Checklist Conformitate NIS2 România: Ghid Practic pentru Companii 2026

Termenele NIS2 și Situația Actuală în România Directiva NIS2 (Network and Information Security Directive 2) a fost transpusă în legislația română prin Legea 58/2024. Companiile din sectoarele vizate trebuie să fie conforme acum - DNSC poate începe verificările și sancțiunile din 2025. Cine Este Afectat de NIS2? NIS2 se aplică organizațiilor din 18 sectoare critice: Entități Esențiale (sancțiuni până la 10M EUR): Energie (electricitate, gaze, petrol) Transport (aerian, feroviar, naval, rutier) Sănătate (spitale, laboratoare, producători medicamente) Apă potabilă și ape uzate Infrastructură digitală (DNS, cloud, data centers) Administrație publică Spațiu (operatori sateliți) Entități Importante (sancțiuni până la 7M EUR): Servicii poștale și curierat Gestionarea deșeurilor Industria chimică Industria alimentară Fabricarea de dispozitive medicale Producția industrială (electronice, mașini, vehicule) Furnizori servicii digitale (marketplace, search engines, social media) Cercetare (instituții cu infrastructură critică) Criterii de Dimensiune Se aplică companiilor cu: Peste 50 de angajați SAU Cifră de afaceri anuală peste 10 milioane EUR SAU Active totale peste 10 milioane EUR Excepție: Entitățile esențiale sunt incluse indiferent de dimensiune. Checklist Complet Conformitate NIS2 Faza 1: Evaluare și Planificare (Săptămâna 1-4) Governance și Organizare [ ] Desemnează un responsabil pentru securitate cibernetică (CISO sau echivalent) [ ] Stabilește roluri și responsabilități clare pentru security [ ] Informează managementul despre obligațiile și riscurile NIS2 [ ] Alocă buget pentru implementarea măsurilor [ ] Creează comitet de securitate cibernetică (pentru entități mari) Evaluare Inițială [ ] Realizează inventarul complet al sistemelor IT și OT [ ] Identifică activele critice și datele sensibile [ ] Mapează dependențele între sisteme [ ] Evaluează furnizorii și lanțul de aprovizionare [ ] Realizează gap analysis față de cerințele NIS2 Analiza Riscurilor [ ] Implementează metodologie de analiză risc (ISO 27005, NIST) [ ] Identifică amenințările specifice sectorului [ ] Evaluează vulnerabilitățile existente [ ] Calculează impactul potențial al incidentelor [ ] Prioritizează riscurile pentru tratament Faza 2: Măsuri Tehnice (Săptămâna 5-16) Securitatea Rețelei [ ] Implementează firewall next-generation (NGFW) [ ] Configurează segmentare rețea pentru sisteme critice [ ] Activează IDS/IPS pentru detectare intruziuni [ ] Configurează VPN securizat pentru acces remote [ ] Implementează NAC (Network Access Control) Managementul Identității [ ] Implementează autentificare multi-factor (MFA) pentru toți utilizatorii [ ] Configurează politici de parolă conforme (complexitate, rotație) [ ] Implementează Privileged Access Management (PAM) [ ] Revizuiește și curăță conturile inactive [ ] Configurează Single Sign-On (SSO) unde e posibil Protecția Endpoint-urilor [ ] Deploy-ează EDR (Endpoint Detection and Response) [ ] Configurează antivirus/antim...