NIS2 en Rumanía

Guía de implementación y cumplimiento de NIS2 en Rumanía.

Este documento presenta información vigente a febrero de 2026. Aunque se han adoptado todas las medidas razonables para verificar la exactitud del contenido, la información se proporciona sin garantía de integridad o exactitud y puede estar sujeta a cambios. Aunque prevemos realizar actualizaciones periódicas de este contenido, se aconseja a los lectores verificar de forma independiente la información crítica.

Rumanía está actualizando su marco nacional de ciberseguridad para alinearlo con las obligaciones reforzadas introducidas por la Directiva NIS2. El régimen revisado amplía la cobertura sectorial, refuerza la responsabilidad de la alta dirección y mejora los mecanismos de supervisión y ejecución. Esta guía ofrece una visión estructurada de los requisitos de cumplimiento de NIS2 en Rumanía para pymes que operan en los sectores cubiertos.

1. Panorama rápido de la aplicabilidad para pymes en Rumanía

¿Se aplica NIS2 a las pymes en 1. Panorama rápido de la aplicabilidad para pymes en Rumanía?

Sí — dependiendo del sector y del tamaño.

Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
Se aplica a entidades establecidas en Rumanía y, en ciertos casos, a proveedores digitales extranjeros que prestan servicios al mercado rumano.

Las pymes deben evaluar si encuadran en el marco nacional de ciberseguridad de Rumanía en función de la clasificación sectorial y de los umbrales legales.

2. Panorama general de la implementación de NIS2 en Rumanía

Rumanía está implementando la Directiva mediante enmiendas a la Ley sobre la Seguridad y la Defensa del Ciberespacio Nacional y a la legislación relacionada con la ciberseguridad.

El marco revisado alinea el régimen de Rumanía con la Directiva (UE) 2022/2555 y refuerza las obligaciones relativas a la gobernanza, la gestión de riesgos de ciberseguridad, la notificación de incidentes, la supervisión y las sanciones administrativas.

La implementación se basa en el sistema de ciberseguridad ya establecido de Rumanía, a la vez que amplía el alcance y las herramientas de ejecución en línea con las normas de la UE.

3. Ámbito de aplicación en Rumanía

Entidades esenciales

Entidades que operan en sectores altamente críticos:

Entidades importantes

Entidades que operan en otros sectores enumerados:

El ámbito de Rumanía refleja las categorías sectoriales mínimas de la Directiva sin expansión estructural confirmada.

4. Umbrales de tamaño y aplicabilidad a las pymes en Rumanía

Se aplican los umbrales básicos:

≥50 empleados y
≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios dentro de los sectores cubiertos entran automáticamente en el ámbito de aplicación.

guides.country.romania.s4P2

guides.country.romania.s4P3

5. Marco de clasificación de entidades en Rumanía

Las entidades se clasifican en:

Entidades esenciales — Sujetas a supervisión proactiva, incluyendo inspecciones y seguimiento estructurado del cumplimiento.
Entidades importantes — Principalmente sujetas a supervisión reactiva desencadenada por incidentes significativos o preocupaciones de cumplimiento.

La clasificación se determina por sector y tamaño. Las autoridades pueden reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifiquen una supervisión reforzada.

Rumanía sigue la estructura de supervisión de dos niveles de la Directiva.

6. Requisitos de gestión de riesgos de ciberseguridad en Rumanía

El régimen nacional de Rumanía se alinea con los requisitos básicos de la Directiva para la gestión de riesgos de ciberseguridad. Las entidades incluidas en el ámbito de aplicación deben implementar medidas técnicas y organizativas proporcionales que aborden:

Análisis de riesgos y protección de sistemas
Detección y respuesta ante incidentes
Continuidad del negocio y gestión de crisis
Controles de riesgo de la cadena de suministro según NIS2 en Rumanía
Adquisición y desarrollo seguros de sistemas TIC
Control de acceso y gestión de identidades
Cifrado y salvaguardas criptográficas
Procedimientos de gestión de vulnerabilidades
Formación del personal en ciberseguridad

Las medidas deben reflejar el estado del arte y la exposición al riesgo de la organización. Se alienta la alineación con ISO/IEC 27001 y las directrices rumanas de ciberseguridad.

