Scrie-mi

Ghid de conformitate NIS2 pentru organizațiile vizate (2026)

NIS2 De Ing. Dorin-Emilian Avram, MSc · SephiraSec

Directiva NIS2 (UE) 2022/2555 este în vigoare din ianuarie 2023, iar statele membre au trebuit să o transpună până în octombrie 2024. Dacă organizația ta intră în domeniul de aplicare — și mai multe organizații decât se realizează intră — acest ghid descrie ce trebuie să demonstrezi efectiv: determinarea domeniului, cele zece măsuri minime de securitate, raportarea incidentelor și ce verifică autoritățile de supraveghere.

Ce este NIS2 și cum diferă de NIS1?

NIS2 înlocuiește Directiva NIS originală din 2016. Directiva originală acoperea un număr limitat de operatori de servicii esențiale și furnizori de servicii digitale, iar aplicarea a fost considerată inconsistentă în statele membre. NIS2 are un domeniu de aplicare semnificativ mai larg, este mai prescriptivă în privința măsurilor de securitate necesare și prevede sancțiuni mult mai severe — până la 10 milioane EUR sau 2% din cifra de afaceri anuală globală pentru entitățile esențiale.

Principalele diferențe față de NIS1:

  • Domeniul extins de la aproximativ șapte sectoare la optsprezece, inclusiv administrație publică, servicii poștale, gestionarea deșeurilor, producția alimentară și industria prelucrătoare
  • Toate entitățile medii și mari din sectoarele acoperite intră automat în domeniu (nu mai este nevoie de desemnare individuală)
  • Organul de conducere este explicit responsabil și poate fi tras la răspundere personal
  • Măsuri minime de securitate armonizate (Articolul 21) și reguli de raportare a incidentelor (Articolul 23) în toată UE
  • Securitatea lanțului de aprovizionare este explicit obligatorie, nu opțională

Ești în domeniu? Entități esențiale față de entități importante

NIS2 introduce două niveluri. Diferența contează deoarece supravegherea este mai strictă pentru entitățile esențiale.

Entități esențiale (supraveghere ex-ante mai strictă): energie, transport, bănci, infrastructuri ale piețelor financiare, sănătate, apă potabilă, apă uzată, infrastructură digitală (IXP-uri, DNS, TLD, cloud computing, centre de date, CDN-uri, servicii de încredere, comunicații electronice), administrație publică la nivel central și spațiu. Entitățile mari (250+ angajați sau 50 milioane EUR+ cifră de afaceri) din aceste sectoare sunt esențiale.

Entități importante (supraveghere ex-post): servicii poștale și de curierat, gestionarea deșeurilor, producția de produse chimice, producția alimentară, industria prelucrătoare (dispozitive medicale, electronică, utilaje, autovehicule), furnizori digitali (piețe online, motoare de căutare, rețele sociale) și administrație publică la nivel regional. Entitățile medii (50+ angajați sau 10 milioane EUR+ cifră de afaceri) din aceste sectoare sunt importante.

Statele membre pot desemna și entități mai mici ca esențiale sau importante dacă sunt singurul furnizor al unui serviciu sau dacă întreruperea ar avea un impact transfrontalier semnificativ.

Cele zece măsuri minime de securitate (Articolul 21)

Articolul 21 enumeră zece categorii de măsuri de securitate pe care fiecare entitate vizată trebuie să le implementeze, proporțional cu riscurile implicate. Acestea nu sunt opționale — autoritățile de supraveghere le vor verifica.

1. Politici privind analiza riscurilor și securitatea sistemelor informaționale

  • O metodologie documentată de analiză a riscurilor este implementată și aplicată cel puțin anual
  • Politicile de securitate acoperă rețelele și sistemele informaționale ale organizației și sunt aprobate de organul de conducere
  • Evaluarea riscurilor este legată de măsurile de securitate implementate — lacunele sunt documentate și monitorizate

2. Gestionarea incidentelor

  • Există un proces de răspuns la incidente cu roluri definite, căi de escaladare și proceduri de comunicare
  • Personalul poate identifica, clasifica și escalada incidentele de securitate fără a se baza pe canale informale
  • Revizuirile post-incident sunt efectuate pentru incidentele semnificative și alimentează analiza riscurilor

3. Continuitatea activității, gestionarea copiilor de rezervă și recuperarea în caz de dezastru

  • Planurile de continuitate a activității și de recuperare în caz de dezastru sunt documentate și testate cel puțin anual
  • Procedurile de backup definesc obiective clare RPO/RTO pentru sistemele critice
  • Procedurile de management al crizelor includ comunicarea cu autoritățile și părțile interesate

4. Securitatea lanțului de aprovizionare

  • Postura de securitate a furnizorilor direcți și a prestatorilor de servicii este evaluată în cadrul procesului de achiziție
  • Cerințele de securitate contractuale sunt incluse în acordurile cu furnizorii pentru serviciile critice
  • Vulnerabilitățile cunoscute din produsele și serviciile TIC ale furnizorilor sunt monitorizate și remediate

5. Securitatea în achiziția, dezvoltarea și mentenanța rețelelor și sistemelor informaționale

  • Cerințele de securitate sunt integrate în procesele de dezvoltare și achiziție
  • Există politici de gestionare și divulgare a vulnerabilităților
  • Managementul patch-urilor acoperă toate sistemele, cu prioritizare bazată pe risc

