En 2024 et 2025, la discussion sur NIS2 en Roumanie tournait autour d'une seule question : « suis-je concerné par la directive ou non ? ». En 2026, la question a complètement changé. Le délai d'enregistrement auprès du DNSC est passé, le cadre juridique est complet, et l'autorité dispose désormais des outils pour vérifier. La question n'est plus de savoir si vous êtes couvert, mais si vous pouvez prouver que vous êtes conforme.
La différence est énorme. Une entreprise qui « sait qu'elle devrait faire quelque chose » et une entreprise qui peut présenter au DNSC un dossier acceptable comme preuve se trouvent dans des situations juridiques diamétralement opposées. Un readiness check vous dit, froidement, dans laquelle des deux vous vous trouvez — et ce qu'il faut faire pour passer dans le bon camp avant une inspection.
Où en sommes-nous, juridiquement, en 2026
La directive NIS2 a été transposée en Roumanie par l'ordonnance d'urgence 155/2024, consolidée et approuvée par la loi 124/2025, en vigueur depuis juillet 2025. Au-dessus de cette loi, le DNSC a émis les normes d'application qui comptent pour le travail quotidien : l'ordre n° 1/2025 (exigences de notification et d'enregistrement) et l'ordre n° 2/2025 (méthodologie d'évaluation du niveau de risque), tous deux en vigueur depuis le 20 août 2025.
Autrement dit, le cadre n'est plus « en cours ». Il est complet, opérationnel et accompagné d'outils concrets — du formulaire d'enregistrement à la méthodologie par laquelle vous calculez votre niveau de risque. L'excuse « les règles ne sont pas encore claires » n'existe plus.
Le délai d'enregistrement est passé. Et maintenant ?
Les entités concernées ont eu 30 jours à compter du 20 août 2025 pour notifier le DNSC — un délai qui a expiré autour du 19–22 septembre 2025. Le message clé, souligné par le DNSC lui-même : le fait que le délai soit passé n'éteint PAS l'obligation. Une entreprise qui ne s'est pas enregistrée à temps reste tenue de le faire maintenant, seulement dans une position plus vulnérable.
La bonne nouvelle pour les retardataires : le DNSC a communiqué que sa priorité au début de 2026 est la conformité volontaire et le soutien aux entreprises, non l'application immédiate des amendes maximales. Une organisation qui s'enregistre maintenant et présente un plan de conformité réaliste peut bénéficier de délais supplémentaires, d'une tolérance procédurale et, en cas d'inspection, d'une réduction possible des sanctions allant jusqu'à 50 %. C'est une fenêtre qui ne restera pas ouverte indéfiniment.
En 2026, le DNSC ne cherche pas encore à punir — il cherche à voir qui a bougé. Un plan réaliste posé sur la table à temps vaut plus qu'une conformité parfaite promise « plus tard ».
La chaîne d'obligations après l'enregistrement
C'est là que la plupart des entreprises se trompent : elles pensent que l'enregistrement est la ligne d'arrivée. En réalité, c'est la ligne de départ. Une fois que vous notifiez, une chaîne d'échéances légales se déroule automatiquement, que vous soyez prêt ou non :
- 1Le DNSC émet la décision d'identification et d'enregistrement au registre — en environ 60 jours pour les entités essentielles et 150 jours pour les importantes.
- 2Dans les 60 jours suivant la décision : vous transmettez l'évaluation du niveau de risque, réalisée selon la méthodologie de l'ordre 2/2025 (via l'outil ENIRE@RO / la plateforme NIS2@RO).
- 3Dans les 60 jours suivant l'évaluation des risques : vous réalisez l'auto-évaluation du niveau de maturité de vos mesures de sécurité.
- 4Chaque année : vous reprenez l'auto-évaluation de maturité de vos mesures de gestion des risques, explicitement assumée par la direction de l'entité.
Chaque étape suppose de la documentation, des preuves et de véritables décisions techniques — pas cocher un formulaire. Et les délais courent à compter de la décision du DNSC, non du moment où « vous y arrivez ». Une entreprise qui découvre seulement au jour 55 qu'elle n'a pas d'évaluation des risques conforme est déjà en retard.
Signalement des incidents : 24h / 72h / un mois
Au-delà du dossier de conformité, NIS2 impose un régime strict de signalement des incidents importants. Si vous êtes frappé par une attaque, le chronomètre démarre immédiatement :
- 1Dans un maximum de 24 heures après la prise de connaissance d'un incident important : une alerte précoce au DNSC, indiquant s'il existe des soupçons d'action malveillante ou un possible impact transfrontalier.
