{"id":1770,"date":"2025-04-22T09:43:38","date_gmt":"2025-04-22T08:43:38","guid":{"rendered":"https:\/\/nis2certification.eu\/romania\/"},"modified":"2025-09-16T16:13:26","modified_gmt":"2025-09-16T15:13:26","slug":"nis2-roemenie","status":"publish","type":"page","link":"https:\/\/nis2certification.eu\/nl\/nis2-roemenie\/","title":{"rendered":"NIS2 Roemeni\u00eb: wat betekent het voor uw organisatie?"},"content":{"rendered":"\t\t<div data-elementor-type=\"wp-page\" data-elementor-id=\"1770\" class=\"elementor elementor-1770 elementor-928\">\n\t\t\t\t<div class=\"elementor-element elementor-element-33095937 e-flex e-con-boxed e-con e-parent\" data-id=\"33095937\" data-element_type=\"container\" data-e-type=\"container\">\n\t\t\t\t\t<div class=\"e-con-inner\">\n\t\t\t\t<div class=\"elementor-element elementor-element-468b3d08 elementor-widget elementor-widget-heading\" data-id=\"468b3d08\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"heading.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t<h1 class=\"elementor-heading-title elementor-size-default\">NIS2 Roemeni\u00eb: wat betekent het voor uw organisatie?<\/h1>\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t<div class=\"elementor-element elementor-element-6d949168 e-grid e-con-boxed e-con e-parent\" data-id=\"6d949168\" data-element_type=\"container\" data-e-type=\"container\">\n\t\t\t\t\t<div class=\"e-con-inner\">\n\t\t\t\t<div class=\"elementor-element elementor-element-501d987f elementor-widget elementor-widget-image\" data-id=\"501d987f\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<img fetchpriority=\"high\" decoding=\"async\" width=\"600\" height=\"446\" src=\"https:\/\/nis2certification.eu\/wp-content\/uploads\/sites\/6\/2025\/05\/Romania.webp\" class=\"attachment-medium_large size-medium_large wp-image-1583\" alt=\"NIS2 Romania\" srcset=\"https:\/\/nis2certification.eu\/wp-content\/uploads\/sites\/6\/2025\/05\/Romania.webp 600w, https:\/\/nis2certification.eu\/wp-content\/uploads\/sites\/6\/2025\/05\/Romania-300x223.webp 300w, https:\/\/nis2certification.eu\/wp-content\/uploads\/sites\/6\/2025\/05\/Romania-360x268.webp 360w\" sizes=\"(max-width: 600px) 100vw, 600px\" \/>\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<div class=\"elementor-element elementor-element-6e4ea4e7 elementor-widget elementor-widget-text-editor\" data-id=\"6e4ea4e7\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<p>De oorspronkelijke NIS1-Richtlijn (EU) 2016\/1148 van het Europees Parlement en de Raad van 6 juli 2016 werd ingevoerd om de cyberveiligheid binnen de EU te versterken. Omwille van de toenemende dreiging van cyberaanvallen werd deze richtlijn vervangen door de <a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/EN\/TXT\/?uri=CELEX:32022L2555\" rel=\"noopener\">NIS2-Richtlijn (EU) 2022\/2555 van het Europees Parlement en de Raad van 14 december 2022<\/a> die strengere eisen oplegt en een breder toepassingsgebied hanteert om de weerbaarheid van kritieke infrastructuren tegen cyberaanvallen te vergroten.<\/p><p>De NIS2-richtlijn werd omgezet in Roemeens recht via de <strong>Noodverordening 155\/2024<\/strong><a href=\"https:\/\/www.dnsc.ro\/vezi\/document\/romanian-nis2-act-oug-155-2024-en\" rel=\"noopener\"> tot vaststelling van een kader voor de cyberbeveiliging van netwerken en informatiesystemen in de nationale civiele cyberspace 30 December 2024<\/a>.<\/p><p>Op deze pagina vindt u alles wat u moet weten over de impact van NIS2 op uw organisatie en hoe u zich kunt voorbereiden op de nieuwe regelgeving.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t<div class=\"elementor-element elementor-element-4894400a e-flex e-con-boxed e-con e-parent\" data-id=\"4894400a\" data-element_type=\"container\" data-e-type=\"container\">\n\t\t\t\t\t<div class=\"e-con-inner\">\n\t\t\t\t<div class=\"elementor-element elementor-element-23cb247 e-n-tabs-mobile elementor-widget elementor-widget-n-tabs\" data-id=\"23cb247\" data-element_type=\"widget\" data-e-type=\"widget\" data-settings=\"{&quot;horizontal_scroll&quot;:&quot;disable&quot;}\" data-widget_type=\"nested-tabs.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<div class=\"e-n-tabs\" data-widget-number=\"37532231\" aria-label=\"Tabs. Open items met enter of spatie, sluit af met escape en navigeer met de pijltoetsen.