Sari la conținutul principal

CADRU OPERAȚIONAL

Cum se organizează conformarea operațională

Conformarea operațională NIS 2 nu e o listă unică — e un cadru: 6 funcții pilon, 3 niveluri cumulative de cerințe, legate de evaluarea ta de risc și coordonate de un responsabil de securitate. Această pagină explică cum se leagă piesele între ele.

Echipă construind un cadru operațional pe un panou de procese (imagine ilustrativă)

Cele 6 funcții CyFun

Cadrul operațional e organizat în jurul a 6 funcții pilon — fiecare măsură tehnică și politică pe care o implementezi se încadrează la una dintre ele.

GV

Guvernare

stabilește strategia, politicile și modul în care organizația prioritizează riscurile de securitate în contextul misiunii sale

ID

Identificare

determină activele, sistemele și datele critice, precum și riscurile asociate acestora

PR

Protecție

implementează măsuri de salvgardare pentru a preveni sau limita impactul unui potențial incident de securitate

DE

Detectare

definește activitățile necesare pentru identificarea promptă a unui eveniment de securitate cibernetică

RS

Răspuns

stabilește acțiunile care trebuie întreprinse după detectarea unui incident pentru a-i limita impactul

RC

Recuperare

planifică restaurarea capacităților și serviciilor afectate de un incident cibernetic

Cele 3 niveluri cumulative de cerințe

Nivelul tău de risc determină câte din cele 218 de cerințe CyFun totale se aplică. Fiecare nivel include tot ce cere nivelul de dedesubt.

Nivel Risc de Bază

34

cerințe · 0–99 ENIRE

Cerințe minime CyFun. Igienă cibernetică de bază.

Nivel Risc Important

133

cerințe · 100–199 ENIRE

Controale extinse pe lanțul de aprovizionare și incident response.

Nivel Risc Esențial

218

cerințe · 200–1500 ENIRE

Cerințe maxime. Monitorizare continuă, audit extern, BCP/DRP testat.

FuncțieBazăImportantEsențial
Guvernare (GV)42340
Identificare (ID)83855
Protecție (PR)154479
Detectare (DE)41422
Răspuns (RS)2914
Recuperare (RC)158
Σ34133218
Numărul de cerințe per funcție, pe nivel (Ordin DNSC 4/2025) — coloanele însumează 34 / 133 / 218.

Legătura cu evaluarea de risc și rolul CISO

Cadrul nu se aplică orbește — pornește de la o evaluare, iar cineva trebuie să răspundă de el.

  1. Evaluarea de risc ENIRE

    Determină nivelul de risc al entității pe baza criteriilor de sector, dimensiune și impact.

  2. Nivelul de risc stabilește nivelul CyFun

    de Bază / Important / Esențial — și, odată cu el, câte dintre cele 34/133/218 de cerințe se aplică.

  3. CISO coordonează implementarea

    3 condiții comune (desemnare, aprobarea conducerii, instruire) se aplică entităților Importante și Esențiale; entitățile Esențiale mai poartă 5 condiții cumulative suplimentare (art. 14 alin. 4).

Entitate Importantă

Audit ex-post. Răspundere managerială (art. 14).

Entitate Esențială

Audit ex-ante. Răspundere personală a conducerii (art. 14).

Ce înseamnă operațional pentru firmă

Cele 6 funcții se traduc în muncă concretă pe 3 straturi — niciunul dintre ele nu e opțional de unul singur.

  • Politici și guvernanță

    Politică de securitate scrisă, strategie de gestionare a riscurilor, roluri și responsabilități, răspunderea conducerii (Guvernare/GV).

  • Procese și proceduri

    Inventar de active, proceduri de răspuns la incidente și continuitate a afacerii, proces de securitate a furnizorilor (Identificare/Detectare/Răspuns/Recuperare).

  • Măsuri tehnice

    MFA, segmentarea rețelei, backup, monitorizare/logging, managementul vulnerabilităților — controalele concrete de la Protecție/PR.

⚖ Important

Această pagină descrie cadrul general CyFun așa cum a fost adoptat de DNSC (Ordin DNSC 4/2025). Ce nivel se aplică organizației tale, și ce cerințe sunt relevante, se stabilește prin evaluarea oficială de risc ENIRE — nu de această pagină.

Rezultat orientativ. Încadrarea și nivelul de risc afișate sunt o estimare bazată pe sector și dimensiune. Doar DNSC stabilește oficial încadrarea și nivelul de risc, prin decizie și evaluarea ENIRE.

Resurse

Imaginea de ansamblu operaționalăExplorator cerințe CyFun

Ghidurile metodologice oficiale, inclusiv CyFun.

Discută cadrul operațional pentru firma ta

Sună direct un expert cu peste 31 de audituri NIS la activ — iar dacă nu răspunde, revine el în maximum 24 de ore.