Compliance

NIS2 si AI Act: Dubla Conformare pentru Companiile din Romania

Petru Constantin
--16 min lectura
#nis2#eu-ai-act#compliance#romania#cybersecurity

NIS2 si AI Act: Dubla Conformare pentru Companiile din Romania

Romania a transpus Directiva NIS2 prin OUG 155/2024, publicata in decembrie 2024. Intre 15.000 si 20.000 de entitati romanesti intra acum sub incidenta acesteia. Numarul include companii de energie, banci, spitale, operatori telecom, furnizori de infrastructura cloud, distribuitori alimentari si zeci de alte sectoare.

Problema de care nimeni nu vorbeste: multe dintre aceste companii folosesc si sisteme AI. Ceea ce inseamna ca trebuie sa se conformeze si Regulamentului (UE) 2024/1689 - EU AI Act - in acelasi timp.

Doua regulamente. Doua calendare de enforcement. Doua seturi de penalitati. Doua autoritati romanesti diferite care supravegheaza.

Majoritatea consultantilor de conformitate trateaza acestea ca proiecte separate. E o greseala. Suprapunerea dintre NIS2 si AI Act este semnificativa, iar companiile care construiesc un framework unificat vor cheltui mai putin, vor avansa mai rapid si vor reduce riscul mai bine decat cele care ruleaza doua procese paralele de audit.

Ce Cere NIS2 in Romania

Directiva NIS2 (Directiva (UE) 2022/2555) a inlocuit Directiva NIS originala si a extins dramatic atat domeniul de aplicare, cat si penalitatile. Romania a implementat-o prin Ordonanta de Urgenta 155/2024.

Cine Intra Sub NIS2?

NIS2 clasifica entitatile in doua grupuri:

Entitati esentiale:

  • Energie (electricitate, petrol, gaz, hidrogen, incalzire centralizata)
  • Transport (aerian, feroviar, naval, rutier)
  • Bancar si infrastructura pietei financiare
  • Sanatate (spitale, laboratoare, producatori farmaceutici)
  • Apa potabila si ape uzate
  • Infrastructura digitala (IXP-uri, DNS, registre TLD, furnizori cloud, centre de date)
  • Management servicii ICT (B2B)
  • Administratie publica
  • Spatiu

Entitati importante:

  • Servicii postale si de curierat
  • Management deseuri
  • Fabricare si distributie produse chimice
  • Productie si distributie alimentara
  • Manufacturare (dispozitive medicale, electronice, masini, vehicule)
  • Furnizori digitali (piete online, motoare de cautare, retele sociale)
  • Organizatii de cercetare

Pragul de dimensiune: orice intreprindere medie sau mare din aceste sectoare. Adica 50+ angajati sau 10M+ EUR cifra de afaceri anuala. Unele entitati se califica indiferent de dimensiune - furnizorii DNS, registrele TLD si furnizorii de comunicatii electronice publice nu au prag minim.

Obligatii NIS2 de Baza

Sub OUG 155/2024, entitatile vizate trebuie sa:

  1. Masuri de management al riscului - Implementeze masuri tehnice, operationale si organizatorice proportionale cu riscul
  2. Raportare incidente - Raporteze incidentele semnificative catre DNSC (Directoratul National de Securitate Cibernetica) in 24 ore (alerta initiala), 72 ore (notificare completa) si 1 luna (raport final)
  3. Securitatea lantului de aprovizionare - Evalueze si gestioneze riscurile de securitate cibernetica de la furnizori si prestatori de servicii
  4. Continuitatea activitatii - Management backup, disaster recovery, management crize
  5. Gestionarea vulnerabilitatilor - Politici de divulgare si management al vulnerabilitatilor
  6. Igiena cibernetica - Training, control acces, management active, autentificare multi-factor
  7. Criptografie si criptare - Politici privind utilizarea solutiilor criptografice
  8. Securitatea resurselor umane - Verificari background, management acces, constientizare securitate cibernetica
  9. Responsabilitatea managementului - Conducerea trebuie sa aprobe si sa supravegheze masurile de securitate cibernetica. Se aplica raspunderea personala.
  10. Inregistrare - Entitatile trebuie sa se inregistreze la DNSC si sa mentina informatii de contact actualizate

Penalitati NIS2

Pentru entitati esentiale: pana la 10.000.000 EUR sau 2% din cifra de afaceri anuala globala, oricare este mai mare.

