Serviciu · consultanță · proiect sau abonament

Pregătire NIS2

Pregătim companiile vizate de directiva NIS2 — și pe furnizorii care vor să rămână în lanțul lor de aprovizionare.

Directiva NIS2 a Uniunii Europene cere companiilor din sectoarele considerate critice să demonstreze că își gestionează activ riscurile cibernetice — de la inventar și politici, la răspuns la incidente, continuitate și securitatea lanțului de aprovizionare. România a transpus directiva în legislația națională, iar Directoratul Național de Securitate Cibernetică (DNSC) este autoritatea competentă.

Vă ajutăm să ajungeți acolo unde trebuie să fiți, fără panică și fără cumpărături inutile de software. Lucrăm pe cadre metodologice recunoscute: ISO/IEC 27001, NIST Cybersecurity Framework, SANS și OWASP — adaptate la mărimea și sectorul vostru.

Sunteți vizați? Pe scurt

Două categorii de entități intră sub incidența NIS2 în România:

  • Entități esențiale — operatori importanți din sectoare precum energie, transport, sănătate, apă, infrastructură digitală, administrație publică.
  • Entități importante — companii din sectoare precum producția industrială, alimentația, gestionarea deșeurilor, servicii poștale, cercetare, furnizori digitali.

Dimensiunea companiei (număr de angajați, cifră de afaceri) filtrează apoi cine intră efectiv pe listă. Dacă lucrați ca furnizor pentru o entitate esențială sau importantă, chiar dacă voi înșivă nu sunteți vizați direct, vă veți confrunta foarte curând cu chestionare de securitate venite din partea clienților voștri mari.

În prima conversație vă spunem clar dacă vă încadrați și pe ce treaptă. Fără jargon, fără speriere.

Ce livrăm

1. Analiza decalajelor (gap analysis)

Pornim de la inventarul de active digitale și fluxurile critice de date. Comparăm starea actuală cu ce vă cere directiva — pe zonele de guvernanță, gestionarea riscurilor, controlul accesului, securitatea rețelei, gestionarea incidentelor, continuitatea operațională, securitatea lanțului de aprovizionare și raportarea.

Rezultatul e un document clar: ce aveți, ce vă lipsește, ce trebuie schimbat, ce trebuie introdus.

2. Planul de tratare a riscurilor

Pe baza decalajelor identificate, construim un plan prioritizat pe efort și impact. Nu o listă teoretică — o foaie de parcurs realistă, cu termene și responsabili, pe care o puteți pune în mâna conducerii sau a unui auditor.

3. Pachetul de politici-cadru

Setul minim de politici cerut de directivă: ISMS, politică de securitate a informației, plan de răspuns la incidente, procedură de raportare în termenele cerute de lege, plan de continuitate, politică de copii de siguranță, politică de control al accesului, criptografie, clasificarea datelor, gestionarea furnizorilor. Personalizate, nu copy-paste.

4. Instruirea conducerii

Directiva impune ca membrii organelor de conducere să fie instruiți pe subiectele de securitate cibernetică. Susținem o sesiune scurtă (90 de minute), focusată pe ce trebuie să știe și să decidă conducerea — nu pe terminologie tehnică.

5. Pregătirea relației cu DNSC

Vă ajutăm să vă înregistrați corect ca entitate vizată, să configurați procedura de notificare a incidentelor în termenele cerute de lege, și să aveți pregătite documentele pe care autoritatea le poate solicita.

Cum se desfășoară un proiect tipic

În medie, o evaluare NIS2 pentru o entitate de dimensiune medie durează trei până la cinci săptămâni calendaristice. Prima săptămână adunăm inventarul și fluxurile critice. Săptămânile două–trei analizăm decalajele. Ultimele zile compunem planul de tratare a riscurilor, pachetul de dovezi și sesiunea de prezentare la conducere.

Pentru companiile complexe — multiple sedii, OT/ICS, lanț de aprovizionare extins — durata și efortul cresc. Vă spunem realist de la început.

După evaluare

Implementarea măsurilor poate fi făcută de echipa voastră IT, de un furnizor extern (noi sau altcineva), sau printr-un abonament vCISO la noi — în care preluăm noi continuitatea programului de securitate, cu prezență lunară și raportare către conducere. Vezi serviciul vCISO →

Ce nu facem

  • Nu vă vindem software ca să rezolvăm un decalaj. Recomandăm uneltele potrivite, comerciale sau open source, dar nu suntem revânzători.
  • Nu garantăm că nu veți primi sancțiuni. Nimeni nu poate. Garantăm că, dacă urmați planul, veți putea demonstra că ați acționat cu diligență — ceea ce e tot ce vă cere legea.
  • Nu producem auditul oficial — pentru asta vă îndrumăm către parteneri specializați și acreditați. Noi vă pregătim pentru audit; auditul îl face altcineva.

Materiale juridice

Informațiile de pe această pagină sunt orientative. Pentru interpretarea exactă a obligațiilor legale aplicabile companiei voastre, consultați un consilier juridic specializat. Vă putem recomanda parteneri.