Măsurile tehnice NIS 2 (art. 13) — cerințele, pe înțelesul conducerii
Scris de Adrian P. — expert cu 31+ audituri NIS la activ
Art. 13 listează categoriile minime de măsuri de securitate pe care trebuie să le acoperi: de la analiza de risc și criptografie la lanțul de aprovizionare și MFA. Iată ce înseamnă fiecare, fără jargon.
De ce e util să știi lista
Multe firme văd „măsuri tehnice NIS 2” ca pe o cutie neagră pe care o rezolvă „băieții de la IT”. Dar art. 13 din OUG 155/2024 listează explicit categoriile minime de măsuri, iar conducerea trebuie să le aprobe prin politici. Ca administrator, nu-ți trebuie detaliul de implementare, dar îți trebuie harta — ca să știi ce aprobi și ce bugetezi.
Aceste măsuri sunt cerute de art. 11 (obligația generală de a lua măsuri proporționale) și detaliate de art. 13. Nivelul concret al fiecăreia se calibrează prin cadrul CyFun, în funcție de nivelul tău de risc.
Fundația: analiza de risc și securitatea informației
Prima categorie sunt politicile de analiză a riscurilor și de securitate a sistemelor informatice. Practic, o organizație care nu știe ce active are și ce riscuri le amenință nu are cum să prioritizeze restul. De aici pornesc inventarele (active, riscuri) și politica-umbrelă de securitate, aprobată de conducere.
Tot aici intră evaluarea eficacității măsurilor — nu e suficient să implementezi, trebuie să și verifici că funcționează.
Protecția: criptografie, acces, resurse umane
Art. 13 cere criptografie (protecția datelor în tranzit și în repaus), controlul accesului și gestionarea activelor, plus securitatea resurselor umane. O măsură subliniată separat este autentificarea multifactor (MFA) și autentificarea continuă — printre cele mai eficiente controale împotriva accesului neautorizat.
În aceeași zonă intră securitatea achiziției, dezvoltării și întreținerii sistemelor — cum te asiguri că introduci securitate de la început, nu o lipești la final.
Reziliența: incidente, continuitate, lanț de aprovizionare
Trei categorii țin de „ce faci când lucrurile merg prost”. Gestionarea incidentelor (detectare, răspuns, raportare). Continuitatea activității — backup, planuri de recuperare (DRP), gestionarea crizelor; pentru entitățile esențiale, discuția merge până la backup imutabil și continuitate testată.
Și securitatea lanțului de aprovizionare — riscurile nu vin doar din interior. Furnizorii tăi de IT, mentenanță sau OT sunt parte din suprafața ta de atac, iar art. 13 cere să gestionezi acest risc explicit.
Oamenii: igiena cibernetică și formarea
Ultima piesă, adesea subestimată, sunt igiena cibernetică și formarea. Cele mai bune controale tehnice cad dacă oamenii nu știu să le folosească sau dau click pe orice. Formarea nu e opțională — se aplică inclusiv conducerii.
Pusă cap la cap, lista art. 13 devine planul de implementare. Ce nu ai încă = deficiență de acoperit până la audit. Ca să vezi exact ce cerințe îți revin în funcție de nivel, cel mai simplu e să pornești de la o verificare a încadrării și a nivelului de risc.
Nu ești sigur dacă NIS 2 ți se aplică?
Verifică-ți încadrarea și primești un cost orientativ în câteva minute — fără obligații.

