Sari la conținutul principal
Toate articolele
Instrumente & tooling 2026-06-23 · 7 min

Evidence pack CyFun — cum arată un dosar de dovezi „audit-ready”

Scris de Adrian P. — expert cu 31+ audituri NIS la activ

La un control DNSC, nu contează ce ai făcut, ci ce poți dovedi. Un evidence pack bine structurat leagă fiecare cerință de dovada ei. Iată cum arată un dosar pe care un auditor îl citește rapid.

Ce poți dovedi, nu ce ai făcut

Autoritatea poate iniția controale și audituri pe entitățile clasificate. În fața unui auditor, distincția crucială nu e între „am făcut” și „n-am făcut”, ci între „pot dovedi” și „nu pot dovedi”. O măsură implementată impecabil, dar fără dovadă, arată la fel ca una inexistentă.

Evidence pack-ul este dosarul care transformă munca ta în conformitate demonstrabilă. Autoevaluarea CyFun cere, pentru fiecare cerință, justificare scrisă — evidence pack-ul este locul unde acele justificări trăiesc, organizate.

Principiul de bază: maparea cerință → dovadă

Structura care funcționează pornește de la cadrul CyFun în sine: cele 6 funcții (Guvernare, Identificare, Protecție, Detectare, Răspuns, Recuperare) și cerințele lor. Pentru fiecare cerință, dosarul indică exact ce dovadă o susține — o politică, un screenshot de configurare, un jurnal, un proces-verbal, un raport.

Un auditor care poate merge de la o cerință direct la dovada ei parcurge dosarul în minute. Unul care trebuie să caute dovada prin foldere își pierde încrederea în tot ansamblul.

Ce intră într-un dosar bun

Tipic: politicile aprobate de conducere, inventarele (active, riscuri, furnizori, incidente, vulnerabilități), procedurile operaționale, dovezile de configurare (MFA activat, backup testat, monitorizare activă), înregistrările de formare, procesele-verbale ale ședințelor de conducere și rapoartele (ENIRE, CyFun, plan de remediere).

Măsurile-cheie obligatorii merită o atenție separată — sunt neexceptabile și un auditor le va căuta întâi. Dovada pentru ele nu poate lipsi.

Convenții care fac diferența

Detaliile plictisitoare sunt cele care conving: denumiri de fișiere consecvente, versionare clară, date și semnături, capturi de ecran valide (nu tăiate sau ilizibile). Un dosar coerent semnalează o organizație care operează securitatea, nu una care a produs hârtii pentru control.

Anti-pattern-uri comune: dovezi generice fără legătură cu cerința, screenshot-uri fără dată, politici nesemnate, versiuni contradictorii ale aceluiași document.

Construiește dosarul din mers

Cel mai bun evidence pack nu se asamblează în noaptea de dinaintea auditului — se construiește pe măsură ce implementezi. Fiecare cerință acoperită își depune dovada în dosar, la momentul potrivit. Așa, audit-readiness devine o stare, nu o cursă.

Dacă vrei să știi ce cerințe (și deci ce dovezi) îți revin la nivelul tău, cel mai simplu punct de plecare este o verificare a încadrării și a nivelului de risc.

Implementarea cerințelor CyFun
Evidence packAuditCyFunDovezi

Nu ești sigur dacă NIS 2 ți se aplică?

Verifică-ți încadrarea și primești un cost orientativ în câteva minute — fără obligații.

Începe verificarea
NEWSLETTER

Primește pe e-mail ghidurile NIS 2 — 1-2 pe lună, fără spam

Articole practice despre încadrare, DNSC, CyFun și costuri. Direct în inbox.

Pregătit pentru conformitate reală?

Sună direct un expert cu peste 31 de audituri NIS la activ — iar dacă nu răspunde, revine el în maximum 24 de ore.