7. Responsabilidad de la dirección y gobernanza en Rumanía

Los órganos de dirección deben aprobar formalmente las medidas de gestión de riesgos de ciberseguridad y supervisar su implantación.

Según el marco de Rumanía:

Los consejos de administración son responsables de la supervisión del cumplimiento.
La alta dirección debe garantizar una competencia suficiente en ciberseguridad.
Las sanciones administrativas pueden abordar fallos de gobernanza.
La suspensión temporal de funciones directivas puede estar disponible en el marco de los mecanismos de aplicación alineados con la Directiva.

Las expectativas de Rumanía sobre la responsabilidad de la dirección en NIS2 elevan la gobernanza de la ciberseguridad a una responsabilidad a nivel ejecutivo.

8. Obligaciones de notificación de incidentes en Rumanía

Definición de un incidente significativo

Un incidente se considera significativo si causa:

Interrupción operativa grave
Pérdidas financieras significativas
Impacto social sustancial
Efectos transfronterizos

Cronograma de notificación

Fase de notificación	Plazo	Autoridad
Alerta temprana	24 horas	Dirección Nacional de Ciberseguridad (DNSC)
Notificación de incidente	72 horas	Dirección Nacional de Ciberseguridad (DNSC)
Informe final	1 mes	Dirección Nacional de Ciberseguridad (DNSC)

Rumanía sigue la estructura de la Directiva para los plazos de notificación NIS2. Los reguladores sectoriales pueden coordinarse con la DNSC cuando proceda.

9. Autoridades supervisoras y modelo de aplicación en Rumanía

Autoridad principal: Dirección Nacional de Ciberseguridad (DNSC).

Rumanía opera un modelo de supervisión centralizado coordinado por el DNSC, con reguladores sectoriales implicados cuando sea necesario.

Las facultades de supervisión incluyen:

Solicitudes de documentación e información
Auditorías de seguridad
Inspecciones in situ
Instrucciones de cumplimiento vinculantes
Participación en los mecanismos de coordinación de ciberseguridad de la UE

La estructura de aplicación se alinea con los requisitos de cooperación a nivel de la Directiva.

10. Multas y sanciones de NIS2 en Rumanía

Rumanía aplica sanciones administrativas alineadas con la Directiva.

Entidades esenciales

Hasta €10 million o 2% del volumen de negocios anual mundial total (lo que sea mayor)

Entidades importantes

Hasta €7 million o 1.4% del volumen de negocios anual mundial total (lo que sea mayor)

La aplicación de las multas de NIS2 en Rumanía también puede incluir:

Órdenes de subsanación vinculantes
Identificación pública de las entidades incumplidoras
Suspensión de autorizaciones o certificaciones
Facultades de suspensión de directivos

Hasta 7 millones de € o el 1,4 % del volumen de negocios anual mundial total (lo que sea mayor)

11. Seguridad de la cadena de suministro y de proveedores según NIS2 en Rumanía

Las entidades deben gestionar la exposición a riesgos de ciberseguridad de terceros mediante:

Evaluaciones de riesgos de proveedores
Cláusulas contractuales de seguridad en cascada
Supervisión continua de proveedores de TIC
Análisis del riesgo de concentración
Mitigación de la propagación de incidentes

El enfoque de Rumanía se alinea con las expectativas de referencia de la Directiva respecto a la gestión del riesgo de proveedores.

12. Obligaciones de registro y autoidentificación en Rumanía

Las entidades dentro del ámbito de aplicación deben:

Registrarse ante las autoridades competentes
Facilitar datos de identificación corporativa
Comunicar la clasificación sectorial
Mantener actualizados los contactos de notificación

Los plazos procedimentales siguen el marco de implementación de Rumanía. Según el estado actual de transposición, Rumanía sigue el marco de referencia básico de la Directiva NIS2. Los detalles nacionales de implementación pueden precisar obligaciones específicas.

