Introducere
Directiva NIS2 (Network and Information Security 2) este noul cadru european care impune standarde mai ridicate de securitate cibernetică pentru organizațiile ce oferă servicii esențiale sau importante. Adoptată la finalul lui 2022, NIS2 extinde semnificativ aria de acoperire față de vechea directivă NIS (din 2016) și vine ca răspuns la înmulțirea atacurilor cibernetice asupra infrastructurilor critice (de exemplu, un incident din 2024 a afectat 26 de spitale din România). Scopul este creșterea rezilienței digitale în UE prin reguli unitare. 

Probabil te întrebi cum te influențează asta pe tine – ca proprietar de afacere mică, start-up tech, creator de conținut sau agenție web. Chiar dacă firmele mici nu sunt direct obligate de lege în majoritatea cazurilor, merită să cunoști noile cerințe, deoarece colaboratorii sau clienții tăi mai mari ți le pot solicita indirect. Mai mult, îmbunătățirea securității IT este în beneficiul afacerii tale: riscul de incidente scade, iar încrederea clienților crește. 

Să trecem, așadar, prin principalele aspecte ale Directivei NIS2 pe un ton prietenos și clar. Vom explica ce entități intră sub incidența ei, ce obligații aduce, ce sancțiuni prevede și care este impactul asupra companiilor din România.

Clasificarea entităților conform Directivei NIS2

Directiva NIS2 împarte organizațiile vizate în două categorii principale, în funcție de importanța serviciilor prestate și de dimensiunea companiei: entități esențiale și entități importante. Alături de acestea, există și excepții notabile pentru companiile mici. Iată cum sunt definite aceste categorii:

Entități esențiale: criterii de includere

„Entitățile esențiale” sunt organizațiile cu impact critic asupra societății și economiei. Ele operează în sectoare de criticitate ridicată (Annexa I a directivei) și, de regulă, au o dimensiune mare (încadrează companii medii spre mari). Cu alte cuvinte, dacă o companie activează într-un sector precum energie, transporturi, sănătate, infrastructură digitală, finanțe sau administrație publică și depășește anumite praguri de mărime, ea va fi considerată entitate esențială. De exemplu, furnizorii de energie electrică sau gaze, operatorii naționali de transport (aerian, feroviar, rutier), marile spitale sau rețele de clinici, centralele de apă potabilă, marile bănci și instituții financiare ori platformele de infrastructură digitală (centre de date, operatori DNS, furnizori cloud) intră în această categorie. În practică, directiva consideră „esențiale” companiile mari din aceste domenii – de obicei cele cu peste ~250 de angajați sau cifră de afaceri peste ~50 milioane €. Statutul de entitate esențială vine la pachet cu cerințe stricte și un grad sporit de supraveghere din partea autorităților. De exemplu, aceste organizații vor face obiectul unor audituri regulate și controale mai riguroase, dat fiind că o perturbare a activității lor ar avea consecințe majore la nivel național.

Entități importante: praguri de mărime și impact

„Entitățile importante” reprezintă a doua categorie de companii vizate de NIS2. Ele sunt, în general, organizații medii ca dimensiune, care fie activează în aceleași sectoare critice menționate mai sus, fie în alte sectoare cu impact semnificativ (enumerate în Anexa II a directivei). Pragul de includere este mai jos: sunt vizate firmele considerate mijlocii (peste 50 de angajați sau cu cifre de afaceri de peste 10 milioane € anual), care nu ating însă nivelul de importanță al celor „esențiale”. Sectoarele acoperite aici sunt variate – de la servicii poștale și de curierat, la gestionarea deșeurilor, industria chimică, industria alimentară, fabricarea de echipamente (ex. dispozitive medicale, electronice, mașini) sau platforme online și rețele de socializare. Practic, NIS2 a dorit să includă și companiile care, deși nu sunt „infrastructură critică” în sensul clasic, pot provoca probleme majore dacă sunt afectate de incidente (imaginați-vă, de pildă, un mare serviciu de curierat sau o platformă de e-commerce picând din cauza unui atac cibernetic). Obligațiile de securitate pentru entitățile importante sunt în esență aceleași ca pentru cele esențiale, însă regimul de supraveghere și sancțiuni este ceva mai blând. Autoritățile vor exercita un control puțin mai relaxat asupra entităților importante, comparativ cu entitățile esențiale, având în vedere că impactul lor sistemic e mai redus.Totuși, neconformarea nu este lipsită de consecințe nici pentru această categorie (după cum vom vedea la sancțiuni).

