Sari la conținutul principal
Toate articolele
Operare & incidente 2026-05-24 · 9 min

Supply-chain NIS 2 — cum evaluezi practic furnizorii MSP/MSSP

Scris de Adrian P. — expert cu 31+ audituri NIS la activ

Securitatea lanțului de aprovizionare este o cerință explicită NIS 2. Riscul nu vine doar din interior — furnizorii tăi IT, MSP și MSSP fac parte din suprafața ta de atac. Iată cum îi evaluezi metodic.

De ce e furnizorul o problemă de securitate

Un furnizor care îți administrează serverele, îți găzduiește datele sau îți întreține sistemele OT are acces la infrastructura ta. Din perspectiva unui atacator, el este o poartă. De aceea securitatea lanțului de aprovizionare este o cerință explicită sub NIS 2 (art. 13) — nu poți fi conform doar în interior dacă ușile de la furnizori sunt deschise.

Cerința se aplică tuturor furnizorilor relevanți pentru securitate: MSP (Managed Service Providers), MSSP (Managed Security Service Providers), furnizori de cloud, de echipamente și de mentenanță OT.

Primul pas: un registru al furnizorilor critici

Nu poți gestiona ce nu ai inventariat. Primul pas practic este un registru al furnizorilor critici: cine sunt, la ce au acces, ce date ating, ce servicii îți asigură. Fără această listă, evaluarea de risc pe lanțul de aprovizionare rămâne o intenție.

Registrul te ajută și la prioritizare: nu toți furnizorii au același nivel de risc. Cel care îți ține backupul contează altfel decât cel care livrează consumabile.

Due diligence: întrebările care contează

Evaluarea unui furnizor înseamnă întrebări concrete: are politici de securitate documentate? Cum gestionează accesul angajaților lui la sistemele tale? Notifică breșele și în cât timp? Folosește sub-prelucrători și, dacă da, cum îi controlează? Are propriile controale (MFA, monitorizare, backup)?

Nu e nevoie să reinventezi chestionarul de fiecare dată. Un set standardizat de întrebări, scalat pe nivelul de risc al furnizorului, face evaluarea repetabilă și comparabilă.

Clauzele contractuale obligatorii

Evaluarea trebuie să se reflecte în contract. Clauzele care contează: dreptul de audit, obligația de notificare a incidentelor și breșelor într-un termen definit, controlul asupra sub-prelucrătorilor, cerințe minime de securitate și mecanisme de reziliere dacă furnizorul nu se conformează.

Un contract fără aceste clauze te lasă expus: dacă furnizorul are un incident care te afectează, tu rămâi cu obligația de raportare către DNSC, dar fără pârghii asupra sursei.

Fă-l un proces, nu un eveniment

Securitatea lanțului de aprovizionare nu e un bifat o dată. E un proces continuu — reevaluezi furnizorii periodic, la reînnoirea contractelor și când apar schimbări. Se leagă direct de gestionarea riscurilor și de măsurile tehnice cerute la implementare.

Dacă vrei să vezi cum se încadrează cerința de supply-chain în ansamblul obligațiilor tale, cel mai simplu e să pornești de la o verificare a încadrării și să urmărești ce cerințe CyFun îți revin la nivelul tău.

Implementarea cerințelor CyFun
Supply chainMSPMSSPFurnizori

Nu ești sigur dacă NIS 2 ți se aplică?

Verifică-ți încadrarea și primești un cost orientativ în câteva minute — fără obligații.

Începe verificarea
NEWSLETTER

Primește pe e-mail ghidurile NIS 2 — 1-2 pe lună, fără spam

Articole practice despre încadrare, DNSC, CyFun și costuri. Direct în inbox.

Pregătit pentru conformitate reală?

Sună direct un expert cu peste 31 de audituri NIS la activ — iar dacă nu răspunde, revine el în maximum 24 de ore.