Audit de conformitate NIS2 · România

NIS2 pare complicat.
Cu un ghid bun alături, nu mai este.

Poate ați primit un e-mail de la un client mare care vă cere dovada conformității. Poate ați auzit de OUG 155/2024 la o conferință și v-ați notat să vă interesați. Oricum ați ajuns aici, întrebarea e probabil aceeași: ce trebuie să facem, concret, și de unde începem?

Cu asta vă ajutăm. Facem audituri NIS2 pentru companii din România și traducem cerințele legii în pași pe care echipa dumneavoastră îi poate duce la capăt. Fără jargon, fără presiune, în ritmul care are sens pentru organizația dumneavoastră.

18sectoare reglementate în România
10categorii de măsuri verificate la audit
30 minprima discuție, fără nicio obligație

Vă privește NIS2?

3 ÎNTREBĂRI

O orientare rapidă, nu un verdict oficial — dar e un punct de plecare bun.

1.Aveți peste 50 de angajați sau o cifră de afaceri de peste 10 mil. EUR?

2.Activați în energie, transport, sănătate, IT / cloud, producție, bancar, apă, poștă sau un alt sector critic?

3.Sunteți furnizor sau subcontractor pentru companii din sectoarele de mai sus?

OUG 155/2024legea care transpune NIS2 în România
DNSCautoritatea cu care veți lucra
24h · 72h · 30zetapele de raportare a unui incident
30 ziletermenul de notificare a entității

Nou: selectați sectorul în care activați și aflați pe loc ce tip de audit NIS2 vă cere legea — cu obligațiile și termenele aplicabile.

Deschideți generatorul de audit →

Ce verifică, de fapt, un audit NIS2

Cele zece zone de măsuri cerute de lege

Legea grupează cerințele în zece categorii, la art. 13 din OUG 155/2024. Le trecem prin fiecare, la pas, și vă spunem sincer unde stați bine și unde mai e de lucru.

01

Analiza riscurilor și securitatea sistemelor

Politici prin care organizația își cunoaște și își gestionează riscurile, nu doar le presupune.

02

Gestionarea incidentelor

Proceduri clare: cine face ce atunci când ceva merge prost, și cum se raportează la DNSC.

03

Continuitatea activității

Backup-uri testate, plan de recuperare, gestionarea crizelor. Lucrurile care vă țin pe picioare.

04

Securitatea lanțului de aprovizionare

Relația cu furnizorii: cerințe contractuale, evaluări, pentru că riscul vine adesea din afară.

05

Achiziția și mentenanța sistemelor

Securitatea gândită de la cumpărare până la scoaterea din uz, inclusiv gestionarea vulnerabilităților.

06

Evaluarea eficacității măsurilor

Verificați periodic dacă ce ați implementat chiar funcționează. Legea o cere explicit.

07

Igienă cibernetică și instruire

Oamenii rămân prima linie de apărare. Training-uri regulate, inclusiv pentru conducere.

08

Criptografie și criptare

Politici pentru protejarea datelor sensibile, în tranzit și în repaus, cu chei gestionate corect.

09

Resurse umane și controlul accesului

Cine are acces la ce, de ce, și ce se întâmplă cu accesele când cineva pleacă din firmă.

10

Autentificare și comunicații securizate

Autentificare multi-factor acolo unde contează și canale de comunicare protejate.

Cum vă putem ajuta

Trei feluri în care lucrăm cu companiile

Unele firme vor doar să afle dacă legea li se aplică. Altele au nevoie de auditul complet. Altele vor pe cineva alături pe termen lung. Toate variantele sunt în regulă.

DACĂ SUNTEȚI LA ÎNCEPUT

Verificarea încadrării

Stabilim împreună dacă și cum vă privește OUG 155/2024: sectorul, dimensiunea, serviciile pe care le oferiți. Dacă sunteți vizați, vă ajutăm și cu notificarea către DNSC, ca să porniți cu dreptul.

