Sari la conținutul principal
Toate articolele
Operare & incidente 2026-06-11 · 9 min

Măsurile tehnice NIS 2 (art. 13) — cerințele, pe înțelesul conducerii

Scris de Adrian P. — expert cu 31+ audituri NIS la activ

Art. 13 listează categoriile minime de măsuri de securitate pe care trebuie să le acoperi: de la analiza de risc și criptografie la lanțul de aprovizionare și MFA. Iată ce înseamnă fiecare, fără jargon.

De ce e util să știi lista

Multe firme văd „măsuri tehnice NIS 2” ca pe o cutie neagră pe care o rezolvă „băieții de la IT”. Dar art. 13 din OUG 155/2024 listează explicit categoriile minime de măsuri, iar conducerea trebuie să le aprobe prin politici. Ca administrator, nu-ți trebuie detaliul de implementare, dar îți trebuie harta — ca să știi ce aprobi și ce bugetezi.

Aceste măsuri sunt cerute de art. 11 (obligația generală de a lua măsuri proporționale) și detaliate de art. 13. Nivelul concret al fiecăreia se calibrează prin cadrul CyFun, în funcție de nivelul tău de risc.

Fundația: analiza de risc și securitatea informației

Prima categorie sunt politicile de analiză a riscurilor și de securitate a sistemelor informatice. Practic, o organizație care nu știe ce active are și ce riscuri le amenință nu are cum să prioritizeze restul. De aici pornesc inventarele (active, riscuri) și politica-umbrelă de securitate, aprobată de conducere.

Tot aici intră evaluarea eficacității măsurilor — nu e suficient să implementezi, trebuie să și verifici că funcționează.

Protecția: criptografie, acces, resurse umane

Art. 13 cere criptografie (protecția datelor în tranzit și în repaus), controlul accesului și gestionarea activelor, plus securitatea resurselor umane. O măsură subliniată separat este autentificarea multifactor (MFA) și autentificarea continuă — printre cele mai eficiente controale împotriva accesului neautorizat.

În aceeași zonă intră securitatea achiziției, dezvoltării și întreținerii sistemelor — cum te asiguri că introduci securitate de la început, nu o lipești la final.

Reziliența: incidente, continuitate, lanț de aprovizionare

Trei categorii țin de „ce faci când lucrurile merg prost”. Gestionarea incidentelor (detectare, răspuns, raportare). Continuitatea activității — backup, planuri de recuperare (DRP), gestionarea crizelor; pentru entitățile esențiale, discuția merge până la backup imutabil și continuitate testată.

Și securitatea lanțului de aprovizionare — riscurile nu vin doar din interior. Furnizorii tăi de IT, mentenanță sau OT sunt parte din suprafața ta de atac, iar art. 13 cere să gestionezi acest risc explicit.

Oamenii: igiena cibernetică și formarea

Ultima piesă, adesea subestimată, sunt igiena cibernetică și formarea. Cele mai bune controale tehnice cad dacă oamenii nu știu să le folosească sau dau click pe orice. Formarea nu e opțională — se aplică inclusiv conducerii.

Pusă cap la cap, lista art. 13 devine planul de implementare. Ce nu ai încă = deficiență de acoperit până la audit. Ca să vezi exact ce cerințe îți revin în funcție de nivel, cel mai simplu e să pornești de la o verificare a încadrării și a nivelului de risc.

Anexa tehnică detaliată
art. 13Măsuri tehniceCyFunPolitici

Nu ești sigur dacă NIS 2 ți se aplică?

Verifică-ți încadrarea și primești un cost orientativ în câteva minute — fără obligații.

Începe verificarea
NEWSLETTER

Primește pe e-mail ghidurile NIS 2 — 1-2 pe lună, fără spam

Articole practice despre încadrare, DNSC, CyFun și costuri. Direct în inbox.

Pregătit pentru conformitate reală?

Sună direct un expert cu peste 31 de audituri NIS la activ — iar dacă nu răspunde, revine el în maximum 24 de ore.