GHID ORIENTATIV NIS2 · OUG 155/2024 · LEGEA 124/2025

NIS2, pe înțeles — de la încadrare la audit-readiness.

Pagina aceasta este o hartă de orientare. Pentru detalii, fiecare etapă trimite către pagina dedicată — efect perturbator, notificare, ENIRE, CyFun, implementare, vCISO și audit. Ordinea contează: dacă sari direct la politici sau achiziții tehnice, riști să implementezi măsuri care nu sunt legate de nivelul tău real de risc.

Cei 8 pași Cadrul legal Ce presupune CyFunRO Implementare Dimensiune Maturitate

01 · DE UNDE APUCI NIS2

Cei 8 pași — în ordinea corectă

Începe cu pasul 1. Fiecare etapă produce un livrabil concret și deblochează următoarea. Dacă te grăbești și sari peste, îți construiești pe fundație instabilă.

PAS 01

Verifici aplicabilitatea NIS2

Identifici sectorul, serviciile reale, dimensiunea, rolul în lanțul de furnizare și situațiile unde efectul perturbator poate conta.

REZULTAT

Matrice de încadrare + decizie internă

Vezi etapa

PAS 02

Notifici DNSC

Pregătești datele entității, serviciile, persoanele de contact și justificările necesare pentru formularul NIS2@RO.

REZULTAT

Formular notificare + dosar suport

Vezi etapa

PAS 03

Primești decizia DNSC și organizezi rolurile

După înscriere, stabilești CISO și pregătești analiza de risc ENIRE în termenul aplicabil.

REZULTAT

Responsabil desemnat + calendar intern

Vezi etapa

PAS 04

Faci analiza de risc ENIRE

ENIRE stabilește nivelul de risc. Nu este același lucru cu analiza de risc internă din programul de management al riscurilor.

REZULTAT

Nivel risc / nivel de securitate aplicabil

Vezi etapa

PAS 05

Faci autoevaluarea CyFun

Verifici maturitatea pe documentație și implementare pe cele 6 funcții (Govern, Identify, Protect, Detect, Respond, Recover).

REZULTAT

Scoruri de maturitate + decalaje

Vezi etapa

PAS 06

Construiești planul de remediere

Prioritizezi măsurile după criticitate, risc, efort, dependențe și apetitul de risc al organizației.

REZULTAT

Roadmap, priorități, responsabilități

Vezi etapa

PAS 07

Implementezi și documentezi controalele

Politicile, procedurile, registrele, controalele tehnice și dovezile trebuie să fie operaționale, nu doar redactate.

REZULTAT

Controale, registre, dovezi, KPI/KRI

Vezi etapa

PAS 08

Monitorizezi, raportezi, îmbunătățești

Guvernanța continuă: raportare către conducere, exerciții, revizuiri, audit-readiness, gestionare incidente.

REZULTAT

Program guvernanță + vCISO/CISOaaS

Vezi etapa

02 · CADRUL LEGAL

Ce acte trebuie să urmărești

Pentru o companie, partea importantă nu este să memoreze articolele, ci să înțeleagă obligațiile operaționale: notificare, risc, măsuri, responsabilități, raportare, supraveghere. Hartă completă cu acte și termene în pagina de Conformare legală.

OUG 155/2024 + Legea 124/2025

Baza legală pentru obligațiile entităților esențiale și importante, managementul riscurilor, responsabilitatea conducerii și raportarea incidentelor.

Ordinele DNSC publicate (1, 2, 3)

Detaliază notificarea, analiza nivelului de risc (ENIRE), criteriile de perturbare și activitățile de control DNSC.

Ordinul 4 — măsuri de gestionare a riscurilor

Conectează obligațiile NIS2 cu cerințele de securitate și cadrul CyberFundamentals folosit pentru autoevaluare și maturitate.

Cadrul legal complet

03 · CE PRESUPUNE NIS2

Nu este doar notificare — este un sistem de management al securității.

