In den Jahren 2024 und 2025 drehte sich die NIS2-Debatte in Rumänien um eine einzige Frage: „Falle ich in den Anwendungsbereich der Richtlinie oder nicht?". 2026 hat sich die Frage vollständig geändert. Die DNSC-Registrierungsfrist ist abgelaufen, der Rechtsrahmen ist vollständig, und die Behörde verfügt nun über die Mittel zur Prüfung. Es geht nicht mehr darum, ob Sie erfasst sind, sondern ob Sie nachweisen können, dass Sie konform sind.
Der Unterschied ist enorm. Ein Unternehmen, das „weiß, dass es etwas tun sollte", und eines, das dem DNSC eine als Nachweis akzeptable Akte vorlegen kann, befinden sich in diametral entgegengesetzten Rechtslagen. Ein Readiness-Check sagt Ihnen nüchtern, in welchem der beiden Sie sich befinden — und was zu tun ist, um vor einer Inspektion ins richtige Lager zu wechseln.
Wo wir 2026 rechtlich stehen
Die NIS2-Richtlinie wurde in Rumänien durch die Dringlichkeitsverordnung 155/2024 umgesetzt, konsolidiert und verabschiedet durch das Gesetz 124/2025, in Kraft seit Juli 2025. Darüber hinaus hat das DNSC die Durchführungsvorschriften erlassen, die für die tägliche Arbeit zählen: Verordnung Nr. 1/2025 (Melde- und Registrierungsanforderungen) und Verordnung Nr. 2/2025 (Methodik zur Bewertung des Risikoniveaus), beide seit dem 20. August 2025 in Kraft.
Mit anderen Worten: Der Rahmen ist keine „Baustelle" mehr. Er ist vollständig, operativ und von konkreten Instrumenten begleitet — vom Registrierungsformular bis zur Methodik, mit der Sie Ihr Risikoniveau berechnen. Die Ausrede „die Regeln sind noch nicht klar" gibt es nicht mehr.
Die Registrierungsfrist ist abgelaufen. Und jetzt?
Erfasste Einrichtungen hatten ab dem 20. August 2025 30 Tage Zeit, das DNSC zu benachrichtigen — eine Frist, die um den 19.–22. September 2025 ablief. Die zentrale Botschaft, vom DNSC selbst betont: Der Ablauf der Frist hebt die Pflicht NICHT auf. Ein Unternehmen, das sich nicht rechtzeitig registriert hat, ist weiterhin verpflichtet, dies jetzt zu tun — nur in einer verwundbareren Position.
Die gute Nachricht für Nachzügler: Das DNSC hat mitgeteilt, dass seine Priorität in der ersten Hälfte 2026 die freiwillige Konformität und die Unterstützung der Unternehmen ist, nicht die sofortige Verhängung von Höchstbußgeldern. Eine Organisation, die sich jetzt registriert und einen realistischen Konformitätsplan vorlegt, kann von zusätzlichen Fristen, verfahrensrechtlicher Toleranz und, im Falle einer Inspektion, einer möglichen Bußgeldreduzierung von bis zu 50% profitieren. Dieses Fenster bleibt nicht unbegrenzt offen.
2026 will das DNSC noch nicht bestrafen — es will sehen, wer sich bewegt hat. Ein rechtzeitig vorgelegter realistischer Plan ist mehr wert als eine „später" versprochene perfekte Konformität.
Die Pflichtenkette nach der Registrierung
Hier liegt der häufigste Fehler: Unternehmen halten die Registrierung für die Ziellinie. Tatsächlich ist sie die Startlinie. Sobald Sie die Meldung abgeben, läuft automatisch eine Kette gesetzlicher Fristen ab, ob Sie bereit sind oder nicht:
- 1Das DNSC erlässt die Identifizierungs- und Registrierungsentscheidung — in etwa 60 Tagen für wesentliche Einrichtungen und 150 Tagen für wichtige.
- 2Innerhalb von 60 Tagen nach der Entscheidung: Sie übermitteln die Risikobewertung, durchgeführt nach der Methodik der Verordnung 2/2025 (über das ENIRE@RO-Instrument / die NIS2@RO-Plattform).
- 3Innerhalb von 60 Tagen nach der Risikobewertung: Sie führen die Selbstbewertung des Reifegrads Ihrer Sicherheitsmaßnahmen durch.
- 4Jährlich: Sie wiederholen die Reifegrad-Selbstbewertung Ihrer Risikomanagementmaßnahmen, ausdrücklich von der Leitung der Einrichtung übernommen.
Jeder Schritt erfordert Dokumentation, Nachweise und echte technische Entscheidungen — kein Ankreuzen eines Formulars. Und die Fristen laufen ab dem Zeitpunkt der DNSC-Entscheidung, nicht ab dem Zeitpunkt, an dem „Sie dazu kommen". Ein Unternehmen, das erst an Tag 55 feststellt, dass es keine konforme Risikobewertung hat, ist bereits im Verzug.
Meldung von Vorfällen: 24h / 72h / ein Monat
Über die Konformitätsakte hinaus schreibt NIS2 ein strenges Regime für die Meldung erheblicher Vorfälle vor. Werden Sie von einem Angriff getroffen, beginnt die Uhr sofort:
- 1Innerhalb von höchstens 24 Stunden nach Kenntnisnahme eines erheblichen Vorfalls: eine Frühwarnung an das DNSC, die angibt, ob der Verdacht auf böswilliges Handeln oder mögliche grenzüberschreitende Auswirkungen besteht.
