Acest ghid se adresează furnizorilor de software cloud, platformelor digitale și vânzătorilor de software enterprise care deservesc clienți din Uniunea Europeană. Veți afla care sunt obligațiile specifice de conformitate NIS2, cum să implementați controale tehnice obligatorii și cum să evitați penalități pînă în octombrie 2026.
Această clasificare se aplică furnizorilor B2B SaaS și operatorilor de platforme digitale care procesează date ale clienților enterprise din UE și îndeplinesc criterii de importanță conform NIS2 — inclusiv criteriile privind numărul de utilizatori, volumul de date sau efectul asupra serviciilor digitale esențiale. Sunt cuprinși și vânzătorii de software care oferă servicii critice pentru sectoare reglementate (finanțe, sănătate, energie, transport).
Trebuie să documentați formal și să implementați controale de securitate în fiecare etapă a ciclului de dezvoltare — de la design până la deployment. Pentru platformele SaaS, aceasta include revizuiri de cod obligatorii, testare de securitate automată în CI/CD, gestionarea secretelor și izolarea mediilor (dev, staging, production). Documentația trebuie actualizată anual și disponibilă pentru auditori DNSC.
Trebuie să publicați o politică de disclosure a vulnerabilităților care să stabilească clar canalul de raportare sigur, timpii de răspuns și procesul de remediere. Pentru vulnerabilități critice în producție, SLA-ul maxim este 30 de zile; pentru cele importante, 60 de zile. Politica trebuie accesibilă public și menționată în contractele cu clienții.
Sarcina dumneavoastră este să identificați, inventariați și monitorizați toate dependențele de software terț (librării open-source, SDK-uri, componente) utilizate în produsele SaaS. Implementați scanning automated în CI/CD (Software Composition Analysis — SCA), stabiliți o frecvență de update pentru dependențe și mantineți registru formal al riscurilor cunoscute. Orice componentă cu vulnerabilități cunoscute critice trebuie remedierată în 30 de zile.
Obligatoriu să efectuați testări de penetrare tehnice ale aplicației de producție cel puțin anual, dar trebuie ca și noi moduli, API-uri sau integrări cu terți să fie testate înainte de lansare. Rezultatele testelor de penetrare trebuie documentate formal, remedierea vulnerabilităților trebuie urmărită, iar dovada remedierilor trebuie păstrată pentru audit.
Atunci când se produce o încălcare de date (breach) care afectează datele clienților enterprise, trebuie să notificați DNSC în termen de 72 ore. În același timp, trebuie să alertați imediat clienții afectați cu detalii asupra naturii breach-ului, categoriilor de date compromise și măsurilor de remediere. Trebuie să mențineti registru complet al tuturor incidentelor de securitate pe minim 3 ani.
Nu este obligatoriu accesul la codul sursă integral, dar DNSC va solicita dovezi concrete ale controalelor de securitate implementate — rapoarte de testare de penetrare, registru de vulnerabilități remediate, dovezi de scanning SCA, documentație SSDLC. Accesul la mediile de non-producție poate fi solicitat, dar detaliile tehnice interne pot rămâne confidențiale dacă sunt protejate prin acord NDA.
Conform Legii 362/2022, amenda maximă pentru entități importante este până la 10 milioane EUR sau 2,5% din cifra de afaceri anuală mondială, oricare dintre acestea este mai mare. Pentru neimplementarea obligațiilor critice (SSDLC, politică de disclosure, notificare breach) în termen pînă în octombrie 2026, amenda se aplică direct. Termenul legal de conformitate completă este 21 octombrie 2026.
Dacă țintiti numai clienți din România, sunteți supuși Legii 362/2022 și regulilor DNSC. Clasificarea ca entitate importantă depinde de criterii precum volumul de date, numărul de utilizatori și relevanța pentru serviciile digitale esențiale — nu doar locația clienților. Chiar și pentru piață locală, dacă aveți clienți din sectoare reglementate (bănci, asigurări, furnizori critici), trebuie să vă conformați plenă NIS2.