Ce este NIS2 și cine este vizat

NIS2 (Network and Information Security Directive 2) este directiva europeană de securitate cibernetică transpusă în România prin Legea 58/2023. Extinde semnificativ numărul companiilor obligate să implementeze măsuri de securitate față de NIS1.

Sectoarele de Anexa I (entități esențiale):

  • Energie (electricitate, gaz, petrol, hidrogen)
  • Transport (aerian, feroviar, naval, rutier)
  • Sector bancar și infrastructuri ale piețelor financiare
  • Sănătate (spitale, laboratoare, producători de medicamente)
  • Apă potabilă și ape uzate
  • Infrastructură digitală (IXP-uri, DNS, TLD, servicii cloud, centre de date)
  • Gestionarea serviciilor ICT (furnizori MSP/MSSP)
  • Administrație publică și spațiu

Sectoarele de Anexa II (entități importante): servicii poștale, gestionarea deșeurilor, chimice, alimentar, industrie prelucrătoare, furnizori digitali (marketplace, motoare de căutare, rețele sociale), cercetare.

Pragul de aplicare: companiile cu ≥50 angajați sau cifră de afaceri ≥10 milioane EUR. Anumite entități sunt incluse indiferent de dimensiune (ex: furnizori DNS, registre TLD, operatori critici identificați de DNSC).

Obligații concrete pentru firme

NIS2 impune un set minimal de măsuri tehnice și organizatorice:

1. Politici de securitate documentate

Politica de securitate IT, proceduri de gestionare a accesului, politica de backup și recuperare în caz de dezastru — toate documentate și actualizate periodic.

2. Gestionarea incidentelor (Art. 23 NIS2)

Incidentele semnificative trebuie raportate la DNSC în termen de:

  • 24 ore — alertă inițială după detectare
  • 72 ore — raport intermediar detaliat
  • 30 zile — raport final complet

3. Continuitate operațională

Plan de continuitate IT (BCP/DRP), backup-uri testate periodic, proceduri documentate pentru restaurare rapidă.

4. Securitatea lanțului de aprovizionare (Art. 21)

Evaluarea securității furnizorilor și partenerilor, contracte cu clauze de securitate, audit periodic al accesurilor terților.

5. Securitatea rețelelor și criptarea

TLS 1.2+ pe toate serviciile web și email, DMARC/SPF/DKIM configurate, DNSSEC, autentificare multi-factor (MFA) pentru accesul la sisteme critice.

6. Formare și conștientizare

Traininguri periodice de securitate cibernetică pentru angajați, simulări de phishing.

Sancțiuni pentru neconformare

NIS2 prevede amenzi administrative semnificative, diferențiate pe tipul entității:

  • Entități esențiale (Anexa I): până la 10 milioane EUR sau 2% din cifra de afaceri globală anuală (valoarea mai mare)
  • Entități importante (Anexa II): până la 7 milioane EUR sau 1,4% din cifra de afaceri globală anuală

Suplimentar față de amenzi, DNSC poate impune suspendarea temporară a autorizației de operare și publicarea nominală a neconformității.

Responsabilitatea managementului: NIS2 introduce explicit răspunderea personală a conducătorilor executivi pentru neglijența în domeniul securității cibernetice.

Cum verifici starea de securitate a domeniului tău

Primul pas în conformarea NIS2 este înțelegerea stării actuale a infrastructurii tale. SecureCheck verifică automat 8 din controalele tehnice NIS2 aplicabile domeniului tău:

  • ✓ Validitate certificat SSL/TLS și versiune protocol
  • ✓ Configurare DMARC, SPF, DKIM (prevenire spoofing email)
  • ✓ DNSSEC activ
  • ✓ HTTP → HTTPS redirect și HSTS
  • ✓ Security headers (CSP, X-Frame-Options, X-Content-Type-Options)
  • ✓ Porturi expuse neautorizat
  • ✓ Reputație domeniu (blacklists, malware, Safe Browsing)

Planul Standard include raportul de evaluare NIS2/GDPR cu articolele specifice la risc și nivelul de amendă potențial, generat automat din rezultatele scanării.