\">\n\t\t\t<div class=\"e-n-tabs-heading\" role=\"tablist\">\n\t\t\t\t\t<button id=\"e-n-tab-title-375322311\" data-tab-title-id=\"e-n-tab-title-375322311\" class=\"e-n-tab-title\" aria-selected=\"true\" data-tab-index=\"1\" role=\"tab\" tabindex=\"0\" aria-controls=\"e-n-tab-content-375322311\" style=\"--n-tabs-title-order: 1;\">\n\t\t\t\t\t\t<span class=\"e-n-tab-title-text\">\n\t\t\t\tToepassingsgebied\t\t\t<\/span>\n\t\t<\/button>\n\t\t\t\t<button id=\"e-n-tab-title-375322312\" data-tab-title-id=\"e-n-tab-title-375322312\" class=\"e-n-tab-title\" aria-selected=\"false\" data-tab-index=\"2\" role=\"tab\" tabindex=\"-1\" aria-controls=\"e-n-tab-content-375322312\" style=\"--n-tabs-title-order: 2;\">\n\t\t\t\t\t\t<span class=\"e-n-tab-title-text\">\n\t\t\t\tVerplichtingen\t\t\t<\/span>\n\t\t<\/button>\n\t\t\t\t<button id=\"e-n-tab-title-375322313\" data-tab-title-id=\"e-n-tab-title-375322313\" class=\"e-n-tab-title\" aria-selected=\"false\" data-tab-index=\"3\" role=\"tab\" tabindex=\"-1\" aria-controls=\"e-n-tab-content-375322313\" style=\"--n-tabs-title-order: 3;\">\n\t\t\t\t\t\t<span class=\"e-n-tab-title-text\">\n\t\t\t\tBewijs\t\t\t<\/span>\n\t\t<\/button>\n\t\t\t\t<button id=\"e-n-tab-title-375322314\" data-tab-title-id=\"e-n-tab-title-375322314\" class=\"e-n-tab-title\" aria-selected=\"false\" data-tab-index=\"4\" role=\"tab\" tabindex=\"-1\" aria-controls=\"e-n-tab-content-375322314\" style=\"--n-tabs-title-order: 4;\">\n\t\t\t\t\t\t<span class=\"e-n-tab-title-text\">\n\t\t\t\tSancties\t\t\t<\/span>\n\t\t<\/button>\n\t\t\t\t<button id=\"e-n-tab-title-375322315\" data-tab-title-id=\"e-n-tab-title-375322315\" class=\"e-n-tab-title\" aria-selected=\"false\" data-tab-index=\"5\" role=\"tab\" tabindex=\"-1\" aria-controls=\"e-n-tab-content-375322315\" style=\"--n-tabs-title-order: 5;\">\n\t\t\t\t\t\t<span class=\"e-n-tab-title-text\">\n\t\t\t\tTijdlijn\t\t\t<\/span>\n\t\t<\/button>\n\t\t\t\t<button id=\"e-n-tab-title-375322316\" data-tab-title-id=\"e-n-tab-title-375322316\" class=\"e-n-tab-title\" aria-selected=\"false\" data-tab-index=\"6\" role=\"tab\" tabindex=\"-1\" aria-controls=\"e-n-tab-content-375322316\" style=\"--n-tabs-title-order: 6;\">\n\t\t\t\t\t\t<span class=\"e-n-tab-title-text\">\n\t\t\t\tAutoriteiten\t\t\t<\/span>\n\t\t<\/button>\n\t\t\t\t\t<\/div>\n\t\t\t<div class=\"e-n-tabs-content\">\n\t\t\t\t<div id=\"e-n-tab-content-375322311\" role=\"tabpanel\" aria-labelledby=\"e-n-tab-title-375322311\" data-tab-index=\"1\" style=\"--n-tabs-title-order: 1;\" class=\"e-active elementor-element elementor-element-0579e56 e-con-full e-flex e-con e-child\" data-id=\"0579e56\" data-element_type=\"container\" data-e-type=\"container\">\n\t\t<div class=\"elementor-element elementor-element-69635d8 e-flex e-con-boxed e-con e-child\" data-id=\"69635d8\" data-element_type=\"container\" data-e-type=\"container\">\n\t\t\t\t\t<div class=\"e-con-inner\">\n\t\t\t\t<div class=\"elementor-element elementor-element-ebecd56 elementor-widget elementor-widget-text-editor\" data-id=\"ebecd56\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<section><h2>NIS2-entiteiten<\/h2><p>De Roemeense cybersecurity wet, is relevant voor zowel rechtspersonen als natuurlijke personen (samen aangeduid als \u2018entiteiten\u2019) die in Roemeni\u00eb geregistreerd zijn en die producten en\/of diensten leveren in een EU-land. De Roemeense cybersecurity wet, neemt de regels wat betreft het toepassingsgebied over van de Europese NIS2-richtlijn.<\/p><p>De cybersecurity wet bepaalt expliciet welke publieke en private entiteiten onder de cyberbeveiligingsverplichtingen vallen. Hiervoor wordt een onderscheid gemaakt tussen essenti\u00eble entiteiten en belangrijke entiteiten. Voor het categoriseren van entiteiten wordt rekening gehouden met de aangeboden diensten, de omvang van de entiteit en de vestiging van de entiteit.<\/p><p>In principe valt uw entiteit onder de Roemeense cybersecurity wet wanneer:<\/p><ul><li type=\"I\">Uw organisatie diensten levert binnen een sector die is opgenomen in bijlage I en bijlage II van de Roemeense cybersecurity wet;<\/li><li type=\"I\">Uw organisatie de drempelwaarden voor middelgrote ondernemingen overschrijdt; en<\/li><li type=\"I\">Uw organisatie in Roemeni\u00eb gevestigd is (m.u.v. aanbieders van openbare elektronische communicatienetwerken en aanbieders van openbaar elektronische communicatiediensten. Deze vallen onder de Roemeense cybersecurity wet indien zij diensten op het Roemeens grondgebied leveren.)<\/li><\/ul><h3>Criteria 1: geleverde diensten<\/h3><p>In <strong>bijlage I en II van de Roemeense cybersecurity wet<\/strong> worden de sectoren beschreven die vallen binnen het toepassingsgebied ervan. Het is dan ook van groot belang om uw geleverde diensten aan derden grondig te analyseren per (sub)sector.