- 2Dans un maximum de 72 heures : une notification complète, avec une évaluation initiale de la gravité et de l'impact.
- 3Dans un maximum d'un mois après la notification : un rapport final, avec une analyse des causes et des mesures appliquées.
Ces délais sont impossibles à respecter en improvisant. Sans un plan de réponse aux incidents écrit et des rôles clairs, les premières 24 heures passent dans la panique, et le retard de signalement devient lui-même une violation — en plus de l'attaque.
Sanctions : ce que coûte concrètement la non-conformité
- Entités essentielles : amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu.
- Entités importantes : amendes pouvant atteindre 7 millions d'euros ou 1,4 % du chiffre d'affaires mondial annuel.
- Manquement à l'obligation de notification et d'enregistrement : amendes distinctes, jusqu'à 500 000 lei pour les entités essentielles et 300 000 lei pour les importantes.
- Responsabilité de la direction : NIS2 introduit la responsabilité directe du management pour les mesures de sécurité — ce n'est plus « le problème du service informatique ».
L'idée n'est pas de vendre la peur, mais la proportion. Pour une entreprise de taille moyenne, l'exposition à une amende de l'ordre de centaines de milliers de lei — plus la responsabilité personnelle de l'administrateur — fait de quelques jours de préparation ordonnée l'un des investissements les plus rentables possibles.
Ce que vérifie réellement un readiness check DNSC
Un readiness check n'est pas un audit de certification et ne prend pas des mois. C'est une évaluation ciblée qui répond à trois questions : suis-je concerné, où sont les lacunes et que dois-je faire, dans quel ordre. Concrètement, un NIS2 / DNSC Readiness Check livre :
- La détermination de l'applicabilité — si vous êtes une entité essentielle, importante, ou hors périmètre, argumentée par secteur et seuils.
- Une analyse des écarts par rapport aux exigences du DNSC — où vous êtes bien, où vous avez des lacunes et leur gravité.
- Un plan d'action avec les échéances légales priorisées — ce que vous corrigez d'abord et pour quand, aligné sur la chaîne d'échéances ci-dessus.
- Une documentation structurée, acceptable comme preuve devant l'autorité.
La différence que nous apportons est que l'évaluation est réalisée par un auditeur DNSC autorisé — quelqu'un qui sait exactement quelle forme de preuve passe et laquelle ne passe pas. Elle fait partie du service plus large de cybersécurité, où nous menons ensuite le plan jusqu'à la mise en œuvre : contrôles techniques, formation de sensibilisation et plan de réponse aux incidents.
Par où commencer, en pratique
- 1Clarifiez votre statut : vérifiez le secteur et les seuils (≥50 employés ou plus de 10 millions d'euros de chiffre d'affaires/bilan) pour savoir si vous êtes essentiel, important ou hors périmètre.
- 2Si vous ne vous êtes pas enregistré, faites-le maintenant — tant que la fenêtre de tolérance de 2026 est encore ouverte.
- 3Commandez un readiness check pour découvrir, en quelques jours, où vous en êtes et ce qui vous manque par rapport aux exigences réelles du DNSC.
- 4Transformez les écarts en un plan avec échéances et responsables, aligné sur les décisions et les délais légaux.
- 5Mettez en place les bases opérationnelles minimales : MFA, patching, sauvegarde testée et un plan de réponse aux incidents respectant la chaîne 24h/72h/un mois.
Vous n'avez pas besoin de tout faire en un mois. Vous avez besoin de démarrer de façon ordonnée et de pouvoir montrer que vous avez bougé. Si vous voulez savoir dans quel camp vous êtes en ce moment — conforme ou seulement « de bonne volonté » — discutons 30 minutes et je vous dirai la première étape concrète.
La conformité NIS2 ne se prouve pas avec des intentions, mais avec des documents. Un readiness check vous montre exactement ce qui manque au dossier avant que l'inspecteur ne le fasse.
Conclusion
En 2026, NIS2 est passé de la phase « de quoi s'agit-il » à la phase « montrez-moi la preuve ». Le cadre juridique est complet, les délais courent, et les sanctions sont réelles. Mais la fenêtre de tolérance du DNSC fait de cette année le moment idéal pour se mettre en ordre sans la pression de l'amende maximale. Un readiness check vous donne la carte : où vous êtes, ce qui vous manque et dans quel ordre le corriger. Le reste n'est que discipline.