O organizație trebuie să poată demonstra că riscurile sunt cunoscute, măsurile proporționale, iar conducerea urmărește programul de securitate. Patru piloni:

Guvernanță

Conducerea trebuie să înțeleagă riscurile, să aprobe măsuri și să urmărească implementarea.

Managementul riscurilor

Riscurile trebuie identificate, evaluate, tratate, acceptate sau escaladate în mod documentat.

Securitate operațională

Activele, accesul, backup-ul, vulnerabilitățile, furnizorii și incidentele trebuie gestionate controlat.

Dovezi și raportare

Organizația trebuie să poată demonstra ce a decis, ce a implementat și ce monitorizează.

04 · CADRUL CyFunRO

CyberFundamentals — limbajul prin care măsori conformarea

CyFunRO împarte securitatea în funcții, categorii, subcategorii, cerințe și măsuri-cheie. Autoevaluarea arată ce este documentat, ce este implementat și unde sunt decalajele. Adaptat din NIST CSF 2.0 cu funcția adăugată Govern.

Explicația CyFun Legătura cu ENIRE

CELE 6 FUNCȚII PILON

GVGovern

IDIdentify

PRProtect

DEDetect

RSRespond

RCRecover

Atenție: nivelul de încadrare al entității (esențială / importantă) și nivelul de securitate CyFun (BAZĂ / IMPORTANT / ESENȚIAL) răspund la întrebări diferite — nu trebuie confundate.

05 · IMPLEMENTARE

Conformarea trebuie să producă documente, controale, dovezi

Un dosar de politici nu este suficient. Pentru CyFun și NIS2 contează dacă procesele există, sunt asumate, sunt aplicate și pot fi demonstrate.

Vezi ce cere implementarea CyFun

politici și proceduri de securitate

inventar active, aplicații, furnizori și servicii

registru de riscuri, vulnerabilități, incidente și excepții

backup, continuitate, recuperare și exerciții

management acces, autentificare, identități și privilegii

monitorizare, detectare, răspuns și raportare incidente

06 · DIMENSIUNE

Dimensiunea nu schimbă principiile — schimbă efortul

O companie mică poate avea obligații serioase dacă serviciul este critic. O companie mare are de obicei mai multe active, furnizori, echipe, procese și dovezi de coordonat.

Companie mică

Are nevoie de structură clară, documente proporționale și controale realiste. Efortul crește dacă sectorul sau efectul perturbator ridică riscul.

Companie mijlocie

Apare complexitate în procese, furnizori, active, responsabilități și dovezi. Planul de remediere trebuie prioritizat riguros.

Companie mare / grup

Sunt relevante guvernanța, coordonarea multi-echipă, continuitatea, audit-readiness, furnizorii critici și raportarea către conducere.

07 · NIVELURI DE ASIGURARE

Cât trebuie atins depinde de nivelul de securitate aplicabil

Maturitatea se vede pe două planuri: documentație și implementare. O cerință poate fi scrisă în politică dar insuficient aplicată. De aceea evaluarea trebuie să includă dovezi.

Distincție critică: nivelul de încadrare al entității nu este același lucru cu nivelul de securitate CyFun. În practică, cele două se corelează cu ENIRE și cu cerințele DNSC aplicabile.

Non-existent

nu există practică sau dovadă relevantă

Inițial

există abordări ad-hoc, greu de repetat

Repetabil

există practici repetate, dar nu suficient standardizate

Definit

procesul este documentat, aprobat și urmărit

Gestionat

există măsurare, responsabilitate și îmbunătățire

Optimizare

procesul este matur, testat și îmbunătățit continuu

Vrei să aprofundezi?

Resurse detaliate pentru fiecare etapă: notificare, ENIRE, CyFun, implementare, parcurs legal.

Deschide resursele

Vrei pașii în ordine legală?

Pagina de Conformare legală explică termenele, condiționările și ordinea corectă pentru o companie.

Vezi parcursul legal

Vrei o estimare orientativă?

După ce ai înțeles ce presupune NIS2, calculatorul îți arată ce servicii pot fi relevante și ce factori influențează costul.

Deschide calculatorul