<\/p><table style=\"background-color: rgba(0, 0, 0, 0); border-collapse: collapse; font-size: 1rem;\"><thead><tr style=\"background-color: #004250; color: #ffffff;\"><th style=\"padding: 16px; border: 1px solid #d5d5d5; vertical-align: top;\">Bijlage I: Zeer kritieke sectoren<\/th><th style=\"padding: 16px; border: 1px solid #d5d5d5; vertical-align: top;\">Bijlage II: Andere kritieke sectoren<\/th><\/tr><\/thead><tbody><tr style=\"background-color: #f5f5f5;\"><td style=\"padding: 16px; border: 1px solid #d5d5d5; vertical-align: top;\">Energie<br \/>\u2022 Electriciteit<br \/>\u2022 Stadsverwarming en -koeling<br \/>\u2022 Aardolie<br \/>\u2022 Aardgas<br \/>\u2022 Waterstof<br \/>\u2022 Begunstigden van de projecten die worden gefinancierd uit niet-terugvorderbare middelen, en het type entiteit dat de volgende inhoud zal hebben<\/td><td style=\"padding: 16px; border: 1px solid #d5d5d5; vertical-align: top;\"><p>Post- en koeriersdiensten<\/p><\/td><\/tr><tr><td style=\"padding: 16px; border: 1px solid #d5d5d5; vertical-align: top;\">Vervoer<br \/>\u2022 Lucht<br \/>\u2022 Spoor<br \/>\u2022 Water<br \/>\u2022 Weg<\/td><td style=\"padding: 16px; border: 1px solid #d5d5d5; vertical-align: top;\"><p>Afvalstoffenbeheer<\/p><\/td><\/tr><tr style=\"background-color: #f5f5f5;\"><td style=\"padding: 16px; border: 1px solid #d5d5d5; vertical-align: top;\"><p>Bankwezen<\/p><\/td><td style=\"padding: 16px; border: 1px solid #d5d5d5; vertical-align: top;\"><p>Vervaardiging, productie en distributie van chemische stoffen<\/p><\/td><\/tr><tr><td style=\"padding: 16px; border: 1px solid #d5d5d5; vertical-align: top;\"><p>Infrastructuur voor de financi\u00eble markt<\/p><\/td><td style=\"padding: 16px; border: 1px solid #d5d5d5; vertical-align: top;\"><p>Productie, verwerking en distributie van levensmiddelen<\/p><\/td><\/tr><tr style=\"background-color: #f5f5f5;\"><td style=\"padding: 16px; border: 1px solid #d5d5d5; vertical-align: top;\"><p>Gezondheidszorg<\/p><\/td><td style=\"padding: 16px; border: 1px solid #d5d5d5; vertical-align: top;\">Vervaardiging<br \/>\u2022 Vervaardiging van medische hulpmiddelen en medische hulpmiddelen voor in-vitrodiagnostiek<br \/>\u2022 Vervaardiging van informaticaproducten en van elektronische en optische producten<br \/>\u2022 Vervaardiging van elektrische apparatuur<br \/>\u2022 Vervaardiging van machines, apparaten en werktuigen, n.e.g.<br \/>\u2022 Vervaardiging van motovoertuigen, aanhangers en opleggers<br \/>\u2022 Vervaardiging van andere transportmiddelen<\/td><\/tr><tr><td style=\"padding: 16px; border: 1px solid #d5d5d5; vertical-align: top;\">Drinkwater<\/td><td style=\"padding: 16px; border: 1px solid #d5d5d5; vertical-align: top;\"><p>Digitale aanbieders<\/p><\/td><\/tr><tr style=\"background-color: #f5f5f5;\"><td style=\"padding: 16px; border: 1px solid #d5d5d5; vertical-align: top;\">Afvalwater<\/td><td style=\"padding: 16px; border: 1px solid #d5d5d5; vertical-align: top;\"><p>Onderzoek<\/p><\/td><\/tr><tr><td style=\"padding: 16px; border: 1px solid #d5d5d5; vertical-align: top;\">Digitale infrastructuur<\/td><td style=\"padding: 16px; border: 1px solid #d5d5d5; vertical-align: top;\">\u00a0<\/td><\/tr><tr style=\"background-color: #f5f5f5;\"><td style=\"padding: 16px; border: 1px solid #d5d5d5; vertical-align: top;\"><p>Beheer van ICT-diensten (business-to-business)<\/p><\/td><td style=\"padding: 16px; border: 1px solid #d5d5d5; vertical-align: top;\">\u00a0<\/td><\/tr><tr><td style=\"padding: 16px; border: 1px solid #d5d5d5; vertical-align: top;\">Overhuid<\/td><td style=\"padding: 16px; border: 1px solid #d5d5d5; vertical-align: top;\">\u00a0<\/td><\/tr><tr style=\"background-color: #f5f5f5;\"><td style=\"padding: 16px; border: 1px solid #d5d5d5; vertical-align: top;\">Ruimtevaart<\/td><td style=\"padding: 16px; border: 1px solid #d5d5d5; vertical-align: top;\">\u00a0<\/td><\/tr><\/tbody><\/table><p>Indien uw organisatie een dienst uit bovenstaand overzicht levert, valt uw organisatie mogelijk binnen het toepassingsgebied van de cybersecurity wet.<\/p><h3>Criteria 2: bedrijfsgrootte<\/h3><p>Naast de geleverde diensten, is ook de grootte van de entiteit van belang om na te gaan of uw organisatie binnen het toepassingsgebied van de Roemeense cybersecurity wet valt. <a href=\"https:\/\/nis2certification.eu\/nl\/over-nis2\/\">Klik hier\u00a0om te bepalen of uw organisatie een kleine, middelgrote, dan wel grote onderneming betreft<\/a>. In principe dienen middelgrote en grote ondernemingen te voldoen aan de verplichten uit de cybersecurity wet.