Torna alle guide

    NIS2 in Romania

    Guida all'implementazione e alla conformità NIS2 in Romania.

    La Romania sta aggiornando il proprio quadro nazionale di cibersicurezza per allinearsi agli obblighi rafforzati introdotti dalla direttiva NIS 2. Il regime rivisto amplia la copertura settoriale, rafforza la responsabilità degli organi di gestione e potenzia i meccanismi di vigilanza e di applicazione. Questa guida offre una panoramica strutturata dei requisiti di conformità alla NIS 2 in Romania per le PMI che operano nei settori coperti.

    1. Panoramica rapida dell'applicabilità alle PMI in Romania

    NIS2 si applica alle PMI in Romania?

    Sì — a seconda del settore e delle dimensioni.

    • Applicabilità automatica alle entità di medie dimensioni (≥50 dipendenti e ≥€10 million di fatturato o totale di bilancio) operanti nei settori coperti.
    • Le entità piccole o micro sono incluse solo se formalmente designate o se operano in settori ad alta criticità.
    • Si applica alle entità stabilite in Romania e, in alcuni casi, ai fornitori digitali stranieri che servono il mercato rumeno.

    Le PMI dovrebbero valutare la qualificazione ai sensi del quadro nazionale di cibersicurezza della Romania in base alla classificazione settoriale e alle soglie di legge.

    2. Panoramica dell'attuazione della direttiva NIS 2 in Romania

    La Romania ha recepito NIS2 attraverso l'Ordinanza Governativa d'Emergenza n. 155/2024 (GEO 155/2024), adottata il 30 dicembre 2024 e in vigore dal 31 dicembre 2024, sostituendo il precedente quadro NIS1. È stata perfezionata dalla Legge n. 124/2025 (in vigore dal 10 luglio 2025), che ha ampliato l'ambito sanitario per includere i settori farmaceutici e le farmacie al dettaglio.

    Il quadro è stato reso operativo tramite l'Ordinanza DNSC n. 1/2025 (procedura di registrazione) e l'Ordinanza n. 2/2025 (metodologia di valutazione dei rischi), entrambe entrate in vigore il 20 agosto 2025. Il quadro allinea il regime rumeno alla Direttiva (UE) 2022/2555 e introduce diverse specificità nazionali oltre la base direttiva.

    Il DNSC ha il potere di raddoppiare le multe massime (compresi i tetti di 10 milioni di € / 2%) in determinati casi aggravati. Le entità devono registrarsi tramite la piattaforma NIS2@RO, completare un'autovalutazione del livello di rischio, poi un'autovalutazione della maturità in cybersicurezza entro 60 giorni dalla presentazione della valutazione dei rischi, e presentare un piano di rimedio entro 30 giorni dalla valutazione della maturità — creando una catena di conformità strutturata in quattro fasi. Le entità devono inoltre designare una persona responsabile della cybersicurezza che operi in modo indipendente dal responsabile operativo IT.

    3. Ambito di applicazione in Romania

    Entità essenziali

    Entità operanti in settori altamente critici:

    Entità importanti

    Entità operanti negli altri settori elencati:

    L'ambito della Romania si estende oltre il minimo della Direttiva. La Legge n. 124/2025 ha esteso esplicitamente il settore sanitario per includere entità della catena di approvvigionamento farmaceutica e farmacie al dettaglio (NACE 4773). Le entità di difesa nazionale, ordine pubblico, sicurezza nazionale, Ministero degli Affari Esteri e applicazione della legge sono escluse dall'ambito della GEO 155/2024.

    4. Soglie dimensionali e applicabilità alle PMI in Romania

    Si applicano le soglie di base:

    • ≥50 dipendenti, e
    • ≥€10 million fatturato annuo o totale di bilancio.

    Le entità che soddisfano entrambi i criteri all'interno dei settori coperti rientrano automaticamente nell'ambito.

    Le piccole e micro imprese possono essere designate se considerate critiche per la sicurezza nazionale, la stabilità economica o la continuità dei servizi essenziali — ad esempio, se sono l'unico fornitore di un servizio critico, o se l'interruzione dei loro servizi avrebbe un impatto significativo sulla sicurezza pubblica, sull'economia o sulla sicurezza nazionale. Le autorità rumene mantengono poteri formali di designazione laddove il rischio sistemico giustifichi l'inclusione.

    Le entità dovrebbero valutare il loro stato esaminando l'affiliazione settoriale, le soglie dimensionali e la criticità dei servizi forniti.

