MSSP sub NIS 2 — furnizorul de securitate ca furnizor critic
Scris de Adrian P. — expert cu 31+ audituri NIS la activ
Furnizorii de servicii de securitate gestionate (MSSP) sunt în același sector Anexa I ca MSP-urile — tipic esențiali. Paradoxul: cine păzește securitatea altora devine el însuși cel mai sensibil furnizor din lanț.
MSSP = același sector Anexa I, miză și mai concentrată
Furnizorii de servicii de securitate gestionate (MSSP) intră, alături de MSP-uri, în sectorul de gestionare a serviciilor TIC (B2B) din Anexa I a cadrului NIS 2 (OUG 155/2024, aprobată prin Legea 124/2025). O entitate mijlocie/mare este, tipic, entitate ESENȚIALĂ — regimul sever, nu cel relaxat.
La un MSSP, concentrarea de risc e maximă: monitorizezi securitatea clienților, deci vezi alertele, jurnalele și vulnerabilitățile tuturor. O breșă la un MSSP se propagă către toți clienții deserviți — exact scenariul pe care responsabilitatea cumulativă din Anexa I vrea să-l prevină.
Obligațiile proprii — aceleași cerințe, standard mai înalt
Cerințele sectorului se aplică integral: izolarea mediilor de client și securizarea accesului privilegiat, monitorizare continuă și detecție a incidentelor în mediile gestionate, notificarea incidentelor către DNSC în 24 de ore, plus tot setul art. 13.
Diferența e de credibilitate: un furnizor care vinde detecție și răspuns nu-și poate permite să nu-și demonstreze propria detecție și propriul răspuns. Concentrarea accesului privilegiat la mai multe organizații și complexitatea multi-client cer dovezi, nu declarații.
Poziția în lanțul de aprovizionare al clienților (art. 13)
Pentru clienții aflați sub NIS 2, MSSP-ul este un furnizor critic prin excelență: are acces la sistemele de securitate, la jurnale și adesea la răspunsul la incidente. Cerința de securitate a lanțului de aprovizionare de la art. 13 înseamnă că fiecare client reglementat îl va evalua metodic — registru de furnizori critici, clauze de notificare, drept de audit.
Un MSSP pregătit întoarce situația în avantaj: evaluările devin oportunități de a demonstra maturitate, iar conformarea proprie devine argument de vânzare către clienții care trebuie să-și bifeze propria cerință de supply-chain.
De unde începi
Parcursul e cel standard: verificarea încadrării, notificarea la DNSC, desemnarea responsabilului cu securitatea (condițiile cumulative art. 14 pentru esențiale), evaluarea de risc ENIRE și autoevaluarea CyFun — tipic la nivelul ESENȚIAL, cu monitorizare continuă și dovezi pentru fiecare cerință.
Reține că orice încadrare estimată rămâne o estimare — doar DNSC o stabilește oficial. Punctul de plecare este pagina dedicată MSSP-urilor și fișa sectorului de servicii TIC B2B, plus o verificare rapidă a încadrării.
Nu ești sigur dacă NIS 2 ți se aplică?
Verifică-ți încadrarea și primești un cost orientativ în câteva minute — fără obligații.