<\/p><p>Daarnaast is de wet ook van toepassing op volgende specifieke aanbieders, onafhankelijk van de omvang van de entiteit. Het gaat om:<\/p><ul><li>Aanbieders van openbare elektronische communicatienetwerken of -diensten<\/li><li>Centrale overheidsinstanties<\/li><li>Verleners van vertrouwensdiensten<\/li><li>Beheerders van domeinnaamregisters<\/li><li>DNS-providers<\/li><\/ul><p>Bovendien geldt de wet ook voor entiteiten, ongeacht hun omvang, indien hun activiteiten cruciaal zijn voor de samenleving of economie. Dat is het geval als:<\/p><ul><li>Zij diensten leveren die essentieel zijn voor kritieke maatschappelijke of economische functies en die niet door andere aanbieders geleverd worden<\/li><li>Een verstoring van hun dienstverlening aanzienlijke impact zou hebben op de openbare orde, veiligheid of volksgezondheid<\/li><li>Een incident bij hen systeemrisico\u2019s met grensoverschrijdende gevolgen zou kunnen veroorzaken<\/li><li>Zij van strategisch of vitaal belang zijn op nationaal of regionaal niveau, bijvoorbeeld vanwege afhankelijkheden in andere sectoren<\/li><\/ul><h3>Criteria 3: gevestigde entiteit in Roemeni\u00eb<\/h3><p>In principe kan de Roemeense NIS2-wet enkel van toepassing zijn op entiteiten met een vestiging in Roemeni\u00eb. Echter zijn bij wijze van uitzondering volgende entiteiten onderworpen aan de Roemeense cybersecurity wet:<\/p><ul><li>Aanbieders van openbare elektronische communicatienetwerken of aanbieders van openbare elektronische-communicatiediensten die hun diensten in Roemeni\u00eb aanbieden;<\/li><li>DNS-dienstverleners, registers voor topleveldomeinnamen, entiteiten die domeinnaamregistratiediensten leveren, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten aanbieders van beheerde beveiligingsdiensten, evenals aanbieders van onlinemarktplaatsen, onlinezoekmachines of platforms voor socialenetwerkdiensten, als zij hun hoofdvestiging in Roemeni\u00eb hebben of hun wettelijke vertegenwoordiger voor de EU in Roemeni\u00eb in het geval zij geen vestiging hebben binnen de EU;<\/li><li>Overheidsinstanties die door Roemeni\u00eb opgericht zijn.<\/li><\/ul><p>Naast de 3 bovenstaande criteria dient bij het analyseren van het toepassingsgebied van de cybersecurity wet rekening gehouden te worden met het feit dat men als niet-NIS2-organisatie alsnog geaffecteerd kan worden door de cybersecurity wet, doordat de nationale autoriteit de entiteit aanmerkt als essenti\u00eble of belangrijke entiteit of doordat de niet-NIS2-organisatie behoort tot de toeleveringsketen van een NIS2-organisatie.<\/p><\/section>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t<div id=\"e-n-tab-content-375322312\" role=\"tabpanel\" aria-labelledby=\"e-n-tab-title-375322312\" data-tab-index=\"2\" style=\"--n-tabs-title-order: 2;\" class=\" elementor-element elementor-element-a72ae30 e-con-full e-flex e-con e-child\" data-id=\"a72ae30\" data-element_type=\"container\" data-e-type=\"container\">\n\t\t<div class=\"elementor-element elementor-element-ab5cdc7 e-flex e-con-boxed e-con e-child\" data-id=\"ab5cdc7\" data-element_type=\"container\" data-e-type=\"container\">\n\t\t\t\t\t<div class=\"e-con-inner\">\n\t\t\t\t<div class=\"elementor-element elementor-element-d9f3adc elementor-widget elementor-widget-text-editor\" data-id=\"d9f3adc\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<h2>Wat betekent dit voor mijn bedrijf?<\/h2><h3>1. Registratie<\/h3><p>DNSC houdt een lijst bij van de essenti\u00eble en belangrijke entiteiten. Wanneer uw organisatie binnen de scope van de Roemeense cybersecurity wet, valt, dient u uw organisatie te registreren bij DNSC binnen de 30 dagen na de inwerkingtreding van de cybersecurity wet of binnen de 30 dagen nadat u voldoet aan de voorwaarden van een essenti\u00eble of belangrijke entiteit volgens respectievelijk Art. 5 en Art. 6 van de Roemeense cybersecurity wet. Registreren kan via het invullen van een <a href=\"https:\/\/www.dnsc.ro\/pagini\/operatori-de-servicii-esentiale\" target=\"_blank\" rel=\"noopener\">formulier<\/a>. Volgende informatie dient door de entiteit te worden overgemaakt aan DNSC:<\/p><ul><li>Naam van de entiteit<\/li><li>Adres van de hoofdzetel, e-mailadres, telefoonnummer en andere contactgegevens<\/li><li>Adressen van andere vestigingen in de EU, indien van toepassing<\/li><li>Contactgegevens van de communicatieverantwoordelijke<\/li><li>Contactgegevens van de vertegenwoordiger, indien de entiteit niet in de EU is gevestigd<\/li><li>Sector en subsector<\/li><li>Lijst van lidstaten waar de entiteit diensten verleent<\/li><li>IP-adresbereik<\/li><li>Bewijs dat aan de voorwaarden voor de categorisering van een essenti\u00eble of belangrijke entiteit is voldaan<\/li><\/ul><p>Wijzigingen in bovenstaande gegevens dienen <strong>onmiddellijk en binnen de 2 weken<\/strong> na de wijziging gemeld worden.<\/p><p>Jaarlijks dienen essenti\u00eble en belangrijke entiteiten een zelfbeoordeling uit te voeren om het maturiteitsniveau van de beheersmaatregelen voor cyberbeveiligingsrisico\u2019s te bepalen. Deze jaarlijkse zelfbeoordeling wordt ingediend door de entiteit bij het DNSC. Essenti\u00eble entiteiten stellen 30 dagen na de voltooiing van de zelfbeoordeling een plan op hoe de vastgestelde afwijkingen gecorrigeerd zullen worden. Dit wordt eveneens aan het DNSC bezorgd.