Această pagină este destinată furnizorilor de servicii gestionate (MSP) și furnizorilor de servicii de securitate gestionate (MSSP) care gestionează sisteme critice ale clientelei lor în România. Veți afla obligațiile specifice impuse de NIS2/Legea 362/2022, riscurile de incidente și strategiile practice pentru a asigura conformitatea până în octombrie 2026.
Furnizorii de servicii gestionate și de securitate gestionate care deservesc entități esențiale sau importante din România (în sectoare precum telecomunicații, energie, apă, transport, sănătate, finanțe, infrastructură digitală) sunt clasificați drept entități esențiale conform NIS2. Această clasificare se aplică indiferent de dimensiunea MSP/MSSP, dacă acestea gestionează sisteme critice pentru clienți și oferă servicii de administrare la distanță cu acces la sisteme de informații sensibile.
Trebuie să implementați autentificarea multifactorială (MFA) obligatorie pe toate platformele de gestionare la distanță (RMM, remote support), să evitați credențialele de administrator partajate între mediile clienților și să aplicați principiul zero-trust cu verificare continuă a identității și dispozitivelor. Fiecare sesiune de acces trebuie să fie înregistrată, monitorizată în timp real și să aibă o durată limitată cu re-autentificare periodică.
Când o breșă de securitate la infrastructura dvs. de MSP/MSSP afectează sisteme ale unui client entitate esențială sau importantă, incidentul trebuie raportat DNSC în termen de 24 de ore. Raportul trebuie să detalieze sistemele clienților expuse, tipul datelor compromise și măsurile de remediere luate. Această obligație se aplică indiferent dacă clientul însuși ar fi obligat să raporteze NIS2.
Toate contractele cu clienții trebuie să includă clauze explicit care transferă obligații de securitate conform NIS2 — inclusiv cerințe de MFA, audit de securitate și gestionarea incidentelor. Pentru software-urile și serviciile achiziționate de la furnizori terți (subcontractanți), trebuie să obțineți dovezi formale de conformitate cu măsuri de securitate și să monitorizați respectarea acestora pe parcursul contractului.
Trebuie să efectuați teste de penetrare cel puțin anual asupra infrastructurii dvs. de gestionare (platforme RMM, centre de date, API-uri, sisteme de control al accesului), să documentați constatările și să remediați vulnerabilitățile în timp util. Testele trebuie efectuate de către terți independenți și rapoartele trebuie păstrate pentru audit DNSC.
Trebuie să mențineti un registru complet al tuturor furnizorilor de software, cloud, telecomunicații și servicii critice pe care le utilizați pentru a deservi clienții. Fiecare furnizor trebuie evaluat cu o chestionar formal de securitate, iar riscul acestora trebuie documentat și monitorizat continuu. Dacă un furnizor nu îndeplinește standardele minime de securitate, trebuie sa luați măsuri de remediere sau de rescindiere a contractului.
Nu — clienții neesențiali nu sunt supuși direct NIS2. Însă MSP/MSSP dumneavoastră rămâne entitate esențială și trebuie să gestionați securitatea infrastructurii și accesului la distanță conform NIS2, indiferent de statutul clientelei. Aceasta înseamnă MFA, zero-trust, audit și protecție contra breșelor la nivel de platformă MSP.
Termenul-limită pentru conformitate integrală este 17 octombrie 2026 conform Legii 362/2022. Recomandăm să inițiați implementarea acum — auditați accesul la distanță, contractele cu clienții și furnizori, și implementați MFA și zero-trust pe platformele RMM în următoarele 6 luni.
DNSC poate aplica amenzi administrative de până la 5% din cifra de afaceri anuală (sau până la 25 de milioane EUR pentru nerespectări grave), poate interzice furnizarea de servicii clienților esențiali și poate impune măsuri corective sub supraveghere. Neraportarea incidentelor în termen de 24 de ore atrage sancțiuni suplimentare și posibilă răspundere civilă.