Ce este Directiva NIS2?

Directiva NIS2 (Network and Information Security 2) este cadrul european actualizat pentru securitatea cibernetică, publicată în Jurnalul Oficial al UE în decembrie 2022. Față de prima directivă NIS, aceasta extinde semnificativ sfera de aplicare, acoperind mai multe sectoare și impunând cerințe mai stricte de raportare și management al riscului.

În România, transpunerea NIS2 a intrat sub responsabilitatea DNSC (Directoratul Național de Securitate Cibernetică), care a emis normele de implementare și va gestiona auditul și aplicarea sancțiunilor. Termenul de înregistrare pentru entitățile esențiale și importante a expirat, iar procesul de audit a început.

Cine este afectat în România?

NIS2 împarte organizațiile în două categorii cu cerințe ușor diferite: entități esențiale și entități importante. Criteriul principal este dimensiunea și sectorul de activitate.

Entități esențiale (Anexa I)

Organizații cu cel puțin 250 angajați sau cifra de afaceri peste 50M EUR, din sectoarele:

  • Energie (electricitate, gaze, petrol, hidrogen)
  • Transport (aerian, feroviar, rutier, maritim)
  • Sectorul bancar și infrastructuri piețele financiare
  • Sănătate și cercetare farmaceutică
  • Apă potabilă și apă uzată
  • Infrastructuri digitale — furnizori DNS, registre TLD, IXP
  • Administrație publică centrală și regională
  • Spațiu

Entități importante (Anexa II)

Companii de dimensiune medie (50–249 angajați sau cifra de afaceri 10–50M EUR) din sectoare extinse: servicii poștale și de curierat, gestionarea deșeurilor, producție chimică, industria alimentară, producția de echipamente medicale și software.

Cerințe principale NIS2

1. Măsuri tehnice și organizatorice

Art. 21 din directivă impune adoptarea de măsuri proporționale cu riscul, incluzând politici de securitate, managementul riscului, continuitatea activității și securitatea lanțului de aprovizionare. Un ISMS (Information Security Management System) conform ISO 27001 este o bază solidă pentru conformitate.

2. Raportarea incidentelor

NIS2 impune un proces riguros cu trei etape, calculat de la momentul detectării incidentului:

  1. Alertă timpurie transmisă la DNSC în cel mult 24 de ore
  2. Notificare completă cu evaluarea impactului în maxim 72 de ore
  3. Raport final detaliat în maxim 30 de zile calendaristice
# Structura unui raport de incident NIS2
incident:
  id: "INC-2025-0042"
  detectat_la: "2025-06-15T08:22:00Z"
  alerta_dnsc: "2025-06-15T18:00:00Z"   # < 24h ✓
  notificare_completa: "2025-06-17T12:00:00Z"  # < 72h ✓
  sisteme_afectate:
    - "ERP intern"
    - "Portal clienți"
  impact: "Parțial — date financiare neafectate"
  masuri_luate:
    - "Izolarea segmentului de rețea compromis"
    - "Resetarea credențialelor afectate"
    - "Activarea planului de recuperare DR-002"

3. Securitatea lanțului de aprovizionare

Una din noutățile majore NIS2: organizațiile trebuie să evalueze și să gestioneze riscurile cibernetice aduse de furnizorii și partenerii din lanțul de aprovizionare. Aceasta include clauze contractuale privind securitatea, auditarea furnizorilor critici și monitorizarea continuă.

Sancțiuni și penalități

Entitățile esențiale pot fi sancționate cu amenzi administrative de până la 10.000.000 EUR sau 2% din cifra de afaceri globală anuală — oricare sumă este mai mare. Pentru entitățile importante, plafonul este 7.000.000 EUR sau 1,4% din cifra de afaceri.

Dincolo de amenzi, directiva introduce și răspunderea personală a conducerii: managerii superiori pot fi ținuți responsabili personal pentru nerespectarea obligațiilor NIS2, inclusiv prin interdicții temporare de exercitare a funcțiilor de conducere.

Pași concreți spre conformitate

Conformitatea NIS2 nu se atinge printr-un singur proiect — este un proces continuu. Iată o foaie de parcurs practică:

  1. Realizarea unui gap analysis față de cerințele art. 21 NIS2 și normele DNSC
  2. Implementarea sau actualizarea unui ISMS (recomandat: ISO 27001 ca fundament)
  3. Elaborarea și testarea planului de răspuns la incidente și a procedurilor de notificare
  4. Auditarea furnizorilor critici și actualizarea clauzelor contractuale
  5. Organizarea de traininguri de conștientizare în securitate cibernetică pentru angajați
  6. Înregistrarea oficială la DNSC și desemnarea responsabilului NIS2
  7. Testare periodică: penetration testing, vulnerability assessments, exerciții de tip tabletop

Concluzie

NIS2 nu este opțional și nu mai este o perspectivă îndepărtată — procesul de audit al DNSC a început. Organizațiile care nu s-au pregătit riscă sancțiuni severe și, mai important, vulnerabilități cibernetice reale.

La ProcessIQ, ajutăm organizațiile din România să navigheze procesul de conformitate NIS2: de la analiza inițială a decalajelor până la pregătirea documentației pentru auditul DNSC. Dacă organizația dumneavoastră are nevoie de sprijin, contactați-ne pentru o consultație inițială.

Taguri
#NIS2#DNSC#cybersecurity#audit#conformitate
BC
Csaba Hitter
Consultant IT · Auditor NIS2