- 2Innerhalb von höchstens 72 Stunden: eine vollständige Meldung mit einer ersten Bewertung von Schwere und Auswirkung.
- 3Innerhalb von höchstens einem Monat nach der Meldung: ein Abschlussbericht mit einer Analyse der Ursachen und der angewandten Maßnahmen.
Diese Fristen sind aus dem Stegreif unmöglich einzuhalten. Ohne einen schriftlichen Incident-Response-Plan und klare Rollen vergehen die ersten 24 Stunden in Panik, und die Meldeverzögerung wird selbst zu einem Verstoß — zusätzlich zum Angriff.
Bußgelder: Was Nichtkonformität konkret kostet
- Wesentliche Einrichtungen: Bußgelder von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.
- Wichtige Einrichtungen: Bußgelder von bis zu 7 Millionen Euro oder 1,4% des weltweiten Jahresumsatzes.
- Versäumnis von Meldung und Registrierung: gesonderte Bußgelder, bis zu 500.000 Lei für wesentliche und 300.000 Lei für wichtige Einrichtungen.
- Haftung der Leitung: NIS2 führt die direkte Verantwortung des Managements für Sicherheitsmaßnahmen ein — es ist nicht mehr „das Problem der IT-Abteilung".
Es geht nicht darum, Angst zu verkaufen, sondern um Verhältnismäßigkeit. Für ein mittelständisches Unternehmen macht die Exposition gegenüber einem Bußgeld in Höhe von Hunderttausenden Lei — plus die persönliche Haftung des Geschäftsführers — einige Tage geordneter Vorbereitung zu einer der rentabelsten möglichen Investitionen.
Was ein DNSC-Readiness-Check tatsächlich prüft
Ein Readiness-Check ist kein Zertifizierungsaudit und dauert keine Monate. Es ist eine fokussierte Bewertung, die drei Fragen beantwortet: Bin ich erfasst, wo sind die Lücken und was tue ich in welcher Reihenfolge. Konkret liefert ein NIS2 / DNSC Readiness Check:
- Feststellung der Anwendbarkeit — ob Sie eine wesentliche Einrichtung, eine wichtige oder außerhalb des Anwendungsbereichs sind, begründet nach Sektor und Schwellenwerten.
- Eine Gap-Analyse gegenüber den DNSC-Anforderungen — wo Sie gut stehen, wo Sie Lücken haben und wie schwerwiegend sie sind.
- Einen Aktionsplan mit priorisierten gesetzlichen Fristen — was Sie zuerst beheben und bis wann, abgestimmt auf die obige Fristenkette.
- Strukturierte Dokumentation, die vor der Behörde als Nachweis akzeptabel ist.
Der Unterschied, den wir bringen: Die Bewertung wird von einem autorisierten DNSC-Auditor durchgeführt — jemand, der genau weiß, welche Form von Nachweis durchgeht und welche nicht. Sie ist Teil des umfassenderen Cybersicherheits-Dienstes, in dem wir den Plan anschließend bis zur Umsetzung führen: technische Kontrollen, Awareness-Training und ein Incident-Response-Plan.
Wo Sie in der Praxis beginnen
- 1Klären Sie Ihren Status: Prüfen Sie Sektor und Schwellenwerte (≥50 Mitarbeiter oder über 10 Millionen Euro Umsatz/Bilanz), um zu wissen, ob Sie wesentlich, wichtig oder außerhalb des Anwendungsbereichs sind.
- 2Wenn Sie sich nicht registriert haben, tun Sie es jetzt — solange das Toleranzfenster 2026 noch offen ist.
- 3Beauftragen Sie einen Readiness-Check, um in Tagen herauszufinden, wo Sie stehen und was Ihnen gegenüber den realen DNSC-Anforderungen fehlt.
- 4Verwandeln Sie die Lücken in einen Plan mit Fristen und Verantwortlichen, abgestimmt auf die Entscheidungen und gesetzlichen Fristen.
- 5Legen Sie die operativen Mindestgrundlagen fest: MFA, Patching, getestetes Backup und einen Incident-Response-Plan, der die 24h/72h/Ein-Monats-Kette einhält.
Sie müssen nicht alles in einem Monat erledigen. Sie müssen geordnet beginnen und zeigen können, dass Sie sich bewegt haben. Wenn Sie wissen möchten, in welchem Lager Sie gerade stehen — konform oder nur „guten Willens" — lassen Sie uns 30 Minuten sprechen, und ich nenne Ihnen den konkreten ersten Schritt.
NIS2-Konformität wird nicht mit Absichten bewiesen, sondern mit Dokumenten. Ein Readiness-Check zeigt Ihnen genau, was in der Akte fehlt, bevor es der Inspektor tut.
Fazit
2026 ist NIS2 von der Phase „worum geht es" in die Phase „zeigen Sie mir den Nachweis" übergegangen. Der Rechtsrahmen ist vollständig, die Fristen laufen, und die Bußgelder sind real. Doch das Toleranzfenster des DNSC macht dieses Jahr zum idealen Zeitpunkt, sich ohne den Druck des Höchstbußgeldes in Ordnung zu bringen. Ein Readiness-Check gibt Ihnen die Karte: wo Sie stehen, was Ihnen fehlt und in welcher Reihenfolge Sie es beheben. Der Rest ist nur Disziplin.