Studiu de caz

Cum arată, de fapt, un audit NIS2

Un scenariu ilustrativ, construit din situații reale de teren, cu date anonimizate și agregate — ca să vezi exact ce se găsește într-o organizație tipică și ce primești la final.

Contextul

Clientul

Operator regional de servicii esențiale, ~300 de angajați, 4 locații, echipă IT de 3 persoane plus un furnizor extern.

Situația la start

Înregistrat la DNSC, câteva politici moștenite „de la ISO”, backup existent dar netestat de peste un an, fără MFA pe sistemele critice.

Misiunea

Audit de conformitate complet pe măsurile Art. 21, cu plan de remediere. Durata: 6 săptămâni, echipă de 2 auditori + 1 pentester.

Ce am găsit

În cifre: 42 de neconformități, dintre care 14 critice, 17 ridicate și 11 medii. Cele mai grave trei:

ConstatareSeveritateCerința legală
MFA absent pe accesul de la distanță și pe conturile de administrareCriticArt. 21 — autentificare multifactor
Backup existent, dar nerestaurat/netestat de 14 luni; un set de copii, în aceeași locație cu sistemeleCriticArt. 21 — continuitate & backup
Conturi de domeniu active pentru 9 foști angajați; drepturi de administrator local generalizateCriticArt. 21 — controlul accesului

Tipic pentru astfel de misiuni: problemele mari nu sunt exotice. Sunt lucruri de bază, rămase nefăcute pentru că „mereu a fost altceva mai urgent”.

Mostre de livrabile

Așa arată documentele pe care le primești (mostre ilustrative, cu date fictive):

CONFIDENȚIAL Raport de audit de conformitate NIS2 conform OUG 155/2024 Entitate: [anonimizat] Perioadă: 6 săptămâni Versiune: 1.0 · aprobat 4 ochi AuditorNIS2.ro
Coperta raportului de audit — cu versiune și mențiunea revizuirii la 4 ochi
Matricea riscurilor probabilitate × impact · 42 riscuri poziționate 6 8 17 11 impact → probabilitate → ■ zona critică: 14 riscuri — acțiune 0–30 zile
Heat map — vezi dintr-o privire unde e concentrat riscul
Registrul de neconformități extras · 3 din 42 de înregistrări ID Constatare Sev. Termen N-07 MFA absent (RDP) CRITIC 15 z N-12 Backup netestat CRITIC 30 z N-19 Conturi orfane AD CRITIC 7 z Fiecare înregistrare conține în plus: · cerința legală exactă (articol OUG 155/2024) · proba constatării · recomandarea de remediere · responsabilul propus și efortul estimat Plan 90 de zile: zilele 0–30: cele 14 critice · 31–60: ridicate 61–90: medii + re-testare + dosar de probe
Extras din registrul de neconformități, cu planul pe 90 de zile

Rezultatul, la 90 de zile

  • Toate cele 14 neconformități critice închise și re-verificate: MFA activ, backup testat lunar cu copie separată, conturile orfane eliminate.
  • Scorul de conformitate a crescut de la 38% la 74%, cu plan clar pentru restul.
  • Dosar de probe organizat, gata de inspecție — și, la fel de important, o echipă internă care știe de ce face fiecare lucru.

Studiu de caz ilustrativ: cifrele și constatările reflectă situații reale întâlnite în misiuni de audit, anonimizate și combinate pentru protejarea confidențialității. Niciun detaliu nu identifică o organizație reală.

Curios cum ar arăta cifrele tale?

Începe cu verificarea gratuită, apoi discutăm despre o evaluare reală.