<\/p><h3>2. Beheersmaatregelen<\/h3><p>Als uw organisatie gecategoriseerd is als essenti\u00eble of belangrijke entiteit, betekent dit dat u verantwoordelijk bent voor het implementeren van passende technische en organisatorische maatregelen om de beveiliging van uw netwerk- en informatiesystemen te waarborgen. Deze cybersecurity beheersmaatregelen betreffen minstens:<\/p><ul><li>Beleid en procedures m.b.t. risicoanalyse en beveiliging van informatiesystemen en de periodieke evaluatie ervan<\/li><li>Beleid en procedures om de effectiviteit van maatregelen voor het beheer van cyberbeveiligingsrisico&#8217;s te beoordelen<\/li><li>Beleid en procedures m.b.t. het gebruik van cryptografie en indien van toepassing encryptie<\/li><li>Beveiliging van toeleveringsketen<\/li><li>Beveiliging bij het verwerven, ontwikkelen en onderhouden van netwerk- en informatiesystemen, met inbegrip van de respons op en bekendmaking van kwetsbaarheden<\/li><li>Beveiligingsaspecten ten aanzien van personeel, toegangsbeheerbeleid en activabeheer<\/li><li>Incidentenbeheer<\/li><li>Bedrijfscontinu\u00efteit en crisisbeheer en indien nodig, het gebruik van beveiligde back-upsystemen<\/li><li>Beveiligingsaspecten ten aanzien van cyberhygi\u00ebne en cyberbeveiligingstraining<\/li><li>Gebruik van multifactorauthenticatie of continue authenticatieoplossingen voor spraak-, video- en tekstcommunicatie, beveiligde noodcommunicatiesystemen binnen de entiteit indien van toepassing.<\/li><\/ul><p>De Europese Commissie heeft in de <a href=\"https:\/\/eur-lex.europa.eu\/legal-content\/NL\/TXT\/?uri=CELEX:32024R2690\" target=\"_blank\" rel=\"noopener\">uitvoeringsverordening 2024\/2690<\/a> de minimummaatregelen voor cyberbeveiliging uitgewerkt voor DNS -dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten.<\/p><h3>3. Rapportageverplichting van significante incidenten<\/h3><p>Belangrijke en essenti\u00eble entiteiten zijn verplicht het Roemeense CSIRT in kennis te stellen wanneer zich een significant incident voordoet. Daarnaast dienen zij ook de ontvangers van hun diensten op de hoogte te brengen indien het significant incident de verlening van de diensten betreffende de (sub)sectoren van bijlage I en II affecteert.<\/p><p>Een incident wordt volgens de Roemeense cybersecurity wet als significant beschouwd wanneer het:<\/p><ul><li type=\"circle\">een ernstige operationele verstoring van de dienstverlening of financi\u00eble verliezen voor de betrokken entiteit heeft veroorzaakt of kan veroorzaken; of<\/li><li type=\"circle\">andere natuurlijke of rechtspersonen heeft getroffen of kan treffen door aanzienlijke materi\u00eble of immateri\u00eble schade te veroorzaken&#8217;<\/li><\/ul><p>Het significante incident wordt door de essenti\u00eble en belangrijke entiteit gemeld via <a href=\"https:\/\/pnrisc.dnsc.ro\/\" target=\"_blank\" rel=\"noopener\">het PNRISC-formulier<\/a> volgens volgende de procedure:<\/p><ol><li>onmiddellijk en binnen de <strong>24 uur<\/strong> nadat zij kennis heeft gekregen van het significante incident, dient de entiteit\u00a0 een <u>vroegtijdige waarschuwing<\/u> in, met melding van vermoedelijke oorzaak en eventuele grensoverschrijdende gevolgen;<\/li><li>onmiddellijk en binnen de <strong>72 uur<\/strong> nadat zij kennis heeft gekregen van het significante incident, communiceert de entiteit een <u>incidentenmelding<\/u> dat een informatie-update bevat en een initi\u00eble beoordeling van het incident;<\/li><li>op verzoek van het bevoegde CSIRT dient de entiteit een <u>tussentijds verslag<\/u> in;<\/li><li>Uiterlijk <strong>1 maand<\/strong> na de incidentenmelding dient de entiteit een <u>eindverslag<\/u> in met vermelding van:<br \/><ol type=\"i\"><li type=\"i\">Een gedetailleerde beschrijving van het incident, alsook de ernst en de gevolgen ervan;<\/li><li type=\"i\">Het soort bedreiging of de grondoorzaak die waarschijnlijk tot het incident heeft geleid;<\/li><li type=\"i\">Toegepaste en lopende risicobeperkende maatregelen;<\/li><li type=\"i\">De grensoverschrijdende gevolgen van het incident, indien van toepassing.<\/li><\/ol><\/li><li>Indien het incident nog lopende is een maand na de incidentenmelding, dient de entiteit een <u>voorgangsverslag<\/u> in en binnen de maand na de afhandeling van incident wordt een eindverslag ingediend.<\/li><\/ol><p>De Europese Commissie heeft in de <a href=\"https:\/\/eur-lex.europa.eu\/eli\/reg_impl\/2024\/2690\/oj?locale=nl\" target=\"_blank\" rel=\"noopener\">uitvoeringsverordening 2024\/2690<\/a> de criteria voor een significant incident bepaald voor DNS -dienstverleners, registers voor topleveldomeinnamen, aanbieders van cloudcomputingdiensten, aanbieders van datacentrumdiensten, aanbieders van netwerken voor de levering van inhoud, aanbieders van beheerde diensten, aanbieders van beheerde beveiligingsdiensten, aanbieders van onlinemarktplaatsen, van onlinezoekmachines en van platforms voor socialenetwerkdiensten, en verleners van vertrouwensdiensten. Deze bijzondere regels hebben voorrang op de nationale regels in het geval van tegenstrijdigheden.