Sari la conținutul principal
REMILT SECURE
DOCUMENT TEHNIC · CONFIDENȚIAL

Anexă tehnică detaliată — cum livrăm pachetele.

Anexă tehnică la pachetul-cadru de servicii de conformare NIS2 — metodologia REMILT, checklist-uri, structuri de echipă, lista de referință pentru politici, proceduri, planuri și registre. Aliniat cu OUG 155/2024, Legea 124/2025, Ordinele DNSC 1/2025 și 2/2025, CyberFundamentals (CyFun), ISO 27001, NIST CSF 2.0 și C-CSRM.

MetodologiePachet 1Pachet 2Pachet 3Pachete 4 & 5ReferințeLogica prețurilor
CONFIDENȚIAL · DOCUMENT TEHNIC INTERN
01 · METODOLOGIA GENERALĂ DE LUCRU

Claritate, trasabilitate, defensibilitate

Modelul nostru de lucru este orientat pe trei principii: fiecare concluzie importantă trebuie să poată fi explicată, susținută și — la nevoie — demonstrată în fața DNSC sau a oricărui auditor terț.

PRINCIPII DE LUCRU
  • Evaluarea urmărește starea actuală — nu intențiile sau planurile viitoare
  • Scorurile și concluziile trebuie susținute de documente, dovezi și informații verificabile
  • Lipsa documentației sau a dovezilor reduce nivelul demonstrabil de maturitate
  • Diferențele dintre documentare și implementare se analizează explicit
  • Rezultatele se transformă în decizii și acțiuni — nu doar în rapoarte
METODOLOGIA PE 6 ETAPE

Etapele oricărui proiect REMILT

ETAPA 01

Kick-off

ACTIVITĂȚI
Aliniere obiective, definire scope, plan de lucru
PARTICIPANȚI
Management · PM REMILT · Expert REMILT
OUTPUT
Plan de proiect, matrice RACI
ETAPA 02

Colectare

ACTIVITĂȚI
Chestionare, cerere documente, accesare sisteme
PARTICIPANȚI
IT · Juridic · Operațional · HR
OUTPUT
Dosar de informații inițial
ETAPA 03

Workshop-uri

ACTIVITĂȚI
Sesiuni 2-4h per domeniu, interviuri structurate
PARTICIPANȚI
Multidisciplinar
OUTPUT
Minute, răspunsuri validate
ETAPA 04

Analiză

ACTIVITĂȚI
Evaluare, scorare, corelare, interpretare
PARTICIPANȚI
Expert REMILT
OUTPUT
Drafturi intermediare
ETAPA 05

Revizuire

ACTIVITĂȚI
Verificare consistență, feedback loops
PARTICIPANȚI
Beneficiar + REMILT
OUTPUT
Drafturi revizuite
ETAPA 06

Predare

ACTIVITĂȚI
Prezentare finală, handover, suport transmitere
PARTICIPANȚI
Management + REMILT
OUTPUT
Livrabile finale, evidence pack
MATRICEA RACI TIPICĂ

Cine face ce, în fiecare activitate

RResponsible

Execută activitatea. Persoana sau echipa care face efectiv munca.

AAccountable

Aprobă și răspunde. Persoana cu autoritatea finală pentru rezultat.

CConsulted

Consultat. Furnizează informații, expertiză sau opinii înainte/în timpul activității.

IInformed

Informat. Primește notificări despre progres sau rezultate, fără participare activă.

ACTIVITATE
REMILT EXPERT
REMILT PM
CLIENT IT
CLIENT MGMT
Colectare date
R
A
C/I
I
Workshop evaluare
R
A
C
I
Analiza GAP
R/A
C
I
I
Evaluare risc
R
A
C
I
Plan de remediere
R
A
C
A
Aprobare livrabile
C
C
C
R/A
Transmitere DNSC
C
I
R
A
02 · PACHET 1 — CONFORMARE INIȚIALĂ

