Securitatea datelor

7 greșeli frecvente când „bifăm” NIS2 doar pe hârtie

9 dec., 2025 No comments yet
Dan Gurghian explica ce sa faci ca sa nu gresesti in implementarea NIS2

Tot mai multe companii aud de NIS2 și primesc întrebări de la clienți, furnizori sau autorități: „sunteți conformi cu NIS2?”. Pentru multe IMM-uri, tentația este să trateze subiectul ca pe un proiect de conformare pur formal: completăm niște formulare, scriem câteva politici, bifăm niște checklist-uri și gata.

Problema este că NIS2 nu a fost gândită ca un exercițiu de birocrație, ci ca un cadru minim pentru reziliență cibernetică. O abordare „doar pe hârtie” poate da impresia de conformitate, dar nu te protejează nici de incidente, nici de sancțiuni și nici de pierderea încrederii clienților.

În acest articol trecem prin 7 greșeli frecvente pe care le vedem în proiectele de conformare NIS2 „de fațadă” și îți oferim câteva repere pentru o abordare reală, bazată pe risc.

De ce abordarea „bifăm și gata” e periculoasă

NIS2 aduce:

  • cerințe clare de management al riscului (politici, proceduri, măsuri tehnice și organizatorice);
  • răspundere personală mai accentuată pentru management;
  • obligații stricte de raportare a incidentelor și de cooperare cu autoritățile;
  • amenzi considerabile și măsuri corective dacă se constată neconformitate și lipsă de diligență.

Dacă „bifezi” NIS2 doar în documente, dar în practică:

  • sistemele nu sunt actualizate;
  • angajații nu știu cum să reacționeze la un incident;
  • nu ai backup-uri testate sau proceduri reale de răspuns la incidente;
  • rolul de responsabil NIS2 există doar pe organigramă,

atunci compania ta rămâne vulnerabilă – inclusiv juridic. În plus, NIS2 se leagă direct de protecția datelor, așa cum am explicat pe larg în articolul „GDPR și NIS – securitatea informației și a rețelelor” . Ignorarea unei părți îl afectează automat și pe celălalt domeniu.

7 greșeli frecvente când „bifăm” NIS2 doar pe hârtie

1. Tratăm NIS2 ca pe o problemă exclusiv de IT

Una dintre cele mai comune greșeli este să „arunci” NIS2 în curtea departamentului IT sau a furnizorului IT: „voi vă ocupați, că e IT”.

În realitate, NIS2 este un cadru de guvernanță și management al riscului la nivel de organizație:

  • conducerea trebuie să aprobe politici, să aloce resurse și să înțeleagă riscurile;
  • procesele de business (vânzări, logistică, producție, HR) trebuie adaptate;
  • juridicul și conformitatea trebuie să revadă contractele și responsabilitățile cu partenerii.

Dacă NIS2 rămâne doar în fișierele administratorului de rețea, proiectul este deja eșuat. IT-ul implementează măsuri, dar direcția trebuie stabilită la nivel de management.

2. Copiem politici din șabloane fără să facem o analiză reală de risc

O altă greșeală tipică: se caută „politică NIS2”, „procedură NIS2”, se descarcă șabloane și se înlocuiește numele companiei. Formal, par să existe zeci de documente frumos structurate; în practică:

  • nu reflectă tehnologiile și procesele reale ale companiei;
  • conțin controale care nu pot fi implementate sau nu sunt relevante;
  • nu pornesc de la o analiză concretă de risc a sistemelor și datelor tale.

NIS2 cere măsuri proporționale cu riscurile. Fără o analiză minimă de risc, nu ai cum să știi ce e important și ce e doar birocrație.

3. Bifăm „măsurile tehnice minimale”, dar nu și procesele de zi cu zi

Mulți operatori cred că „au rezolvat NIS2” dacă:

  • au instalat un firewall;
  • au un antivirus „bun”;
  • au setat un backup automat.

NIS2 merge mult mai departe. Întrebările reale sunt:

  • testați periodic backup-urile? Puteți restaura rapid sistemele critice?
  • monitorizați log-urile și evenimentele de securitate sau doar le colectați?
  • aveți proceduri clare de patch management și actualizare a sistemelor?
  • faceți teste de penetrare sau măcar scanări de vulnerabilități regulate?

Fără procese reale, un firewall bifat într-un document nu te ajută când apare un atac ransomware sau o breșă de securitate.

4. Considerăm NIS2 „un proiect cu început și sfârșit”

Mulți tratează NIS2 ca pe un proiect clasic:

  1. facem un audit inițial;
  2. scriem niște politici și proceduri;
  3. „închidem proiectul” și mergem mai departe.

Între timp:

  • apar noi aplicații și sisteme;
  • se schimbă furnizori și arhitectura IT;
  • angajații pleacă sau vin alții noi;
  • amenințările cibernetice evoluează constant.

NIS2 cere o abordare de îmbunătățire continuă: revizuiri periodice, exerciții, actualizări ale măsurilor, lecții învățate din incidente sau „almost incidents”.

5. Instruirea angajaților este un singur curs „de bifat anual”

Una dintre cele mai vizibile „bifări” este trainingul: se organizează o sesiune anuală, se trece prezența pe listă și se consideră că „am instruți oamenii pe securitate cibernetică și NIS2”.

În realitate:

  • mulți angajați nu înțeleg de ce contează ceea ce li se spune;
  • exemplele nu sunt adaptate activității lor zilnice;
  • nu există exerciții practice (phishing, simulări de incident, scenarii concrete).

