Incidentul semnificativ sub NIS 2: când raportezi, cum raportezi și cum îl corelezi cu managementul crizelor
Scris de Adrian P. — expert cu 31+ audituri NIS la activ
Raportarea unui incident semnificativ nu e un formular separat de restul crizei. Fluxul 24h/72h/o lună prin PNRISC și decizia de a opri, izola sau comunica intern curg din același eveniment — dacă le tratezi separat, pierzi timp exact când nu ai timp.
Ce este un „incident semnificativ” — fără praguri inventate
NIS 2 nu cere raportarea oricărui eveniment de securitate, ci a incidentelor semnificative — cele cu impact perturbator real asupra prestării serviciilor tale sau cu potențial de pierderi financiare/prejudicii considerabile pentru alții. Obligația e la art. 15 din OUG 155/2024 (aprobată prin Legea 124/2025): entitățile esențiale și importante raportează, fără întârzieri nejustificate, orice incident cu impact semnificativ asupra prestării serviciilor lor.
Site-ul nu inventează un prag numeric universal — pragul concret de „ce raportezi” se stabilește intern, pe procedura ta de răspuns la incidente, corelat cu criteriile de impact din cadrul legal. Ce contează practic: trebuie să știi ÎNAINTE de un incident cum arată pragul tău, nu să-l improvizezi în timpul lui.
Fluxul de raportare: 24h avertizare, 72h raport, o lună raport final
Odată ce ai un incident semnificativ, art. 15 alin. (7) fixează trei ferestre, toate prin platforma națională de raportare a incidentelor de securitate cibernetică (PNRISC): o avertizare timpurie în cel mult 24 de ore de la momentul în care iei cunoștință de incident — o alertă scurtă, nu o analiză completă; o raportare a incidentului în cel mult 72 de ore, cu evaluarea inițială (natură, impact, măsuri luate) și, la cerere, un raport intermediar; un raport final în cel mult o lună, cu analiza completă și lecțiile învățate.
Aceleași termene apar ca proces continuu, obligatoriu pentru toate entitățile conformate (nu doar cele aflate încă în etapa inițială) — alături de autoevaluarea anuală de maturitate CyFun, revizuirea politicilor și managementul vulnerabilităților. Raportarea incidentelor nu e o obligație „de o dată”, ci una operațională, permanentă, cât timp ești sub NIS 2.
Raportarea NU e un exercițiu birocratic separat
Aici e greșeala tipică: tratarea celor trei termene ca pe un formular administrativ, rupt de restul răspunsului la incident. În realitate, ceasul de 24 de ore pornește exact în momentul în care echipa ta ia decizii critice — oprești sistemul afectat sau îl izolezi? Comunici intern către conducere și angajați? Ai nevoie de o decizie de business urgentă (oprire producție, notificare clienți)? Toate curg din același eveniment, în paralel, nu secvențial.
Un plan de răspuns la incidente bine construit tratează avertizarea de 24h ca pe UN PAS din cronologia răspunsului, nu ca pe o corvoadă separată de completat după ce „focul a fost stins”. Cine are deja definit cine decide, cine comunică și cine raportează — înainte de incident — execută cele trei ferestre fără să piardă timp pe coordonare internă tocmai atunci când timpul contează cel mai mult.
Continuitatea afacerii: BCP/DRP nu sunt un capitol separat de raportare
Măsurile de gestionare a riscurilor de la art. 13 includ explicit continuitatea — backup, planuri de recuperare în caz de dezastru (DRP) și gestionarea crizelor, alături de securitatea rețelelor. Un incident semnificativ care obligă la avertizare în 24h e, de cele mai multe ori, exact momentul în care planul de continuitate a afacerii (BCP) și DRP-ul trebuie activate: decizia de a comuta pe sisteme de rezervă, de a restaura din backup sau de a opri temporar un serviciu afectează direct ce raportezi la ora 24 și ce vei descrie în raportul final de la o lună.
Dacă BCP/DRP există doar pe hârtie, testate rar sau deloc, raportul final devine o narațiune fără dovezi — exact ce se cere la un control DNSC. Dacă sunt testate și integrate în procedura de răspuns, cele trei rapoarte se scriu aproape singure, pe baza jurnalului de decizii pe care echipa deja îl ține în timpul crizei.
De unde pornești: procedura, nu criza
Concluzia practică e simplă de spus și greu de amânat: procedura de răspuns la incidente, planul de comunicare (internă și externă) și fluxul de raportare prin PNRISC trebuie scrise, atribuite pe responsabili și testate ÎNAINTE de primul incident semnificativ. Raportarea nu e o corvoadă administrativă adăugată la final — e coloana vertebrală a modului în care organizația ta reacționează sub presiune.
Dacă vrei fluxul complet de termene (24h/72h/o lună) explicat pas cu pas, cu textul legii și acțiunile concrete, pornește de la articolul dedicat raportării incidentelor. Iar dacă nu ești sigur ce set de obligații continue — inclusiv raportarea — îți revine în funcție de încadrare și nivel, cel mai simplu e să verifici întâi încadrarea.
Nu ești sigur dacă NIS 2 ți se aplică?
Verifică-ți încadrarea și primești un cost orientativ în câteva minute — fără obligații.

