Această pagină este destinată furnizorilor de servicii cloud (IaaS, PaaS, SaaS) clasificați ca entități esențiale în Anexa I. Veți descoperi obligațiile specifice de securitate, cerinţele de notificare a incidentelor și strategi practice de conformitate cu Legea 362/2022.
Furnizorii de servicii cloud cu bază semnificativă de clienți din UE sunt clasificați automat ca entități esențiale dacă furnizează servicii critice în domenii precum calculul, stocarea sau managementul datelor pentru alte organizații esențiale. Obligația se aplică indiferent de dimensiunea companiei dacă serviciile dumneavoastră sunt folosite de entități critice (sănătate, energie, transport, telecomunicații, instituții financiare).
Trebuie să furnizați fiecărui client de nivel enterprise o documentație explicită care delimităează clara responsabilitățile de securitate între furnizor și client, conform cerințelor NIS2. Această documentație trebuie să detalieze care dintre măsurile de securitate (criptare, control acces, backup) sunt gestionate de dumneavoastră și care rămân responsabilitatea clientului. Documentația trebuie revizuită anual și actualizată la fiecare modificare de serviciu.
Sistemele dumneavoastră trebuie să implementeze izolarea tehnică robustă între clienți, cu verificări regulate de penetrare și teste de izolare a datelor. Trebuie să stabiliți standarde minime de criptare end-to-end, autentificare multi-factor obligatorie pentru acces administrativ și monitorizare continuă a incidentelor de securitate. Aceste măsuri trebuie documentate și auditabile pentru DNSC și clienții dumneavoastră.
Orice incident de securitate care afectează clienții dumneavoastră trebuie raportat autorității competente (DNSC) și notificat clienților în termen de 24 de ore de la detectare. Trebuie să clasificați incidentele conform definiției NIS2 separate de incidentele generice de securitate și să cuantificați impactul asupra serviciilor furnizate. Notificarea trebuie să conțină descrierea incidentului, datele afectate, măsurile luate și contactul responsabil.
Trebuie să obțineți și să mențineți certificare SOC 2 Type II (auditată anual) și ISO 27001, care vor fi prezentate DNSC ca dovadă a conformității cu controlurile de securitate NIS2. Aceste certificări trebuie să acopere toate serviciile furnizate clienților și să fie actualizate în mod continuu. Găsurile identificate în audituri trebuie remediate în termene acceptate de DNSC și documente în raportul anual de conformitate.
Trebuie să oferiți clienților opțiuni clare de stocare a datelor pe servere situate în UE, cu documentație despre localizarea fizică a data centre-urilor și mecanismele de transfer de date. Clienții entități esențiale trebuie să aibă dreptul de a solicita localizarea datelor și trebuie să respectați restrições privind transferurile internaționale conform GDPR și NIS2. Sistemele dumneavoastră trebuie să permită clienților să verifice localizarea și să audit în timp real.
O incidentă NIS2 este orice incident de securitate care afectează disponibilitatea, autenticitatea, integritatea sau confidențialitatea serviciilor furnizate unor entități esențiale sau ale clienților acestora. Aceasta include eșecurile de izolare multi-locatar, breșele de date care afectează mai mulți clienți și întreruperile de servicii mai mari de 4 ore. Incidentele generale de securitate (ex. tentative de phishing blocate) nu necesită raportare la DNSC în 24 de ore, doar documentare internă.
Nu neapărat înainte de lansare, dar trebuie să aveți o dată țintă clară pentru obținerea lor (în general, 12-18 luni de la clasificarea ca entitate esențială). DNSC și clienții dumneavoastră vor evalua progresul dumneavoastră prin planuri de remediare. Pentru viabilitate comercială, certificările sunt esențiale — clienții enterprise nu vor semna contracte fără dovezi de conformitate SOC 2 și ISO 27001.
Nerespectarea notificării în 24 de ore poate duce la amenzi de până la 50 de milioane EUR sau 10% din cifra de afaceri anuală globală conform Legii 362/2022. Termenul final pentru conformitate totală cu NIS2 este 18 octombrie 2024 pentru entitățile esențiale identificate, iar pentru furnizorii cloud cu clienți din UE, conformitatea operațională trebuie demonstrată prin 2026. Procesele de notificare trebuie implementate imediat, indiferent de alte remedieri.