Sari la conținutul principal
Toate articolele
Legal & cadru 2026-06-30 · 7 min

Servicii poștale și de curierat sub NIS 2 — Anexa II, tracking, API și GDPR

Scris de Adrian P. — expert cu 31+ audituri NIS la activ

Serviciile poștale și de curierat sunt în Anexa II. Platformele de tracking, API-urile cu partenerii și datele clienților fac suprafața de atac. Iată obligațiile reale și punctele sensibile.

Poșta și curieratul sunt în Anexa II

Serviciile de livrare și distribuție poștală la nivel național și internațional — poșta și curieratul — sunt listate ca sector critic în Anexa II a cadrului NIS 2 (OUG 155/2024, aprobată prin Legea 124/2025). O entitate mijlocie sau mare de aici se încadrează, tipic, ca entitate IMPORTANTĂ.

Ca la orice sector din Anexa II, statutul de esențială nu se atinge doar din poziția în listă. Regimul e ceva mai relaxat decât pentru Anexa I (de exemplu, condițiile cumulative pentru CISO nu se aplică), dar obligațiile de fond rămân.

Suprafața de atac: tracking, API, date clienți

Spre deosebire de sectoarele cu OT industrial, riscul din curierat e digital-nativ. Prima cerință specifică este securizarea platformelor de tracking și a sistemelor logistice — inima operațiunii. A doua: securizarea API-urilor de integrare cu partenerii și marketplace-urile, prin care circulă comenzi și date.

A treia, ușor de subestimat: protecția datelor cu caracter personal ale clienților, unde NIS 2 se suprapune cu GDPR. Adrese, telefoane, istoricul livrărilor — un incident aici lovește în două regimuri de conformitate simultan. Incidentele semnificative se notifică ex-post către DNSC.

Provocările operaționale

Trei provocări tipice complică securitatea: volumele tranzacționale mari și sezonalitatea accentuată (vârfuri care testează sistemele), integrările cu terți — logistică externalizată greu de auditat — și rețeaua distribuită de hub-uri și puncte de livrare.

Aici, securitatea lanțului de aprovizionare (cerință de la art. 13) nu e teorie: partenerii de logistică și marketplace fac parte din suprafața ta de atac. Un registru al furnizorilor critici și clauze contractuale de notificare sunt punctul de plecare.

De unde începi

Ordinea pașilor rămâne aceeași: verifici încadrarea (sector + dimensiune), notifici DNSC, desemnezi responsabilul cu securitatea, faci evaluarea de risc și autoevaluarea CyFun. Nivelul concret al cerințelor rezultă din evaluarea de risc — firmele mici pornesc tipic de la nivelul de BAZĂ.

Reține că orice încadrare estimată rămâne o estimare — doar DNSC o stabilește oficial. Cel mai clar punct de plecare este pagina dedicată curieratului și fișa sectorială, plus o verificare rapidă a încadrării.

Curierat sub NIS 2
CurieratPoștăAnexa IIGDPR

Nu ești sigur dacă NIS 2 ți se aplică?

Verifică-ți încadrarea și primești un cost orientativ în câteva minute — fără obligații.

Începe verificarea
NEWSLETTER

Primește pe e-mail ghidurile NIS 2 — 1-2 pe lună, fără spam

Articole practice despre încadrare, DNSC, CyFun și costuri. Direct în inbox.

Pregătit pentru conformitate reală?

Sună direct un expert cu peste 31 de audituri NIS la activ — iar dacă nu răspunde, revine el în maximum 24 de ore.