Excluderi și excepții pentru IMM-uri

O întrebare firească este: „Dar companiile mici intră sub incidența NIS2?” În principiu, microîntreprinderile și firmele mici (sub 50 de angajați și sub 10 milioane € cifră de afaceri anuală) sunt exceptate de la obligațiile directivei. UE a dorit să nu împovăreze IMM-urile cu cerințe dificile, considerând că impactul lor individual este limitat. Așadar, dacă ai un startup mic, un magazin online cu 5 angajați sau o agenție de web design cu 10 oameni, legal nu ești obligat să respecți NIS2 – cu câteva excepții notabile:

  • Furnizori de servicii esențiale unici: dacă o firmă, deși mică, este unicul furnizor al unui serviciu considerat esențial într-un stat membru, autoritățile o pot include sub umbrela NIS2. (Exemplu ipotetic: o companie mică care administrează un sistem critic la nivel național – ar putea fi clasificată ca entitate esențială chiar dacă nu îndeplinește pragurile de mărime)
  • Furnizori de servicii de încredere și domenii internet: anumiți operatori din zona digitală intră automat sub NIS2 indiferent de dimensiune. Este vorba de prestatorii de servicii de încredere calificate (cum ar fi autoritățile de certificare pentru semnături electronice) și de operatorii de infrastructură DNS și domenii (registrar de domenii de nivel înalt, furnizori de servicii DNS). Aceștia au fost incluși explicit, deoarece o vulnerabilitate la ei poate afecta masiv ecosistemul digital (gândiți-vă la importanța certificatelor digitale sau a sistemului de nume de domenii).

Pe scurt, majoritatea firmelor mici și startup-urilor nu sunt obligate direct de NIS2. Totuși, atenție: după cum vom detalia în secțiunea următoare, chiar dacă nu ai obligații legale, asta nu înseamnă că poți ignora complet securitatea – clienții sau partenerii tăi mai mari (care sunt sub NIS2) îți pot cere să le fii alături în demersul de securitate.

Rolul lanțului de aprovizionare în aplicabilitate

Un element de noutate în NIS2 este accentul puternic pus pe securitatea lanțului de aprovizionare. Altfel spus, nu contează doar cât de bine își protejează propria rețea entitățile vizate, ci și cât de sigure sunt firmele partenere și furnizorii lor. Directiva impune companiilor mari să evalueze vulnerabilitățile fiecărui furnizor direct și să verifice calitatea practicilor de securitate ale acestora. De exemplu, o bancă aflată sub NIS2 trebuie să se asigure că și firmele IT cu care lucrează au măsuri serioase de securitate (patch management, protocoale de acces, politici de dezvoltare securizată etc.). În consecință, efectul legii se propagă pe întreg lanțul economic: organizațiile mari vor cere furnizorilor și colaboratorilor lor garanții de securitate, pentru a nu avea „verigi slabe” exploatabile. Practic, dacă ești furnizor pentru o entitate NIS2, va trebui să implementezi și tu măsuri de securitate solide, chiar dacă nu ești obligat direct prin lege. Acest aspect este foarte important pentru IMM-uri – multe vor trebui să adopte standarde mai înalte la cererea clienților mari. De altfel, un sondaj recent a arătat că ~58% dintre furnizorii terți de mărime medie (50–1000 angajați) nu erau pregătiți încă pentru cerințele NIS2, lucru care subliniază provocarea în zona de supply chain. Vestea bună este că există și oportunități aici: dacă ești un furnizor „beton” la capitolul securitate, devii mai atractiv pentru partenerii mari. cyber_Folks înțelege acest lucru și investește în infrastructură de găzduire pentru a oferi clienților stabilitate și securitate – de exemplu, găzduirea noastră NVMe utilizează stocare ultra-rapidă și soluții de securitate precum Imunify360, contribuind la reziliența site-urilor găzduite (un site care se încarcă „cât ai clipi” și este bine protejat aduce plus-valoare oricărei afaceri online).

Obligațiile legale pentru entitățile vizate

Pentru companiile care intră sub incidența NIS2 (cele esențiale și importante), directiva stabilește un set cuprinzător de obligații menite să îmbunătățească securitatea rețelelor și sistemelor. Aceste obligații acoperă atât măsuri organizatorice (procese interne, personal, politici), cât și măsuri tehnice (infrastructură IT, protecții concrete). Vom detalia pe rând principalele cerințe legale:

Numirea responsabilului cu securitatea cibernetică

Una dintre obligațiile-cheie este desemnarea unui responsabil de securitate cibernetică (echivalentul unui CISO – Chief Information Security Officer). Cu alte cuvinte, compania trebuie să aibă o persoană dedicată care să coordoneze strategia de securitate IT. În cazul entităților esențiale, această numire este obligatorie și trebuie făcută la nivel managerial superior. Responsabilul cu securitatea trebuie să aibă autoritate și independență – directiva prevede ca el/ea să fie subordonat direct conducerii (board-ului), să nu fie „sub influența” departamentului IT de zi cu zi, să aibă acces la resursele necesare și să poată acționa autonom pentru a semnala problemele. De asemenea, i se cere să obțină o certificare în securitate cibernetică în termen de 12 luni de la numire (dacă nu are deja una) – semn că se dorește o profesionalizare a rolului. Scopul: există astfel un „gardian” intern care se asigură că firmele chiar implementează măsurile de securitate necesare și că raportează conducerii situația securității. Pentru entitățile importante (mai mici), desemnarea formală a unui CISO poate să nu fie impusă explicit, dar este foarte recomandată – cineva tot trebuie să răspundă de acest domeniu.