Pentru entitati importante: pana la 7.000.000 EUR sau 1,4% din cifra de afaceri anuala globala, oricare este mai mare.

Managementul poate fi tinut personal responsabil. DNSC poate suspenda temporar certificari sau autorizatii pentru entitatile esentiale neconforme.

Stratul AI Act

Regulamentul (UE) 2024/1689 a intrat in vigoare pe 1 august 2024. Prevederile sale se aplica in etape:

  • Februarie 2025: Interdictia practicilor AI interzise intra in vigoare
  • August 2025: Obligatiile pentru modelele AI de uz general se aplica
  • August 2026: Aplicarea completa a cerintelor pentru sistemele AI cu risc ridicat
  • August 2027: Termen extins pentru sistemele AI cu risc ridicat care sunt componente de siguranta ale produselor

Cine Are Nevoie de Conformitate AI Act?

Orice organizatie care dezvolta, implementeaza, importa sau distribuie sisteme AI pe piata UE. Intrebarea cheie este clasificarea riscului:

Sisteme AI cu risc ridicat (Anexa III) includ AI folosit in:

  • Identificare si categorizare biometrica
  • Management si operare infrastructura critica
  • Educatie si formare profesionala (admitere, evaluari)
  • Angajare (recrutare, alocare sarcini, monitorizare performanta)
  • Servicii esentiale publice si private (scoring credit, asigurari, dispecerat urgente)
  • Aplicarea legii
  • Migratie, azil si control frontiere
  • Administrarea justitiei

Sisteme AI cu risc ridicat (Anexa I) includ AI care este componenta de siguranta a produselor acoperite de legislatia de armonizare UE - dispozitive medicale, masini, vehicule, aviatie, feroviar, naval.

Penalitati AI Act

Penalitatile AI Act sunt cele mai mari din istoria reglementarii UE:

  • Practici AI interzise: pana la 35.000.000 EUR sau 7% din cifra de afaceri anuala globala
  • Incalcari sisteme cu risc ridicat: pana la 15.000.000 EUR sau 3% din cifra de afaceri anuala globala
  • Furnizarea de informatii incorecte autoritatilor: pana la 7.500.000 EUR sau 1% din cifra de afaceri anuala globala

ANCOM (Autoritatea Nationala pentru Administrare si Comunicatii) a fost desemnata ca autoritate de supraveghere a pietei pentru aplicarea AI Act in Romania.

Suprapunerea de Care Nimeni Nu Vorbeste

Aici devine interesant pentru companiile romanesti. Gandeste-te la un spital care foloseste AI pentru triajul pacientilor. Sub NIS2, este entitate esentiala in sectorul sanatatii. Sub AI Act, sistemul de triaj este cu risc ridicat (servicii private esentiale - sanatate). Aceeasi companie, acelasi sistem, doua cadre de reglementare.

Sau ia o companie de energie care foloseste AI pentru predictia incarcarii retelei. Entitate esentiala NIS2. Sistem AI cu risc ridicat (management infrastructura critica). Dubla expunere.

Suprapunerile sunt structurale, nu accidentale:

1. Management al Riscului

NIS2 cere analiza riscurilor si politici de securitate a sistemelor informatice.

AI Act cere un sistem de management al riscului pentru AI cu risc ridicat care acopera identificarea, estimarea, evaluarea si tratarea riscurilor.

Suprapunerea: Ambele cer evaluare sistematica a riscurilor. Ambele cer documentatie. Ambele cer revizuire si actualizare periodica. O companie care ruleaza doua procese separate de management al riscului pentru acelasi sistem face munca dubla.

2. Raportarea Incidentelor

NIS2 cere raportarea incidentelor semnificative de securitate cibernetica catre DNSC in 24 de ore.