La autoidentificación es obligatoria cuando las entidades cumplen los umbrales establecidos por ley.

13. Interacción con el RGPD y otras leyes en Rumanía

El Reglamento General de Protección de Datos continúa aplicándose de forma simultánea.

Las consideraciones de solapamiento incluyen:

Notificación de violación de datos personales en 72 horas
Coordinación con la autoridad de control

14. Aplicabilidad transfronteriza

Las entidades cuyo establecimiento principal se encuentra en Rumanía están supervisadas por las autoridades rumanas respecto de los servicios transfronterizos.

Los proveedores digitales extranjeros que ofrezcan servicios en Rumanía pueden estar sujetos a obligaciones nacionales en función de su forma de establecimiento.

Los requisitos de representación siguen las normas de la Directiva para los proveedores no pertenecientes a la UE que prestan servicios en el mercado rumano.

15. Calendario de implementación en Rumanía

Adopción de la Directiva: 2022
Modificaciones legislativas nacionales: 2024–2025
Entrada en vigor: Tras la publicación nacional
Notificación a la Comisión: De conformidad con los procedimientos de la UE
Hito de cumplimiento: Plazos alineados con la Directiva

El calendario de transposición de Rumanía se ajusta a los requisitos de aplicación de la UE.

16. Puntos clave para las pymes en Rumanía

Las entidades medianas de los sectores contemplados quedan automáticamente dentro del ámbito de aplicación.
Las entidades pequeñas pueden ser designadas si son críticas para la estabilidad nacional o económica.
La supervisión del gobierno corporativo a nivel del consejo de administración es obligatoria.
La notificación de incidentes sigue los plazos de 24 h / 72 h / 1 mes.
Las sanciones económicas pueden alcanzar los 10 millones de € o el 2 % del volumen de negocios mundial.
Se requiere la gestión de riesgos de proveedores.
La planificación temprana del cumplimiento reduce la exposición a acciones de supervisión y sanción.

Preguntas frecuentes: Guía NIS2 para pymes en Rumanía

¿Se aplica NIS2 a las pequeñas empresas en Rumanía?

Las pequeñas empresas están, por lo general, excluidas, salvo que sean designadas o que operen en sectores altamente críticos. Las entidades medianas que cumplan los umbrales de tamaño quedan cubiertas automáticamente.

¿Cuáles son las sanciones de NIS2 en Rumanía?

Las Entidades Esenciales se enfrentan a sanciones de hasta €10 millones o el 2 % de la facturación anual mundial. Las Entidades Importantes se enfrentan a hasta €7 millones o el 1,4 % de la facturación anual mundial.

¿Cuándo entra en vigor NIS2 en Rumanía?

Rumanía está modificando su legislación de ciberseguridad para alinearla con la Directiva. La entrada en vigor se producirá tras la publicación de la normativa nacional.

¿Quién hace cumplir NIS2 en Rumanía?

La Dirección Nacional de Ciberseguridad (DNSC) actúa como la autoridad de supervisión principal, coordinándose con los reguladores sectoriales cuando corresponda.

¿Pueden los directivos ser responsables personalmente en virtud de NIS2 en Rumanía?

Los órganos de administración deben aprobar y supervisar las medidas de ciberseguridad. Las herramientas de ejecución administrativa pueden incluir facultades de suspensión de directivos en casos graves.

¿En qué se diferencia NIS2 del RGPD en Rumanía?

NIS2 regula la resiliencia en ciberseguridad y la gestión del riesgo operativo, mientras que el RGPD regula la protección de datos personales. Ambos marcos pueden aplicarse tras un incidente cibernético.

¿Qué se considera un incidente significativo con arreglo a NIS2 en Rumanía?

Un incidente que provoque una interrupción grave, pérdidas económicas significativas, impacto social o consecuencias transfronterizas suele cumplir el umbral de notificación.