Acest ghid este destinat companiilor medii din sectoare reglementate care îndeplinesc pragul de importanță conform Anexei II a NIS2. Veți afla ce obligații specifice vi se aplică, cum să vă evaluați calificarea și care sunt controalele de securitate cibernetică pe care trebuie să le implementați.
Calificarea ca entitate importantă sub Anexa II se aplică companiilor cu 50-249 de angajați din sectoare reglementate (energie, transport, apă, sănătate, alimentar, servicii financiare, infrastructură digitală) care ating pragurile de cifră de afaceri sau total activ definite de DNSC. Dacă organizația dumneavoastră se încadrează în aceste criterii și operează în Romania, trebuie să efectueze o autoevaluare formală pentru a confirma statutul de entitate importantă și să notifice DNSC în termen de 6 luni de la notificarea oficială.
Trebuie să efectuați o autoevaluare documentată pentru a determina dacă compania dumneavoastră îndeplinește criteriile de entitate importantă conform Anexei II. Aceasta implică verificarea pragurilor de angajați, cifrei de afaceri și domeniului de operare. Documentul de autoevaluare trebuie păstrat și pus la dispoziția DNSC la cerere, iar dacă statutul se schimbă, modificarea trebuie raportată imediat.
Trebuie să elaborați și să implementați o politică de securitate cibernetică formală, adresând riscurile specifice ale sectorului dumneavoastră. Politica trebuie să cuprindă cel puțin: managementul accesului, protecția datelor, răspunsul la incidente și formarea angajaților. Pentru o întreprindere medie, politica poate fi concisă dar trebuie să fie proporțională cu riscurile și resursele disponibile.
Obligatoriu implementați autentificarea multifactor (MFA) pe toate conturile critice: email de afaceri, sisteme cloud, aplicații administrative. Stabiliti un program documented de patching pentru toate dispozitivele și software-ul; pentru o întreprindere medie, patching-ul trebuie efectuat în termen de 30 zile pentru vulnerabilități obișnuite și imediat pentru cele critice. Testați regulat restaurarea din backup-uri (cel puțin trimestrial) pentru a asigura integritatea acestora.
Trebuie să stabiliți o procedură formală de raportare a incidentelor cibernetice care afectează operațiunile dumneavoastră. Incidentele semnificative (pierdere de date, întrerupere de serviciu, impact asupra clienților) trebuie raportate DNSC în termen de 72 de ore de la detectare. Procedura trebuie să includă identificare, clasificare, analiză și comunicare; nominalizați o persoană responsabilă pentru coordonare.
Implementați o abordare de managementul riscului proporțională cu mărimea și complexitatea organizației dumneavoastră. Aceasta include identificarea activelor critice, evaluarea amenințărilor, aplicarea controalelor de atenuare și monitorizare continuă. Pentru o întreprindere medie, o evaluare anuală a riscurilor este suficientă; documentul trebuie să fie disponibil DNSC și actualizat la schimbări organizaționale semnificative.
Trebuie să verificați trei criterii: (1) sectorul de operare (energie, transport, apă, sănătate, alimentar, servicii financiare, infrastructură digitală), (2) numărul de angajați (50-249), și (3) pragurile de cifră de afaceri sau total activ stabilite de DNSC (de obicei între 10 și 100 milioane EUR în funcție de sector). Efectuați o autoevaluare formală și documentați concluzia; dacă răspunsul este da, notificați DNSC în termen de 6 luni.
Operatorii esențiali (Anexa I) au obligații mai stricte: designarea unui responsabil cu securitatea cibernetică, auditări independente anuale și notificări DNSC în termen de 24 de ore. Entitățile importante (Anexa II) au obligații proporționale mai ușoare: politică documentată, controale de bază de securitate și raportare în 72 de ore. Pentru o întreprindere medie, conformitatea cu Anexa II este obligatorie, dar mai simplă decât Anexa I.
Conform Legii 362/2022, neconformitatea poate atrage amenzi administrative până la 10.000 EUR pentru entități importante și poate duce la suspendarea operațiunilor în sectoare critice. Termenul final pentru conformitate integrală este 31 martie 2025 pentru evaluare și 30 iunie 2025 pentru implementare. Incidentele care nu sunt raportate în termen sunt sancționate suplimentar cu 50% din amenda de bază.