AI Act cere furnizorilor de sisteme AI cu risc ridicat sa raporteze incidentele grave autoritatii de supraveghere a pietei (ANCOM).

Suprapunerea: O bresa de securitate a unui sistem AI declanseaza obligatii sub ambele regulamente simultan. Fara un plan de raspuns la incidente unificat, risti sa ratezi termene sau sa furnizezi informatii inconsistente la doua autoritati diferite.

3. Lantul de Aprovizionare si Managementul Tertilor

NIS2 impune evaluari si masuri de securitate a lantului de aprovizionare.

AI Act cere furnizorilor sa implementeze sisteme de management al calitatii care acopera managementul lantului de aprovizionare si cere implementatorilor sa monitorizeze sistemele AI obtinute de la terti.

Suprapunerea: Evaluarea furnizorului AI ar trebui sa acopere atat postura de securitate cibernetica (NIS2) cat si riscurile specifice AI (transparenta, bias, robustete). Un singur framework de evaluare a furnizorilor, doua casute de conformitate bifate.

4. Documentatie si Pastrarea Inregistrarilor

NIS2 cere politici, proceduri si dovezi de conformitate documentate.

AI Act cere documentatie tehnica, evaluari de conformitate, sisteme de management al calitatii si logare/trasabilitate.

Suprapunerea: Management documente, version control, audit trails. Construirea unui singur framework de documentatie care satisface ambele este mult mai eficient decat mentinerea sistemelor paralele.

5. Supraveghere Umana si Training

NIS2 cere training de constientizare a securitatii cibernetice pentru tot personalul si competenta specifica pentru echipele de securitate.

AI Act cere ca sistemele AI cu risc ridicat sa permita supraveghere umana efectiva si ca implementatorii sa se asigure ca personalul care opereaza AI are suficienta AI literacy.

Suprapunerea: Programele de training pot si ar trebui sa fie integrate. Echipa de securitate cibernetica are nevoie de constientizare a riscurilor AI. Echipa AI are nevoie de constientizare a securitatii cibernetice. Programe separate de training creeaza lacune.

6. Responsabilitatea Managementului

NIS2 Articolul 20: organele de conducere trebuie sa aprobe masurile de management al riscului de securitate cibernetica si sa urmeze training.

AI Act Articolul 26: implementatorii trebuie sa desemneze persoane cu competenta, training si autoritate pentru supravegherea umana.

Suprapunerea: Responsabilitate la nivel de board pentru ambele. O singura structura de guvernanta ar trebui sa acopere ambele domenii de reglementare.

Framework-ul Unificat de Conformitate

In loc sa rulezi doua proiecte separate de conformitate, companiile romanesti ar trebui sa construiasca un singur framework cu fundatii comune si extensii specifice fiecarui regulament.

Nivelul 1: Fundatia Comuna

Aceste controale servesc atat conformitatii NIS2 cat si AI Act:

Guvernanta:
  - Politica integrata de management al riscului acoperind atat riscurile cyber cat si AI
  - Structura unica de responsabilitate a managementului (nivel board)
  - Rol unificat de compliance officer sau echipa cross-functionala
  - Calendar combinat de audit si revizuire
 
Management al Riscului:
  - Registru unificat de riscuri (amenintari cyber + riscuri specifice AI)
  - Metodologie comuna de evaluare a riscurilor
  - Planuri comune de tratare a riscurilor unde sistemele se suprapun
  - Evaluare integrata a riscurilor de la terti
 
Documentatie:
  - Sistem unic de management al documentelor
  - Infrastructura comuna de audit trail
  - Proces integrat de change management
  - Depozit comun de dovezi pentru ambii regulatori
 
Training:
  - Program combinat de securitate + AI literacy
  - Module specifice rolului (staff securitate primeste constientizare AI, staff AI primeste constientizare cyber)
  - Training management acoperind ambele framework-uri
  - Exercitii si simulari periodice
 
