Ghid NIS27 min
Checklist NIS2 pentru IMM-uri: 12 pași practici de conformare
NIS2 nu este doar pentru corporații. Dacă firma ta are peste 50 de angajați sau peste 10 milioane EUR cifră de afaceri și activează într-un sector acoperit, ai obligații legale concrete — iar pentru unele servicii (DNS, comunicații electronice) nici pragul de mărime nu contează.
Vestea bună: conformarea se poate face structurat, fără bugete uriașe. Iată checklist-ul pe care îl recomandăm IMM-urilor din România, în ordinea în care merită parcurs.
Faza 1 — Încadrare și înregistrare (săptămânile 1–2)
- ▸1. Verifică dacă intri sub NIS2: sector (anexele 1 și 2), număr de angajați, cifră de afaceri. Dacă ai dubii, DNSC are un chestionar de autoevaluare.
- ▸2. Înregistrează entitatea în platforma NIS2@RO — termenul oficial a expirat în septembrie 2025, deci orice întârziere suplimentară te expune la sancțiuni.
- ▸3. Desemnează un responsabil de securitate cibernetică și asigură-te că managementul aprobă formal planul de conformare — răspunderea conducerii este personală sub NIS2.
Faza 2 — Evaluare și fundație (lunile 1–2)
- ▸4. Fă inventarul activelor: servere, aplicații, servicii cloud, software critic — nu poți proteja ce nu știi că ai.
- ▸5. Realizează evaluarea de risc conform metodologiei DNSC (ENIRE@RO) și transmite-o în termenul de 60 de zile de la înscrierea în registru.
- ▸6. Activează MFA pe toate conturile critice (email, VPN, admin) — cea mai ieftină măsură cu cel mai mare impact, cerută explicit de Art. 21.
- ▸7. Stabilește un proces de backup testat periodic și un plan minim de continuitate a activității.
Faza 3 — Procese continue (lunile 2–4)
- ▸8. Pornește managementul vulnerabilităților: monitorizează CVE-urile care afectează software-ul din inventarul tău și stabilește termene de remediere pe severități (ex. Critical în 7 zile).
- ▸9. Definește procedura de tratare a incidentelor: cine detectează, cine decide, cine notifică DNSC în 24h/72h. Testeaz-o cu un exercițiu pe hârtie.
- ▸10. Evaluează furnizorii critici (cloud, IT outsourcing): securitatea lanțului de aprovizionare este cerință distinctă în Art. 21.
- ▸11. Fă training de securitate de bază cu toți angajații, inclusiv managementul — phishing-ul rămâne vectorul #1.
- ▸12. Documentează tot ce faci: politici, registre de incidente, dovezi de remediere. La control, dovezile scrise fac diferența între conformare și amendă.
Greșeli frecvente la IMM-uri
- ▸Tratarea NIS2 ca pe un proiect unic — directiva cere procese continue, nu un audit anual.
- ▸Lipsa dovezilor: măsurile există, dar nimeni nu poate demonstra când a fost remediată o vulnerabilitate.
- ▸Ignorarea furnizorilor: un MSP compromis înseamnă incidentul tău.
- ▸Amânarea înregistrării DNSC în speranța că „nu ne vede nimeni".
Bifează pasul 8 cu Awarely Monitor
Monitorizarea vulnerabilităților pe produsele tale, alerte la CVE-uri critice și dovezi exportabile pentru audit — de la 59 EUR/lună, în loc de ore de muncă manuală pe surse împrăștiate. Începe cu 14 zile gratuite.
Citește și
OUG 155/2024 explicat: legea NIS2 a României, pe înțelesul tuturor
Ce este OUG 155/2024, cum transpune Directiva NIS2 în România, ce obligații ai față de DNSC și ce termene trebuie respectate. Ghid practic actualizat 2026.
NIS2 Art. 21 vs Art. 23: măsuri de securitate vs raportare incidente
Diferența dintre Articolul 21 (măsuri de management al riscului) și Articolul 23 (raportarea incidentelor) din NIS2: obligații, termene 24h/72h și cum le documentezi.
Intri sub NIS2? Entități esențiale vs importante în România
Cum afli dacă firma ta intră sub NIS2 / OUG 155/2024: sectoare din Anexa 1 și 2, praguri de mărime, excepții și diferențele dintre entități esențiale și importante.
