Acest ghid este destinat rectorilor, directorilor de IT și responsabililor de conformitate din universități, instituții de învățământ superior și școli private cu infrastructură digitală semnificativă. Veți afla care sunt obligațiile specifice NIS2 care vă afectează, cum să conformați pe deplin și ce măsuri trebuie implementate până la termenul legal din 2026.
Instituțiile de învățământ superior (universități publice și private) și școlile private cu infrastructură digitală semnificativă, care gestionează date de studenți, sisteme de management al învățării (LMS), platforme de cercetare sau servicii digitale critice pentru operații zilnice, trebuie să se conformeze NIS2 ca entități importante. Această clasificare se aplică în special instituțiilor cu peste 10.000 utilizatori activi ai serviciilor digitale sau care procesează date sensibile de cercetare și date personale ale studenților pe scară largă.
Trebuie să implementați măsuri tehnice și organizatorice pentru protejarea datelor personale ale studenților și a integrității sistemelor LMS (Moodle, Blackboard, Canvas, etc.). Aceasta include criptarea datelor în tranzit și în repaus, control al accesului pe bază de roluri, și auditare detaliată a tuturor acceselor la informații studențești sensibile. Sistemele trebuie să beneficieze de patching-uri regulate și monitorizare continuă a vulnerabilităților.
Orice incident de securitate care compromite confidențialitatea, integritatea sau disponibilitatea datelor studențești sau a datelor de cercetare trebuie raportat către DNSC în termen de 24 de ore de la detectare, și către persoanele fizice afectate în termen de 72 de ore. Trebuie să mențineti un registru detaliat al incidentelor, să analizați cauzele și să documentați măsurile de remediere implementate pentru a preveni incidente similare.
Instituția dumneavoastră este responsabilă pentru evaluarea și monitorizarea continuă a securității furnizorii de software educational (SaaS), platforme cloud (AWS, Microsoft Azure, Google Cloud) și orice terț care are acces la date studențești. Trebuie să includeți clauze de securitate NIS2 în contracte, să efectuati audituri de securitate regulate și să cereti certificări de conformitate (ISO 27001, SOC 2) de la furnizorii critici. Trebuie să aveți plan de răspuns în cazul unui incident de securitate la furnizor.
Trebuie să organizati instruiri obligatorii în materie de securitate cibernetică pentru toți angajații (IT, administrativi, academici) cu o frecvență de cel puțin o dată pe an, iar studenții trebuie să primească materiale de sensibilizare asupra riscurilor de phishing, managementului parolelor și utilizării sigure a rețelelor academice. Instruirea trebuie să fie documentată și trebuie să existe evidență a participării și a evaluării înțelegerii noțiunilor transmise.
Trebuie să elaborati și să testati anual planuri de continuitate a activității (BCP) și planuri de recuperare după dezastru (DRP) pentru serviciile digitale considerate critice (platforme LMS, sisteme de înregistrare studenților, servicii de email institutional, etc.). Planurile trebuie să stabilească obiective de timp de recuperare (RTO) și obiective de punct de recuperare (RPO), și trebuie să fie testate periodic prin simulări realiste cu toți actorii implicați.
Universități și instituțiile de învățământ superior au obligații suplimentare specifice privind protecția datelor studențiilor și a datelor de cercetare, managementul furnizorilor edtech, și instruirea comunității academice (studenți și cadre). În plus, cerințele de continuitate operationala trebuie să acopere platformele de învățare online și sistemele de gestionare a rezultatelor academice, care sunt critice pentru operațiuni zilnice.
Termenul de conformitate cu Legea 362/2022 și DNSC/NIS2 este 17 octombrie 2026. Nerespectarea obligațiilor poate duce la sancțiuni administrative de până la 10% din veniturile anuale ale instituției (conform articolelor de penalizare din regulamentul NIS2 transpus), auditoare obligatorii, și publicarea publică a neconformității. De asemenea, incidentele de securitate la instituții neconforme pot duce la răspundere civila și reputațională semnificativă.
Recomandăm o structură minimă cu: (1) Responsabil de Conformitate NIS2 (poate fi cadrul IT senior), (2) Coordonator al Securității Cibernetice, (3) Reprezentant legal/compliance. Pentru instituții cu bugete reduse, puteți externalizează audituri de securitate la terți certificați și utilizarea platformelor de compliance automată (Reglyze, ISMS.online) care reduc cheltuielile administrative. Colaborarea cu DNSC și participarea la grupuri de lucru sector-specifice oferă îndrumări gratuite și reducă incertitudinea implementării.