ZRP
Tuca Zbarcea & Asociatii

Cybersecurity: Romania transposes the NIS2 Directive. What’s next?

14 Februarie 2025   |   Kinstellar

On 31 December 2024, the Romanian government passed Government Emergency Ordinance no. 155/2024 (GEO 155/2024) transposing NIS2 into national legislation.

 
 
Directive (EU) 2022/2555 (NIS2) aims to further strengthen the cyber resilience of the EU by requiring entities in various sectors to dial up their cybersecurity efforts. NIS2 replaces the former NIS1 Directive (EU) 2016/1148, expands the range of entities falling under its provisions, and introduces stricter requirements for these entities.
 
On 31 December 2024, the Romanian government passed Government Emergency Ordinance no. 155/2024 (GEO 155/2024) transposing NIS2 into national legislation.
 
Whom does it concern?
 
NIS2 and GEO 155/2024 target entities across various industry sectors and categorises them into essential and important entities. Entities active in the following areas should check whether NIS2 and GEO 155/2024 apply to them:

 
(i)          essential entities: energy (electricity, district heating and cooling, oil, gas, hydrogen); transport (air, rail, water, road); banking; financial market infrastructures; health; drinking water; wastewater; and public administration and space. Even stricter obligations apply to digital infrastructure and ICT service management;
 
(ii)         important entities: postal and courier services; waste management; manufacture, production and distribution of chemicals; production, processing and distribution of food; manufacturing of medical devices; computer, electronic and optical products; electrical equipment; machinery and equipment; motor vehicles, trailers and semi-trailers and other transport equipment; digital providers of online marketplaces, search engines, and social networking.
 
Even though size thresholds are in place (NIS2 and GEO 155/2024 apply mainly to medium and large enterprises), an entity falling under these thresholds can still be subject to these legal provisions due to its critical role in a specific sector. Some obligations extend to suppliers of such entities, as NIS2 also aims to raise the cyber preparedness of supply chains.
 
What must be done?
 
If an entity has determined that it falls under NIS2 and GEO 155/2024, it must comply with all obligations and requirements laid down in this legislation for the respective type of entity.
 
GEO 155/2024 outlines several obligations for the entities subject to its provisions, including, but not limited to, the following:
 
→    Implement appropriate and proportional technical, operational, and organisational measures to manage security risks and minimise the impact of incidents on information systems, adhering also to sector-specific requirements;
→    Register with the Romanian National Cybersecurity Directorate (“DNSC”), the authority responsible for enforcing GEO 155/2024 provisions;
→    Conduct audits at regular intervals and communicate their results to the DNSC;
→    Ensure management undergoes cybersecurity training and that the individual responsible for cybersecurity decisions operates independently from the operational Head of IT;
→    In the event of a cybersecurity incident, notify authorities within six and 24 hours, and—depending on the circumstances—inform affected individuals or contractual partners when necessary.
 
Sanctions
 
GEO 155/2024 establishes a framework of multiple obligations in which each breach of an individual type of obligation is sanctioned with a fine (e.g., failure to register with the DNSC, not performing the required audits, or not communicating their results to the DNSC). Fines can reach up to EUR 10 million or 2% of annual worldwide turnover, whichever is higher, for essential entities, and EUR 7 million or 1.4% of annual worldwide turnover, whichever is higher, for important entities.
 
In addition, NIS2 and GEO 155/2024 legislate the personal liability of individuals from management for non-compliance.
 
Next step?
 
GEO 155/2024 established a deadline for registering with the DNSC that elapsed on 30 January 2025. However, at present, the DNSC has not yet issued the application norms required to perform the registration of essential and important entities.
 
According to a press release available on the DNSC website, registrations will be performed based on the application norms that the DNSC commits to issue in Q1 2025. After the necessary application norms will be issued, relevant entities will have to register with the DNSC in the prescribed manner and deadlines.
 
As non-observance of regulatory cybersecurity obligations could lead not only to fines for both the company and management, but also to damage claims from contractual partners (if the latter suffer losses following an incident that could have been prevented or mitigated if the prescribed measures would have been in place), relevant entities should take the necessary actions to comply with these legal requirements as soon as possible.