\u00a0<\/p><p>Tot slot kunnen alle entiteiten, ongeacht of zij vallen binnen het toepassingsgebied van de NIS2-wet vrijwillig (significante) incidenten, cyberdreigingen en bijna-incidenten melden via het online formulier. \u00a0<\/p><p><a href=\"https:\/\/pnrisc.dnsc.ro\/\" target=\"_blank\" rel=\"noopener\">Meer informatie omtrent incident meldingen kan u hier vinden.<\/a><\/p><h3>4. Verplichtingen en verantwoordelijkheden van het management<\/h3><p>De bestuursorganen van essenti\u00eble en belangrijke entiteiten zijn verantwoordelijk voor de naleving van de cybersecurity wet en dienen verschillende verplichtingen na te komen waaronder:<\/p><ul><li>Goedkeuren van de beheersmaatregelen voor cyberbeveiliging<\/li><li>Volgen van <a href=\"https:\/\/bc.academy\/product\/nis2-executive-training\/\" target=\"_blank\" rel=\"noopener\">training<\/a> om over voldoende kennis en vaardigheden te beschikken om risico&#8217;s te kunnen identificeren en beheersmaatregelen en de impact ervan op hun diensten te kunnen beoordelen<\/li><li>Voortdurend bijscholen van de werknemers van de entiteit op het gebied van cybersecurity<\/li><\/ul><p><strong>De bestuursorganen zijn aansprakelijk bij niet-naleving van de Roemeense cybersecurity wet.<\/strong><\/p><h3>5. Samenwerken met autoriteiten<\/h3><p>Essenti\u00eble en belangrijke entiteiten dienen samen te werken met de nationale autoriteiten. Betreft het uitwisselen van informatie over de beveiliging van netwerk- en informatiesystemen, rapporteren van incidenten, samenwerking met de inspectiedienst enzovoort.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t<div id=\"e-n-tab-content-375322313\" role=\"tabpanel\" aria-labelledby=\"e-n-tab-title-375322313\" data-tab-index=\"3\" style=\"--n-tabs-title-order: 3;\" class=\" elementor-element elementor-element-0b01335 e-con-full e-flex e-con e-child\" data-id=\"0b01335\" data-element_type=\"container\" data-e-type=\"container\">\n\t\t<div class=\"elementor-element elementor-element-9d3fbe8 e-flex e-con-boxed e-con e-child\" data-id=\"9d3fbe8\" data-element_type=\"container\" data-e-type=\"container\">\n\t\t\t\t\t<div class=\"e-con-inner\">\n\t\t\t\t<div class=\"elementor-element elementor-element-243a884 elementor-widget elementor-widget-text-editor\" data-id=\"243a884\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<h2>Hoe kan ik aantonen dat mijn bedrijf in regel is met de NIS2 wetgeving?<\/h2><p>De Roemeense cybersecurity wet bepaalt dat essenti\u00eble en belangrijke entiteiten periodiek een cybersecurityaudit dienen te ondergaan. Tijdens dergelijke audit wordt op gestructureerde wijze het beleid, de procedures en de beveiligingsmaatregelen binnen de IT- en netwerkomgeving ge\u00ebvalueerd. Daarnaast kunnen ook ad hoc audits worden uitgevoerd, bijvoorbeeld nadat een significant incident zich heeft voorgedaan of wanneer er concrete aanwijzingen zijn dat de entiteit de regelgeving schendt.<\/p><p>De cybersecurity audit wordt uitgevoerd door een <strong><a href=\"https:\/\/brandcompliance.be\/certificerende-instelling\/voorwaarden\/\" target=\"_blank\" rel=\"noopener\">geaccrediteerde CAB<\/a><\/strong>. Op basis van deze onafhankelijke conformiteitsbeoordeling kan de entiteit een\u00a0 certificaat behalen, waarmee de naleving van de NIS2-wet kan worden aangetoond aan de stakeholders. Hoewel de Roemeense cybersecurity wet geen specifiek framework verplicht, worden verschillende nationale en internationale normen geaccepteerd.<\/p><p>Een belangrijke internationale standaard die hiervoor gehanteerd kan worden is <a href=\"https:\/\/brandcompliance.com\/diensten\/iso-27001-certificering\/\" rel=\"noopener\">ISO\/IEC 27001<\/a>. Daarnaast communiceert ECSO dat het Belgisch framework <a href=\"https:\/\/atwork.safeonweb.be\/tools-resources\/cyberfundamentals-framework\" rel=\"noopener\">CyberFundamentals<\/a> erkend wordt door de Roemeense autoriteit. Beide alternatieven worden hieronder toegelicht:<\/p><h3>CyberFundamentals label<\/h3><p>Het Centrum voor Cybersecurity Belgi\u00eb (CCB) heeft een kader ontwikkeld, bestaande uit concrete maatregelen met als doel gegevens beter te beschermen, het risico op de meest voorkomende cyberaanvallen te verkleinen en de cyberweerbaarheid van een organisatie te vergroten.<\/p><p>Op basis van de ernst van de dreiging waaraan een organisatie is blootgesteld, wordt een onderscheid gemaakt tussen het startersniveau Small en 3 zekerheidsniveaus Basic, Important en Essential. Het <a href=\"https:\/\/atwork.safeonweb.be\/nl\/tools-resources\/cyberfundamentals-framework\" target=\"_blank\" rel=\"noopener\">CyFun Framework<\/a> bevat voor ieder niveau een set aan beheersmaatregelen.