Documente de la beneficiar și logica de preț

CHECKLIST DOCUMENTE SOLICITATE
  • Certificat constatator / date de identificare companie
  • Structură societară și date despre dimensiune
  • CAEN principal și secundar
  • Lista serviciilor furnizate și descrierea lor operațională
  • Organigramă și persoane-cheie
  • Date privind numărul de utilizatori / clienți / persoane afectabile
  • Informații despre locații, infrastructură, procese critice și dependențe
  • Politici și proceduri existente (dacă există)
  • Inventar de active sau evidențe IT/OT existente
  • Registre de incidente, riscuri, furnizori (dacă există)
  • Documente privind continuitatea activității, backup, acces, patching, monitorizare
  • Dovezi de implementare: capturi, extrase configurare, rapoarte, jurnale, traininguri
LOGICA DIFERENȚIERII DE PREȚ P1

Deși unele activități au volum relativ apropiat indiferent de dimensiunea companiei, prețul reflectă:

  • Complexitatea operațională
  • Numărul de servicii și dependențe analizate
  • Volumul de documente și interviuri
  • Numărul de validări interne necesare
  • Expunerea juridică și nivelul de formalizare cerut de management
03 · PACHET 2 — AUDIT MATURITATE

Metodologia analizei riscului și excepțiile justificate

METODOLOGIA DE ANALIZĂ A RISCULUI
  • Identificarea serviciilor și proceselor relevante pentru organizație
  • Identificarea activelor, sistemelor, datelor și dependențelor
  • Evaluarea amenințărilor, vulnerabilităților și condițiilor de expunere
  • Estimarea impactului operațional, juridic, reputațional, continuitate
  • Evaluarea controalelor existente și a gradului lor de funcționare
  • Determinarea riscului rezidual și a măsurilor suplimentare necesare
  • Corelarea cu cerințele NIS2 și nivelul de asigurare aplicabil

Rezultatul nu este doar un registru de riscuri, ci o imagine holistică a modului în care organizația își poate asuma, trata, transfera, evita sau accepta anumite riscuri — în acord cu capacitatea sa operațională.

STRUCTURA EXCEPȚIILOR JUSTIFICATE

Pentru fiecare cerință care nu poate fi îndeplinită la termen, REMILT documentează excepția cu următoarele elemente:

Cerința neîndeplinită
Referință CyFun + explicație detaliată
Justificare operațională
De ce nu poate fi îndeplinită în termen
Măsură compensatorie
Ce control alternativ există sau se implementează
Risc rezidual
Evaluare impact și probabilitate rămase
Termen de revizuire
Data la care se reevaluează excepția
Aprobare
Semnătura/decizia conducerii
04 · PACHET 3 — IMPLEMENTARE CyFun-NIS2

Modelul pe trei straturi și liste de referință

MODELUL DE IMPLEMENTARE PE 3 STRATURI
STRATUL 01

Evergreen

TIP
Documente stabile
FRECVENȚĂ
Anual / la schimbări majore
EXEMPLE
Politici, metodologii, standarde, RACI
STRATUL 02

Operative

TIP
Registre și inventare
FRECVENȚĂ
Curent / periodic
EXEMPLE
Inventar active, registru riscuri, incidente
STRATUL 03

Dovezi

TIP
Metrici și auditabilitate
FRECVENȚĂ
Continuu
EXEMPLE
Rapoarte testare, KPI, minute, jurnale
LISTE DE REFERINȚĂ

Politici, proceduri, planuri, registre, utilitare

Listele sunt orientative și servesc ca referință. Conținutul concret depinde de structura organizației, existența unui cadru anterior (ex. ISO 27001), nivelul de asigurare aplicabil și abordarea în construirea SMSI. REMILT adaptează lista la contextul specific al fiecărui beneficiar.