 
 

PNSA

 
 

ARTICOLE PE ACEEASI TEMA

ARTICOLE DE ACELASI AUTOR

Test
 

Ascunde Reclama
 
 

POSTEAZA UN COMENTARIU


Nume *
Email (nu va fi publicat) *
Comentariu *
Cod de securitate*







* campuri obligatorii

Posteaza comentariu

Articol 158 / 4588
 

Ascunde Reclama
 
BREAKING NEWS
ESENTIAL
ITR World Tax 2026 | Brandurile din avocatura locală cu o activitate notabilă în domeniul taxelor urcă în top. NNDKP, CMS, PNSA, TZA, Schoenherr, Băncilă, Diaconu și Asociații, Mușat & Asociații sau Popescu & Asociații, printre cele mai bune firme locale evidențiate pe palierele de General corporate tax, Transfer pricing și Tax controversy
Baciu Partners și coordonatoarea sa au urcat pe primul loc pe podium la gala inaugurală Legal 500 - CEE Awards | Ana-Maria Baciu, după ce a primit distincția „Romania Lawyer of the Year”, iar BACIU PARTNERS a fost desemnată „CEE IP Firm of the Year”: ”Încrederea nu se câștigă printr-o conjunctură, ci prin consistență, prezență și prin convingerea că lucrurile pot fi mereu făcute altfel, în beneficiul direct al echipei și clienților. Standardul pe care îl impune este clar: să livrezi claritate și rigoare în permanență și să ai curajul să gândești diferit, înțelegând miza reală”
Practica de Banking & Finance de la Bondoc & Asociații rămâne calibrată pe proiecte de mare anvergură, execuție la standarde internaționale și expunere transfrontalieră constantă | De vorbă cu partenerele Simona Petrișor și Diana Ispas despre tendințe, tipuri de finanțări, structuri inovatoare și provocările anului din acest sector. Portofoliul de proiecte îmbină ”verdele”, infrastructura și consolidarea bancară, repere clare ale unui an încărcat
Legal500 a desemnat Clifford Chance Badea drept Casa de Avocatură a Anului în România în 2025 | Daniel Badea, Managing Partner: Premiile primite încununează aproape 20 de ani de excelență profesională, de-a lungul cărora ne-am consolidat poziția de lider pe piața de avocatură din România și din regiune, câștigând în paralel aprecierea întregii rețele globale Clifford Chance
LegiTeam: Zamfirescu Racoţi Vasile & Partners recrutează avocat definitiv Achiziții & Corporate| Consultanță
D&B David și Baias confirmă reziliența M&A: achiziții strategice dominante, mecanisme flexibile, grafic de lucru modelat de conformare și componenta tehnică. Echipa livrează soluții prompte în proiecte cu arhitectură complexă, aliniind interesele vânzătorilor cu obiectivele investitorilor și orchestrând integrarea post-closing | Anda Rojanschi (Partener): „Tranzacția de succes este aceea în care cele două afaceri se integrează după finalizarea deal-ului”. O regulă care devine rutină operațională prin rigoare, colaborare și coordonare interdisciplinară
Schoenherr lansează a cincea ediție a concursului de eseuri „law, sweet law‟, cu premii totale de 21.000 lei
Filip & Company a asistat ACP Credit în acordarea unei investiții de capital grupului Dental Elite Clinics. Alexandra Manciulea (partener) și Rebecca Marina (counsel) au coordonat echipa
ZRVP aniversează în 2025 trei decenii de avocatură | Cosmin Vasile, Managing Partner: “Am crescut organic, am construit fără grabă și fără artificii, și am ajuns aici pentru că am rămas fideli profesiei și valorilor ei. Rămânem, după 30 de ani, cu aceleași ținte primordiale: perfecțiunea juridică și formarea de avocați care să ne împărtășească pasiunea, valorile și viziunea”
Mitel & Asociații se remarcă în practica de Concurență prin rigoare și sincronizare, oferind clienților remedii țintite, viteză procedurală și certitudine în calendarul de closing | Sub coordonarea partenerului Șerban Suchea, firma asigură trasee clare de conformare, maximizează predictibilitatea autorizărilor și păstrează direcția tranzacțiilor într-un peisaj normativ exigent și bine articulat
CMS, implicată în proiectul câștigător al premiului „Investiția Anului” în cadrul SEE Property Forum Awards 2025 pentru al doilea an consecutiv
Bohâlțeanu & Asociații a stat alături de asociații Auto Brand SRL în tranzacția prin care BPW Group a intrat pe piața locală. Ionuț Bohâlțeanu (Managing Partner) și Anda Călin (Managing Associate), în prim plan
 
Citeste pe SeeNews Digital Network

  • BizBanker

  • BizLeader

      in curand...

  • SeeNews

    in curand...