Awarely
AwarelyMonitor
Toate ghidurile NIS2
Ghid NIS27 min

Checklist NIS2 pentru IMM-uri: 12 pași practici de conformare

NIS2 nu este doar pentru corporații. Dacă firma ta are peste 50 de angajați sau peste 10 milioane EUR cifră de afaceri și activează într-un sector acoperit, ai obligații legale concrete — iar pentru unele servicii (DNS, comunicații electronice) nici pragul de mărime nu contează.

Vestea bună: conformarea se poate face structurat, fără bugete uriașe. Iată checklist-ul pe care îl recomandăm IMM-urilor din România, în ordinea în care merită parcurs.

Faza 1 — Încadrare și înregistrare (săptămânile 1–2)

  • 1. Verifică dacă intri sub NIS2: sector (anexele 1 și 2), număr de angajați, cifră de afaceri. Dacă ai dubii, DNSC are un chestionar de autoevaluare.
  • 2. Înregistrează entitatea în platforma NIS2@RO — termenul oficial a expirat în septembrie 2025, deci orice întârziere suplimentară te expune la sancțiuni.
  • 3. Desemnează un responsabil de securitate cibernetică și asigură-te că managementul aprobă formal planul de conformare — răspunderea conducerii este personală sub NIS2.

Faza 2 — Evaluare și fundație (lunile 1–2)

  • 4. Fă inventarul activelor: servere, aplicații, servicii cloud, software critic — nu poți proteja ce nu știi că ai.
  • 5. Realizează evaluarea de risc conform metodologiei DNSC (ENIRE@RO) și transmite-o în termenul de 60 de zile de la înscrierea în registru.
  • 6. Activează MFA pe toate conturile critice (email, VPN, admin) — cea mai ieftină măsură cu cel mai mare impact, cerută explicit de Art. 21.
  • 7. Stabilește un proces de backup testat periodic și un plan minim de continuitate a activității.

Faza 3 — Procese continue (lunile 2–4)

  • 8. Pornește managementul vulnerabilităților: monitorizează CVE-urile care afectează software-ul din inventarul tău și stabilește termene de remediere pe severități (ex. Critical în 7 zile).
  • 9. Definește procedura de tratare a incidentelor: cine detectează, cine decide, cine notifică DNSC în 24h/72h. Testeaz-o cu un exercițiu pe hârtie.
  • 10. Evaluează furnizorii critici (cloud, IT outsourcing): securitatea lanțului de aprovizionare este cerință distinctă în Art. 21.
  • 11. Fă training de securitate de bază cu toți angajații, inclusiv managementul — phishing-ul rămâne vectorul #1.
  • 12. Documentează tot ce faci: politici, registre de incidente, dovezi de remediere. La control, dovezile scrise fac diferența între conformare și amendă.

Greșeli frecvente la IMM-uri

  • Tratarea NIS2 ca pe un proiect unic — directiva cere procese continue, nu un audit anual.
  • Lipsa dovezilor: măsurile există, dar nimeni nu poate demonstra când a fost remediată o vulnerabilitate.
  • Ignorarea furnizorilor: un MSP compromis înseamnă incidentul tău.
  • Amânarea înregistrării DNSC în speranța că „nu ne vede nimeni".

Bifează pasul 8 cu Awarely Monitor

Monitorizarea vulnerabilităților pe produsele tale, alerte la CVE-uri critice și dovezi exportabile pentru audit — de la 59 EUR/lună, în loc de ore de muncă manuală pe surse împrăștiate. Începe cu 14 zile gratuite.