Aprobarea politicilor de securitate de către conducere

Directiva NIS2 mută răspunderea pentru securitate direct pe umerii conducerii de vârf a organizației. Nu mai este acceptat ca managementul să ignore partea de IT security lăsând totul în seama „băieților de la tehnic”. Consiliile de administrație și directorii executivi au acum obligația să aprobe și să supervizeze măsurile de securitate cibernetică din firmă. Asta înseamnă că politicile de securitate IT (de ex. politici de parole, acces, utilizare a echipamentelor, protecția datelor etc.) trebuie validate la nivel de top management și integrate în guvernanța companiei. În plus, șefii trebuie să se asigure că se alocă resurse suficiente pentru securitate și că există proceduri clare. Practic, securitatea devine subiect de discuție în ședințele de board, nu doar o grijă a administratorilor de sistem. Acest lucru crește responsabilitatea conducerii (vom vedea la sancțiuni că există chiar răspundere personală dacă nu iau în serios aceste obligații). În rezumat: șefii aprobă politicile, urmăresc implementarea și răspund dacă lucrurile merg prost. Nu e de mirare că unii analiști au numit NIS2 „un wake-up call pentru directori” – îi forțează să fie implicați direct în cyber security.

Instruirea periodică a personalului

O altă cerință importantă este legată de pregătirea resursei umane. Concret, companiile vizate trebuie să asigure instruirea periodică a personalului în domeniul securității cibernetice. Și nu vorbim doar de administratorii IT – directiva subliniază că membrii conducerii de top trebuie ei înșiși să urmeze cursuri și training-uri de securitate, pentru a înțelege riscurile și măsurile pe care le supervizează. De asemenea, angajații obișnuiți trebuie și ei să beneficieze de programe de conștientizare și formare continuă, adaptate rolului lor. Un program intern tipic poate include, de pildă, cursuri anuale de conștientizare (cum să recunoști un e-mail de phishing, cum să îți protejezi parola etc.), simulări de atacuri (simulări de tip phishing sau table-top pentru echipe, ca exercițiu practic) și actualizări periodice privind noile amenințări. Scopul este crearea unei culturi de securitate în organizație, unde toți – de la director la ultimul angajat – știu cum să prevină și să reacționeze la incidente. Multe companii mari au introdus deja sesiuni de training adaptate fiecărui departament și nivel ierarhic, în mod regulat. Până la urmă, veriga umană rămâne adesea cea mai slabă – așa că NIS2 pune accent pe educație, nu doar pe tehnologie.

Implementarea unui sistem de management al riscurilor

În centrul obligațiilor NIS2 se află conceptul de management al riscurilor de securitate. Firmele trebuie să aibă un proces sistematic prin care identifică, evaluează și gestionează riscurile la adresa rețelelor și sistemelor lor informatice. Asta nu e ceva abstract – practic, compania trebuie să efectueze analize de risc periodice (să identifice posibilele vulnerabilități și amenințări relevante pentru activitatea sa), să documenteze politicile și procedurile de securitate care adresează acele riscuri și să pună în aplicare măsurile adecvate pentru a le atenua. Directiva menționează explicit câteva elemente ce ar trebui incluse:

  • Planuri de continuitate a activității și recuperare în caz de dezastru – să existe backup-uri, planuri de restore a datelor și proceduri de continuare a operațiunilor critice dacă survine un incident major.
  • Managementul incidentelor – proceduri de detecție, răspuns și învățare din incidente (inclusiv definirea pașilor de urmat și a responsabililor în caz de atac).
  • Securitatea lanțului de aprovizionare – (despre care am vorbit) să evalueze și să ceară garanții de la furnizori.
  • Controlul accesului și autentificare puternică – asigurarea că doar persoanele autorizate accesează resursele și folosirea mecanismelor gen autentificare în doi pași, drepturi minime necesare fiecăruia etc.
  • Politici de actualizare și gestionare a vulnerabilităților – aplicarea promptă a patch-urilor de securitate, monitorizarea alertelor CERT, coordinated vulnerability disclosure etc.

Toate aceste sub-puncte se regăsesc în textul directivei sau în bunele practici recomandate. Organizația trebuie să aibă un veritabil sistem de management al securității informației. De altfel, deși NIS2 nu impune un standard anume, sunt recomandate abordări cunoscute: de exemplu implementarea unui sistem conform ISO/IEC 27001 (standard internațional pentru managementul securității informației) sau adoptarea unui cadru tip NIST Cybersecurity Framework, ori conceptul de Zero Trust – toate acestea sunt menționate ca referințe utile. În practică, pentru o firmă vizată de NIS2, un bun punct de plecare este să facă un audit de securitate inițial (intern sau cu ajutorul unor consultanți externi), ca să vadă unde are lacune, și apoi să elaboreze un plan de măsuri. Nu întâmplător, directiva cere firmelor după identificarea statutului (esențial/important) să facă o evaluare a nivelului de risc și apoi o autoevaluare a măsurilor de gestionare a riscurilor de securitate cibernetică. Cu alte cuvinte, e un proces continuu: evaluezi riscurile, implementezi controale, verifici, corectezi ce e de corectat. Este într-adevăr o provocare managerială, dar pe termen lung crește reziliența.