  • Analiza aplicabilității, în scris, cu argumentele legale
  • Sprijin la completarea notificării în platforma NIS2@RO
  • O hartă clară a obligațiilor și termenelor care vă privesc

DACĂ VREȚI SĂ ȘTIȚI UNDE STAȚI

Auditul de conformitate

Trecem prin toate cele zece zone de măsuri, cu documente și cu discuții cu oamenii dumneavoastră. La final știți exact ce aveți, ce lipsește și în ce ordine merită rezolvat.

  • Raport pe înțelesul conducerii, nu doar al departamentului IT
  • Plan de măsuri prioritizat, cu efort estimat pentru fiecare punct
  • Dosarul de conformitate organizat, pregătit pentru orice verificare

DACĂ VREȚI UN PARTENER ÎN TIMP

Însoțire pe parcurs

Conformitatea nu se termină cu un raport. Rămânem alături la implementarea măsurilor, la exercițiile de raportare a incidentelor și la reevaluările periodice pe care legea le cere.

  • Verificări periodice, ca lucrurile să nu se așeze la sertar
  • Simulări de raportare pe termenele de 24h, 72h și 30 de zile
  • Un om pe care îl puteți suna când apare o întrebare

Bine de știut din timp

Termenele prevăzute de lege

Nu le punem aici ca să vă îngrijorăm, ci pentru că e mult mai ușor să le respectați când le cunoașteți dinainte. Toate devin gestionabile cu puțină pregătire.

30 zile
Notificarea către DNSCFormularul prin care anunțați autoritatea că existați și că intrați (sau credeți că intrați) sub incidența legii. Se depune prin platforma NIS2@RO.
60 zile
Evaluarea nivelului de riscDupă ce DNSC vă confirmă înscrierea în registru, aveți la dispoziție 60 de zile pentru evaluarea de risc, după metodologia oficială.
24 ore
Avertizarea timpuriePrima înștiințare a unui incident semnificativ. Nu vi se cere analiza completă — doar semnalul că s-a întâmplat ceva serios.
72 ore
Raportarea incidentuluiO evaluare inițială a gravității și a impactului, cu ce se știe până în acel moment.
30 zile
Raportul final de incidentDescrierea detaliată: ce s-a întâmplat, care a fost cauza probabilă, ce măsuri ați luat.
30 zile
Planul de măsuri (entitățile esențiale)După autoevaluarea anuală de maturitate, planul de remediere a deficiențelor se transmite la DNSC, asumat de conducere.

Legislația secundară mai evoluează din când în când — ordinele DNSC se pot actualiza. Când lucrăm împreună, lucrăm întotdeauna pe versiunea în vigoare, iar dacă se schimbă ceva relevant pentru dumneavoastră, vă anunțăm noi.

La ce să vă așteptați

Cum decurge o colaborare, pas cu pas

Fără surprize: vă spunem de la început cât durează fiecare etapă și ce avem nevoie de la dumneavoastră. De regulă, echipa dumneavoastră pierde mai puțin timp decât se teme.

PASUL 1

Ne cunoaștem

O discuție despre companie, sectorul în care activați și ce v-a adus la noi. Semnăm un acord de confidențialitate înainte de orice document.

30–60 min
PASUL 2

Adunăm informațiile

Citim politicile și procedurile existente, ne uităm la configurări și stăm de vorbă cu oamenii cheie. Scurt și la obiect, fără interogatorii.

1–2 săpt.
PASUL 3

Evaluăm

Comparăm ce am găsit cu cerințele legii, punct cu punct. Fiecare constatare vine cu explicația și cu referința legală, ca să nu ne credeți pe cuvânt.

circa 1 săpt.
PASUL 4

Vă prezentăm concluziile

Un raport pentru conducere și un plan de măsuri pentru echipa tehnică. Le parcurgem împreună și răspundem la toate întrebările.

3–5 zile
PASUL 5

Rămânem aproape

La implementare, la notificări, la reevaluări. Cât de mult sau de puțin aveți nevoie — unii clienți ne sună lunar, alții o dată pe an.

cum vă e util

Cum lucrăm

Câteva lucruri în care credem

Vorbim românește, nu în acronime

Dacă un raport nu poate fi înțeles de directorul general fără dicționar de securitate cibernetică, l-am scris degeaba. Explicăm totul pe limba oamenilor și abia apoi punem referințele tehnice, pentru cine le vrea.

