaires mondial. La Roumanie permet en outre au DNSC de doubler l'amende maximale dans les cas aggravés.
• La gestion des risques fournisseurs est requise.
• Le délai d'enregistrement (~19 septembre 2025) est dépassé — les entités non encore enregistrées auprès du DNSC via la plateforme NIS2@RO doivent agir immédiatement. Après l'enregistrement, compléter l'auto-évaluation du niveau de risque, puis l'évaluation de la maturité en cybersécurité (dans les 60 jours suivant l'évaluation des risques), et soumettre un plan de remédiation (dans les 30 jours suivant l'évaluation de la maturité).

FAQ : Guide NIS2 pour les SMEs en Romania