Pont: dacă ești o firmă mică (neobligată legal) poți totuși „fura startul” preluând unele principii de aici. De pildă, asigură-te că ai backup extern periodic pentru site-ul tău, că găzduirea web este performantă și sigură (ex. Găzduirea web NVMe cyber_Folks are inclusă protecție Imunify360), că angajații cunosc riscurile de phishing etc. Astfel, chiar fără obligație legală, vei fi mai bine protejat.

Audituri de securitate cibernetică periodice

NIS2 nu se bazează doar pe încredere, ci prevede mecanisme de verificare. Entitățile esențiale și importante trebuie să se supună auditurilor de securitate cibernetică periodice efectuate de auditori acreditați sau dispuse de autoritatea competentă. În legislația românească (OUG 155/2024), DNSC (Directoratul Național de Securitate Cibernetică) este entitatea de reglementare care va stabili periodicitatea acestor audituri în funcție de nivelul de risc al fiecărei companii. Cu alte cuvinte, o companie considerată mai expusă sau mai importantă poate fi auditată mai des (de ex. anual), în timp ce altele cu risc mai scăzut la un interval mai mare. Auditul de securitate implică o evaluare profesionistă a măsurilor tehnice și organizaționale, identificarea deficiențelor și recomandări de remediere. În plus față de audituri planificate, DNSC poate realiza și controale inopinate sau auditori ad-hoc dacă sunt semne de probleme. După fiecare audit, entitatea auditată trebuie să elaboreze un plan de măsuri pentru remedierea deficiențelor constatate, în termen de 30 de zile, și să îl transmită autorității. Neconformarea cu măsurile dispuse în urma auditului este considerată o încălcare gravă (a se vedea secțiunea de sancțiuni). Toate acestea pot părea împovărătoare, însă gândiți-vă la ele ca la revizia tehnică periodică la mașină – mai bine depistezi și repari preventiv problemele, decât să te confrunți cu un incident real necontrolat.

Raportarea incidentelor prin PNRISC

Un capitol esențial al NIS2 este obligația de notificare a incidentelor de securitate cibernetică. Dacă o companie vizată suferă un incident semnificativ (adică unul care afectează substanțial serviciile oferite sau securitatea datelor), aceasta trebuie să raporteze incidentul fără întârzieri nejustificate către autoritatea competentă – în România, către DNSC. Raportarea se face prin intermediul Platformei Naționale pentru Raportarea Incidentelor de Securitate Cibernetică, prescurtat PNRISC. Directiva impune un grafic strict de notificare în mai multe etape:

  • Avertizare inițială (early warning) – în cel mult 24 de ore de la momentul în care entitatea a luat cunoștință de incident, trebuie transmisă o notificare inițială sumară. Aceasta e practic o alertă timpurie care informează autoritățile că „a apărut un incident serios la noi”. Dacă există suspiciuni că incidentul are cauze ilicite (atac deliberat) sau impact transfrontalier, acestea trebuie menționate.
  • Raport intermediar (inițial) – în cel mult 72 de ore de la depistarea incidentului, compania trebuie să trimită un raport inițial detaliat care să includă o evaluare a gravității și impactului incidentului, precum și indicii privind cauzele sau vectorii de atac (indicatori de compromitere). Practic, după 3 zile de investigații interne, trebuie să comunice ce s-a întâmplat, pe cine/ce a afectat, cum a fost posibil.
  • Raport final – într-un termen de aproximativ 1 lună (30 de zile) de la incident, trebuie transmis un raport final cu toate detaliile și măsurile de remediere adoptate. Acesta conține concluziile investigațiilor, daunele totale, acțiunile corective și planul de evitare a unor incidente similare pe viitor.

Procedura de raportare prin PNRISC asigură un flux de informații către autorități și (dacă e cazul) către rețeaua europeană de cooperare, astfel încât să se poată oferi asistență și să se avertizeze alți operatori. De exemplu, dacă un atac cibernetic afectează un furnizor de energie în România, DNSC (prin PNRISC) va ști rapid și poate alerta și alte țări UE dacă există riscuri de propagare. Important de reținut: notificarea prin PNRISC nu înseamnă că informațiile devin publice automat. Ele sunt împărtășite autorităților, care la rândul lor pot informa publicul sau pot cere entității să-și notifice clienții doar dacă este în interesul public să se știe (de exemplu, dacă un incident ar putea afecta utilizatorii finali). În general însă, notificările rămân confidențiale între entitate și autorități. Cert este că neraportarea unui incident serios se pedepsește aspru – directiva vrea transparență totală pe acest subiect. Așadar, orice firmă vizată de NIS2 trebuie să aibă pregătit un plan intern de răspuns la incidente care să includă și aceste notificări rapide. Dacă ești client de hosting cyber_Folks, te asigurăm că și noi, ca furnizor de servicii digitale, avem proceduri de raportare a incidentelor către DNSC și colaborăm transparent pentru securitatea infrastructurii.

