MSP sub NIS 2 — de ce furnizorii de servicii gestionate sunt vizați direct
Scris de Adrian P. — expert cu 31+ audituri NIS la activ
Serviciile TIC gestionate (MSP) sunt un sector propriu în Anexa I — entități tipic esențiale. Motivul: o breșă la un MSP se propagă la toți clienții deserviți. Iată obligațiile și efectul de lanț.
MSP-urile au propriul sector — în Anexa I
Mulți furnizori de servicii IT gestionate cred că NIS 2 e problema clienților lor. E invers: gestionarea serviciilor TIC (B2B) este un sector de sine stătător în Anexa I a cadrului NIS 2 (OUG 155/2024, aprobată prin Legea 124/2025) — alături de energie și sănătate, nu în Anexa II. O entitate mijlocie/mare de aici este, tipic, entitate ESENȚIALĂ.
Rațiunea este concentrarea: un MSP administrează sistemele mai multor organizații simultan. O breșă la un MSP afectează toți clienții deserviți — responsabilitatea cumulativă care justifică regimul sever.
Obligațiile proprii ale unui MSP
Prima cerință specifică: izolarea mediilor de client și securizarea accesului privilegiat. Conturile de administrare pe care un MSP le deține la clienți sunt exact ținta unui atacator — compromiterea lor deschide toate ușile deodată.
Urmează monitorizarea continuă și detecția incidentelor în mediile gestionate, plus notificarea incidentelor către DNSC în 24 de ore — regimul rapid al sectoarelor de înaltă criticitate. Peste toate, măsurile generale de la art. 13: politici de risc, criptografie, MFA, continuitate.
Efectul de lanț asupra clienților
Cerința de supply-chain de la art. 13 face ca fiecare client aflat sub NIS 2 să-și evalueze furnizorii critici — iar serviciile gestionate SUNT un risc de supply-chain pentru clienți, prin definiție. Chestionare de securitate, clauze de notificare a breșelor, drept de audit: un MSP le va primi de la fiecare client reglementat.
Asta transformă conformarea într-un avantaj competitiv: MSP-ul care își poate dovedi securitatea trece evaluările clienților; cel care nu poate devine furnizorul pe care clienții îl înlocuiesc. Complexitatea gestionării multi-client face documentarea cu atât mai importantă.
De unde începe un MSP
Secvența e cea standard — verificarea încadrării, notificarea la DNSC, desemnarea responsabilului cu securitatea (cu condițiile cumulative de la art. 14 pentru esențiale), evaluarea de risc și autoevaluarea CyFun — dar miza e dublă: conformarea proprie plus dovezile pe care le cer clienții.
Reține că orice încadrare estimată rămâne o estimare — doar DNSC o stabilește oficial. Punctul de plecare este pagina dedicată MSP-urilor și fișa sectorului de servicii TIC B2B, plus o verificare rapidă a încadrării.
Nu ești sigur dacă NIS 2 ți se aplică?
Verifică-ți încadrarea și primești un cost orientativ în câteva minute — fără obligații.

