DESPRE · GLOSAR
51 termeni-cheie din directivă și metodologia DNSC, organizați pe categorii.
01 · CADRU LEGAL
Termenii care definesc obligațiile, încadrarea și sancțiunile.
Directiva (UE) 2022/2555
Directiva europeană privind măsurile pentru un nivel ridicat comun de securitate cibernetică în Uniune. Înlocuiește NIS1 din 2016, extinde scopul la 18 sectoare (Anexa I + Anexa II) și introduce două categorii: Entități Esențiale (EE) și Entități Importante (EI).
Lege de transpunere NIS2 în România
Legea 124/2025 (publicată în Monitorul Oficial nr. 457/22.05.2025) transpune NIS2 în România. Stabilește autoritățile competente (DNSC, CSIRT-RO), termenele de notificare, sancțiunile (10M EUR EE / 7M EUR EI / 500.000 lei pentru lipsa notificării) și cerințele art. 13 (gestionare risc) și art. 14 (raportare incidente).
Ordonanță de urgență
Ordonanța 155/2024 introduce regimul tranzitoriu pentru organizațiile NIS1 înainte de transpunerea completă a NIS2 prin Legea 124/2025. Reglementează măsurile minime de continuitate pentru entitățile deja înregistrate la fostul CERT-RO.
Sectoare NIS2
Anexa I — sectoare cu criticitate ridicată (energie, transport, financiar, sănătate, apă, infrastructură digitală, TIC B2B, administrație publică, spațiu). Anexa II — alte sectoare critice (postal/curierat, deșeuri, chimice, alimente, fabricare, furnizori digitali, cercetare). Un sector în Anexa I + dimensiune mijlocie/mare = de regulă EE.
Entitate Esențială / Importantă
EE (Entitate Esențială) — întreprinderi mari în sectoare Anexa I sau întreprinderi mijlocii/mari critice. EI (Entitate Importantă) — celelalte entități în scop NIS2. EE au obligații cumulative (plan de remediere obligatoriu, CISO calificat) și sancțiuni mai mari (10M EUR vs. 7M EUR).
Maxim 10M EUR / 2% cifră
Pentru EE: maxim 10.000.000 EUR sau 2% din cifra de afaceri globală anuală (cea mai mare). Pentru EI: maxim 7.000.000 EUR sau 1.4% din cifra de afaceri. Lipsa notificării la DNSC: amendă fixă 500.000 lei. Răspundere personală a conducerii (art. 32).
Regulament (UE) 2022/2554
Digital Operational Resilience Act — regulament european aplicabil sectorului financiar (bănci, asigurări, fintech, gestionari fonduri). Aplicabil din 17.01.2025. Acoperă reziliența operațională digitală, ICT third-party risk și raportarea incidentelor TIC.
Regulamentul (UE) 2016/679
General Data Protection Regulation — regulamentul european privind protecția datelor cu caracter personal. Se aplică în paralel cu NIS2: incidentele care afectează date personale trebuie notificate atât la DNSC (NIS2), cât și la ANSPDCP (GDPR), de regulă în 72h.
02 · AUTORITĂȚI & ORGANISME
Cine reglementează, supraveghează, primește notificări și investighează incidente.
Directoratul Național de Securitate Cibernetică
Autoritatea competentă pentru NIS2 în România, înființată prin OUG 104/2021. Primește notificări entități, gestionează platforma NIS2@RO, emite decizii de încadrare, organizează controale și aplică sancțiuni. A absorbit fostul CERT-RO.
Computer Security Incident Response Team
Echipa națională de răspuns la incidente cibernetice, parte din DNSC. Primește raportări de incidente NIS2 (early warning în 24h, raport în 72h, raport final în o lună), distribuie alerte, coordonează răspunsul la incidente cross-sector.
European Union Agency for Cybersecurity
Agenția UE pentru securitate cibernetică (sediul în Atena). Publică ghiduri pentru NIS2 și CyFun, coordonează la nivel european, mențile catalogul de bune practici (Cybersecurity Skills Framework, NIS2 Toolkit etc.).
Platformă DNSC de notificare
Platforma online a DNSC pentru înregistrarea entităților NIS2 și transmiterea notificărilor. Termen pentru notificarea inițială: 22.09.2025 conform Legii 124/2025. Folosește autentificare digitală și formular structurat (date entitate, sector, dimensiune, contact incidente).