Regimul de sancțiuni și responsabilități

Un capitol care dă fiori oricărei organizații este cel al sancțiunilor. Directiva NIS2 stabilește un cadru unitar de sancționare, menit să fie „eficace, proporțional și cu efect de descurajare”. Asta s-a tradus prin amenzi considerabile – în ton cu alte reglementări europene precum GDPR – precum și prin introducerea explicită a răspunderii managementului de top. Să detaliem principalele consecințe ale neconformării:

Amenzi pentru entități esențiale: până la 10 milioane EUR


Pentru entitățile esențiale (cele din prima categorie, cu impact critic), NIS2 prevede amenzi administrative foarte mari în caz de încălcare a obligațiilor. Limita maximă stabilită este de 10 milioane EUR sau 2% din cifra de afaceri anuală globală a companiei, luându-se în considerare valoarea cea mai mare dintre cele două. Cu alte cuvinte, dacă o companie are o cifră de afaceri uriașă, amenda poate depăși 10 milioane și se calculează procentual. În legislația românească s-a prevăzut și un minim al amenzilor – de exemplu, contravențiile grave la esențiali pornesc de la 10.000 de lei (aprox. 2.000 €), semn că autoritățile vor aplica sancțiuni și pentru abateri mai mici, nu doar în cazuri catastrofale. Evident, nivelul exact al amenzii va depinde de gravitatea încălcării, dacă firma a arătat neglijență sau rea-voință, dacă e recidivă etc. – se va analiza de la caz la caz. 10 milioane € însă transmite un mesaj clar: securitatea cibernetică a devenit la fel de importantă ca protecția datelor personale (unde GDPR prevede amenzi până la 20 milioane €) sau ca zona de concurență. Practic, se dorește ca managementul să ia în serios conformarea, altfel costul poate fi enorm.

Amenzi pentru entități importante: până la 7 milioane EUR

Și entitățile importante (categoria a doua) pot fi sancționate semnificativ, deși plafoanele sunt puțin mai mici decât la esențiali. Pentru acestea, amenda maximă prevăzută este de 7 milioane EUR sau 1,4% din cifra de afaceri anuală globală (oricare dintre valori este mai mare). Procentul este mai mic deoarece importanța sistemică a acestor firme e considerată ceva mai redusă, însă 7 milioane € rămâne o sumă foarte mare pentru majoritatea companiilor din această categorie (care, să nu uităm, pot fi și firme medii, nu doar corporații). Așadar, mesajul „nu vă jucați cu focul” se aplică și aici. Autoritățile de reglementare vor putea sancționa entitățile importante dacă, de exemplu, nu implementează măsurile cerute, nu raportează incidente sau obstrucționează controalele. Faptul că textul de lege menționează “sau 1,4% din cifra de afaceri” înseamnă că pentru companiile foarte mari, procentul se aplică – de exemplu, dacă o entitate importantă are o cifră de 1 miliard €, 1,4% ar însemna 14 milioane € (dar plafonul este 7 milioane €, deci se ia valoarea cea mai mică în acest caz). Invers, pentru firme mai mici, 7 milioane € poate fi mai mult de 1,4%, dar oricum se plafonează la 7 milioane. Cert e că sancțiunile financiare pot fi devastatoare dacă nu se iau măsuri de conformare.

Răspunderea conducerii pentru neconformare

O noutate majoră adusă de NIS2 este accentul pe răspunderea personală a managementului. Mai exact, membrii organelor de conducere (directorii executivi, administratorii) pot fi trași la răspundere pentru neîndeplinirea obligațiilor de securitate. În ordonanța de transpunere în România se prevede că directorii generali și executivi pot răspunde pentru prejudiciile suferite ca urmare a încălcării obligațiilor de monitorizare și gestionare a riscurilor (cu excepția cazului instituțiilor publice). Asta înseamnă că, spre exemplu, dacă o companie nu implementează măsurile cerute, are un incident grav, iar autoritatea constată că managementul a fost neglijent, se poate ajunge la sancțiuni care să vizeze direct conducerea. Ce formă ia această răspundere? În funcție de legislația fiecărui stat: poate însemna amenzi aplicate persoanelor respective, poate duce la ordinul de demitere a unui responsabil, sau – teoretic – la atragerea răspunderii civile (despăgubiri) față de terți afectați. Directiva cere statelor membre să se asigure că managementul poate fi sancționat disciplinar și pecuniar dacă nu respectă cerințele. Așadar, un director nu va mai putea spune „n-am știut, nu e treaba mea IT-ul” – dimpotrivă, i se poate imputa personal eșecul. Acest lucru are rolul de a crea un impuls puternic de conformare la nivel de boardroom. Practic, securitatea cibernetică devine parte din due diligence-ul unui administrator de companie. Pentru companiile listate s-ar putea chiar să devină subiect și în fața acționarilor (de exemplu, dacă primesc amenzi, conducerea să fie ținută responsabilă). Mesajul e clar: top managementul trebuie să se implice, altfel riscă sancțiuni directe.