    5. Quadro di classificazione delle entità in Romania

    Le entità sono classificate come:

    • Entità essenziali — Soggette a vigilanza proattiva, con ispezioni e monitoraggio strutturato della conformità.
    • Entità importanti — Principalmente soggette a vigilanza reattiva attivata da incidenti significativi o da problematiche di conformità.

    La classificazione è determinata dal settore e dalle dimensioni. Le autorità possono riclassificare le entità quando l'impatto operativo o l'esposizione al rischio giustificano una vigilanza rafforzata.

    La Romania segue la struttura di vigilanza a due livelli della Direttiva.

    6. Requisiti di gestione del rischio di cibersicurezza in Romania

    Il regime nazionale della Romania è allineato ai requisiti di base della Direttiva per la gestione del rischio di cibersicurezza. Le entità rientranti nel campo di applicazione devono attuare misure tecniche e organizzative proporzionate che affrontino:

    • Analisi dei rischi e protezione dei sistemi
    • Rilevamento e risposta agli incidenti
    • Continuità operativa e gestione delle crisi
    • Controlli dei rischi della catena di fornitura NIS2 in Romania
    • Acquisizione e sviluppo sicuri dei sistemi ICT
    • Controllo degli accessi e gestione delle identità
    • Cifratura e misure di protezione crittografiche
    • Procedure di gestione delle vulnerabilità
    • Formazione del personale in materia di cybersicurezza

    Le misure devono riflettere gli standard allo stato dell'arte e l'esposizione al rischio dell'organizzazione. È incoraggiato l'allineamento a ISO/IEC 27001 e agli orientamenti nazionali della Romania sulla cibersicurezza.

    7. Responsabilità degli organi di gestione e governance in Romania

    Gli organi di gestione devono approvare formalmente le misure di gestione del rischio di cibersicurezza e vigilare sulla loro attuazione.

    Secondo il quadro normativo della Romania:

    • I consigli sono responsabili della supervisione della conformità.
    • L'alta dirigenza deve garantire una sufficiente competenza in cybersicurezza. GEO 155/2024 richiede che la dirigenza segua una formazione in cybersicurezza sulla prevenzione e gestione dei rischi cyber. Le entità devono inoltre designare una persona responsabile della cybersicurezza che operi in modo indipendente dal responsabile operativo IT.
    • Le sanzioni amministrative possono affrontare carenze di governance.
    • La sospensione temporanea delle funzioni dirigenziali può essere disponibile nell'ambito di meccanismi di applicazione allineati alla Direttiva.

    Le aspettative in materia di responsabilità dell'organo di gestione previste dalla NIS2 in Romania elevano la governance della cybersicurezza a una responsabilità a livello esecutivo.

    8. Obblighi di notifica degli incidenti in Romania

    Definizione di un incidente significativo

    Un incidente è tale se provoca:

    • Grave interruzione operativa
    • Perdita finanziaria significativa
    • Impatto sociale sostanziale
    • Effetti transfrontalieri

    Tempistiche di segnalazione

    Fase di segnalazioneScadenzaAutorità
    Preallerta24 oreNational Cyber Security Directorate (DNSC)
    Notifica dell'incidente72 oreNational Cyber Security Directorate (DNSC)
    Relazione finale1 meseNational Cyber Security Directorate (DNSC)

    La Romania segue la struttura della direttiva NIS2 per le scadenze di notifica. Le autorità di regolamentazione settoriali possono coordinarsi con il DNSC, ove applicabile.

    9. Autorità di vigilanza e modello di applicazione in Romania

    Autorità principale: National Cyber Security Directorate (DNSC).

    La Romania adotta un modello di vigilanza centralizzato coordinato dal DNSC, con autorità di regolamentazione settoriali coinvolte ove necessario.

    I poteri di vigilanza includono:

    • Richieste di informazioni e documentazione
    • Audit di sicurezza
    • Ispezioni in loco
    • Istruzioni vincolanti in materia di conformità
    • Partecipazione ai meccanismi di coordinamento dell'UE in materia di cibersicurezza

    La struttura di applicazione è allineata ai requisiti di cooperazione a livello di Direttiva.

    10. Sanzioni e ammende NIS2 in Romania

    La Romania applica sanzioni amministrative allineate alla Direttiva.

