Această pagină se adresează furnizorilor de servicii de securitate gestionată (MSSP), operatorilor de centre de operații de securitate (SOC) și firmelor de penetration testing clasificate ca entități importante sub NIS2. Veți afla obligațiile specifice privind securitatea infrastructurii SOC, managementul datelor clientului și raportarea incidentelor.
Firmele de cybersecurity, MSSP și operatorii SOC din România sunt clasificați ca entități importante dacă furnizează servicii critice de securitate digitală unui număr semnificativ de alte entități (inclusiv operatori de infrastructură critică și alte entități importante). Dimensiunea și volumul clienților critici sunt factori determinanți pentru calificare.
Trebuie să implementați controale tehnice și organizatorice robuste pentru a proteja datele de securitate ale clientului (jurnale, trafic rețea, informații de sistem) stocate în platformele SOC. Aceasta include criptarea end-to-end, segregarea datelor pe bază de client și monitorizarea accesului privilegiat. Stocarea datelor trebuie să respecte limite formale de retenție și politici de ștergere în conformitate cu cerințele DNSC.
Când infrastructura dvs. MSSP/SOC este compromisă și aceasta afectează capacitatea clienților dvs. de a-și detecta amenințările, trebuie să raportați incidentul DNSC în maximum 24 de ore. Incidentul trebuie clasificat după impact potențial asupra clienților și trebuie furnizate detalii despre datele accesate și durata compromisului.
Ca furnizor de servicii de securitate, trebuie să mențineți un proces formal de răspuns la vulnerabilități descoperite în serviciile dvs. care afectează clienții. Aceasta include notificarea imediată a clienților, furnizarea de patch-uri sau atenuar temporare și publicarea responsabilă a vuln. Trebuie să vă coordonați cu DNSC pentru vulnerabilități care afectează entități critice.
Dacă externalizați funcții SOC, penetration testing sau stocare de date la terți (subcontractanți), trebuie să evaluați și monitorului cu regularitate postura lor de securitate. Contractele cu furnizori trebuie să includă clauze NIS2 explicite privind auditul, raportarea incidentelor și obligații de conformitate. Riscurile de lanț se transmit integral către DNSC.
Trebuie să efectuați cel puțin o evaluare de conformitate NIS2 pe an pe parcursul 2025-2026, documentând starea măsurilor de securitate. Rezultatele auditului trebuie puse la dispoziția DNSC la cerere. Aceasta include testarea controlelor de acces, criptării, detectării incidentelor și proceselor de răspuns.
Numai incidentele confirmate în care infrastructura dvs. MSSP a fost efectiv compromisă și a afectat capacitatea clientului de a detecta amenințări trebuie raportate DNSC în 24 de ore. Vulnerabilitățile neexploatate trebuie gestionate prin procese interne de patch și notificare responsabilă a clienților, dar nu declanșează raportarea incidentelor DNSC.
NIS2 nu prescrie o perioadă maximă specifică, dar impune 'minimizarea datelor': stocați datele doar atât timp cât este necesar pentru serviciu (de obicei 90 de zile pentru jurnale brute, 12 luni pentru alertele de incidente investigative). Trebuie să documentați și justificați politica de retenție și să o implementați prin controale de ștergere automată în SIEM-ul dvs.
Neconformitatea poate atrage amenzi de până la 10 milioane EUR sau 2% din cifra de afaceri globală (care este mai mare), plus sancțiuni administrative de la DNSC. DNSC poate ordona și suspendarea furnizării serviciilor critice până la remedierea deficiențelor, afectând direct clienții dvs. critici.