top of page
Caută

NIS2 în practică: Ce înseamnă noua directivă pentru organizația ta și cum te pregătești responsabil

Actualizată în: 15 aug.

1. Context general

Într-un peisaj digital tot mai complex, în care atacurile cibernetice nu mai ocolesc nicio organizație – fie ea companie tech, IMM din alt sector, instituție publică sau furnizor de servicii digitale – apare o întrebare importantă: suntem cu adevărat pregătiți să răspundem unui incident de securitate?


Noua Directivă NIS2, transpusă în România prin OUG nr. 155/2024, nu vine doar cu obligații, ci cu un cadru clar de acțiune pentru a ne proteja mai bine. Pentru multe organizații, aceste reglementări par abstracte sau greu de abordat. De aceea, în cadrul Transilvania IT Cluster, ne propunem să ajutăm comunitatea să înțeleagă, să se pregătească și să se conformeze, pas cu pas – nu din frică de sancțiuni, ci din responsabilitate față de oameni, procese și date.


ree

2. Cui i se aplică NIS2?

NIS2 (O.U.G. nr. 155/2024) se aplică unui spectru larg de entități, atât din sectorul public, cât și din cel privat. NIS2 vizează:

Ø  Companii private mari și mijlocii din peste 18 sectoare esențiale sau importante

Ø  Instituții publice, inclusiv autorități centrale și locale

Ø  ONG-uri și entități non-profit active în sectoarele reglementate

Ø  Furnizori de servicii digitale (servicii de cloud, centre de date, marketplace-uri)

Ø  Organizatii din educație și institute de cercetare relevante din punct de vedere strategic

 

Organizațiile sunt împărțite în:

Ø  Entități esențiale – cu impact major în societate/economie

Ø  Entități importante – cu impact semnificativ, dar indirect

 

O entitate este considerată esențială sau importantă, indiferent de dimensiune, dacă:

·       entitatea este singurul furnizor al unui serviciu care este esențial pentru susținerea unor activități societale şi economice critice;

·       perturbarea serviciului furnizat de entitate ar putea avea un impact semnificativ asupra siguranței publice, a securității publice sau a sănătății publice;

·       perturbarea serviciului furnizat de entitate ar putea genera un risc sistemic semnificativ, în special pentru sectoarele în care o astfel de perturbare ar putea avea un impact transfrontalier;

·       entitatea este critică datorită importanței sale specifice la nivel național sau regional pentru sectorul sau tipul de servicii în cauză sau pentru alte sectoare interdependente.

 

Sunt considerate entități esențiale:

  • întreprinderile mari care se încadrează în sectoarele prevăzute în Anexa 1;

  • întreprinderile mijlocii care sunt furnizori de reţele publice de comunicaţii electronice sau furnizori de servicii de comunicaţii electronice destinate publicului;

  • întreprinderile mijlocii care sunt furnizori de servicii de securitate gestionate;

  • entităţile administraţiei publice centrale în conformitate cu anexa nr. 1;

  • entităţile din anexa nr. 1 sau nr. 2 identificate în conformitate cu art. 9;

  • entităţile identificate drept entităţi critice conform dispoziţiilor legale privind rezilienţa entităţilor critice;

  • furnizorii de servicii DNS;

  • prestatori de servicii de încredere calificaţi;

  • registrele de nume TLD.

 

 

Sunt considerate entități importante:

  • întreprinderile mari din Anexa 2 și întreprinderile mijlocii care activează în sectoarele prevăzute în Anexele nr. 1 și 2, dar care nu sunt considerate esențiale;

  • entitățile care nu au putut fi  identificate drept entități esențiale în conformitate cu dispozițiile art. 5 din OUG 155/2024, indiferent de dimensiunea pe care o au;

  • alte entități menționate în anexe pot fi  considerate importante, în funcție de o evaluare a riscului, în conformitate cu art. 9;

  • furnizorii de rețele publice de comunicații electronice și furnizorii de servicii de comunicații electronice destinate publicului care sunt entități mici sunt clasificați ca importanți;

  • prestatorii de servicii de încredere care nu sunt calificați sunt, de asemenea, considerați importanți.