Pentru o abordare serioasă, instruirea trebuie:

  • să fie repetată (nu doar o dată pe an);
  • să fie specifică rolului (IT, management, front office, logistică etc.);
  • să includă exemple și scenarii reale, nu doar teorie.

Poți corela acest efort cu recomandările din articolul nostru „Securitate cibernetică – bune practici recomandate de GDPR Complet” , care sintetizează măsurile recomandate de ENISA și CERT-EU.

6. Ignorăm furnizorii și lanțul de aprovizionare

O altă greșeală majoră: ne concentrăm doar pe ce facem noi „în interior” și uităm că multe riscuri vin prin furnizori:

  • furnizori de IT și cloud;
  • servicii de mentenanță și suport remote;
  • furnizori de software cu acces la date sau infrastructură critică.

Această directivă pune un accent puternic pe lanțul de aprovizionare și pe modul în care selectezi, evaluezi și monitorizezi furnizorii. Dacă nu ai:

  • clauze de securitate clare în contracte;
  • criterii de selecție legate de securitate cibernetică;
  • o minimă verificare periodică a furnizorilor critici,

atunci NIS2 este, din nou, doar „bifată”. Poți avea proceduri frumoase, dar un incident grav la un furnizor necontrolat poate bloca complet activitatea companiei tale.

7. Responsabilul NIS2 există doar în documente, nu și în realitate

Poate cea mai periculoasă greșeală este numirea formală a unui „responsabil NIS2”:

  • este trecut în organigramă, dar nu are timp alocat;
  • nu are buget sau autoritate să implementeze măsuri;
  • nu este implicat în deciziile de business și IT relevante.

NIS2 cere implicarea conducerii și responsabilități clare. Dacă persoana desemnată nu poate influența nimic, rolul este pur decorativ – iar în caz de incident, autoritățile nu vor fi impresionate de „fișa postului”.

Pentru multe companii, o soluție realistă este externalizarea acestui rol către o echipă specializată, prin servicii de Responsabil NIS2 externalizat , care combină expertiză juridică, IT și de securitate cibernetică.

Checklist: e doar „NIS2 pe hârtie” sau chiar funcționează?

Poți folosi rapid întrebările de mai jos ca un barometru intern:

  • Conducerea știe concret ce înseamnă NIS2 pentru companie sau doar „a semnat” niște politici?
  • Ai făcut cel puțin o analiză formală de risc pentru sistemele critice?
  • Ai avut în ultimul an măcar un exercițiu de tip incident (simulare, drill, test de backup)?
  • Poți arăta dovezi că măsurile de securitate sunt monitorizate și revizuite (rapoarte, log-uri, meeting notes)?
  • Ai o listă clară de furnizori critici și clauze de securitate în contractele cu ei?
  • Responsabilul NIS2 poate enumera primele 5 riscuri pentru companie în mai puțin de 2 minute?
  • Angajații știu cui și cum raportează un incident suspect (mail, telefon, procedură)?

Dacă la majoritatea întrebărilor răspunsul este „nu” sau „nu știu”, e foarte probabil că ai, în acest moment, doar NIS2 „bifată” în documente.

De la „bifăm” la „suntem mai rezilienți”: cum arată o abordare sănătoasă

O abordare sănătoasă nu înseamnă să cheltui fără măsură pe tehnologie, ci să construiești un sistem proporțional cu riscurile tale:

  • începi cu o mapare a sistemelor și datelor critice și o analiză de risc;
  • stabilești un set de politici și proceduri adaptate realității companiei tale;
  • implementezi un set minim solid de controale tehnice (MFA, backup-uri testate, actualizări, segmentare rețea, monitorizare etc.);
  • instruiești periodic și practic oamenii implicați;
  • refaci analiza și actualizezi măsurile ori de câte ori se schimbă ceva important (sisteme, arhitectură, furnizori, volum de date).

În multe cazuri, abordarea integrată GDPR + NIS2 este cea mai eficientă: aceleași procese și documente te ajută să eviți atât breșele de securitate, cât și amenzile sau litigiile.

NIS2 nu a fost concepută pentru a mai adăuga o foaie de bifat într-un excel de conformare, ci pentru a ridica nivelul real de securitate cibernetică în companii. O abordare „de fațadă” poate arăta bine la prima vedere, dar se destramă în primele minute ale unui incident serios sau ale unui audit aprofundat.

Dacă ești administrator sau membru al conducerii, întrebarea importantă nu este „avem un dosar cu NIS2?”, ci „suntem mai rezistenți decât eram acum un an?”. Dacă răspunsul nu este clar, acum este momentul să treci de la „bifat NIS2 în acte” la o strategie pragmatică de reziliență cibernetică – cu ajutor intern sau împreună cu un partener specializat.

Acest articol este oferit de echipa GDPR Complet, specializată în consultanță, audit și implementare GDPR pentru companii din toate industriile. Pentru întrebări legate de protecția datelor sau servicii dedicate afacerii tale, ne poți contacta la contact@gdprcomplet.ro

Inginer software cu peste 20 de ani de experiență in domeniul IT și multiple certificări Microsoft, studii post universitare de protecția datelor, CISO specializat pe utilizarea controalelor de securitate ISO 27001 ca masuri de securitate tehnică și organizațională pentru protejarea datelor cu caracter personal.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *