Awarely
AwarelyMonitor
Toate ghidurile NIS2
Ghid NIS27 min

NIS2 Art. 21 vs Art. 23: măsuri de securitate vs raportare incidente

Articolele 21 și 23 sunt coloana vertebrală operațională a Directivei NIS2 — și cele mai des confundate. Pe scurt: Art. 21 spune ce trebuie să faci permanent ca să previi incidentele, iar Art. 23 spune ce trebuie să faci când un incident s-a produs.

În România, ambele sunt transpuse prin OUG 155/2024, iar DNSC le verifică distinct: una prin audit de măsuri, cealaltă prin respectarea termenelor de notificare.

Art. 21 — măsurile de management al riscului

Art. 21 obligă entitățile să implementeze măsuri „tehnice, operaționale și organizatorice adecvate" proporționale cu riscul. Directiva enumeră 10 domenii minime:

  • Politici de analiză a riscurilor și de securitate a sistemelor informatice
  • Tratarea incidentelor (incident handling)
  • Continuitatea activității: backup, recuperare în caz de dezastru, management de criză
  • Securitatea lanțului de aprovizionare, inclusiv relația cu furnizorii direcți
  • Securitatea achiziției, dezvoltării și mentenanței sistemelor — inclusiv gestionarea și divulgarea vulnerabilităților
  • Politici și proceduri de evaluare a eficacității măsurilor
  • Igienă cibernetică de bază și training de securitate
  • Politici privind criptografia și criptarea
  • Securitatea resurselor umane, controlul accesului și managementul activelor
  • Autentificare multifactor, comunicații securizate de voce/video/text și sisteme de comunicații de urgență

Art. 23 — raportarea incidentelor semnificative

Art. 23 stabilește un calendar strict de notificare către CSIRT-ul național (în România, către DNSC) pentru incidentele cu impact semnificativ:

  • 24 de ore — avertizare timpurie (early warning): semnalezi incidentul și indici dacă pare cauzat de acțiuni ilegale sau dacă poate avea impact transfrontalier.
  • 72 de ore — notificarea propriu-zisă a incidentului: evaluare inițială a gravității, impactului și indicatorilor de compromitere.
  • La cerere — raport intermediar privind evoluția situației.
  • O lună — raport final: descriere detaliată, cauza probabilă (root cause), măsuri de remediere aplicate, impact transfrontalier dacă există.

Diferența practică: prevenție continuă vs reacție cronometrată

Art. 21 se demonstrează cu procese și dovezi acumulate în timp: inventar de active, jurnal de vulnerabilități remediate cu date și termene, politici aprobate de conducere, rapoarte periodice. Nu poți „improviza" conformarea cu Art. 21 cu o săptămână înainte de control.

Art. 23 se demonstrează cu viteză și trasabilitate: cine a detectat incidentul, când a fost clasificat ca semnificativ, când a plecat avertizarea de 24h. Fără un proces de detecție funcțional (care e... cerință Art. 21), termenele devin imposibil de respectat.

Cele două articole se alimentează reciproc: un management bun al vulnerabilităților (Art. 21) reduce incidentele de raportat (Art. 23), iar lecțiile din incidente actualizează evaluarea de risc.

Cum le documentezi eficient

  • Pentru Art. 21: păstrează un audit trail al fiecărei vulnerabilități — când a apărut CVE-ul, când l-ai văzut, când l-ai remediat, cine a lucrat la el.
  • Pentru Art. 23: definește criteriile de „incident semnificativ" în avans și ține un canal de alertare care funcționează și în weekend.
  • Pentru ambele: rapoarte periodice exportabile — DNSC vrea dovezi datate, nu prezentări.

Art. 21 lit. (e), rezolvat: managementul vulnerabilităților cu dovezi

Awarely Monitor înregistrează automat fiecare CVE văzut, confirmat și remediat — cu timestamp-uri, SLA-uri pe severitate și raport de conformitate NIS2 generat la cerere. Încearcă 14 zile gratuit.