Standarde
NIS2 și ISO 27001: ce au în comun, unde diferă și cum se ajută reciproc
„Avem ISO 27001 din 2021. Asta înseamnă că suntem conformi și cu NIS2, nu?" E poate cea mai frecventă întrebare pe care o primim de la companiile certificate. Răspunsul cinstit are două părți: nu, nu automat — dar sunteți mult mai aproape decât o companie care pornește de la zero. Iată exact de ce.
Diferența fundamentală: voluntar versus obligatoriu
ISO 27001 e un standard internațional pe care îl adoptați pentru că vreți: pentru clienți, pentru licitații, pentru disciplina internă. NIS2 — transpus în România prin OUG 155/2024 și aprobat prin Legea 124/2025 — e lege. Nu vă certificați „la NIS2"; vă conformați, pentru că altfel riscați sancțiuni. Iar interlocutorul nu mai e un organism de certificare pe care vi-l alegeți, ci DNSC, pe care nu vi-l alege nimeni.
Din această diferență de natură decurg toate celelalte: ISO vă lasă să vă definiți singuri domeniul de aplicare al sistemului; legea vă spune ea ce intră sub incidența ei. ISO acceptă riscuri „acceptate și documentate"; legea are cerințe minime de la care nu se derogă prin decizie internă.
Vestea bună: suprapunerea e serioasă
Cele zece categorii de măsuri de la art. 13 din OUG 155/2024 se regăsesc, în mare parte, în controalele din Anexa A a standardului. Analiza riscurilor, controlul accesului, securitatea resurselor umane, continuitatea activității, criptografia, managementul furnizorilor — dacă sistemul dumneavoastră ISO e viu (nu doar un dosar prăfuit reînnoit anual), aveți deja politici, proceduri și, esențial, obiceiul de a documenta. La audit, obiceiul acesta valorează cât jumătate din conformitate.
Concret, la companiile certificate cu care am lucrat, între jumătate și două treimi din cerințele legale erau deja acoperite într-o formă utilizabilă. Restul nu era neapărat greu — era pur și simplu specific legii.
Ce cere NIS2 și ISO nu acoperă
- Relația formală cu DNSC. Notificarea și înregistrarea în Registrul entităților, conform Ordinului DNSC nr. 1/2025 — un proces despre care am scris un ghid separat. ISO nu are echivalent.
- Evaluarea de risc după metodologia națională. Nu evaluarea de risc „în general", pe care ISO o cere și el, ci scorul calculat după Ordinul DNSC nr. 2/2025, care determină categoria de măsuri obligatorii pentru dumneavoastră.
- Termenele legale de raportare a incidentelor. ISO cere gestionarea incidentelor; legea cere raportarea lor către autoritate în 24 de ore, 72 de ore și 30 de zile — am detaliat mecanismul în articolul despre raportare.
- Răspunderea explicită a conducerii. Legea 124/2025 cere ca membrii organelor de conducere să urmeze cursuri de formare în securitate cibernetică și să își asume formal măsurile. În ISO, implicarea managementului e un principiu; în lege, e o obligație cu nume și semnătură.
- Supravegherea de stat. Controalele se desfășoară după Ordinul DNSC nr. 3/2025, nu după planul de audit intern al organizației.
Strategia inteligentă: un singur sistem, două pălării
Greșeala pe care o vedem la companiile certificate e construirea unei „conformități NIS2" paralele: alt set de politici, alt registru de riscuri, altă echipă. Rezultatul e muncă dublă și, în timp, două sisteme pe jumătate întreținute.
Abordarea care funcționează e integrarea: extindeți sistemul ISO existent cu cerințele specifice legii — o anexă de mapare cerință legală → control existent, procedurile de notificare și raportare către DNSC, dosarul de instruire a conducerii. Un singur sistem, întreținut o singură dată, care răspunde și auditorului de certificare, și autorității. La auditurile noastre de conformitate pentru companii certificate, exact această mapare e primul livrabil: vă arată negru pe alb ce e deja acoperit și ce mai rămâne.
Textele oficiale menționate în acest articol
- OUG 155/2024Măsurile obligatorii, art. 13 — Portal Legislativ
- Legea 124/2025Instruirea și răspunderea conducerii — Portal Legislativ
- Ord. DNSC 1/2025Notificarea și înregistrarea — Portal Legislativ
- Ord. DNSC 2/2025Metodologia de evaluare a riscului — Portal Legislativ
- Ord. DNSC 3/2025Normele de supraveghere și control — Portal Legislativ
Aveți ISO 27001 și vreți maparea către NIS2?
Vă spunem exact ce e deja acoperit din cerințele legale și ce mai rămâne — de regulă mai puțin decât vă temeți.
Cereți o evaluare sau scrieți-ne: contact@auditornis2.ro