Raspuns la Incidente:
  - Detectie si clasificare unificata a incidentelor
  - Workflow de notificare duala (DNSC pentru cyber, ANCOM pentru AI)
  - Proces comun de analiza post-incident
  - Depozit comun de lectii invatate
 
Lantul de Aprovizionare:
  - Chestionar unic de evaluare a furnizorilor acoperind ambele domenii
  - Cerinte contractuale integrate (securitate + transparenta AI)
  - Proces comun de monitorizare si revizuire

Nivelul 2: Controale Specifice NIS2

Pe langa fundatia comuna, adauga cerintele specifice NIS2:

  • Masuri de securitate a retelelor si sistemelor informatice (firewall-uri, IDS/IPS, SIEM)
  • Cadenta de raportare incidente 24 ore/72 ore/1 luna catre DNSC
  • Continuitatea activitatii si disaster recovery specific infrastructurii IT
  • Management vulnerabilitati si politici de patching
  • Controale criptografice
  • Securitate fizica si de mediu
  • Obligatii de inregistrare si raportare catre DNSC

Nivelul 3: Controale Specifice AI Act

Si cerintele specifice AI Act:

  • Clasificarea riscului si inventarul sistemelor AI
  • Evaluarea conformitatii pentru AI cu risc ridicat
  • Documentatie tehnica conform Anexei IV
  • Cerinte de logare si monitorizare a sistemelor AI
  • Obligatii de transparenta (informarea utilizatorilor ca interactioneaza cu AI)
  • Guvernanta datelor pentru seturile de date de antrenare, validare si testare
  • Planuri de monitorizare post-piata
  • Inregistrarea in baza de date UE pentru sistemele AI cu risc ridicat
  • Evaluarea impactului asupra drepturilor fundamentale (pentru implementatorii anumitor sisteme cu risc ridicat)

Plan de Implementare

Faza 1: Evaluare (Lunile 1-2)

  • Inventariaza toate sistemele sub incidenta NIS2
  • Inventariaza toate sistemele AI si clasifica-le pe nivele de risc
  • Identifica sistemele care intra sub ambele regulamente
  • Analiza gap fata de cerintele ambelor regulamente
  • Mapeaza controalele existente pe ambele framework-uri

Faza 2: Fundatia (Lunile 2-4)

  • Stabileste structura unificata de guvernanta
  • Construieste framework-ul integrat de management al riscului
  • Implementeaza managementul comun al documentatiei si dovezilor
  • Proiecteaza procedurile unificate de raspuns la incidente
  • Dezvolta curriculum-ul combinat de training

Faza 3: Controale NIS2 (Lunile 3-5)

  • Implementeaza masurile tehnice de securitate cibernetica
  • Configureaza detectia incidentelor si workflow-urile de raportare DNSC
  • Implementeaza continuitatea activitatii si disaster recovery
  • Completeaza evaluarile de securitate a lantului de aprovizionare
  • Inregistrare la DNSC

Faza 4: Controale AI Act (Lunile 4-7)

  • Completeaza evaluarile de conformitate ale sistemelor AI
  • Construieste documentatia tehnica conform Anexei IV
  • Implementeaza monitorizarea si logarea AI
  • Implementeaza mecanismele de transparenta
  • Inregistreaza sistemele cu risc ridicat in baza de date UE
  • Stabileste monitorizarea post-piata

Faza 5: Integrare si Testare (Lunile 6-8)

  • Ruleaza exercitii tabletop integrate (incident combinat cyber + AI)
  • Audit intern al framework-ului unificat
  • Revizuire management
  • Remediaza lacunele
  • Pregateste-te pentru evaluarea externa

Acest calendar presupune o intreprindere de dimensiune medie cu complexitate moderata. Organizatiile mai mari cu multe sisteme AI si un domeniu NIS2 extins ar trebui sa planifice 10-14 luni.