 

 

1.       Energie (Electricitate, Încălzire şi răcire centralizată, Petrol, Gaze, Hidrogen)

2.       Transport (Aerian, Feroviar, pe apa, rutier)

3.       Bancar

4.       Infrastructuri ale pieţei financiare

5.       Sănătate

6.       Apă potabilă

7.       Ape uzate

8.       Infrastructură digitală (Furnizorii de IXP, Furnizorii de servicii DNS, cu excepţia operatorilor de servere pentru nume primare, Registrele de nume TLD, Furnizorii de servicii de cloud computing, Furnizorii de servicii de centre de date, Furnizorii de reţele de difuzare de conţinut, Prestatorii de servicii de încredere, Furnizorii de reţele publice de comunicaţii electronice, Furnizorii de servicii de comunicaţii electronice destinate publicului)

9.       Gestionarea serviciilor TIC (business-to- business) - Furnizorii de servicii gestionate și furnizorii de servicii de securitate gestionate

10.   Administraţie publică (cu câteva excepții: instituţiile din domeniul apărării, ordinii publice şi securităţii naţionale, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, instituţiile de învăţământ superior, domeniul juridicar, justiţie, inclusiv Ministerul Public, Parlamentul României, Secretariatul General al Guvernului, Cancelaria Prim-Ministrului, Administraţia Prezidenţială, ASF, BNR şi ANCOM)

11.   Spaţiu


Alte sectoare de importanţă critică (prevăzute în Anexa 2):

12.   Servicii poştale şi de curierat

13.   Gestionarea deşeurilor

14.    Fabricarea, producţia şi distribuţia de substanţe chimice

15.   Producţia, prelucrarea şi distribuţia de alimente

16.   Fabricare ( dispozitive medicale şi de dispozitive medicale pentru diagnostic in vitro, computere şi a produse electronice şi optice, echipamente electrice, autovehicule, remorci şi semiremorci, altor echipamente de transport)

17.   Furnizori digitali (Furnizorii de pieţe online, de motoare de căutare online, de platforme de servicii de socializare în reţea)

18.   Cercetare


Dacă activezi într-un sector listat în Anexele 1 sau 2 din OUG 155/2024 și ai o anumită dimensiune operațională (conform celor prezentate mai sus), este posibil ca organizația ta să fie clasificată ca entitate esențială sau entitate importantă. Iar acest statut vine cu obligații concrete de protecție, prevenție și reacție în fața atacurilor cibernetice.

Pentru a înțelege cât mai correct și profund cerințele NIS2, exemple reale de evaluare a aplicabilității OUG155/2024 asupra organizațiilor vor fi prezentate mai jos, în capitolul 10.


3. Obligații esențiale: Măsuri de securitate și guvernanță


Organizațiile vizate trebuie să implementeze măsuri tehnice, operaționale și organizatorice pentru a gestiona riscurile cibernetice într-un mod eficient și proactiv. Directiva introduce o abordare integrată, axată pe prevenție, detecție, răspuns și reziliență.

1. Măsuri obligatorii de securitate:

Ø  Evaluarea riscurilor și gestionarea vulnerabilităților

Ø  Securizarea rețelelor și sistemelor informatice

Ø  Controlul accesului, autentificare, criptare

Ø  Back-up, recuperare și continuitate operațională

Ø  Răspuns la incidente și notificare rapidă

Ø  Securitatea comunicațiilor interne și externe

Ø  Protecția datelor sensibile și confidențiale


4. Managementul riscului: o cerință strategică


Directiva NIS2 nu se limitează la cerințe tehnice, ci solicită un sistem formal de management al riscurilor legate de securitatea rețelelor și sistemelor informatice.

Ce presupune un sistem de risk management conform NIS2?

Ø  Identificare: stabilirea activelor critice și a riscurilor asociate

Ø  Evaluare: clasificarea riscurilor în funcție de probabilitate și impact

Ø  Tratament: definirea de controale și măsuri pentru atenuarea riscurilor

Ø  Monitorizare: urmărirea eficienței măsurilor implementate

Ø  Revizuire periodică: actualizarea evaluărilor în funcție de schimbările interne și externe

Acest proces trebuie să fie documentat, validat și aprobat la nivelul conducerii executive, devenind parte integrantă a guvernanței organizaționale.


5. Third-party risk management – securitatea lanțului de aprovizionare

Una dintre cele mai importante noutăți aduse de NIS2 este obligația explicită de a evalua și controla riscurile provenite din relațiile cu terți (furnizori, parteneri, subcontractori).

Organizațiile trebuie să:

Ø  Evalueze securitatea furnizorilor înainte de contractare

Ø  Includă clauze de securitate cibernetică în contractele comerciale

Ø  Monitorizeze continuu riscurile externe, în special cele din zona de infrastructură digitală (cloud, hosting, servicii de procesare date)

Ø  Solicite garanții privind nivelul de conformitate al terților (certificări, audituri, măsuri tehnice etc.)

