Sari la conținut
Blog-Ops

Amenzi GDPR și NIS2: ce riscă firma ta

V-Ops

Când discutăm despre costul lipsei de mentenanță IT, majoritatea firmelor se gândesc la downtime și date pierdute. Există însă un al doilea cost, pe care mulți îl ignoră până când e prea târziu: cel legal. O infrastructură neconformă nu e doar un risc tehnic, e și un risc de amendă. Iar amenzile din zona asta nu sunt simbolice.

Un lucru important de la început: acest articol e informativ, nu consultanță juridică. Cadrul legal se schimbă, iar ce se aplică exact firmei tale depinde de domeniul de activitate și de mărime. Pentru situația ta concretă, verifică la autoritățile competente (ANSPDCP, DNSC) sau cu un specialist.

GDPR: te privește aproape sigur

GDPR (Regulamentul UE 2016/679, aplicat în România și prin Legea 190/2018) se aplică oricui prelucrează date cu caracter personal. Asta înseamnă aproape orice firmă: dacă ai angajați, clienți, o bază de contacte sau un formular de contact, prelucrezi date personale.

Autoritatea care supraveghează și sancționează în România este ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal), iar deciziile de sancționare sunt publice pe site-ul oficial.

Amenzile au două praguri:

  • Până la 20 de milioane de euro sau 4% din cifra de afaceri anuală globală, oricare e mai mare, pentru încălcările grave (de exemplu, prelucrare fără temei legal sau lipsa măsurilor de securitate).
  • Până la 10 milioane de euro sau 2% pentru încălcări considerate mai puțin grave.

În practică, sancțiunile pentru firmele mici sunt de obicei mult sub aceste maxime, dar ideea de reținut e alta: o scurgere de date cauzată de lipsa unor măsuri de securitate elementare (backup, control acces, criptare unde e cazul) te expune direct, iar „nu știam” nu e o apărare.

NIS2: sectoare specifice, cerințe mai stricte

NIS2 (Directiva UE 2022/2555) e legislația europeană de securitate cibernetică. În România a fost transpusă prin OUG 155/2024 și extinsă ulterior prin Legea 124/2025 (care a adăugat, de exemplu, farmaciile). Autoritatea competentă este DNSC (Directoratul Național de Securitate Cibernetică).

Spre deosebire de GDPR, NIS2 nu se aplică tuturor. Vizează entități din sectoare considerate esențiale sau importante (energie, transport, sănătate, apă, infrastructură digitală, farma și altele), peste anumite praguri de mărime. O entitate „importantă” înseamnă, de regulă, o firmă medie: între 50 și 250 de angajați sau cu o cifră de afaceri între 10 și 50 de milioane.

Amenzile NIS2:

  • Entități esențiale: până la 10 milioane de euro sau 2% din cifra de afaceri globală.
  • Entități importante: până la 7 milioane de euro sau 1,4% din cifra de afaceri.

Chiar dacă firma ta nu e direct în scopul NIS2, efectul se simte pe lanțul de furnizare: o firmă care intră sub NIS2 este obligată să-și verifice furnizorii, așa că îți poate cere prin contract aceleași măsuri de securitate. Practic, conformitatea partenerilor tăi devine cerința ta.

Ce înseamnă concret o infrastructură conformă

Vestea bună e că măsurile cerute de lege se suprapun aproape complet cu ce înseamnă, oricum, o infrastructură IT sănătoasă. Nu e o listă exotică:

  • Backup testat și un plan de recuperare care chiar funcționează.
  • MFA și control al accesului, ca o parolă furată să nu fie de ajuns.
  • Patching la zi, ca vulnerabilitățile cunoscute să nu rămână deschise.
  • Jurnale (loguri) și monitorizare, ca să poți spune ce s-a întâmplat și când.
  • Un plan de răspuns la incident, ca să nu improvizezi în plină criză.
  • Politici clare și oameni care știu ce să nu apese.

Nu trebuie totul dintr-o dată. Dar trebuie să poți demonstra, la nevoie, că ai măsuri rezonabile și că ele funcționează. Diferența dintre „credeam că suntem în regulă” și „putem arăta că suntem în regulă” e exact diferența dintre o amendă și o inspecție trecută.

Cazul special: datele sensibile

Dacă lucrezi cu date de sănătate (cabinete medicale), date financiare sau alte categorii sensibile, ștacheta e mai sus. Datele de sănătate sunt categorie specială sub GDPR (articolul 9), cu cerințe suplimentare, iar sănătatea e și un sector vizat de NIS2. Am scris separat despre ce înseamnă asta pentru un cabinet, în pagina despre IT pentru cabinete medicale.

Cum te pregătești, fără panică

Primul pas nu e să cumperi tot, ci să afli unde stai. Un audit IT gratuit îți arată ce măsuri ai deja, ce lipsește și unde ești expus, atât tehnic, cât și din perspectiva conformității. Abia după aceea are sens să prioritizezi ce implementezi întâi.

Iar dacă vrei să vezi cum arată partea de măsuri concrete, pornește de la securitatea IT: acolo stau exact componentele pe care ți le cere și legea, și bunul-simț tehnic. Scopul nu e să bifezi o listă de teamă, ci să ajungi într-un punct în care conformitatea e o consecință firească a felului în care e ținută infrastructura.

Întrebări frecvente

Firma mea mică chiar poate primi amendă GDPR?
Da. GDPR se aplică oricui prelucrează date personale, inclusiv datele angajaților și ale clienților, indiferent de mărimea firmei. În România, autoritatea care sancționează este ANSPDCP, iar deciziile de sancționare sunt publice. Amenzile mari sunt pentru încălcări grave, dar principiul e clar: nimeni nu e prea mic pentru GDPR.
Ce este NIS2 și mă privește pe mine?
NIS2 e directiva europeană de securitate cibernetică, transpusă în România prin OUG 155/2024 și extinsă prin Legea 124/2025. Se aplică unor sectoare specifice (energie, sănătate, infrastructură digitală, farma și altele) peste anumite praguri de mărime. Nu orice firmă mică e direct în scop, dar dacă ești furnizor pentru o firmă care e, contractul îți poate cere aceleași măsuri.
Cât de mari sunt amenzile?
La GDPR, până la 20 de milioane de euro sau 4% din cifra de afaceri anuală globală, oricare e mai mare, pentru încălcările grave. La NIS2, până la 10 milioane de euro sau 2% din cifra de afaceri pentru entitățile esențiale și până la 7 milioane sau 1,4% pentru cele importante. Astea sunt maximele; sancțiunea reală depinde de gravitate.
Ce înseamnă concret o infrastructură conformă?
Măsuri tehnice și organizatorice rezonabile: backup testat, MFA, patching la zi, control al accesului, jurnale (loguri), un plan de răspuns la incident și politici clare. Nu trebuie totul dintr-o dată, dar trebuie să poți demonstra că le ai și că funcționează.

E timpul să ai o infrastructură IT pe care te poți baza.

Solicită audit IT gratuit