Pintilie și Asociații

29/05/2026

𝗟𝗲𝗴𝗮𝗹 𝗖𝗼𝗻𝘁𝗿𝗼𝗹 𝗥𝗼𝗼𝗺
𝘚𝘪𝘨𝘯𝘢𝘭. 𝘌𝘹𝘱𝘰𝘴𝘶𝘳𝘦. 𝘊𝘰𝘯𝘵𝘳𝘰𝘭.

Conformitatea NIS2 nu mai e o obligație internă, ci un argument de vânzare.

▬▬▬▬▬▬▬▬▬▬

▪ 𝗦𝗶𝗴𝗻𝗮𝗹

OUG 155/2024 — care transpune Directivei NIS2 — obligă entitățile esențiale și importante să țină seama de vulnerabilitățile furnizorilor lor direcți de servicii IT și de nivelul lor de maturitate în securitate cibernetică.

Dacă furnizezi servicii IT către o entitate aflată sub incidența NIS2 — nu mai ești doar furnizor. Ești parte din expunerea ei. Și clientul tău are motive juridice să te evalueze înainte să semneze sau să reînnoiască un contract.

▬▬▬▬▬▬▬▬▬▬

▪ 𝗘𝘅𝗽𝗼𝘀𝘂𝗿𝗲

Această obligație se traduce deja în practică prin clauze de conformitate NIS2 în contractele cu furnizorii de servicii IT. Clienții reglementați cer tot mai des dovezi privind măsurile de securitate, politicile interne, gestionarea incidentelor și capacitatea furnizorului de a susține un nivel minim de reziliență.

Riscul nu e doar sancțiunea directă. E mai simplu: să fii exclus dintr-un contract, nu pentru că ai produs un incident, ci pentru că nu poți demonstra că ai un minim de control.

Când clientul cere dovada, nu e momentul să începi să o construiești.

▬▬▬▬▬▬▬▬▬▬

▪ 𝗖𝗼𝗻𝘁𝗿𝗼𝗹

Trei pași pentru a transforma conformitatea NIS2 într-un avantaj competitiv:

•⁠ Documentează măsurile de securitate cibernetică existente — politici, proceduri, controale tehnice. Ce nu e documentat nu poate fi demonstrat.
•⁠ Evaluează intern nivelul actual de pregătire — unde ai control, unde ai lacune, ce poți susține în fața unui client reglementat.
• ⁠Include pregătirea NIS2 în propunerile comerciale — ca dovadă de maturitate operațională, nu ca promisiune vagă — devine diferențiator față de competitorii care nu au făcut același pas.

Nu câștigă doar furnizorul care poate livra. Câștigă furnizorul care poate fi integrat fără să crească expunerea clientului.

▬▬▬▬▬▬▬▬▬▬

Surse:

https://www.dlapiper.com/en-us/insights/publications/2025/12/nis2-directive-explained-part-3-supply-chain-security

https://zefort.com/blog/nis2-compliance-and-contract-management-what-procurement-teams-need-to-know/

08/05/2026

𝗟𝗲𝗴𝗮𝗹 𝗖𝗼𝗻𝘁𝗿𝗼𝗹 𝗥𝗼𝗼𝗺
𝘚𝘪𝘨𝘯𝘢𝘭. 𝘌𝘹𝘱𝘰𝘴𝘶𝘳𝘦. 𝘊𝘰𝘯𝘵𝘳𝘰𝘭.

Training-ul de cybersecurity nu mai este doar pentru echipa IT.
Este și pentru conducerea companiei.

▬▬▬▬▬▬▬▬▬▬

▪ 𝗦𝗶𝗴𝗻𝗮𝗹

NIS2 scoate securitatea cibernetică din zona exclusiv tehnică și o aduce în zona conducerii companiei.

Art. 20 din Directiva (UE) 2022/2555 (NIS2) — transpusă în România prin OUG 155/2024, aprobată și modificată prin Legea 124/2025 — impune organelor de conducere ale entităților vizate să aprobe măsurile de gestionare a riscurilor cibernetice, să supravegheze implementarea lor și să dobândească și să mențină cunoștințele necesare pentru a evalua aceste riscuri.