Ø  Implementeze politici de due diligence și control al accesului furnizorilor la infrastructuri critice

Acest aspect este crucial, mai ales în contextul în care cele mai multe breșe de securitate majore au fost facilitate indirect de terți nesecurizați.


6. Guvernanță și responsabilitate executivă

O altă schimbare fundamentală adusă de NIS2 este responsabilizarea conducerii executive. Nu mai este suficient ca aspectele de securitate să fie delegate complet către departamentele IT sau juridic.

Ce prevede directiva:

Ø  Conducerea trebuie să aprobe politicile de securitate și bugetele aferente

Ø  Membrii echipei executive pot fi trasți la răspundere în caz de neglijență managerială

Ø  Se impune formarea continuă a conducerii în domeniul riscurilor cibernetice

Ø  Există obligația desemnării unui responsabil pentru conformarea NIS2 (intern sau extern)


7. Notificarea incidentelor

Un alt pilon central al directivei este capacitatea organizației de a reacționa rapid la incidente și de a notifica autoritățile relevante.

Ø  Notificare inițială: în maxim 24 de ore

Ø  Actualizare detalii: în termen de 72 de ore

Ø  Raport final: în maxim 30 de zile

  • Autoritate competentă în România: Directoratul Național de Securitate Cibernetică (DNSC)

Această procedură trebuie să fie standardizată, testată și cunoscută de toți actorii implicați în guvernanța incidentelor.


8. Sancțiuni și consecințe

Regimul sancționatoriu impus de NIS2 este ferm și comparabil cu cel introdus de GDPR:

Tip entitate

Sancțiune maximă

Entitate esențială

10 milioane EUR sau 2% din cifra de afaceri

Entitate importantă

7 milioane EUR sau 1,4% din cifra de afaceri

Se pot aplica și măsuri complementare:

Ø  Suspendarea temporară a activității

Ø  Răspundere personală pentru conducerea executivă

Ø  Obligația de publicare a încălcării (naming & shaming)

 

9. Testare continuă și validarea rezilienței: un imperativ operațional


Una dintre cele mai relevante obligații din NIS2 – adesea omisă în interpretări sumare – este demonstrarea capacității reale de apărare și recuperare în caz de incident cibernetic. Nu este suficient să existe politici sau planuri pe hârtie: organizațiile trebuie să își testeze activ mecanismele de securitate și continuitate operațională.


Teste de penetrare

Directiva NIS2 solicită ca entitățile afectate să efectueze teste tehnice de reziliență, inclusiv:

Ø  Teste de penetrare externe și interne, pentru a identifica vulnerabilități exploatabile

Ø  Evaluări de tip Red Team / Blue Team, pentru a simula atacuri cibernetice reale

Ø  Teste de stres și simulări de criză (tabletop exercises) în scenarii de atac ransomware, exfiltrare de date, indisponibilitate a serviciilor

Ø  Verificări ale politicilor de acces, parolelor, segmentării rețelei și actualizării software-ului

 

Aceste testări trebuie:

Ø  realizate de echipe specializate, interne sau externe, certificate

Ø  documentate și repetate periodic (minim anual, sau la schimbări majore)

Ø  corelate cu planurile de remediere și cu evaluările de risc


Teste ale planului de răspuns la incidente și continuitate

Pe lângă componentele tehnice, organizațiile trebuie să:

Ø  testeze procedura internă de notificare a incidentelor

Ø  simuleze activări ale planului de continuitate a activității (BCP)

Ø  valideze timpul de recuperare estimat (RTO/RPO) pentru sistemele critice

 

Integrarea testărilor în ciclul de conformitate

Tip testare

Scop

Frecvență recomandată

Test de penetrare

Identificarea vulnerabilităților exploatabile

Anual sau la modificări de sistem

Red Team / Blue Team

Evaluarea capacității de detecție și răspuns

1x la 1–2 ani

Simulare incident (tabletop)

Antrenarea echipei de criză, procedură de notificare

2x/an

Test backup și recovery

Validarea capacității de recuperare după atac

Trimestrial

De la conformare la avantaj competitiv

Conformarea la NIS2 nu ar trebui privită exclusiv ca o constrângere legală. Ea oferă un cadru concret pentru:

Ø  Profesionalizarea proceselor interne

Ø  Creșterea încrederii clienților și partenerilor

Ø  Reducerea impactului în caz de atac sau avarie

Ø  Accesul preferențial la proiecte strategice sau finanțări UE

 

10. Care sunt cele 3 criterii-cheie pentru evaluarea conformității unei entități cu OUG nr. 155/2024?


Pentru a determina aplicabilitatea și obligațiile care derivă din Ordonanța de Urgență nr. 155/2024 privind măsuri de securitate cibernetică, organizațiile trebuie să realizeze o evaluare internă preliminară, dar realistă, ghidată de trei criterii esențiale.