Peisajul Reglementar din Romania

Intelegerea autoritatii responsabile este critica:

| Aspect | NIS2 | AI Act | |--------|------|--------| | Autoritatea din Romania | DNSC | ANCOM | | Baza UE | Directiva 2022/2555 | Regulamentul 2024/1689 | | Transpunere romaneasca | OUG 155/2024 | Efect direct (Regulament UE) | | Raportare incidente catre | DNSC | ANCOM | | Inregistrare la | DNSC | Baza de date UE (supraveghere ANCOM) | | Plafon penalitati | 10M EUR / 2% cifra de afaceri | 35M EUR / 7% cifra de afaceri | | Responsabilitate management | Da | Da (pentru implementatori) |

DNSC functioneaza sub Guvernul Romaniei si serveste ca CSIRT national (Computer Security Incident Response Team). Ei gestioneaza operatiunile zilnice de aplicare NIS2, coordonarea incidentelor si managementul vulnerabilitatilor.

ANCOM, traditional regulatorul telecom, a preluat supravegherea pietei pentru AI Act. Acesta este un rol nou pentru ei, iar aparatul de enforcement este inca in dezvoltare. Conformarea timpurie demonstreaza buna-credinta si te pozitioneaza favorabil cand enforcement-ul incepe serios.

O consideratie practica: cand apare un incident de securitate al unui sistem AI, poate fi necesar sa notifici atat DNSC (incident de securitate cibernetica sub NIS2) cat si ANCOM (incident grav AI sub AI Act). Planul de raspuns la incidente trebuie sa tina cont de notificari paralele cu termene si cerinte informationale potential diferite.

Greseli Frecvente ale Companiilor Romanesti

Tratarea conformitatii ca proiect IT. Atat NIS2 cat si AI Act cer responsabilitatea managementului. Acesta este un proiect de business cu componente IT, nu invers.

Asteptarea inceperii enforcement-ului. Obligatiile NIS2 sunt deja active. Practicile AI interzise sunt deja interzise. Cerintele pentru risc ridicat intra in vigoare in august 2026. Sa incepi acum nu e devreme - e la timp.

Angajarea a doi consultanti separati. Unul pentru NIS2, altul pentru AI Act. Construiesc doua framework-uri separate cu controale duplicate, documentatie inconsistenta si zero integrare. Cost dublu, rezultat mai prost.

Ignorarea obligatiilor privind lantul de aprovizionare. Ambele regulamente cer gestionarea riscurilor de la terti. Daca furnizorul tau de AI sufera o bresa, ai expunere sub ambele - NIS2 (esec securitate lant aprovizionare) si AI Act (obligatia de monitorizare a implementatorului). O singura evaluare a furnizorului ar trebui sa acopere ambele.

Copy-paste de politici din template-uri. Template-urile generice de conformitate de la consultante din Europa de Vest nu tin cont de specificul reglementar romanesc - OUG 155/2024 are optiuni nationale de implementare care difera de alte state membre.

Cine Trebuie Sa Actioneze Acum?

Daca organizatia ta indeplineste TOATE aceste criterii, ai dubla expunere:

  1. Esti intr-un sector NIS2 (entitate esentiala sau importanta)
  2. Esti de dimensiune medie sau mai mare (50+ angajati sau 10M+ EUR cifra de afaceri)
  3. Dezvolti, implementezi sau folosesti sisteme AI in operatiuni
  4. Acele sisteme AI intra intr-o categorie de risc ridicat sub AI Act

Estimare conservatoare: cel putin 2.000-3.000 de entitati romanesti au suprapunere semnificativa intre ambele regulamente. Acestea sunt in principal in sanatate, energie, servicii financiare, transport si infrastructura digitala.

Chiar daca sistemele tale AI nu sunt cu risc ridicat, ai totusi obligatii de transparenta AI Act (pentru sisteme cu risc limitat precum chatbot-urile) pe langa cerintele complete de conformitate NIS2. Abordarea cu framework unificat tot economiseste efort.

Intrebari Frecvente

NIS2 se aplica companiilor care doar folosesc AI, nu dezvolta?

Da. NIS2 se aplica pe baza sectorului si dimensiunii tale, indiferent daca dezvolti sau doar implementezi AI. Daca esti un spital care foloseste un instrument AI de diagnostic, esti acoperit de NIS2 ca entitate din sanatate si de AI Act ca implementator AI. Ambele se aplica integral.

