Home NIS2 > Testare de securitate > Penetrare
Conformitate NIS2

Testarea de penetrare în NIS2: Cerința legală pe care o ignori

NIS2 Article 21(2)(f) cere evaluarea anuală a măsurilor de management al riscului cibernetic prin teste de penetrare. Descoperă cum să te conformezi și ce costuri te așteptă.

Cere ofertă de test →

Ce cere exact NIS2 Article 21(2)(f) privind testarea de securitate

NIS2 Article 21(2)(f) impune operatorilor de servicii esențiale și furnizorilor de servicii digitale să implementeze politici și proceduri pentru a evalua eficacitatea măsurilor de management al riscului cibernetic. Aceasta înseamnă, în cuvinte simple: teste de penetrare anuale obligatorii ale sistemelor critice.

Directiva UE stabilește că evaluarea trebuie să fie:

  • Anuală – minimum o dată pe an fiscal;
  • Documentată – rapoartele trebuie păstrate minimum 3 ani pentru auditori;
  • Comprehensivă – să acopere sistemele și aplicațiile cu impact asupra serviciilor esențiale;
  • Independentă – efectuată de terți certificați, nu doar intern.

Companiile din România care nu implementează teste anuale de penetrare se expun la sancțiuni de până la 10 milioni EUR sau 2% din cifra de afaceri globală (a se vedea recomandările CERT-RO).

Ce implică o testare de penetrare: Proces, durată, livrabile

O testare de penetrare (pen test) este o evaluare structurată în care experți autorizați încearcă să compromită sistemele tale pentru a identifica vulnerabilități reale. Procesul se desfășoară în 4 faze:

  • Reconnaissance (1-2 zile): Colectarea informațiilor publice despre infrastructură, domenii, angajați.
  • Scanning & Enumeration (2-3 zile): Identificarea porturilor deschise, serviciilor, versiunilor software.
  • Exploitation (3-5 zile): Încercări de intrare în sisteme folosind vulnerabilități găsite.
  • Reporting & Documentation (2-3 zile): Raport detaliat cu riscuri clasificate (CVSS scores), screenshot-uri, recomandări de remediere.

Durată totală pentru SME-uri: 2-4 săptămâni (pentru scope mediu: 5-20 sisteme).

Livrabile tipice: Raport executiv (rezumat pentru management), raport tehnic detaliat (pentru IT), harta riscurilor, plan de remediere cu priorități, re-test opțional după fix-uri.

Pen testing vs. Scanning de vulnerabilități: Care-i diferența?

Confuzia între aceste două abordări este comună, dar au implicații legale diferite sub NIS2:

  • Scanning de vulnerabilități: Folosește tools automatizate (Nessus, OpenVAS, Qualys) pentru a scana sistemele și a identifica CVE-uri cunoscute. Rapid, ieftin (500-2.000 EUR), dar nu satisface cerința NIS2 de evaluare a eficacității măsurilor. Nu testează exploatabilitate reală, nu simuleaza atacuri ad-hoc, nu corelează vulnerabilități.
  • Testare de penetrare: Expert uman replicând tactici reale de atac, testând lanțuri de exploatare, eludând controale de securitate, raportând doar riscurile cu impact efectiv. Conform cerințelor NIS2. Costă mai mult (3.000-15.000 EUR pentru SME), dar e legal obligatoriu.

Concluzie NIS2: Scanningul singur nu e suficient. Trebuie test de penetrare cu expert uman care validează găsirile.

Cum alegi furnizor de penetration testing și ce să incluzi în scope

Pasul 1: Selectează furnizor certificat. Cauta acreditări: CREST (UK standard internațional), ISO 27001, OSCP/OSCE (experți individuali). Furnizori de renume în Europa: Cobalt.io (platformă crowdsourced cu pricing fix), HackerOne (bug bounty + pen tests), Synack (testers verificați), Pentest People (UK-based, ISO 27001).

Pasul 2: Defineți scope clar. Documentul de scoping trebuie să includă:

  • Perimetrul tehnic: care sisteme se testează (web apps, API-uri, infrastrucuă, rețele wireless);
  • Tip de test: black-box (fără acces intern), white-box (cu credențiale), gray-box (parțial);
  • Exclusiuni legale: sisteme cu date critice, clienți live, sisteme de producție în orar de business;
  • Perioadă: când se execută (evită downtime-uri critice);
  • Contacte: cine din echipa ta coordonează cu testerul.

Pasul 3: Negociează contract. Cerințe obligatorii: NDA (confidențialitate), liability coverage, drept de remediere (re-test după fix-uri), conformitate GDPR (dacă e testare cu date reale).