6. Politici și proceduri pentru evaluarea eficacității măsurilor de gestionare a riscurilor de securitate cibernetică

  • KPI-uri sau metrici sunt definite pentru a măsura eficacitatea măsurilor de securitate
  • Evaluări independente (audituri interne sau externe, teste de penetrare) sunt efectuate periodic
  • Conducerea primește rapoarte periodice privind postura de securitate

7. Practici de igienă cibernetică de bază și formare în domeniul securității cibernetice

  • Igiena cibernetică de bază (patch management, MFA, principiul privilegiului minim, managementul parolelor, configurare securizată) este aplicată și documentată
  • Toți angajații primesc formare în domeniul conștientizării securității cel puțin anual
  • Organul de conducere primește formare privind riscurile de securitate cibernetică și responsabilitățile de guvernanță

8. Politici și proceduri privind utilizarea criptografiei

  • Există o politică de criptografie care acoperă standardele de criptare, managementul cheilor și al certificatelor
  • Datele în tranzit și în repaus sunt protejate conform politicii
  • Politica este revizuită când standardele relevante se schimbă (de ex. planificarea tranziției post-cuantice)

9. Securitatea resurselor umane, politici de control al accesului și managementul activelor

  • Un inventar al activelor este menținut acoperind hardware, software, date și servicii critice ale terților
  • Accesul este acordat pe baza principiului privilegiului minim și revizuit periodic
  • Accesul privilegiat este controlat, monitorizat și limitat în timp, acolo unde este cazul
  • Procedurile de offboarding revocă accesul prompt

10. Autentificarea multifactorială (MFA) și comunicații securizate

  • MFA este impusă pentru toate accesele de la distanță și interfețele administrative
  • Comunicațiile vocale, video și text utilizate pentru informații sensibile sunt protejate corespunzător
  • Sistemele de comunicare de urgență sunt securizate și testate

Raportarea incidentelor conform NIS2 (Articolul 23)

Incidentele semnificative — definite de NIS2 ca cele care cauzează sau pot cauza perturbări operaționale grave, pierderi financiare sau daune semnificative altor entități — trebuie raportate CSIRT-ului național sau autorității competente în trei faze.

Termene de raportare:

  • Avertizare timpurie — în termen de 24 de ore de la conștientizarea unui incident semnificativ (inclusiv când se suspectează un atac cibernetic)
  • Notificare incident — în termen de 72 de ore de la conștientizare, cu o evaluare actualizată a severității și indicatori inițiali
  • Raport final — în termen de o lună, cu o descriere completă a incidentului, cauza principală, impactul transfrontalier și măsurile luate
  • Există criterii documentate pentru clasificarea unui incident ca „semnificativ" conform NIS2
  • Autoritatea națională competentă și CSIRT sunt identificate, iar datele de contact sunt actualizate
  • Șabloanele de raport pentru fiecare dintre cele trei faze sunt pregătite și stocate accesibil
  • Obligația de notificare față de clienții afectați și, unde este relevant, față de public, este acoperită în planul de răspuns la incidente

Responsabilitatea organului de conducere

Spre deosebire de NIS1, NIS2 responsabilizează explicit organele de conducere pentru aprobarea și supravegherea implementării măsurilor de gestionare a riscurilor de securitate cibernetică. Conducerea poate fi trasă la răspundere personal dacă organizația nu îndeplinește obligațiile NIS2. Aceasta înseamnă:

  • Consiliul sau conducerea executivă trebuie să aprobe formal abordarea de management al riscului de securitate
  • Membrii conducerii trebuie să finalizeze formarea în domeniul securității cibernetice și să mențină o conștientizare suficientă a riscurilor
  • Raportarea periodică către organul de conducere privind postura de securitate nu este opțională

Cele cinci lacune pe care le vedem cel mai des

  1. Orbire față de domeniu. Multe organizații nu știu că intră în domeniu până când nu le spune o autoritate de supraveghere. Pragul automat bazat pe dimensiune din NIS2 înseamnă că desemnarea formală nu mai este declanșatorul — aplică testul tu însuți.
  2. Documentația lanțului de aprovizionare. Articolul 21(2)(d) acoperă explicit securitatea lanțului de aprovizionare. Organizațiile au de obicei contracte cu furnizorii cheie, dar nicio evaluare de securitate și nicio cerință de securitate contractuală.
  3. Formare a conducerii doar pe hârtie. Conștientizarea organului de conducere este o cerință specifică NIS2. Un singur diapozitiv de prezentare nu satisface așteptarea — formare documentată cu evidența participării o satisface.
  4. Niciun criteriu de clasificare pentru incidentele semnificative. Fără criterii documentate, echipele de răspuns pierd timp dezbătând dacă să raporteze în loc să declanșeze ceasul de avertizare timpurie de 24 de ore.
  5. Evaluarea eficacității. Multe organizații au politici și măsuri, dar niciun mecanism pentru a verifica că funcționează. NIS2 impune o evaluare periodică a eficacității — aceasta înseamnă KPI-uri definite, evidențe de audit și rapoarte pentru conducere, nu doar politici pe un raft.

Cum poate ajuta SephiraSec

SephiraSec oferă evaluări ale domeniului NIS2, analize ale lacunelor mapate la Articolul 21 și Articolul 23, planificarea răspunsului la incidente, revizuiri ale securității lanțului de aprovizionare și sesiuni de informare pentru organele de conducere. Independent, la nivel UE, lucrând în engleză, germană și română.