NIS2 explicat pe înțelesul managementului: ce obligații apar și cum te pregătești (webinar + înregistrare)

Webinar: Cum a transformat Tanzu navigarea în cloud

Transformarea digitală a devenit esențială pentru orice organizație, însă odată cu aceasta crește și expunerea la riscuri cibernetice. În acest context, Directiva NIS2 schimbă modul în care companiile din România trebuie să abordeze securitatea IT – nu doar ca o funcție tehnică, ci ca o responsabilitate directă a managementului.

În cadrul webinarului organizat de GTS, alături de un auditor NIS2 și specialiști în securitate, am discutat concret ce înseamnă NIS2, cui i se aplică și cum arată pregătirea în practică.

👉 Poți urmări înregistrarea completă a webinarului aici.

Ce este NIS2 și de ce contează pentru companii

Directiva NIS2 este cadrul european care reglementează securitatea rețelelor și sistemelor informatice pentru organizațiile considerate esențiale sau importante.

Pentru management, NIS2 înseamnă responsabilitate directă în cazul incidentelor, necesitatea unor decizii informate privind securitatea și existența unor procese clare și demonstrabile, nu doar implementarea unor soluții tehnice.

Una dintre concluziile principale discutate în webinar a fost că multe organizații pornesc de la o premisă greșită: „avem soluții, deci suntem protejați”. În realitate, fără vizibilitate, procese și testare, acest lucru nu poate fi demonstrat într-un audit.

Cui i se aplică NIS2 în România

Directiva vizează un spectru larg de organizații din domenii esențiale și importante, precum financiar, energie, sănătate, producție sau infrastructură digitală.

Un aspect important este că impactul nu se limitează doar la entitățile direct vizate. Relațiile comerciale și lanțurile de aprovizionare pot extinde indirect cerințele NIS2 și asupra altor organizații.

Ce verifică, în practică, un auditor NIS2

Un audit NIS2 nu verifică doar existența unor soluții, ci capacitatea organizației de a demonstra control asupra infrastructurii și riscurilor.

În practică, sunt analizate:

    • vizibilitatea asupra infrastructurii IT 
    • controlul accesului la sistemele critice 
    • capacitatea de detectare și răspuns la incidente 
    • existența și aplicarea procedurilor interne 
    • testarea reală a mecanismelor de backup și recovery 

Diferența majoră apare între percepția internă și ceea ce poate fi demonstrat concret într-un audit.

👉 Dacă vrei să înțelegi concret cum se aplică aceste cerințe în cazul companiei tale, putem discuta punctual:
https://gts.ro/NIS2/contact.html

Întrebări frecvente despre NIS2 (Q&A din webinar)

1. Dacă după completarea unei evaluări preliminare rezultă că organizația este în afara domeniului de aplicare NIS2, mai există obligații sau recomandări? Evaluarea trebuie refăcută periodic?

Dacă este evident că organizația se află în afara domeniului de aplicare, în principiu nu sunt necesari pași suplimentari.

Totuși, în practică apar frecvent situații în care încadrarea nu este clară – de exemplu activități sau servicii adiacente, apartenența la un grup de companii care include entități vizate de NIS2 sau situații în care organizația este parte dintr-un grup internațional. În astfel de cazuri, analiza devine mai complexă și este recomandată implicarea unor experți.

Evaluarea nu ar trebui privită ca un exercițiu singular, ci reluată atunci când apar modificări semnificative în modelul de business, structura organizației sau serviciile oferite.

2. În cazul unui incident generat de un furnizor, cine este responsabil în fața autorităților?

Obligația de conformare și de asigurare a unui nivel adecvat de securitate cibernetică rămâne, în primul rând, la nivelul entității vizate și al managementului acesteia.

În același timp, furnizorii – în special cei IT – au propriile responsabilități și se supun cadrului legal aplicabil, putând răspunde pentru propriile obligații.

În practică, responsabilitatea este atât o chestiune legală, cât și una de arhitectură contractuală. Relațiile contractuale pot include cerințe de securitate, obligații privind gestionarea incidentelor, drepturi de audit sau mecanisme de transfer al riscului, precum polițe de asigurare.

Prin urmare, gestionarea riscului în lanțul de aprovizionare devine esențială.

3. Furnizorii unei companii vizate de NIS2 intră automat sub incidența directivei?

Nu. Simplul fapt că există o relație comercială nu implică automat aplicarea NIS2.

Totuși, companiile vizate pot solicita furnizorilor să adopte măsuri de securitate aliniate NIS2, inclusiv ca parte a relației contractuale. În practică, aceasta devine o extensie a gestionării riscului în lanțul de aprovizionare.

4. Ce înseamnă „cercetare” în contextul încadrării în categoria „importante”? Se referă doar la institute sau și la companii?

Nu discutăm exclusiv despre institute de cercetare. Și companiile private pot intra în această categorie, în funcție de activitatea desfășurată și impactul acesteia.

5. Există un timeline standard pentru implementarea NIS2?

Nu există un calendar universal aplicabil tuturor organizațiilor. Implementarea depinde de nivelul de maturitate IT și de complexitatea infrastructurii.

În practică, procesul este etapizat: începe cu o evaluare inițială, urmată de prioritizarea riscurilor și definirea unui plan de acțiune, iar ulterior implementarea măsurilor critice și a proceselor necesare.

6. Se poate vedea un exemplu de raport ITMA?

Rapoartele ITMA conțin informații sensibile despre infrastructura și nivelul de securitate al unei companii, motiv pentru care nu pot fi puse la dispoziție în format complet, public.

Totuși, structura și tipul de informații incluse pot fi prezentate la nivel general. Raportul oferă o imagine clară asupra nivelului de maturitate IT, evidențiază principalele riscuri și include recomandări concrete pentru alinierea la cerințele NIS2.

7. Cum începe procesul pentru o companie fără expertiză IT internă?

Primul pas este evaluarea situației actuale. Pe baza acesteia, se poate construi un plan etapizat, de regulă împreună cu un partener specializat. Abordarea trebuie să fie realistă și adaptată la resursele și specificul organizației.

8. Există servicii de tip CISO-as-a-Service?

Da. Există servicii de tip vCISO (CISO-as-a-Service), care oferă acces la expertiză de securitate la nivel strategic, fără a fi necesară o resursă internă dedicată. Aceste servicii acoperă definirea strategiei de securitate, alinierea la cerințele NIS2 și suport în gestionarea riscurilor și în relația cu auditorii.

9. Există surse publice unde pot fi consultate date despre atacuri cibernetice?

Există mai multe surse oficiale de informare, iar https://dnsc.ro reprezintă una dintre principalele referințe la nivel național.

Este important de menționat că aceste surse oferă, în general, date agregate, tendințe și tipologii de atac, nu informații detaliate despre incidente specifice sau organizații afectate.

Pentru o perspectivă tehnică asupra tipurilor de atacuri, pot fi utile și resurse precum https://attack.mitre.org/.

Cum începi, concret

Primul pas nu este implementarea de soluții, ci înțelegerea clară a situației actuale și a riscurilor.
Pe baza acestei evaluări, se poate construi un plan realist și etapizat, adaptat specificului organizației. Dacă vrei să discutăm aplicat pe situația companiei tale și ce pași sunt relevanți pentru tine: https://gts.ro/NIS2/contact.html

 

 

Înscrie-te la Newsletter

Salut, cu ce te putem ajuta?
Chat

GTS Customer Support

Salut, cu ce te putem ajuta?