POLITICI DE SECURITATE
14 elemente
  • Politica de securitate a informațiilor
  • Politica de management al riscurilor cibernetice
  • Politica de clasificare și manipulare a informațiilor
  • Politica de control al accesului și management al identităților
  • Politica de gestionare a vulnerabilităților și patch management
  • Politica de backup, retenție și recuperare
  • Politica de gestionare a incidentelor
  • Politica de continuitate a activității și recuperare în caz de dezastru
  • Politica de securitate a furnizorilor și a lanțului de aprovizionare
  • Politica de utilizare a criptografiei
  • Politica de management al schimbărilor
  • Politica de excepții și acceptare a riscului rezidual
  • Politica de monitorizare, metrici și raportare
  • Politica de conștientizare și instruire
PROCEDURI OPERAȚIONALE
14 elemente
  • Procedură de gestionare a incidentelor și notificare DNSC (art. 15)
  • Procedură de triere și escaladare
  • Procedură de management al vulnerabilităților
  • Procedură de patch management
  • Procedură de backup și verificare a restaurării
  • Procedură de change management
  • Procedură de onboarding / offboarding
  • Procedură de revizuire periodică a drepturilor de acces
  • Procedură de management al furnizorilor și revizuire clauze securitate
  • Procedură de gestionare a excepțiilor
  • Procedură de evaluare periodică a riscurilor
  • Procedură de clasificare și retenție date
  • Procedură de utilizare și administrare a conturilor privilegiate
  • Procedură de comunicare în situații de incident și criză
PLANURI ȘI PLAYBOOK-URI
10 elemente
  • Incident Response Plan (IRP)
  • Business Continuity Plan (BCP)
  • Disaster Recovery Plan (DRP)
  • Plan de comunicare în criză
  • Plan de testare backup și recovery
  • Playbook ransomware
  • Playbook compromitere cont
  • Playbook pierdere / indisponibilitate sistem critic
  • Plan de continuitate pentru furnizor critic
  • Plan de tranziție / ieșire sigură pentru furnizor sau serviciu end-of-life
REGISTRE ȘI INVENTARE
11 elemente
  • Inventar active IT/OT
  • Inventar aplicații, servicii și dependențe
  • Inventar conturi privilegiate
  • Inventar furnizori și servicii externalizate
  • Registru riscuri
  • Registru vulnerabilități
  • Registru incidente
  • Registru excepții / risc rezidual
  • Registru active critice și servicii esențiale
  • Registru teste BCP/DRP/backup
  • Registru revizuiri și aprobări
UTILITARE DOCUMENTATE
10 elemente
  • SIEM / log management
  • EDR / antimalware
  • Scanning vulnerabilități
  • IAM / MFA / PAM
  • Backup și recovery
  • MDM / MAM
  • Ticketing / ITSM
  • Asset inventory / CMDB
  • Monitorizare și alertare
  • GRC / registru de riscuri
METODOLOGIA DE TRATARE A RISCULUI

Dacă organizația nu are o metodologie suficient de clară, REMILT o definește legată de riscuri (nu de liste de documente):

  • Criterii de risc și prioritizare
  • Opțiuni de răspuns: tratare, transfer, evitare, acceptare
  • Reguli pentru acceptarea riscului rezidual
  • Corelarea riscurilor cu servicii, procese, active
  • Legătura risc → control → responsabil → termen
ADAPTARE PER STARE DOCUMENTARĂ
Nu există documentație
Construim cadrul de la zero — politici → proceduri → registre → planuri → dovezi
Documentație parțială
Curățare, standardizare, eliminare contradicții, completare zone lipsă
Există ISO 27001
Mapare ISO 27001 ↔ CyFun ↔ NIS2 · extindere zone insuficiente · completare operațională, dovezi, testare, reziliență · integrare supply chain și metrici
05 · PACHET 4 (vCISO) ȘI PACHET 5 (CISOaaS)

Poziționare pe ciclul de viață NIS2 și echipa CISOaaS

ACTIVITATE CICLUL NIS2
P4 — VCISO
P5 — CISOAAS
Guvernanță
Revizuiește, consiliază
Conduce, coordonează
Implementare măsuri art. 13
Supraveghează progresul
Coordonează și menține
Registre și conformitate
Revizuiește periodic
Menține continuu
Registru riscuri
Actualizare trimestrială
Actualizare continuă
Autoevaluare anuală CyFun
Suport pregătire
Coordonare integrală
Raportare incidente
Suport notificare
Coordonare completă
Pregătire audit
Pre-audit, evidence
Evidence pack permanent
Supply chain
Evaluare furnizori critici
Exerciții tabletop
Semestriale (incluse)
Training conducere
Opțional
Inclus anual
KPI/KRI
Raportare de bază
Dashboard complet
Monitorizare legislativă
Da
Da + evaluare impact
ECHIPA CISOaaS — STRUCTURĂ TIP
Senior CISO / Lead

