Ghidul complet pentru profesioniștii din domeniul IT outsourcing, integratorii de sisteme și consultanții IT din România care gestionează infrastructura clienților și trebuie să se conformeze regulamentului NIS2 până la termenul limită din octombrie 2026.
Companiile de outsourcing IT, integratorii de sisteme și consultanții IT din România care gestionează infrastructura critică a clienților și au cel puțin 50 de angajați sau au cifra de afaceri anuală ce depășește 10 milioane EUR intră în categoria entităților importante conform NIS2. Aceasta include furnizorii care oferă servicii de administrare a sistemelor, managementul datelor și serviciile cloud către entități critice.
Trebuie să implementați autentificarea multi-factor pentru toate conexiunile de acces la distanță către sistemele clienților și să folosiți managementul centralizat al credențialelor privilegiate. Accesurile trebuie monitorizate continuu și înregistrate pentru auditare, iar credențialele comune între mediile clienților sunt interzise. Fiecare administrator trebuie să aibă cont individual cu drepturi minime necesare pentru sarcina respectivă.
Contractele dumneavoastră cu clienții trebuie să includă explicit obligații de raportare a incidentelor NIS2, standarde minime de securitate, drepturi de audit și inspecție, precum și termenii de notificare în caz de incidente care afectează serviciile. Acordurile trebuie să precizeze răspunderea pentru breșele de securitate și să definească protocoalele de răspuns la incidente care implică sistemele furnizorului.
Dacă o incidență de securitate în sistemele sau serviciile dumneavoastră determină întreruperea serviciilor unui client care este entitate importantă, trebuie să raportați evenimentul către DNSC în termen de 24 de ore. Raportul trebuie să includă descrierea impactului, afectații, măsurile remediale și analiza cauzei rădăcinii efectuate în cooperare cu clientul afectat.
Trebuie să menţineţi o evidență actualizată a tuturor subcontractorilor care au acces la sistemele sau datele clienților și să evaluați nivelul lor de securitate cibernetic. Evaluarea trebuie documentată și repetată anual, iar schimbările în lanțul de aprovizionare trebuie comunicate clienților. Subcontractorii trebuie să accepte aceleași obligații de securitate și raportare pe care le impuneți dumneavoastră.
Organizația dumneavoastră trebuie să efectueze teste de penetrare și evaluări de vulnerabilități cel puțin anual pe sistemele și instrumentele dumneavoastră de acces la distanță. Rezultatele testelor trebuie documentate și comunicate clienților în scopuri de asigurare a conformității. Trebuie să planificaţi și să executaţi remedieri pentru vulnerabilitățile identificate în termeni prioritari.
Da, sunteți responsabili. Conform NIS2, entitatea importantă (dumneavoastră) trebuie să raporteze incidenta la DNSC în termen de 24 de ore, indiferent de faptul că breșa provine de la subcontractor. Trebuie să includeți în acordurile cu subcontractorii clauze care vă permit accesul imediat la informații despre incidente și vă obligă să fiți notificați în termen de o oră de la detectare.
Acordurile trebuie să conțină: obligații de raportare a incidentelor în termen de 24 de ore, standarde minime de securitate (inclusiv autentificare multi-factor pentru acces), drepturi de audit și inspecție pe site, definiția clară a breșelor care declanșează obligații de notificare, responsabilități pentru gestionarea incidentelor și termeni pentru evaluarea anuală a securității furnizorului. Trebuie să specificați explicit că furnizorul nu poate subcontracta serviciile fără aprobarea prealabilă și că subcontractorii sunt supuși acelorași obligații.
Penalitățile pentru entitățile importante pot ajunge la 10 milioane EUR sau 2% din cifra de afaceri anuală mondială pentru violare gravă, și 5 milioane EUR sau 1% din cifra de afaceri pentru alte încălcări. Termenul limită pentru conformitate este 17 octombrie 2026, după care DNSC poate efectua inspecții și aplica sancțiuni. Recomandarea este să inițiaţi implementarea măsurilor imediat pentru a evita expunerea la penalități și pierderea de clienți.