NIS2 Art. 21 vs Art. 23: măsuri de securitate vs raportare incidente
Articolele 21 și 23 sunt coloana vertebrală operațională a Directivei NIS2 — și cele mai des confundate. Pe scurt: Art. 21 spune ce trebuie să faci permanent ca să previi incidentele, iar Art. 23 spune ce trebuie să faci când un incident s-a produs.
În România, ambele sunt transpuse prin OUG 155/2024, iar DNSC le verifică distinct: una prin audit de măsuri, cealaltă prin respectarea termenelor de notificare.
Art. 21 — măsurile de management al riscului
Art. 21 obligă entitățile să implementeze măsuri „tehnice, operaționale și organizatorice adecvate" proporționale cu riscul. Directiva enumeră 10 domenii minime:
- ▸Politici de analiză a riscurilor și de securitate a sistemelor informatice
- ▸Tratarea incidentelor (incident handling)
- ▸Continuitatea activității: backup, recuperare în caz de dezastru, management de criză
- ▸Securitatea lanțului de aprovizionare, inclusiv relația cu furnizorii direcți
- ▸Securitatea achiziției, dezvoltării și mentenanței sistemelor — inclusiv gestionarea și divulgarea vulnerabilităților
- ▸Politici și proceduri de evaluare a eficacității măsurilor
- ▸Igienă cibernetică de bază și training de securitate
- ▸Politici privind criptografia și criptarea
- ▸Securitatea resurselor umane, controlul accesului și managementul activelor
- ▸Autentificare multifactor, comunicații securizate de voce/video/text și sisteme de comunicații de urgență
Art. 23 — raportarea incidentelor semnificative
Art. 23 stabilește un calendar strict de notificare către CSIRT-ul național (în România, către DNSC) pentru incidentele cu impact semnificativ:
- ▸24 de ore — avertizare timpurie (early warning): semnalezi incidentul și indici dacă pare cauzat de acțiuni ilegale sau dacă poate avea impact transfrontalier.
- ▸72 de ore — notificarea propriu-zisă a incidentului: evaluare inițială a gravității, impactului și indicatorilor de compromitere.
- ▸La cerere — raport intermediar privind evoluția situației.
- ▸O lună — raport final: descriere detaliată, cauza probabilă (root cause), măsuri de remediere aplicate, impact transfrontalier dacă există.
Diferența practică: prevenție continuă vs reacție cronometrată
Art. 21 se demonstrează cu procese și dovezi acumulate în timp: inventar de active, jurnal de vulnerabilități remediate cu date și termene, politici aprobate de conducere, rapoarte periodice. Nu poți „improviza" conformarea cu Art. 21 cu o săptămână înainte de control.
Art. 23 se demonstrează cu viteză și trasabilitate: cine a detectat incidentul, când a fost clasificat ca semnificativ, când a plecat avertizarea de 24h. Fără un proces de detecție funcțional (care e... cerință Art. 21), termenele devin imposibil de respectat.
Cele două articole se alimentează reciproc: un management bun al vulnerabilităților (Art. 21) reduce incidentele de raportat (Art. 23), iar lecțiile din incidente actualizează evaluarea de risc.
Cum le documentezi eficient
- ▸Pentru Art. 21: păstrează un audit trail al fiecărei vulnerabilități — când a apărut CVE-ul, când l-ai văzut, când l-ai remediat, cine a lucrat la el.
- ▸Pentru Art. 23: definește criteriile de „incident semnificativ" în avans și ține un canal de alertare care funcționează și în weekend.
- ▸Pentru ambele: rapoarte periodice exportabile — DNSC vrea dovezi datate, nu prezentări.
Art. 21 lit. (e), rezolvat: managementul vulnerabilităților cu dovezi
Awarely Monitor înregistrează automat fiecare CVE văzut, confirmat și remediat — cu timestamp-uri, SLA-uri pe severitate și raport de conformitate NIS2 generat la cerere. Încearcă 14 zile gratuit.