▬▬▬▬▬▬▬▬▬▬

▪ 𝗘𝘅𝗽𝗼𝘀𝘂𝗿𝗲

Execuția se deleagă, nu și răspunderea.

O companie poate avea furnizor IT, consultant extern, responsabil tehnic și proceduri interne. Dar dacă administratorul, CEO-ul sau membrii conducerii nu înțeleg riscurile cibernetice ale propriei organizații, aprobările devin formale, iar supravegherea devine iluzorie.

La control, audit sau incident, devin relevante documentele care arată implicarea efectivă a conducerii: aprobări, rapoarte, mandate, training și decizii de management.

▬▬▬▬▬▬▬▬▬▬

▪ 𝗖𝗼𝗻𝘁𝗿𝗼𝗹

Trei lucruri concrete înainte să apară problema:
• Training documentat pentru conducere
Nu awareness generic. Nu o prezentare bifată.
Training conectat la profilul real de risc al companiei.
• Aprobare formală a cadrului de securitate cibernetică
Semnată, datată, arhivată.
Cu legătură clară între riscuri, măsuri și responsabilități.
• Responsabil NIS2 cu mandat real
Nu o persoană trecută formal într-un document.
O funcție cu acces la informații, linie de raportare și capacitate reală de escaladare către conducere.

Dacă nu există documentație, guvernanța rămâne doar o afirmație.

▬▬▬▬▬▬▬▬▬▬

Surse:

https://www.dnsc.ro/pagini/legislatie-nis2

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022L2555

01/05/2026

𝗟𝗲𝗴𝗮𝗹 𝗖𝗼𝗻𝘁𝗿𝗼𝗹 𝗥𝗼𝗼𝗺
𝘚𝘪𝘨𝘯𝘢𝘭. 𝘌𝘹𝘱𝘰𝘴𝘶𝘳𝘦. 𝘊𝘰𝘯𝘵𝘳𝘰𝘭.

Când atacul se termină, obligațiile legale abia încep.

▬▬▬▬▬▬▬▬▬▬

▪ 𝗦𝗶𝗴𝗻𝗮𝗹

O companie care dezvoltă sau livrează software în UE nu are o singură obligație de notificare când apare un incident de securitate, ci trei, în paralel, cu termene și autorități diferite:
• 𝗚𝗗𝗣𝗥: 72 de ore pentru a notifica autoritatea de protecție a datelor, dacă sunt afectate date personale
• 𝗡𝗜𝗦𝟮: 24 de ore pentru un avertisment inițial, urmat de o notificare completă în 72 de ore, adresată autorității naționale de securitate cibernetică (DNSC)
• 𝗖𝘆𝗯𝗲𝗿 𝗥𝗲𝘀𝗶𝗹𝗶𝗲𝗻𝗰𝗲 𝗔𝗰𝘁 (𝗖𝗥𝗔): din 11 septembrie 2026, obligații de raportare a vulnerabilităților și incidentelor pentru produse software cu componente digitale — adresate ENISA

Același incident. Trei autorități, termene și formate diferite.

▬▬▬▬▬▬▬▬▬▬

▪ 𝗘𝘅𝗽𝗼𝘀𝘂𝗿𝗲

Majoritatea companiilor descoperă aceste obligații în mijlocul unui incident — când timpul e cel mai limitat și presiunea e maximă.

Fără un protocol prestabilit, cele trei termene nu pot fi respectate simultan, iar nerespectarea lor nu e o scăpare administrativă — e o încălcare cu consecințe financiare și reputaționale distincte sub fiecare dintre cele trei cadre de reglementare.