Nu avem nimic de vândut după audit

Nu comercializăm echipamente, licențe sau servicii de implementare pe care raportul nostru le-ar putea „recomanda". Concluziile auditului nu au niciun motiv să fie altfel decât corecte — și asta se simte în ele.

Începem cu ce aveți, nu cu ce vă lipsește

Aproape fiecare companie la care ajungem stă mai bine decât credea. Un audit bun nu e o listă de reproșuri; e o hartă onestă, care arată și ce funcționează deja, nu doar ce mai e de făcut.

Confidențialitatea nu e negociabilă

Acordul de confidențialitate se semnează înainte de primul document, nu după. Ce aflăm despre organizația dumneavoastră rămâne între noi, iar probele de audit rămân la dumneavoastră.

Întrebări frecvente

Ce ne întreabă companiile cel mai des

De unde știu dacă firma mea intră sub NIS2?
Regula generală: activați într-unul din cele 18 sectoare reglementate (energie, transport, sănătate, IT, producție, bancar, apă, servicii poștale și altele) și aveți cel puțin 50 de angajați sau o cifră de afaceri de peste 10 milioane de euro. Există însă și situații în care firme mai mici sunt vizate — de exemplu, când sunt singurul furnizor al unui serviciu important. Încadrarea finală o confirmă DNSC. Dacă aveți dubii, o discuție de jumătate de oră lămurește de obicei lucrurile.
Ce termene de raportare a incidentelor prevede legea?
Trei etape: o avertizare timpurie în 24 de ore de când ați aflat de un incident semnificativ, o raportare mai detaliată în 72 de ore și un raport final în cel mult 30 de zile, toate către DNSC. Sună strâns la prima vedere, dar cu proceduri pregătite din timp devine perfect gestionabil — de aceea includem exerciții de raportare în colaborările pe termen lung.
Ce se întâmplă dacă nu ne conformăm?
Legea prevede amenzi care pot ajunge la 10 milioane de euro sau 2% din cifra de afaceri mondială pentru entitățile esențiale, respectiv 7 milioane de euro sau 1,4% pentru cele importante. Sunt cifre serioase, dar merită spus și restul: în practică, autoritatea urmărește mai întâi conformarea, nu sancționarea. O organizație care poate arăta că a început procesul și lucrează serios la el pornește dintr-o poziție complet diferită față de una care a ignorat subiectul.
Cât durează un audit NIS2?
Depinde de mărimea organizației și de cât de așezată e documentația existentă. La o companie de dimensiune medie ne încadrăm de regulă în 3 până la 6 săptămâni pentru auditul complet. Dacă vreți doar o primă evaluare — suficientă ca să știți unde stați și cam cât v-ar costa conformarea — o facem în 5 până la 10 zile lucrătoare.
Avem deja ISO 27001. Mai avem nevoie de audit NIS2?
Da, dar veștile sunt bune: un sistem ISO 27001 funcțional acoperă o parte serioasă din cerințe, așa că auditul va fi mai rapid și mai ieftin. Diferența e că NIS2 e obligație legală, nu standard voluntar, și vine cu cerințe proprii — notificarea la DNSC, evaluarea de risc după metodologia națională, termenele de raportare și responsabilități explicite pentru conducere. Pornim de la ce aveți deja și completăm doar ce lipsește.

Hai să vorbim. Chiar e doar o discuție.

O jumătate de oră cu unul dintre auditorii noștri: vă spunem dacă NIS2 vi se aplică, ce termene vă privesc și cam cât efort presupune conformarea în cazul dumneavoastră.

Fără costuri, fără obligații, cu acord de confidențialitate dacă vă simțiți mai confortabil așa. De obicei răspundem în aceeași zi lucrătoare.

Scrieți-ne pentru o discuție sau direct: contact@auditornis2.ro