1. Sectorul de activitate – analiza codurilor CAEN autorizate

Primul pas constă în identificarea domeniului de activitate, prin verificarea codurilor CAEN autorizate în Registrul Comerțului. Numai codurile CAEN autorizate, care se regăsesc în Anexele 1 și 2 ale OUG nr. 155/2024, pot genera obligații de conformare. În lipsa acestora, entitatea nu intră sub incidența ordonanței. Această etapă este esențială pentru a corela în mod corect sectorul de activitate cu regimul juridic aplicabil în materie de securitate cibernetică.

2. Dimensiunea organizației – criterii de clasificare conform legii IMM-urilor

Al doilea criteriu vizează dimensiunea entității, stabilită potrivit prevederilor Legii nr. 346/2004 privind stimularea înființării și dezvoltării întreprinderilor mici și mijlocii. Clasificarea se face în funcție de:

  • numărul mediu anual de angajați,

  • cifra de afaceri netă anuală,

  • totalul activelor.

Această evaluare permite încadrarea entității ca fiind esențială sau importantă, ceea ce determină, mai departe, nivelul de obligații proporționale care trebuie îndeplinite în conformitate cu prevederile ordonanței.

3. Impactul strategic sau sistemic – profilul organizației

În anumite situații, o entitate poate fi considerată esențială sau importantă chiar și în absența îndeplinirii criteriilor anterioare, dacă are un rol strategic sau un impact sistemic asupra unor domenii de interes public major: sănătate, siguranță națională, securitate publică, funcționarea economiei sau a infrastructurilor critice. Acest aspect este reglementat explicit în articolele 9 și 10 din OUG nr. 155/2024, care oferă autorităților competența de a desemna astfel de entități în mod justificat.

 

Să vedem aplicabilitatea NIS2 explicată prin exemple reale:

 

SCENARIU 1: Companie IT medie – furnizor de servicii cloud și hosting

·       Sector: Infrastructură digitală (Anexa 1)

·       Dimensiune: Întreprindere mijlocie (ex. 80 angajați, CA > 10 mil. euro)

·       Servicii: Găzduire de date și aplicații pentru clienți publici și privați, inclusiv spitale și administrație locală


✅ Clasificare: Entitate esențială

Această companie intră automat în categoria entităților esențiale deoarece:

·       furnizează servicii de infrastructură digitală (cloud computing, hosting),

·       activează într-un sector prevăzut în Anexa 1,

·       și are o dimensiune medie, fără a fi microîntreprindere.

Obligații: înregistrare la DNSC (Directoratul Național de Securitate Cibernetică), evaluarea riscului, notificare incidente în 24h, implementare controale de securitate și testare periodică a rezilienței.

 

SCENARIU 2: Universitate regională – cu activitate de cercetare aplicată în domeniul sănătății și securității cibernetice

·       Sector: Educație și cercetare (Anexa 2)

·       Dimensiune: Entitate mare, cu activitate transfrontalieră și parteneriate internaționale

·       Servicii: Proiecte europene, procesare de date sensibile, dezvoltare software pentru spitale


Clasificare: Entitate importantă

Această organizație este considerată importantă deoarece:

·       activează în sectorul cercetare – Anexa 2,

·       deține infrastructură IT proprie, cu acces la date sensibile,

·       are un posibil impact indirect semnificativ în sectoare critice (sănătate, apărare, educație publică).

În anumite cazuri, pe baza unei evaluări de risc (Art. 9), poate fi chiar reîncadrată ca entitate esențială dacă joacă un rol strategic sau furnizează servicii critice.

 

SCENARIU 3: Primărie de municipiu – administrație publică locală digitalizată

·       Sector: Administrație publică (Anexa 1)

·       Dimensiune: Instituție publică cu peste 250 de angajați și infrastructură digitală proprie

·       Servicii: E-guvernare, registre electronice, plăți online, gestionarea serviciilor locale


Clasificare: Entitate esențială

Primăria intră în mod direct sub incidența NIS2 deoarece:

·       este o entitate a administrației publice centrale sau locale,

·       activează într-un sector reglementat de Anexa 1,

·       gestionează date cu caracter personal și funcționalități critice pentru cetățeni.