Autoritatea Națională pt. Protecția Datelor
Autoritatea română de protecția datelor — primește notificările GDPR. Pentru incidente cu impact asupra datelor personale există dublă notificare: DNSC (NIS2) + ANSPDCP (GDPR), în paralel, în 72h.
03 · CYFUN & EVALUARE
Cadrul de evaluare CyFunRO și instrumentele oficiale folosite pentru autoevaluare.
Cyber Fundamentals
Cadru de cerințe de securitate dezvoltat de Centre for Cybersecurity Belgium (CCB), adoptat în România de DNSC sub denumirea CyFunRO. Conține cerințe organizate pe 5 funcții NIST CSF (Identify, Protect, Detect, Respond, Recover) și 3 niveluri (BAZĂ, IMPORTANT, ESENȚIAL).
Adaptarea românească a CyFun
Versiunea oficială publicată de DNSC. Conține cerințele CyFun (BAZĂ 34 / IMPORTANT 136 / ESENȚIAL 218) traduse și calibrate pentru contextul juridic românesc. Folosit ca instrument oficial de autoevaluare în NIS2@RO.
Autoevaluare risc
Instrument DNSC de autoevaluare obligatoriu — Evaluarea Nivelului de Implementare a Riscurilor și Eficacității. Se transmite în 60 zile de la decizia DNSC. Generează scor pe fiecare cerință CyFun și nivel global. Sub praguri = obligație de plan de remediere (EE).
Cybersecurity Framework v2.0
Cadrul american de bune practici pentru securitate cibernetică, organizat pe 6 funcții (Govern, Identify, Protect, Detect, Respond, Recover). Stă la baza CyFun. Foarte folosit ca limbă comună între consultanți, auditori și autorități.
Standarde internaționale ISMS
ISO/IEC 27001 — sistem de management al securității informației (ISMS), certificabil. ISO/IEC 27005 — managementul riscului de securitate. Implementarea CyFun reduce semnificativ efortul de certificare ISO 27001 (cerințele se suprapun ~70%).
Obligatoriu pentru EE sub prag
Plan formal de aducere a controalelor sub țintele CyFun. Obligatoriu pentru EE după autoevaluarea ENIRE dacă scorul este sub prag. Conține: lista lacune, măsuri concrete, responsabili, termene, dovezi de finalizare. Verificat de DNSC prin control planificat sau ad-hoc.
Test condițional NIS2
Pentru companii mici/micro care prestează servicii din sfera NIS2 — testul stabilește dacă o perturbare a serviciului ar avea „efect semnificativ asupra securității publice, ordinii publice, sănătății publice sau drepturilor fundamentale". Dacă DA, intră în scop chiar fiind sub pragul de dimensiune.
04 · ROLURI & FUNCȚII
Cine răspunde pentru securitate, în ce model contractual și cu ce mandat.
Chief Information Security Officer
Responsabilul cu securitatea informațiilor. NIS2 art. 14 cere CISO calificat pentru EE (cumulează: experiență, certificări, raportare directă la conducere). EI nu au obligația explicită, dar au nevoie de o funcție echivalentă. CISO are răspundere personală extinsă în NIS2.
virtual CISO (part-time)
Model contractual de leadership de securitate part-time. REMILT alocă un consultant senior (CISSP/CISA/CREST) pentru 1–10 zile/lună, care deține mandat și răspundere echivalentă cu un CISO intern, dar fără costul full-time. Tipic pentru EI sau pentru EE în model hibrid (CISO intern junior + vCISO senior).
CISO as a Service (full)
Versiune extinsă a vCISO — funcția CISO complet externalizată cu retainer mai mare (5–20 zile/lună). REMILT acoperă: relația cu DNSC, raportarea board, autoevaluare anuală, audit-readiness, coordonare incidente, registre de risc. Recomandat pentru EE care nu pot avea CISO intern senior.
Responsible / Accountable / Consulted / Informed
Matrice de roluri folosită pentru clarificarea responsabilităților pe procese. NIS2 cere RACI explicită pentru: gestionare incidente, gestionare risc, raportare DNSC, gestionare furnizori, schimbări critice. REMILT livrează RACI ca parte din pachetul P1.
Răspundere personală art. 32
Conducerea entității (administrator / CEO / Comitet director) răspunde personal pentru gestionarea riscurilor cibernetice (art. 32 Legea 124/2025). Trebuie să aprobe politica de securitate, să fie informată regulat (minim trimestrial) și să participe la training NIS2 (obligatoriu anual).
