In Romania sunt 792 de certificate ISO 27001 active, dar peste 6.000 de organizatii sunt vizate de Directiva NIS2. Asta inseamna ca 87% din firmele care trebuie sa demonstreze conformitate in securitate cibernetica nu au inca instrumentul de baza pentru asta.
Incidentele cibernetice nu asteapta. DNSC a raportat o crestere de 40,2% a fraudelor informatice si de 286,8% a atacurilor malware in 2024. IMM-urile din logistica, energie si productie au raportat cu 30% mai multe incidente in 2025.
De ce conteaza ISO 27001 pentru securitate cibernetica
ISO 27001 este standardul international pentru managementul securitatii informatiei. Versiunea actuala (ISO/IEC 27001:2022, adoptata in Romania ca SR EN ISO/IEC 27001:2023) contine 93 de controale organizate in 4 categorii:
- Organizationale (37 de controale): politici de securitate, roluri, gestionarea activelor informationale
- De personal (8 controale): verificare angajati, constientizare, training
- Fizice (14 controale): acces fizic, protectia echipamentelor
- Tehnologice (34 de controale): criptare, backup, monitorizare, protectie impotriva malware
Aceste controale acopera exact tipurile de atacuri care lovesc firmele din Romania: phishing, ransomware, brese de date, atacuri brute force. Un sistem de management al securitatii informatiei (SMSI) certificat ISO 27001 iti da un cadru structurat sa previi, detectezi si raspunzi la incidente.
Legatura cu NIS2: de la optional la obligatoriu
Directiva NIS2 (UE 2022/2555) a fost transpusa in Romania prin OUG 155/2024 si aprobata prin Legea 124/2025. DNSC (Directoratul National de Securitate Cibernetica) aplica prevederile.
ISO 27001 nu este mentionat explicit in NIS2 ca cerinta. Dar ghidurile ENISA mapeaza cerintele tehnice ale directivei direct pe clauzele ISO 27001. Practic, daca ai certificare ISO 27001, ai acoperit o parte mare din ce iti cere NIS2. Detalii complete gasesti in ghidul ISO 27001 si NIS2.
Ce trebuie sa faci conform OUG 155/2024
Daca firma ta este clasificata ca entitate esentiala sau importanta:
- Inrolarea la DNSC era obligatorie in 30 de zile de la Ordinele DNSC nr. 1/2025 si nr. 2/2025 (termen: 20 septembrie 2025)
- Numirea unui responsabil NIS cu curs autorizat DNSC
- Implementarea masurilor tehnice si organizationale de securitate cibernetica
- Raportarea incidentelor: alerta initiala in 24 de ore, notificare in 72 de ore, raport final in maximum o luna
Sanctiunile pentru neconformitate sunt pe masura: pana la 10.000.000 EUR sau 2% din cifra de afaceri globala pentru entitati esentiale, pana la 7.000.000 EUR sau 1,4% pentru entitati importante.
Sectoare vizate de NIS2 in Romania
Entitati esentiale: energie, transport, bancar, infrastructura pietelor financiare, sanatate, apa potabila, infrastructura digitala, administratie publica.
Entitati importante (inclusiv de la 1 ianuarie 2026): producatori si distribuitori alimentari, servicii postale si curierat, gestionarea deseurilor, producatori de vehicule, echipamente electrice si electronice, marketplace-uri online.
Daca activezi in IT sau software, ai si obligatii specifice fata de clientii tai. Vezi ghidul ISO 27001 pentru firme IT pentru detalii.
Cat costa certificarea si cat costa amenda
| Certificare ISO 27001 | Amenda NIS2 (entitati esentiale) | |
|---|---|---|
| Cost | 1.500-2.500 lei + TVA | pana la 10.000.000 EUR |
| Timp | de la 3 zile lucratoare | investigatia DNSC poate dura luni |
| Rezultat | SMSI certificat, conformitate demonstrabila | sanctiune + obligatie de remediere |
Diferenta este clara: certificarea costa sub 3.000 lei, amenda poate ajunge la milioane de euro. Exista furnizori care ofera certificare ISO 27001 100% online, cu proces accelerat de la 3 zile lucratoare (onlineiso.ro).
Cum incepi
Daca inca nu ai ISO 27001, procesul standard include:
- Analiza riscurilor de securitate a informatiei din firma ta
- Stabilirea politicilor si procedurilor conform celor 93 de controale
- Implementarea controalelor tehnice si organizationale
- Auditul de certificare de catre un organism acreditat
Pasii completi gasesti in ghidul de obtinere a certificarii ISO 27001. Pentru costul detaliat pe tipuri de servicii, citeste cat costa ISO 27001.
Intrebari frecvente
ISO 27001 inlocuieste conformitatea NIS2?
Nu complet. ISO 27001 acopera o parte mare din cerinte (estimari variaza intre 60% si 80%), dar NIS2 are obligatii suplimentare: inrolarea la DNSC, raportarea incidentelor in termenele legale, numirea responsabilului NIS. Sunt complementare.
E obligatoriu ISO 27001 in Romania?
Legal, nu este obligatoriu. Dar daca firma ta intra sub incidenta NIS2, ai nevoie de masuri de securitate cibernetica pe care ISO 27001 le structureaza cel mai clar. Citeste mai multe in ce inseamna ISO 27001.
Cat de repede pot obtine certificarea?
Certificarea propriu-zisa poate dura de la 3 zile lucratoare (proces accelerat, online) pana la cateva saptamani (proces standard cu audit la fata locului).