Măsuri corective: suspendări, interdicții, notificări clienți

Dincolo de amenzi și răspundere, autoritățile competente au la dispoziție și alte măsuri administrative corective pe care le pot impune unei entități neconforme, pentru a proteja securitatea rețelelor. Aceste măsuri pot include:

  • Ordine de remediere și termene de conformare: Autoritatea (DNSC în România) poate emite instrucțiuni prin care cere companiei să remedieze deficiențele constatate într-un anumit termen. De exemplu, dacă un audit relevă lipsa unui plan de continuitate, DNSC poate ordona firmei să elaboreze unul în 30 de zile. Nerespectarea acestor ordine atrage apoi amenzi.
  • Suspendarea temporară a serviciilor: În cazuri extreme, dacă o entitate nu ia măsuri și continuă să pună în pericol siguranța utilizatorilor, autoritatea poate decide suspendarea totală sau parțială a serviciilor acelei entități până la remedierea problemelor. De exemplu, s-ar putea suspenda licența de operare pe o perioadă, sau s-ar putea bloca accesul la o infrastructură considerată nesigură până la rezolvarea vulnerabilităților. Evident, aceasta este o măsură drastică, de ultim resort, folosită doar dacă e pus în pericol interesul public.
  • Interdicții pentru management: Deși nu e explicit formulată în toți termenii, directiva lasă loc statelor să impună eventuale interdicții temporare pentru membrii conducerii vinovați de neconformare gravă. În anumite jurisdicții, asta ar putea însemna că un director care a ignorat voit obligațiile ar putea primi interdicția de a mai ocupa poziții de conducere în companii critice pentru o perioadă. Scopul este să responsabilizeze și individual, nu doar la nivel de firmă. (Acest aspect ține de implementarea națională – rămâne de văzut în legislația românească dacă se va aplica efectiv o astfel de sancțiune personală sub forma interdicției, pe lângă amenda personală deja discutată.)
  • Obligația de a informa clienții/publicul: Atunci când are loc un incident major, autoritățile pot decide informarea publicului larg dacă acest lucru este necesar în interesul acestuia. Conform NIS2, CSIRT-ul național sau autoritatea competentă poate informa publicul despre incident, sau poate cere companiei să își notifice clienții cu privire la incident, atunci când consideră că divulgarea servește prevenirii unor consecințe sau creșterii gradului de conștientizare. De exemplu, dacă o breșă de securitate la un furnizor de servicii de internet expune datele a sute de mii de abonați, s-ar putea impune companiei să le trimită notificări individuale clienților afectați și să facă public incidentul. Această măsură are un caracter de „naming and shaming” – practic forțează compania să admită public problema, ceea ce poate afecta reputația, dar protejează utilizatorii (care pot lua măsuri să se protejeze, schimbând parole, fiind vigilenți la posibile fraude etc.).

În concluzie, regimul de sancțiuni NIS2 este mult mai robust decât al vechii directive. Se trece de la o abordare relativ laxă la una cu amenzi usturătoare și consecințe serioase, menite să asigure conformarea. Acest lucru poate speria la început companiile, dar în același timp stabilește un teren de joc uniform și obligă la investiții în securitate – lucru pozitiv pe termen lung pentru reziliența economică. După cum spunea un raport: “non-compliance may result in substantial fines, the suspension of services, and even personal liability”.

Impactul Directivei NIS2 asupra companiilor din România

Am văzut ce prevede NIS2 la nivel european, dar ce înseamnă asta concret pentru mediul de afaceri autohton? România, ca stat membru UE, a transpus directiva prin OUG nr. 155/2024 (intrată în vigoare la 31 decembrie 2024) și astfel noile cerințe devin aplicabile gradual, începând cu 2024-2025. Iată câteva impacturi notabile:

Extinderea domeniului de aplicare față de NIS1

Comparativ cu precedenta reglementare (Directiva NIS1, transpusă la noi prin Legea 362/2018), NIS2 aduce mult mai multe sectoare sub incidența legii. S-a trecut de la 7 sectoare esențiale inițial (cum erau energia, transporturile, sănătatea, apa, infrastructura digitală, finanțele și administrația – practic sectoarele critice clasice) la 18 sectoare incluse acum. Au fost adăugate 11 noi domenii: de exemplu, sectorul alimentar (producție, procesare și distribuție de alimente), sectorul manufacturier (producția de echipamente medicale, electronice, automobile etc.), industria chimică, serviciile poștale și de curierat, managementul deșeurilor, sectorul spațial, sectorul de cercetare și furnizorii de servicii digitale (precum platformele online și motoarele de căutare). Această extindere reflectă realitățile actuale – multe dintre aceste industrii nu erau considerate critice acum un deceniu, dar astăzi s-a conștientizat că un atac cibernetic asupra lor poate produce pagube mari. De exemplu, un atac ransomware asupra unui mare procesator de alimente poate perturba lanțul alimentar, la fel cum un atac asupra unei platforme de comerț online poate afecta mii de IMM-uri care vând prin ea. Prin urmare, în România ne așteptăm ca mult mai multe companii să fie obligate legal să își sporească securitatea. Estimările arată, cum menționam, peste 6.000 de entități vizate la nivel național, față de câteva sute (sau puțin peste o mie) câte erau identificate sub vechea lege. E o schimbare de paradigmă – de la un club restrâns al „operatorilor de servicii esențiale”, la o rețea largă de actori importanți ce trebuie să colaboreze pentru securitatea cibernetică națională. Practic, dacă înainte doar companiile de utilități și instituțiile statului se gândeau serios la NIS, acum și firme din industrie, transporturi, agricultură, retail, IT, logistică etc. trebuie să își facă temele.