Putem folosi ISO 27001 ca fundatie pentru ambele - NIS2 si AI Act?

ISO 27001 acopera o portiune semnificativa din cerintele tehnice NIS2 - aproximativ 60-70% in functie de domeniul de aplicare. Pentru AI Act, ISO 27001 ajuta cu aspectele de securitate a informatiei dar nu acopera cerintele specifice AI precum evaluarea conformitatii, transparenta, guvernanta datelor pentru seturile de antrenare sau evaluarea impactului asupra drepturilor fundamentale. Foloseste ISO 27001 ca strat de baza, apoi extinde pentru ambele regulamente.

Ce se intampla daca ratam termenul de inregistrare NIS2 la DNSC?

Sub OUG 155/2024, entitatile trebuie sa se inregistreze la DNSC in termenul specificat. Neinregistrarea nu te scuteste de cerintele de fond - inseamna doar ca esti neconform din prima zi. DNSC poate emite avertismente, instructiuni obligatorii si amenzi administrative. Pentru entitatile esentiale, pot suspenda temporar si autorizatiile.

Penalitatile NIS2 si AI Act sunt cumulative?

Da. Un singur incident care implica o bresa de securitate a unui sistem AI ar putea declansa penalitati sub ambele - NIS2 (pentru esecul de securitate cibernetica) si AI Act (pentru esecul de siguranta al sistemului AI). In teorie, o companie ar putea primi pana la 10M EUR sub NIS2 si 35M EUR sub AI Act pentru acelasi eveniment, desi principiile proportionalitatii ar modera probabil sumele efective. Exact de aceea conteaza o abordare integrata de conformitate - reduce probabilitatea unui scenariu de dubla penalizare.

Pasii Urmatori

Daca firma ta intra sub ambele - NIS2 si AI Act - cel mai rau lucru pe care il poti face este sa astepti. Al doilea cel mai rau este sa rulezi doua proiecte separate de conformitate.

Incepe cu o evaluare. Intelege care dintre sistemele tale au dubla expunere de reglementare. Mapeaza controalele existente pe ambele framework-uri. Identifica lacunele. Construieste un plan unificat.

Am construit serviciile noastre de conformitate exact in jurul acestei probleme - ajutam companiile din Romania si UE sa navigheze regulamentele care se suprapun fara sa dubleze efortul. Ghidul nostru de Conformitate EU AI Act acopera cerintele AI Act in detaliu.

Vrei sa stii unde te afli? Fa evaluarea noastra gratuita de risc EU AI Act - dureaza 10 minute si iti ofera o imagine clara a clasificarii de risc a sistemelor tale AI si a lacunelor de conformitate. De acolo, te putem ajuta sa construiesti un framework unificat NIS2 + AI Act care functioneaza cu adevarat.

Ai nevoie de ajutor cu conformitatea EU AI Act sau securitatea AI?

Programeaza o consultatie gratuita de 30 de minute. Fara obligatii.

Programeaza un Apel

Weekly AI Security & Automation Digest

Get the latest on AI Security, workflow automation, secure integrations, and custom platform development delivered weekly.

No spam. Unsubscribe anytime.

Related Articles

Compliance

EU AI Act vs GDPR: Ce trebuie sa stie DPO-ul tau

DPO-ul tau a gestionat GDPR. Acum EU AI Act adauga obligatii noi. Iata cum interactioneaza cele doua regulamente, unde se suprapun si ce munca.

14 min read
Compliance

ISO 42001: implementare sistem management AI

ISO 42001 este standardul international pentru sisteme de management al AI. Acest ghid acopera implementarea, maparea la cerintele EU AI Act si de ce.

15 min read
Compliance

Ghid de Implementare NIST Cybersecurity Framework 2.0

Ghid practic de implementare NIST CSF 2.0 care acoperă cele șase funcții de bază, nivelurile de implementare, profilurile organizaționale și practicile de.

10 min read
← Inapoi la Blog