▬▬▬▬▬▬▬▬▬▬

▪ 𝗖𝗼𝗻𝘁𝗿𝗼𝗹

Un 𝗽𝗹𝗮𝗻 𝗱𝗲 𝗿𝗮̆𝘀𝗽𝘂𝗻𝘀 𝗹𝗮 𝗶𝗻𝗰𝗶𝗱𝗲𝗻𝘁𝗲 se construiește înainte de criză, nu atunci când aceasta se declanșează.

Dacă mâine apare un incident de securitate — știi în prima oră care sunt cele trei autorități pe care trebuie să le notifici, în ce ordine și în cât timp?

▬▬▬▬▬▬▬▬▬▬

Surse:
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022L2555

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016R0679

https://digital-strategy.ec.europa.eu/en/policies/cra-reporting

24/04/2026

𝗟𝗲𝗴𝗮𝗹 𝗖𝗼𝗻𝘁𝗿𝗼𝗹 𝗥𝗼𝗼𝗺
𝘚𝘪𝘨𝘯𝘢𝘭. 𝘌𝘹𝘱𝘰𝘴𝘶𝘳𝘦. 𝘊𝘰𝘯𝘵𝘳𝘰𝘭.

AI Act nu se amână pentru tine.
Obligațiile care îți ating direct activitatea rămân în vigoare.

▬▬▬▬▬▬▬▬▬▬

▪ 𝗦𝗶𝗴𝗻𝗮𝗹

Parlamentul European susține amânarea unor obligații din AI Act — regulamentul european care reglementează utilizarea inteligenței artificiale.

Amânarea vizează sistemele AI încadrate ca 𝙝𝙞𝙜𝙝-𝙧𝙞𝙨𝙠 (e.g. selecție de CV-uri, scoring bancar, biometrie etc.).

Există însă obligații care nu au fost amânate.

▬▬▬▬▬▬▬▬▬▬

▪ 𝗘𝘅𝗽𝗼𝘀𝘂𝗿𝗲

Art. 50 din AI Act impune ca utilizatorul să nu fie indus în eroare cu privire la natura interacțiunii — să creadă că vorbește cu un om când vorbește cu un sistem AI.

Această obligație devine incidentă la 2 august 2026 și se activează ori de câte ori interfața ta poate crea această ambiguitate:
• chatbots sau asistenți virtuali de pe site-ul tău
• conținut generat cu AI în relația cu utilizatorii
• orice interacțiune AI cu utilizatorii

Majoritatea companiilor știu dacă folosesc AI. Foarte puține știu dacă utilizatorul este indus în eroare.

▬▬▬▬▬▬▬▬▬▬

▪ 𝗖𝗼𝗻𝘁𝗿𝗼𝗹

Întrebarea nu e dacă ești compliant. E dacă ai control asupra modului în care utilizatorul percepe interacțiunea.

Dacă nu poți răspunde imediat — nu ai o problemă de conformitate. Ai o problemă de control.

▬▬▬▬▬▬▬▬▬▬

Surse:
https://www.europarl.europa.eu/news/en/press-room/20260316IPR38219/meps-support-postponement-of-certain-rules-on-artificial-intelligence
https://artificialintelligenceact.eu/article/50/
https://www.twobirds.com/en/insights/2026/taking-the-eu-ai-act-to-practice-understanding-the-draft-transparency-code-of-practice

03/12/2025

Într-o manieră poate atipică, prezentul articol debutează cu ideea centrală care, inevitabil, îl traversează în întregime, respectiv că în cazul infracțiunilor de evaziune fiscală, lato sensu…

26/11/2025

Conferința națională privind controversele din domeniul dreptului penal

O dezbatere utilă și captivantă organizată de Lexure Hub și JURIDICE.ro

07/11/2025

https://aloromania.ro/fenomenul-soferilor-bauti-la-volan-in-crestere-avocatul-cezar-pintilie-nu-severitatea-pedepsei-e-problema-ci-cadrul-legal-care-o-permite/

Fenomenul șoferilor care se urcă la volan după ce au consumat alcool continuă să facă ravagii pe șoselele județului Iași. În primele nouă luni ale acestui an,

05/02/2025

01/02/2025

20/01/2025