05 · TEHNOLOGIE & OPERARE
Concepte tehnice care apar repetat în controale, audituri și planuri de remediere.
Multi-Factor Authentication
Autentificare cu mai mulți factori (parolă + token / biometrie / SMS). Cerință de bază în CyFun BAZĂ pentru toate conturile cu acces privilegiat. Recomandat MFA rezistent la phishing (FIDO2/WebAuthn, hardware token) pentru EE.
Identity & Access Management
Gestionarea identităților și accesului — conturi, roluri, drepturi, lifecycle (joiner/mover/leaver). Cerință centrală în CyFun (PR.AC). Implementarea include: SSO, MFA, JIT (just-in-time access), revocare automată la plecare.
Security Information & Event Management
Sistem de colectare și corelare evenimente de securitate (loguri, alerte, telemetrie). Cerință CyFun ESENȚIAL pentru EE. Furnizori comuni: Microsoft Sentinel, Splunk, Wazuh (open-source), Elastic SIEM. Trebuie cuplat cu SOC (intern sau externalizat) pentru detecție 24/7.
Security Operations Center
Echipă (internă sau externă) care monitorizează SIEM/EDR/loguri 24/7 și răspunde la alerte. NIS2 nu cere explicit SOC, dar CyFun ESENȚIAL implică detecție continuă, ceea ce, în practică, se traduce în SOC sau MSSP.
Operational Technology
Tehnologie operațională — sisteme care controlează procese industriale (PLC, SCADA, DCS). Frecvent în energie, apă, fabricare, alimente. Au nevoie de abordare diferită (IEC 62443) — nu se aplică direct CyFun pentru OT, dar NIS2 acoperă ambele (IT + OT).
Standard securitate OT
Familia de standarde IEC pentru securitate ICS/OT. IEC 62443-3-3 (cerințe sistem) și IEC 62443-4-1 (lifecycle) sunt cele mai folosite. Pentru EE cu OT semnificativ (energie, apă, fabricare), CyFun se completează cu IEC 62443.
Continuitate & dezastru
BCP — Business Continuity Plan. DRP — Disaster Recovery Plan. BIA — Business Impact Analysis. Cerință explicită NIS2 art. 13. CyFun le mapează pe RC.RP (Recovery Planning). REMILT livrează toate trei în pachetul P2 (faza 4).
Testare ofensivă
PenTest — testarea structurată a unei aplicații/infrastructuri pentru vulnerabilități, urmând o metodologie (OWASP, PTES). Red Team — exercițiu adversarial mai larg, cu obiectiv (ex.: exfiltrare date). REMILT livrează ambele prin echipă cu certificări CREST/OSCP.
Coordinated Vulnerability Disclosure
Politică formală pentru raportarea responsabilă a vulnerabilităților de către cercetători externi. Cerință CyFun IMPORTANT (PR.IP-12). Trebuie publicată pe website-ul entității cu adresă dedicată (ex.: security@entity.ro), termen de răspuns și clauză safe-harbor.
Managed (Security) Service Provider
MSP — furnizor servicii IT externalizate. MSSP — versiunea de securitate (SOC managed, EDR managed). NIS2 art. 13(d) cere supply-chain risk management — entitățile sunt responsabile pentru securitatea furnizorilor lor MSP/MSSP.
Supply Chain Risk Management
Gestionarea riscului de lanț de aprovizionare. Cerință explicită NIS2 art. 13(d) și CyFun (ID.SC). Entitatea trebuie să aibă: inventar furnizori critici, evaluare risc per furnizor, clauze contractuale de securitate, audit drept de a audita.
06 · INCIDENTE & NOTIFICARE
Termenii și termenele pentru raportarea către DNSC.
Trigger raportare NIS2
Incident care perturbă semnificativ furnizarea serviciului — afectează disponibilitatea, integritatea sau confidențialitatea. NIS2 art. 23 + ghid DNSC. Triggerează cele 3 raportări (24h / 72h / o lună). Definiția este intenționat largă; incidentele „minore" nu se raportează, dar trebuie documentate intern.
Notificare 24h
Prima raportare DNSC în 24h de la detecția incidentului semnificativ. Conține: descriere succintă, suspiciune cauză, impact estimat. Format: NIS2@RO sau email rezervat. Nu se cere analiză cauză — doar early warning.