Cum funcționează Cobalt.io și platformele de Pentest-as-a-Service

Cobalt.io și platforme similare au schimbat piața testării de penetrare pentru SME-uri prin modelul crowdsourced:

  • Cum funcționează: Tu definești scope în platform. Cobalt pune taskul în fața unei comunități de 5.000+ pentesters independenți certificați. Testerul potrivit (cu experiență în tech-ul tău) se ofertează. Tu negociezi, aprobs, și testul incepe.
  • Avantaje pentru SME: Pricing transparent (€3.000-10.000 pentru scope mediu), nu trebuie aștepți săptămâni, testerul lucreaza pe bază orară sau fixed-price, poți schimba testerul ușor dacă nu e fit.
  • Calitate: Testerul e evaluat de comunitate, ratinguri publice, feedback-uri anterior. Cobalt face intake și QA pe rapoarte.
  • Timpul de execuție: 2-3 săptămâni (vs. 6-8 săptămâni la agenții tradiționale), datorită flexible resurselor.

Alternativă: HackerOne și Synack oferă modele similare. Pentru agenții tradiționale (e.g. Pentest People), durata e mai lungă, dar mai dedicate pentru contract cu SLA.

Recomandare NIS2: Pentru SME-uri din România, Cobalt.io e opțiunea cea mai accesibilă și rapidă pentru a satisface cerința anuală.

Costuri, remediere și documentare pentru auditori

Costuri tipice pentru SME-uri din România:

  • Web app / API simplu: €3.000-5.000 (1-2 săptămâni);
  • Infrastructură pe cloud (AWS, Azure): €5.000-8.000 (2-3 săptămâni);
  • Landscape mixt (app + infra + wireless): €8.000-15.000 (3-4 săptămâni);
  • Re-test după remediere: +€1.500-3.000 (1 săptămână).

Ce să faci cu raportul:

  1. Primești raport în 3-5 zile după încheierea testului.
  2. Clasifică găsirile: Critical (fix imediat), High (în 30 zile), Medium/Low (în 90 zile).
  3. Asignează vulnerabilități echipei de development; stabilește deadline-uri.
  4. După remediere, solicitări re-test (fix minim pentru riscuri Critical/High).
  5. Documentează totul: raport inițial, evidența remedierilor, re-test report, și păstrează în arhiva compliance minimum 3 ani.
  6. Furnizează raportele auditorului extern (dacă e ISMS audit) și CNCS/ANSSI (dacă ești operator serviciu esențial).

Cost anual estimat pentru SME mediu: €4.000-6.000 (test inițial + re-test).

Checklist: Pregătire pentru testul de penetrare

5 Întrebări frecvente despre NIS2 și testarea de penetrare

Da, 100%. Article 21(2)(f) impune evaluarea anual a măsurilor de management al riscului, iar testarea de penetrare cu expert uman e singura cale acceptată de auditori pentru a demonstra conformitate. Scanningul automat singur nu satisface cerința. Lipsa documentației test-urilor anuale poate atrage sancțiuni de până la 10 milioni EUR.

Minimum o dată pe an fiscal. Mulți auditori recomandă două teste anual (una de bază în Q1, una mai cuprinzătoare după schimbări majore de sistem). Pentru infrastructuri cu schimbări frecvente, unele companii fac teste trimestriale, dar cerința NIS2 e o dată pe an.

Durată: 2-4 săptămâni de execuție. Cost: €3.000-8.000 pentru test inițial (DepENDînd de complexitate), plus €1.500-3.000 pentru re-test după remediere. Total anual: €4.500-11.000. Platforme ca Cobalt.io sunt mai ieftine și rapide decât agenții tradiționale.

Testul trebuie să aibă clauze de escaladare. De obicei, testerul te notifică imediat prin canal secure. Tu ai 24-48 ore să hotărăști dacă vrei să continue testul. Vulnerabilitățile Critice (riscul ca acces neautorizat la date) trebuie remediate în maxim 7-14 zile. Documentează remedierea pentru audit.

Legal, nu. Scanning automat (Nessus, Qualys) e complement, nu înlocuitor. Auditorul NIS2 va refuza un scanning singur ca dovadă de conformitate cu 21(2)(f). Testarea de penetrare cu expert uman e obligatorie pentru a valida faptul că vulnerabilitățile sunt real exploatabile și măsurile de control funcționează.

Programează testul tău de penetrare NIS2 astazi

Cerința anuală de test de penetrare e obligatorie sub NIS2. Sloturi de execuție se umple rapid – companii care așteaptă până în Q3/Q4 se confruntă cu așteptări de 8-12 săptămâni. Contactează furnizor certificat acum, chiar dacă executarea e peste 4 săptămâni. Cost estimat: €4.000-6.000 anual pentru SME.

Cere ofertă de test acum