Obligații indirecte pentru furnizori și subcontractori

După cum am discutat la rolul lanțului de aprovizionare, impactul NIS2 nu se oprește la granița entităților reglementate. Chiar și companiile din afara listei pot resimți efecte indirecte. Pentru firmele din România care sunt furnizori sau subcontractori ai unor entități esențiale/importante, va exista probabil o presiune contractuală să adopte și ele măsuri de securitate. Deja, companiile mai mari încep să-și revizuiască contractele cu partenerii: includ clauze de securitate, cer rapoarte de audit, atestări ISO 27001 etc. Un sondaj la nivel european evidenția că 58% dintre furnizorii cu 50–1000 de angajați nu erau încă pregătiți pentru cerințele NIS2 – semn că va exista o efervescență în zona de third-party risk management. Asta se traduce în oportunități de business (cerere de servicii de cybersecurity, consultanță, soluții tehnice), dar și în provocări pentru firmele mici care trebuie să țină pasul. Dacă firma ta, de exemplu, dezvoltă software pentru un spital sau furnizează servicii de mentenanță IT pentru o bancă, așteaptă-te să ți se solicite măsuri stricte de securitate: de la politici de parole, la criptarea datelor, la planuri de răspuns la incidente. Vestea bună: dacă investești în aceste aspecte, nu doar că îți vei păstra clienții importanți, dar te vei diferenția pozitiv pe piață. De pildă, la cyber_Folks ne mândrim că oferim găzduire web pe infrastructură de ultimă generație (Flash NVMe, cu viteze de până la 79x mai mari față de soluțiile tradiționale) și cu măsuri avansate de securitate (firewall, monitorizare proactivă, backup zilnic). Astfel, clienții noștri – inclusiv agenții sau freelanceri ce dezvoltă site-uri pentru companii mari – pot avea încredere că partea de hosting nu devine veriga slabă în lanțul lor de conformare.

Interacțiunea cu alte reglementări europene (ex: DORA, GDPR)

Directiva NIS2 face parte dintr-un efort mai amplu al UE de a consolida reziliența cibernetică, alături de alte reglementări sectoriale sau complementare. Două exemple relevante sunt DORA și GDPR:

  • DORA (Digital Operational Resilience Act, Regulamentul UE 2022/2554) – este o reglementare specifică sectorului financiar-bancar, intrată în vigoare în ianuarie 2025, care stabilește cerințe de reziliență digitală pentru bănci, asiguratori, firme de investiții și alți actori financiari. DORA are multe elemente similare cu NIS2 (obligația de a gestiona riscurile IT, de a raporta incidentele ICT, de a testa periodic planurile de continuitate și de a controla riscurile furnizorilor de servicii IT), dar este croită special pe nevoile și terminologia din finanțe. Practic, băncile din România vor trebui să se conformeze și NIS2 (ca entități esențiale), și DORA (ca entități financiare). Cele două cadre sunt complementare – NIS2 oferă linia generală, DORA adaugă cerințe specifice industriei financiare. De exemplu, DORA cere firmelor financiare să poată resista și recupera după incidente ICT majore fără a-și întrerupe serviciile critice, impune teste de reziliență periodic (ex. penetration testing avansat sub supravegherea autorității) și reglementează inclusiv relația cu furnizorii cloud (care trebuie autorizați și monitorizați atent). Intersecția: dacă ai o companie în finanțe, va trebui să îți aliniezi politicile astfel încât să bifezi ambele seturi de cerințe – vestea bună e că ele se aliniază în spirit (ex. ambele cer managementului să fie responsabil, ambele cer planuri de continuitate și raportare incidente).
  • GDPR (General Data Protection Regulation, Regulamentul 2016/679) – este binecunoscutul regulament privind protecția datelor personale, în vigoare din 2018. La prima vedere, GDPR și NIS2 au scopuri diferite: unul protejează datele personale și dreptul la viață privată, celălalt protejează rețelele și sistemele informatice de incidente. În realitate însă, ele se completează reciproc. O breșă de securitate gravă va activa ambele reglementări: dacă implică date personale, compania trebuie să notifice și autoritatea de protecție a datelor (ex. ANSPDCP în România) în 72 de ore conform GDPR, dar și DNSC conform NIS2. În plus, măsurile tehnice pe care NIS2 le cere (criptare, control acces, backup etc.) contribuie direct la protejarea datelor personale, ceea ce înseamnă conformare mai ușoară și cu GDPR. Putem spune că GDPR asigură “ce anume” protejăm – datele personale – iar NIS2 asigură “cum” protejăm – prin securitate cibernetică. De altfel, se recunoaște oficial că principiile de protecție a datelor din GDPR complementează măsurile de securitate impuse de NIS2, sporind securitatea generală a informațiilor. Pentru companii, asta înseamnă că investiția în securitate cibernetică ajută la evitarea incidentelor de date personale (și implicit a amenzilor GDPR, care pot ajunge până la 20 mil. € sau 4% din turnover!). Din perspectiva clienților, dacă o firmă aplică corect ambele reglementări, rezultă un mediu digital mai sigur și mai de încredere.

