Servicii poștale și de curierat sub NIS 2 — Anexa II, tracking, API și GDPR
Scris de Adrian P. — expert cu 31+ audituri NIS la activ
Serviciile poștale și de curierat sunt în Anexa II. Platformele de tracking, API-urile cu partenerii și datele clienților fac suprafața de atac. Iată obligațiile reale și punctele sensibile.
Poșta și curieratul sunt în Anexa II
Serviciile de livrare și distribuție poștală la nivel național și internațional — poșta și curieratul — sunt listate ca sector critic în Anexa II a cadrului NIS 2 (OUG 155/2024, aprobată prin Legea 124/2025). O entitate mijlocie sau mare de aici se încadrează, tipic, ca entitate IMPORTANTĂ.
Ca la orice sector din Anexa II, statutul de esențială nu se atinge doar din poziția în listă. Regimul e ceva mai relaxat decât pentru Anexa I (de exemplu, condițiile cumulative pentru CISO nu se aplică), dar obligațiile de fond rămân.
Suprafața de atac: tracking, API, date clienți
Spre deosebire de sectoarele cu OT industrial, riscul din curierat e digital-nativ. Prima cerință specifică este securizarea platformelor de tracking și a sistemelor logistice — inima operațiunii. A doua: securizarea API-urilor de integrare cu partenerii și marketplace-urile, prin care circulă comenzi și date.
A treia, ușor de subestimat: protecția datelor cu caracter personal ale clienților, unde NIS 2 se suprapune cu GDPR. Adrese, telefoane, istoricul livrărilor — un incident aici lovește în două regimuri de conformitate simultan. Incidentele semnificative se notifică ex-post către DNSC.
Provocările operaționale
Trei provocări tipice complică securitatea: volumele tranzacționale mari și sezonalitatea accentuată (vârfuri care testează sistemele), integrările cu terți — logistică externalizată greu de auditat — și rețeaua distribuită de hub-uri și puncte de livrare.
Aici, securitatea lanțului de aprovizionare (cerință de la art. 13) nu e teorie: partenerii de logistică și marketplace fac parte din suprafața ta de atac. Un registru al furnizorilor critici și clauze contractuale de notificare sunt punctul de plecare.
De unde începi
Ordinea pașilor rămâne aceeași: verifici încadrarea (sector + dimensiune), notifici DNSC, desemnezi responsabilul cu securitatea, faci evaluarea de risc și autoevaluarea CyFun. Nivelul concret al cerințelor rezultă din evaluarea de risc — firmele mici pornesc tipic de la nivelul de BAZĂ.
Reține că orice încadrare estimată rămâne o estimare — doar DNSC o stabilește oficial. Cel mai clar punct de plecare este pagina dedicată curieratului și fișa sectorială, plus o verificare rapidă a încadrării.
Nu ești sigur dacă NIS 2 ți se aplică?
Verifică-ți încadrarea și primești un cost orientativ în câteva minute — fără obligații.