<\/p><p>Om het CyFun label te kunnen bekomen dienen volgende stappen door u ondernomen te worden:<\/p><ol><li>Bepaal het CyFun zekerheidsniveau door een risicobeoordeling uit te voeren. Hiervoor kan u gebruik maken van de <a href=\"https:\/\/atwork.safeonweb.be\/nl\/node\/201\" target=\"_blank\" rel=\"noopener\">CyFun Selection Tool<\/a>.<\/li><li>Vervolledig een <a href=\"https:\/\/atwork.safeonweb.be\/nl\/node\/201\" target=\"_blank\" rel=\"noopener\">Self Assessement<\/a> en implementeer corrigerende maatregelen<\/li><li>Laat de Self Assessment en de ge\u00efmplementeerde maatregelen verifi\u00ebren of certificeren door een <a href=\"https:\/\/brandcompliance.be\/cyfun-verificatie\/\" target=\"_blank\" rel=\"noopener\">CAB<\/a><\/li><li>Vraag het CyFun label aan via het <a href=\"https:\/\/atwork.safeonweb.be\/register-my-organisation\" target=\"_blank\" rel=\"noopener\">Safeonweb@work portaal<\/a><\/li><\/ol><h3>ISO\/IEC 27001-certificering<\/h3><p>Een andere mogelijkheid om aan te tonen in regel te zijn met de NIS2 is het <strong>ISO\/IEC 27001-certificaat<\/strong>. ISO\/IEC 27001 is de wereldwijd erkende standaard voor informatiebeveiliging en beschrijft de eisen voor het opzetten, implementeren, onderhouden en continu verbeteren van een Information Security Management System (ISMS).<\/p><p>Om een ISO 27001-certicering te kunnen behalen dienen volgende stappen ondernomen te worden:<\/p><ol><li>Verwerf de nodige kennis over ISO\/IEC 27001, door middel van bijvoorbeeld <a href=\"https:\/\/bc.academy\/\" target=\"_blank\" rel=\"noopener\">training<\/a>.<\/li><li>Implementeer het ISO 27001-management systeem conform de normeisen in uw organisatie.<\/li><li>Voer interne audits uit.<\/li><li>Laat het management de resultaten van de interne audit beoordelen en neem indien nodig corrigerende maatregelen. Leg de conclusie over het voldoen aan de eisen vast in de directiebeoordeling.<\/li><li>Contacteer een geaccrediteerde <a href=\"https:\/\/brandcompliance.be\/certificerende-instelling\/voorwaarden\/\" target=\"_blank\" rel=\"noopener\">CAB<\/a> voor het uitvoeren van een externe audit.<\/li><\/ol><p><a href=\"https:\/\/brandcompliance.com\/aanvragen-certificatietraject\/\" target=\"_blank\" rel=\"noopener\">Indien u meer informatie wenst omtrent certificering, kan u hier een afspraken met een expert maken.<\/a><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t<div id=\"e-n-tab-content-375322314\" role=\"tabpanel\" aria-labelledby=\"e-n-tab-title-375322314\" data-tab-index=\"4\" style=\"--n-tabs-title-order: 4;\" class=\" elementor-element elementor-element-6290b5f e-flex e-con-boxed e-con e-child\" data-id=\"6290b5f\" data-element_type=\"container\" data-e-type=\"container\">\n\t\t\t\t\t<div class=\"e-con-inner\">\n\t\t<div class=\"elementor-element elementor-element-69dcf65 e-con-full e-flex e-con e-child\" data-id=\"69dcf65\" data-element_type=\"container\" data-e-type=\"container\">\n\t\t\t\t<div class=\"elementor-element elementor-element-bc90411 elementor-widget elementor-widget-text-editor\" data-id=\"bc90411\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<h2>Handhaving en sancties<\/h2><p>De bevoegde autoriteit voert inspecties uit op de naleving door cyber security entiteiten van de vereisten zoals bepaald in de cybersecurity wet. Hiervoor moet een onderscheid gemaakt worden tussen essenti\u00eble en belangrijke entiteiten:<\/p><ul><li><strong>Essenti\u00eble entiteiten<\/strong> worden zowel proactief (ex-ante) als reactief (ex-post) gecontroleerd, en zijn verplicht regelmatige conformiteitsbeoordelingen te laten uitvoeren.<\/li><li><strong>Belangrijke entiteiten<\/strong> worden in principe enkel reactief gecontroleerd, na een incident of bij een vermoeden van niet-naleving van de wet.<\/li><\/ul><p>De Roemeense cybersecurity wet voorziet in specifieke sancties voor entiteiten die de wettelijke bepalingen niet naleven. Deze sancties vari\u00ebren naargelang de aard en de ernst van de overtreding en zijn onderverdeeld in <strong>administratieve maatregelen en administratieve boetes.<\/strong><\/p><p>Mogelijke administratieve maatregelen die kunnen opgelegd worden zijn onder andere waarschuwingen geven, de uitvoering van leidinggevende functies tijdelijk verbieden, de entiteit verplichten bepaalde maatregelen te treffen enzovoort.<\/p><p>Administratieve boetes die kunnen worden opgelegd zijn eveneens wettelijk vastgelegd en kunnen oplopen tot <strong>10.000.000 euro of 2% van de totale wereldwijde jaaromzet<\/strong> van de essenti\u00eble en tot <strong>7.000.000 euro of 1,4% van de totale wereldwijde jaaromzet<\/strong> van de belangrijke entiteit. Deze administratieve boetes worden opgelegd door het DNSC.