Pe lângă DORA și GDPR, mai există și alte inițiative europene conexe – de pildă Cyber Resilience Act (CRA), care la momentul redactării e în discuții și vizează cerințe de securitate pentru produsele cu elemente digitale, sau CER Directive (Resilience of Critical Entities) care acoperă reziliența fizică a infrastructurilor critice. Toate fac parte dintr-un puzzle legislativ menit să ridice ștacheta în materie de securitate. Pentru o afacere, poate fi descurajant să țină pasul cu atâtea acronime, dar vestea bună e că ele împărtășesc principii comune (evaluarea riscurilor, măsuri tehnice, guvernanță, planuri de răspuns). Un sfat practic este să abordezi conformarea într-o manieră integrată: dacă ești, de exemplu, o instituție financiară, poți construi un singur sistem intern de management care să îndeplinească atât NIS2 cât și DORA și GDPR – nu trei sisteme separate. În acest fel, cu un efort unitar, „omori trei muște dintr-o lovitură” (sau, mai academic spus, realizezi sinergii de conformare între reglementări).

Concluzie

Directiva NIS2 marchează o schimbare de paradigmă în modul în care privim securitatea cibernetică la nivel de organizație. În loc să fie lăsată doar în seama echipelor tehnice, securitatea devine acum o responsabilitate de prim rang, înscrisă în „fișa postului” a directorilor și integrată în strategia de afaceri. Pentru companiile din România, asta înseamnă inițial un efort de conformare – identificarea statutului (esențial/important), evaluarea gap-urilor, implementarea de politici, proceduri și controale noi, training-uri pentru angajați, sisteme de monitorizare și raportare. E mult de lucru, fără îndoială. Însă acest efort se va traduce în beneficii tangibile: mai puține incidente (sau impact mai mic al acestora), continuitate operațională mai bună, încredere sporită din partea clienților și partenerilor și, de ce nu, un avantaj competitiv. O organizație rezilientă cibernetic este o organizație mai robustă în fața oricăror crize. Iar dacă totul merge bine, nu va trebui vreodată să testați cât de usturătoare sunt amenzile NIS2.

Pentru firmele mici și antreprenorii care poate nu trebuie să se conformeze strict NIS2, mesajul ar fi: adoptați o mentalitate proactivă de securitate, chiar și voluntar. În era digitală actuală, orice business poate fi ținta unui atac, iar consecințele pot fi grave (să ne amintim că peste 40% din atacurile cibernetice la nivel global țintesc IMM-uri, care adesea nu își revin financiar după un incident sever). Așa că implementați măsuri de bază: back-up-uri regulate, protecție antivirus și firewall, actualizări la zi, educați-vă echipa să nu cadă în capcane de phishing, folosiți servicii de găzduire și cloud de încredere. Un site web care se încarcă rapid și este bine protejat nu înseamnă doar experiență plăcută pentru utilizatori, ci și riscuri reduse – ceea ce, în spiritul NIS2, contribuie la ecosistemul digital mai sigur pe care ni-l dorim cu toții.

În încheiere, Directiva NIS2 nu trebuie privită ca „încă o obligație de la UE”, ci ca o necesitate în contextul cibernetic actual. Amenințările sunt reale și în creștere, iar companiile – indiferent de mărime – trebuie să devină conștiente și proactive. Conformarea la NIS2 este de fapt o oportunitate: de a-ți pune la punct casa (digitală), de a-ți proteja afacerea și clienții, și de a contribui la o economie digitală mai rezilientă. La finalul zilei, securitatea cibernetică nu e doar despre a evita amenzi, ci despre a avea un business continuu, de încredere și pregătit pentru viitor. cyber_Folks este partenerul tău pe acest drum – fie prin informații utile, fie prin serviciile noastre de găzduire de top, menite să îți susțină planurile ambițioase „fără bătăi de cap”. Să navigăm așadar cu toții, informați și pregătiți, în noua eră a securității cibernetice!

Adrian Chiruță

Adrian Chiruță

Adrian Chiruță este co-CEO al cyber_Folks România, specialist în web hosting, servere performante, securitate online și optimizare site-uri. Cu o experiență de peste 15 ani în domeniul IT, Adrian oferă informații practice și soluții profesionale pentru antreprenorii care vor o prezență online sigură, stabilă și rapidă. Este dedicat excelenței și crede că experiența clientului trebuie să depășească întotdeauna așteptările.
Vezi toate articolele →
Adrian Chiruță
Adrian Chiruță
Adrian Chiruță este co-CEO al cyber_Folks România, specialist în web hosting, servere performante, securitate online și optimizare site-uri. Cu o experiență de peste 15 ani în domeniul IT, Adrian oferă informații practice și soluții profesionale pentru antreprenorii care vor o prezență online sigură, stabilă și rapidă. Este dedicat excelenței și crede că experiența clientului trebuie să depășească întotdeauna așteptările.

Adaugă comentariul

Adresa ta de e-mail nu va fi publicată.

Cauți mai departe?