Obligații: înregistrare în registrul DNSC, evaluarea riscului IT, desemnarea responsabilului pentru securitate cibernetică, plan de răspuns la incidente, formare periodică pentru angajați.

 

SCENARIU 4: Companie de producție – fabrică de echipamente electrice smart pentru infrastructură energetică

·       Sector: Producție industrială specializată (Anexa 2)

·       Dimensiune: Întreprindere mare (ex. 300+ angajați, exporturi în UE)

·       Activitate: Producție de senzori și componente inteligente pentru rețele electrice și stații de transformare


Clasificare: Entitate importantă

Această companie este clasificată ca entitate importantă pentru că:

·       activează într-un sector industrial din Anexa 2 (producție de echipamente electrice),

·       este o întreprindere mare care furnizează indirect echipamente esențiale pentru sectorul energetic,

·       poate deveni critică la nivel regional sau național, în funcție de rolul din lanțul de aprovizionare.

Dacă este singurul furnizor al unui echipament strategic sau colaborează direct cu entități din Anexa 1, poate fi reclasificată de DNSC drept entitate esențială (art. 9).

 

SCENARIU 5: Startup EdTech cu platformă digitală pentru școli și licee

·       Sector: Furnizori digitali / Educație (Anexa 2)

·       Dimensiune: Întreprindere mijlocie (ex. 55 angajați, platformă activă în mai multe județe)

·       Activitate: Platformă de gestionare a orarului, catalog electronic, acces pentru elevi, profesori și părinți; stocare și procesare de date personale și educaționale.


✅ Clasificare: Entitate importantă

Acest startup este considerat entitate importantă, deoarece:

·       furnizează servicii digitale esențiale pentru funcționarea școlilor și liceelor,

·       colectează și procesează volume mari de date cu caracter personal sensibile (elevi, părinți, profesori),

·       activează într-un sector reglementat (educație / digital), conform Anexei 2,

·       și are o dimensiune medie, fără a fi microîntreprindere.

În cazul în care platforma devine critică la nivel regional (ex. este folosită în toate școlile unui județ) sau gestionează componente ale unui serviciu public (ex. accesarea notelor sau comunicarea oficială între părinte–școală), DNSC poate reevalua statutul ca entitate esențială, conform art. 9 din OUG 155/2024.

Obligații: înregistrare în registrul DNSC, desemnare punct de contact, evaluare a riscului, măsuri tehnice și organizatorice clare, testare periodică a securității platformei și notificarea incidentelor cibernetice.

 

11. Concluzie


Pentru multe organizații, NIS2 și OUG 155/2024 pot părea la prima vedere un set de cerințe tehnice greu de decodat sau un nou val de birocrație digitală. Însă în realitate, vorbim despre o oportunitate de a înțelege mai bine unde suntem vulnerabili și ce putem face concret pentru a preveni riscuri reale – care pot afecta clienți, parteneri, reputație sau chiar funcționarea zilnică a organizației.

La Transilvania IT, ne dorim să sprijinim membrii și partenerii să se orienteze cu încredere în acest nou cadru. Indiferent că sunteți o companie de IT, o instituție cu infrastructură critică sau un furnizor de servicii digitale, înțelegerea și aplicarea NIS2 nu trebuie să însemne un efort solitar.


Această directivă nu este despre a bifa obligații, ci despre a construi organizații mai pregătite, mai conștiente și mai reziliente. Iar primul pas este să recunoaștem că securitatea cibernetică nu mai este o problemă doar de IT, ci una de guvernanță și sustenabilitate organizațională.

Transilvania IT Cluster este aici pentru a traduce aceste cerințe în acțiuni concrete, adaptate nevoilor reale ale fiecărei organizații. Împreună putem transforma această provocare într-un avantaj – și într-o comunitate mai sigură digital.


Te invităm să te alături Grupului de lucru Cybersecurity by Transilvania IT Cluster


Lansat recent și coordonat de Orsolya Bakó – consultant în securitate cibernetică și expert tehnic al Transilvania IT Cluster – Grupul de lucru Cybersecurity este o inițiativă dedicată colaborării între organizații care doresc să contribuie activ la consolidarea securității digitale la nivel regional. Acesta este un spațiu sigur și deschis, în care companii, instituții publice și experți pot împărtăși bune practici, pot discuta reglementări (precum NIS2, CRA, GDPR), pot construi instrumente utile și pot dezvolta o cultură de securitate adaptată nevoilor reale.

Dacă sunteți interesați să vă alăturați, vă invităm să ne scrieți direct sau să completați formularul de înscriere.



Comentarii

bottom of page