    Entità essenziali

    Fino a €10 million o 2% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)

    Entità importanti

    Fino a €7 million o 1.4% del fatturato annuo globale complessivo (a seconda di quale sia maggiore)

    L'applicazione delle sanzioni NIS2 in Romania può includere anche:

    • Ordini vincolanti di rimedio
    • Identificazione pubblica delle entità non conformi
    • Sospensione di autorizzazioni o certificazioni
    • Poteri di sospensione dei dirigenti
    • Multe massime raddoppiate: in determinati casi aggravati, il DNSC può imporre fino al doppio delle soglie massime di multa standard (compresi i tetti di 10 milioni di € / 2% per le entità essenziali)

    11. Sicurezza della catena di fornitura e dei fornitori NIS2 in Romania

    Le entità devono gestire l'esposizione ai rischi di cybersicurezza dei terzi attraverso:

    • Valutazioni del rischio dei fornitori
    • Disposizioni contrattuali di sicurezza a cascata
    • Monitoraggio continuo dei fornitori ICT
    • Analisi del rischio di concentrazione
    • Mitigazione della propagazione degli incidenti

    L'approccio della Romania è in linea con le aspettative di base della Direttiva in materia di gestione del rischio dei fornitori.

    12. Obblighi di registrazione e di autoidentificazione in Romania

    Le entità rientranti nell'ambito di applicazione devono:

    • Registrarsi presso il DNSC tramite la piattaforma NIS2@RO (platformanis2.ro). Il termine iniziale di registrazione era circa il 19 settembre 2025 (30 giorni dopo l'entrata in vigore dell'Ordinanza DNSC 1/2025 il 20 agosto 2025) — è ora scaduto. Solo le registrazioni presentate dopo il 20 agosto 2025 sono legalmente valide. Le entità non ancora registrate dovrebbero trattarlo come una priorità urgente.
    • Fornire i dati di identificazione aziendale
    • Divulgare la classificazione settoriale
    • Mantenere aggiornati i contatti di notifica

    A seguito della conferma di registrazione da parte del DNSC, le entità devono completare un'autovalutazione del livello di rischio ai sensi dell'Ordinanza n. 2/2025, quindi un'autovalutazione della maturità in cybersicurezza entro 60 giorni, seguita dalla presentazione di un piano di rimedio entro 30 giorni dalla valutazione della maturità. Il DNSC emetterà una decisione formale classificando l'entità come essenziale o importante.

    L'autoidentificazione è obbligatoria. Le entità dovrebbero condurre una valutazione dell'impatto dell'interruzione del servizio secondo i criteri dell'Ordinanza n. 2/2025 (impatto su diritti fondamentali, economia, salute, finanze, sicurezza nazionale) come parte della loro presentazione di registrazione.

    13. Interazione con il GDPR e altre leggi in Romania

    Il Regolamento generale sulla protezione dei dati continua ad applicarsi parallelamente.

    Gli aspetti di sovrapposizione includono:

    • Notifica di violazione dei dati personali entro 72 ore
    • Coordinamento tra le autorità di controllo

    14. Applicabilità transfrontaliera

    Le entità con stabilimento principale in Romania sono sottoposte alla vigilanza delle autorità rumene per i servizi transfrontalieri.

    I fornitori di servizi digitali stranieri che offrono servizi in Romania possono essere soggetti a obblighi nazionali in base alla struttura di stabilimento.

    I requisiti di rappresentanza seguono gli standard della Direttiva NIS2 per i fornitori extra-UE che operano sul mercato rumeno.

    15. Tempistica di attuazione in Romania

    • Adozione della Direttiva: 2022
    • Modifiche legislative nazionali: GEO 155/2024 adottata il 30 dicembre 2024 (in vigore dal 31 dicembre 2024); Legge n. 124/2025 in vigore dal 10 luglio 2025 (perfezionando la GEO 155/2024 ed estendendo l'ambito sanitario/farmaceutico); Ordinanza DNSC n. 1/2025 (registrazione) e Ordinanza n. 2/2025 (valutazione dei rischi) entrambe in vigore dal 20 agosto 2025
    • Entrata in vigore: 31 dicembre 2024 (GEO 155/2024); disposizioni sanzionatorie dal 30 gennaio 2025; ordinanze attuative del DNSC dal 20 agosto 2025
    • Notifica alla Commissione: La Romania ha completato il recepimento tramite GEO 155/2024; non soggetta a un parere motivato pendente della CE sulla legislazione primaria
    • Tappa di conformità: Termine di registrazione circa il 19 settembre 2025 (scaduto); autovalutazione del livello di rischio entro 60 giorni dalla conferma di registrazione DNSC; autovalutazione della maturità in cybersicurezza entro 60 giorni dalla presentazione della valutazione dei rischi; piano di rimedio entro 30 giorni dalla valutazione della maturità

    La Romania ha completato il recepimento di NIS2 il 31 dicembre 2024, prima di molti pari UE. Tutte le tappe iniziali di conformità — incluso il termine di registrazione di circa il 19 settembre 2025 — sono ora scadute. Le entità non ancora registrate presso il DNSC tramite la piattaforma NIS2@RO dovrebbero trattare la registrazione come una priorità immediata e iniziare senza indugio la successiva catena di valutazione del rischio e della maturità.