Strategie, guvernanță, raportare board, interfață DNSC

4–8 zile/lună
Specialist GRC

Conformitate, documentație, registre, audit readiness

2–6 zile/lună
Specialist Risc/Audit

Evaluare riscuri, maturitate, control intern

2–4 zile/lună
Specialist Tehnic

Arhitectură, recomandări, validare implementări

1–4 zile/lună
Suport Incidente

Coordonare IR, notificare, exerciții

On-call + exerciții
FORMULARE COMERCIALĂ · ART. 14 MODEL HIBRID
„Pentru entitățile esențiale sau pentru organizațiile în care art. 14 impune cumulativ condiții de autoritate managerială, subordonare directă și independență față de IT/OT, REMILT poate livra serviciul în model hibrid: contract principal de servicii vCISO/CISOaaS și, după caz, desemnarea unei persoane nominale printr-un aranjament part-time sau mandat dedicat, pentru a susține conformarea formală cu cerințele legale aplicabile.”
06 · CADRUL DE REFERINȚE

Surse legale și metodologice

Toate proiectele REMILT se construiesc pe acest cadru de referință consolidat: legislație românească, standarde internaționale și metodologii recunoscute.

OUG nr. 155/2024
Legislație primară
Transpunerea NIS2 în dreptul intern românesc
Legea nr. 124/2025
Lege de aprobare
Aprobarea cu modificări a OUG 155/2024
Ordin DNSC nr. 1/2025
Ordin DNSC
Procesul de notificare și înregistrare
Ordin DNSC nr. 2/2025
Ordin DNSC
Criterii de perturbare și metodologia ENIRE
CyberFundamentals (CyFun)
Cadru metodologic
Auto-evaluare maturitate pe 6 funcții
ISO/IEC 27001:2022
Standard internațional
ISMS, controale securitate informații
ISO/IEC 27005:2022
Standard internațional
Management riscuri securitate informații
NIST CSF 2.0
Cadru SUA
Funcții, categorii, subcategorii securitate cibernetică
NIST SP 800-30
Ghid NIST
Evaluare riscuri
C-CSRM
Metodologie
Inventar active, scenarii risc, tratamente, artefacte operare
Regulamentul (UE) 2022/2554
Regulament UE
Reziliență operațională digitală — relevant NIS2 + DORA
07 · LOGICA DE DIFERENȚIERE A PREȚURILOR

Trei factori care reflectă efortul real de consultanță

FACTORUL 01

Dimensiunea organizației

Organizație 500+ angajați are mai multe procese, locații, furnizori, active și dependențe decât IMM 50 angajați. Numărul de interviuri, volumul de documente și complexitatea corelațiilor cresc proporțional.

FACTORUL 02

Nivel de încadrare (EI vs. EE)

Entitățile esențiale au obligații suplimentare — plan de remediere obligatoriu în 30 zile, desemnare CISO cu cerințe cumulative art. 14, sancțiuni mai mari. Implică nivel mai mare de formalizare și rigoare.

FACTORUL 03

Nivel de risc CyFunRO

Determină numărul de cerințe de evaluat și implementat. Esențial = 218 cerințe vs. 34 la BAZĂ — multiplică efortul de analiză, documentare și implementare.

Calibrare: prețurile orientative sunt calibrate pentru un profil de referință (organizație medie · încadrare Importantă · nivel CyFunRO Important) și se ajustează proporțional cu acești factori. Prețul final per client se stabilește utilizând generatorul de pachete REMILT, care aplică deterministic factorii de mai sus.
PASUL URMĂTOR

Vrei să discutăm pachetul potrivit organizației tale?

Calculatorul îți arată prețul deterministic pe baza dimensiune × încadrare × nivel CyFun. Pre-survey-ul îți spune unde te afli astăzi.

Deschide calculator Pre-survey 5 min Cadrul legal complet