Notificare detaliată
A doua raportare în 72h — actualizare a early warning cu: indicatori de compromitere (IoC), TTP atacator, măsuri imediate luate, prognoză impact. Tipic se face în paralel cu notificarea GDPR (dacă date personale afectate).
Notificare 1 lună
A treia raportare la maxim 1 lună de la incident — analiză cauză rădăcină, impact final, măsuri corrective implementate, lecții învățate. Stă la baza unei eventuale evaluări DNSC dacă se aplică sancțiuni.
Indicators of Compromise
Indicatori tehnici de compromitere — hash-uri fișiere malițioase, IP-uri C2, domenii, mutex-uri, registry keys. Se transmit la DNSC/CSIRT-RO în raportul de 72h. Format STIX/TAXII recomandat. Util și pentru threat intel sharing cu alte entități.
07 · METODOLOGIE & GUVERNANȚĂ
Concepte transversale folosite în pachetele REMILT și în CyFun.
Distanță față de țintă
Analiza distanței dintre starea actuală și starea-țintă pe cerințe CyFun. Output: tabel cu cerințe, scor curent, scor țintă, lacune, prioritizare. Stă la baza planului de remediere.
Dosar de dovezi pentru audit
Colecție structurată de dovezi pe fiecare cerință CyFun — politici, proceduri, rapoarte, screen-shots, atestări. Folosit pentru audit DNSC sau pentru ISO 27001. REMILT îl construiește în pachetul P3-F5 sau P3-F3.
Pregătire pentru audit
Stare în care entitatea poate susține o auditare externă (DNSC, ISO 27001, client) cu efort minim. Implică: documentație actualizată, evidence pack curent, RACI clar, training conducere, simulare auditor. Tipic 3–4 luni de pregătire.
Niveluri 1–5 CMMI
Scală de maturitate (de la „inițial / ad-hoc" la „optimizat"). Folosită pentru scoring CyFun: nivel 3 (definit) este țintă pentru BAZĂ, nivel 4 (gestionat cantitativ) pentru IMPORTANT, nivel 5 (optimizat) pentru ESENȚIAL.
Sesiuni structurate
Format folosit de REMILT în pachetul P1 și P2 — sesiuni de 2–4h cu echipa clientului pe teme specifice (clasificare active, scenarii de risc, BCP/DRP, evaluare furnizori). Folosesc materiale standardizate REMILT și produc deliverables direct exploatabile.
Information Security Management System
Sistem de management al securității informației — corpus de politici, proceduri, registre, controale și roluri care guvernează securitatea în organizație. ISO 27001 standardizează ISMS. CyFun nu cere ISMS formal, dar îl prefigurează.
08 · TRAINING & CONȘTIENTIZARE
Cerințele de formare a personalului și certificările de referință.
Conștientizare angajați
Program de conștientizare cibernetică pentru toți angajații. Cerință CyFun (PR.AT). Tipic: training onboarding + reîmprospătare anuală + simulări phishing trimestriale + comunicări lunare. Trainingul conducerii (NIS2 art. 32) este obligatoriu separat.
Test de pregătire
Simulare controlată de phishing — emails de test trimise angajaților pentru a măsura rata de click și de raportare. Cerință CyFun IMPORTANT. Trebuie repetată trimestrial cu raportare. REMILT livrează prin opționalul „aware".
Certificări individuale
Certificările cele mai relevante pentru securitate cibernetică. CISSP (ISC2) — managerial, generalist. CISA (ISACA) — audit. OSCP / CREST — testare ofensivă. CEH (EC-Council) — etichetare ethical hacking. NIS2 nu impune certificări specifice, dar ele sunt criteriu de calificare CISO (art. 14).
Acreditări REMILT
CLE (atestat de auditor calificat conform DNSC), CIE (atestat de consultant calificat conform DNSC) și IDASC (registrul DNSC al specialiștilor atestați) sunt atestările oficiale care permit livrarea pachetelor cu aderență directă la cerințele DNSC pentru auditori și consultanți NIS2. REMILT deține atestările necesare, pe entitate și pe persoană fizică.
Discută direct cu un expert cu peste 31 de audituri NIS la activ. Răspuns personal în 24 de ore.
Folosim doar cookie-uri esențiale pentru funcționarea site-ului. Cu acordul tău activăm și cookie-uri de analiză și marketing. Poți schimba preferințele oricând din subsolul paginii.
