Acest ghid adreseaza directorilor de securitate IT si managerilor de proiecte din sectorul constructiilor cu sisteme BIM, IoT si management de proiecte. Veti invata cum sa implementati controlurile de acces obligatorii, sa securizati lantul de aprovizionare al subcontractorilor si sa respectati obligatiile de raportare a incidentelor conform Legii 362/2022.
Companiile mari de constructii si inginerie civila in Romania cu cel putin 250 de angajati sau venituri anuale de peste 50 de milioane EUR, care opereaza platforme BIM cloud, sisteme IoT de santier sau sisteme de management de proiecte cu acces la date ale infrastructurii critice trebuie sa se conformeze NIS2. Aceasta include firmele care furnizeaza solutii de automatizare a cladirilor inteligente sau sisteme de control pentru proiecte de infrastructura nationala.
Trebuie sa implementati mecanisme robuste de autentificare multi-factor si control al accesului bazat pe roluri pe toate platformele BIM cloud folosite de echipe interne si subcontractori. Proiectele care contin planuri ale infrastructurii critice sau facilitati esentiale trebuie sa beneficieze de criptare end-to-end si audit logs complete. Orice subcontractor cu acces la sistemele BIM trebuie sa semneze clauze contractuale care impun standarde de securitate IT minime.
Inainte de a acorda acces la sistemele de management de proiecte sau platformele IoT de santier, trebuie sa efectuati audit de securitate IT al subcontractorilor, inclusiv verificarea politicilor de parole, izolarii retelelor si protectiei datelor. Contractele trebuie sa includa clauze care sa impuna remedierea vulnerabilitatilor identificate in timp de maxim 30 de zile. Mentineti un registru centralizat al tuturor subcontractorilor cu acces si statusul lor de conformitate NIS2.
Dispozitivele IoT (senzori de temperatura, camere de supraveghere, sisteme de control al accesului pe santier) nu trebuie conectate la reteaua corporate plata. Implementati VLAN-uri separate, firewall-uri hardware si sisteme de monitorizare a traficului pentru a detecta comportamentul anormal. Toate dispozitivele IoT trebuie sa functioneze cu versiuni de firmware actualizate si patched regulat, cu logs de audit care sa inregistreze accesul si modificarile de configuratie.
Incidentele de securitate care afecteaza confidentialitatea, integritatea sau disponibilitatea datelor legate de infrastructura critica (centrale electrice, sisteme de apa, drumuri nationale) trebuie raportate DNSC in termen de 24 de ore de la descoperire. Trebuie sa mentineti plan de raspuns la incidente cu responsabilitati clare, teste anuale si evidenta remedierii. Documentati fiecare incident cu data, ora, natura breachului, sisteme afectate si masuri de remediare implementate.
Daca furnizati solutii de control inteligent (HVAC, iluminare, acces) care colecteaza date de ocupatie sau parametri functionali, trebuie sa implementati mecanisme de criptare a datelor in tranzit si in repaos. Configurati roluri de acces strict pentru administratori si tehnicienii de service. Asigurati-va ca datele de audit sunt pastrate cel putin 1 an si sunt accesibile pentru investigatiile DNSC.
O companie de constructii este considerata entitate importanta daca are cel putin 250 de angajati SAU venituri anuale consolidate de peste 50 de milioane EUR. Daca opereaza platforme BIM critice pentru infrastructura nationala, pragurile pot fi mai joase. Verificati clasificarea dumneavoastra pe portalul DNSC si documentati dimensiunea in raportul anual de conformitate.
Creati conturi dedicate pentru fiecare subcontractor cu permisiuni la nivel de proiect, nu la nivel de organizatie. Implementati autentificare multi-factor obligatorie, monitorizare continua a actiunilor (copy de fisiere, export de date), si revocati accesul imediat dupa terminarea proiectului. Incheiati contracte care sa includa clauze de confidentialitate si respectare a standardelor de securitate, cu penalitati contractuale pentru non-conformitate.
Deadline-ul de conformitate totala este 17 octombrie 2026. Penaltitatile pentru nerespectare pot ajunge la 10 milioane EUR sau pana la 2% din cifra de afaceri anuala globala, la alegerea DNSC. Companiile care raporteaza incidente cu intarziere (mai mult de 24 de ore) pot fi amendate cu pana la 5 milioane EUR. Incepeti implementarea imediata si documentati fiecare etapa a conform planului dumneavoastra NIS2.