    16. Punti chiave per le PMI in Romania

    • Le entità di medie dimensioni nei settori coperti rientrano automaticamente nell'ambito. GEO 155/2024 è in vigore dal 31 dicembre 2024. L'ambito della Romania si estende anche oltre la Direttiva per includere i settori farmaceutico e delle farmacie al dettaglio (Legge 124/2025).
    • Le piccole entità possono essere designate se critiche per la stabilità nazionale o economica.
    • La supervisione della governance a livello di consiglio è obbligatoria. La dirigenza deve seguire una formazione in cybersicurezza ai sensi della GEO 155/2024, e le entità devono designare una persona responsabile della cybersicurezza indipendente dal responsabile operativo IT.
    • La notifica degli incidenti segue i termini di 24h / 72h / 1 mese.
    • Le sanzioni finanziarie possono raggiungere 10 milioni di € o il 2% del fatturato globale. La Romania consente inoltre al DNSC di raddoppiare la multa massima nei casi aggravati.
    • È richiesta la gestione del rischio fornitori.
    • Il termine di registrazione (~19 settembre 2025) è scaduto — le entità non ancora registrate presso il DNSC tramite la piattaforma NIS2@RO devono agire immediatamente. Dopo la registrazione, completare l'autovalutazione del livello di rischio, poi la valutazione della maturità in cybersicurezza (entro 60 giorni dalla valutazione del rischio), e presentare un piano di rimedio (entro 30 giorni dalla valutazione della maturità).

    FAQ: Guida NIS2 per le PMI in Romania

    La direttiva NIS2 si applica alle piccole imprese in Romania?

    Le piccole imprese sono generalmente escluse, salvo designazione o operatività in settori altamente critici. Le entità di medie dimensioni che soddisfano le soglie dimensionali sono coperte automaticamente.

    Quali sono le sanzioni NIS2 in Romania?

    Le entità essenziali affrontano sanzioni fino a €10 milioni o al 2% del fatturato annuo globale. Le entità importanti fino a €7 milioni o all'1,4% del fatturato annuo globale.

    Quando entra in vigore la NIS2 in Romania?

    La Romania ha completato il recepimento di NIS2 attraverso l'Ordinanza Governativa d'Emergenza n. 155/2024 (GEO 155/2024), in vigore dal 31 dicembre 2024, integrata dalla Legge n. 124/2025 (10 luglio 2025) e dalle Ordinanze DNSC n. 1 e 2/2025 (20 agosto 2025). Il termine di registrazione è scaduto circa il 19 settembre 2025. Le entità devono ora completare un'autovalutazione del livello di rischio, una valutazione della maturità in cybersicurezza (entro 60 giorni dalla valutazione del rischio) e un piano di rimedio (entro 30 giorni dalla valutazione della maturità). Le entità non ancora registrate presso il DNSC tramite la piattaforma NIS2@RO dovrebbero trattare questo come una priorità immediata.

    Chi applica la NIS2 in Romania?

    The National Cyber Security Directorate (DNSC) funge da autorità di vigilanza principale, coordinandosi con i regolatori di settore ove applicabile.

    Gli amministratori possono essere personalmente responsabili ai sensi della NIS2 in Romania?

    Gli organi di amministrazione devono approvare e sovrintendere alle misure di cybersicurezza. Gli strumenti di applicazione amministrativa possono includere poteri di sospensione delle funzioni dirigenziali nei casi più gravi.

    In che cosa la NIS2 differisce dal GDPR in Romania?

    La NIS2 disciplina la resilienza informatica e la gestione del rischio operativo, mentre il GDPR regola la protezione dei dati personali. Entrambi i quadri possono applicarsi a seguito di un incidente informatico.

    Cosa rientra tra gli incidenti significativi ai sensi della NIS2 in Romania?

    Un incidente che provochi una grave interruzione, perdite finanziarie rilevanti, un impatto sociale o conseguenze transfrontaliere soddisfa in genere la soglia di segnalazione.