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t<div id=\"e-n-tab-content-375322315\" role=\"tabpanel\" aria-labelledby=\"e-n-tab-title-375322315\" data-tab-index=\"5\" style=\"--n-tabs-title-order: 5;\" class=\" elementor-element elementor-element-3453ab9 e-flex e-con-boxed e-con e-child\" data-id=\"3453ab9\" data-element_type=\"container\" data-e-type=\"container\">\n\t\t\t\t\t<div class=\"e-con-inner\">\n\t\t<div class=\"elementor-element elementor-element-fa81e63 e-con-full e-flex e-con e-child\" data-id=\"fa81e63\" data-element_type=\"container\" data-e-type=\"container\">\n\t\t\t\t<div class=\"elementor-element elementor-element-04880b3 elementor-widget elementor-widget-text-editor\" data-id=\"04880b3\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<h2>Tijdlijn<\/h2><ul><li><strong>17 oktober 2024:<\/strong> initi\u00eble deadline voor EU-lidstaten om NIS2-richtlijn om te zetten in nationale wetgeving<\/li><li><strong>30 december 2024<\/strong>: Roemeense cybersecurity wet, wordt aangenomen door het parlement<\/li><li><strong>31 december 2024<\/strong>: Roemeense cybersecurity wet, treedt in werking<\/li><li><strong>31 januari 2025<\/strong>: entiteit dient zich te registreren bij het DNSC<\/li><li><strong>Binnen 6 maanden na registratie<\/strong>: implementatie van risicobeheersmaatregelen<\/li><li><strong>Binnen 1 jaar na registratie<\/strong>: uitvoeren van een externe cybersecurity audit<\/li><\/ul>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t<div id=\"e-n-tab-content-375322316\" role=\"tabpanel\" aria-labelledby=\"e-n-tab-title-375322316\" data-tab-index=\"6\" style=\"--n-tabs-title-order: 6;\" class=\" elementor-element elementor-element-f4f6603 e-flex e-con-boxed e-con e-child\" data-id=\"f4f6603\" data-element_type=\"container\" data-e-type=\"container\">\n\t\t\t\t\t<div class=\"e-con-inner\">\n\t\t<div class=\"elementor-element elementor-element-f1c6949 e-con-full e-flex e-con e-child\" data-id=\"f1c6949\" data-element_type=\"container\" data-e-type=\"container\">\n\t\t\t\t<div class=\"elementor-element elementor-element-92e3bd2 elementor-widget elementor-widget-text-editor\" data-id=\"92e3bd2\" data-element_type=\"widget\" data-e-type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t<h2>Bevoegde autoriteiten<\/h2><p>De belangrijkste bevoegde autoriteit voor de uitvoering van de NIS2-richtlijn in Roemeni\u00eb is de <strong>National Cyber Security Directorate (DNSC)<\/strong>, in het Roemeens Direc\u021bia Na\u021bional\u0103 de Securitate Cibernetic\u0103. De DNSC is officieel aangewezen als de centrale instantie die verantwoordelijk is voor het co\u00f6rdineren, toezicht houden op en handhaven van de cybersecuritymaatregelen die voortvloeien uit de Roemeense cybersecurity wet. Daarnaast vervult de DNSC ook de functie van het <strong>nationale Cyber Security Incident Response Team (CSIRT)<\/strong>.<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>NIS2 Roemeni\u00eb: wat betekent het voor uw organisatie? De oorspronkelijke NIS1-Richtlijn (EU) 2016\/1148 van het Europees Parlement en de Raad van 6 juli 2016 werd ingevoerd om de cyberveiligheid binnen de EU te versterken. Omwille van de toenemende dreiging van cyberaanvallen werd deze richtlijn vervangen door de NIS2-Richtlijn (EU) 2022\/2555 van het Europees Parlement en&#8230;<\/p>\n","protected":false},"author":6,"featured_media":1583,"parent":0,"menu_order":30,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_acf_changed":false,"_kadence_starter_templates_imported_post":false,"_kad_post_transparent":"","_kad_post_title":"hide","_kad_post_layout":"fullwidth","_kad_post_sidebar_id":"","_kad_post_content_style":"unboxed","_kad_post_vertical_padding":"hide","_kad_post_feature":"hide","_kad_post_feature_position":"","_kad_post_header":false,"_kad_post_footer":false,"_kad_post_classname":"","footnotes":""},"class_list":["post-1770","page","type-page","status-publish","has-post-thumbnail","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/nis2certification.eu\/nl\/wp-json\/wp\/v2\/pages\/1770","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nis2certification.eu\/nl\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/nis2certification.eu\/nl\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/nis2certification.eu\/nl\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/nis2certification.eu\/nl\/wp-json\/wp\/v2\/comments?post=1770"}],"version-history":[{"count":4,"href":"https:\/\/nis2certification.eu\/nl\/wp-json\/wp\/v2\/pages\/1770\/revisions"}],"predecessor-version":[{"id":1806,"href":"https:\/\/nis2certification.eu\/nl\/wp-json\/wp\/v2\/pages\/1770\/revisions\/1806"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/nis2certification.eu\/nl\/wp-json\/wp\/v2\/media\/1583"}],"wp:attachment":[{"href":"https:\/\/nis2certification.eu\/nl\/wp-json\/wp\/v2\/media?parent=1770"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}