ESENRODEFRIT
Contact

2026-06-08 · Ibida Black Level S.L.

Autoevaluare NIS2: 25 de întrebări pentru a verifica dacă firma dumneavoastră se conformează

O autoevaluare NIS2 în 25 de întrebări pentru companii mijlocii din România și Europa. Operațională, fără alarmism, fără presiune comercială. 20 de minute.

Autoevaluare NIS2: 25 de întrebări pentru a verifica dacă firma dumneavoastră se conformează

Dacă firma dumneavoastră are între 50 și 500 de angajați, operează într-un sector pe care Directiva NIS2 îl consideră esențial sau important și nu puteți răspunde acestui test scurt cu dovezi documentate, aveți o lacună de conformitate. Nu am proiectat aceste întrebări pentru a vă speria. Le-am proiectat pentru a vă oferi, în douăzeci de minute, aceeași fotografie diagnostică pe care o livrăm în cadrul evaluării inițiale plătite. Dacă după parcurgerea lor decideți că nu aveți nevoie de noi, este un rezultat bun.

Testul are cinci blocuri a câte cinci întrebări: guvernanță, managementul riscurilor și al activelor, răspuns la incidente, lanț de aprovizionare și continuitate. Fiecare întrebare are răspuns binar (da, cu dovezi, sau nu) și o explicație scurtă despre ce înseamnă "da cu dovezi" în practică. Răspunsurile pe jumătate da nu există. Supravegherea NIS2, când va veni, nici nu le va accepta.

1 · Guvernanță și răspundere (întrebările 1-5)

1. Organul de conducere al firmei dumneavoastră primește instruire documentată și datată în materie de securitate cibernetică, cu dovadă de prezență, cel puțin o dată la 12 luni?

"Da cu dovezi" înseamnă liste de prezență semnate sau înregistrare într-un sistem de management al învățării. Un "le-am trimis niște diapozitive" nu trece testul. Articolul 20 din NIS2 face din aceasta o obligație explicită a conducerii, nu a echipei IT. Găsim în mod rutinier firme în care CTO-ul a făcut treizeci de ore de instruire, iar consiliul zero.

2. Există un responsabil de securitate cibernetică desemnat în scris, cu linie de raportare clară către organul de conducere și buget alocat pentru exercițiul în curs?

Un CISO fără buget, fără personal și cu o linie punctată către operațiunile IT nu este un CISO. Directiva vorbește despre responsabilitate definită, nu despre un titlu.

3. A aprobat formal organul de conducere, în scris, o politică de management al riscurilor de securitate cibernetică, datată în ultimele 18 luni?

Multe firme mijlocii se sprijină încă pe o politică IT din 2019 care vorbește despre firewall și antivirus și uită cloud-ul, identitatea și lanțul de aprovizionare. NIS2 cere un cadru de management al riscurilor, nu o listă de produse din era perimetrului.

4. Sunt răspunderile personale ale organului de conducere în caz de neconformare cu NIS2 înțelese, documentate într-un proces verbal sau echivalent și revizuite anual?

NIS2 a introdus pentru prima dată răspunderea personală a conducerii. Dacă consiliul dumneavoastră nu a văzut niciodată o notă despre ce înseamnă acest lucru personal pentru ei, aveți o lacună de conștientizare, nu una tehnică.

5. Aveți un proces pentru a stabili dacă firma se califică drept entitate esențială sau entitate importantă conform legii naționale de transpunere și v-ați înregistrat la autoritatea competentă, dacă este obligatoriu?

În România, registrul este ținut de DNSC (Directoratul Național de Securitate Cibernetică). În Spania, INCIBE-CERT și registrul gestionat conform RD-ului de transpunere. Am văzut firme operând într-un sector clar esențial fără înregistrare, pentru că nimeni nu deținea întrebarea. Acesta este risc sancționator, fără nuanțe.

2 · Managementul riscurilor și al activelor (întrebările 6-10)

6. Aveți un inventar actualizat și revizuit în ultimele șase luni al tuturor activelor care stochează, prelucrează sau transmit informații, inclusiv SaaS și IT din umbră?

Inventarul trebuie să includă uneltele SaaS pe care două persoane din echipa financiară le-au abonat trimestrul trecut. Dacă acoperă doar activele administrate, este incomplet prin proiectare.

7. Ați efectuat în ultimele 12 luni o evaluare documentată a riscurilor de securitate cibernetică, care să identifice amenințările, vulnerabilitățile, probabilitatea, impactul și riscurile acceptate față de cele tratate?

Articolul 21 alineatul 2 litera a din NIS2 o cere explicit. Un chestionar de securitate al unui furnizor nu este o evaluare a riscurilor.

8. Există controale tehnice și organizatorice care să impună principiul privilegiului minim pe identitate, gestionarea accesului și conturile administrative, cu revizuiri cel puțin trimestriale?

Găsim, în aproximativ patru din cinci diagnoze mijlocii, cel puțin un cont de serviciu cu privilegii administrative pe care nimeni din echipa actuală nu îl poate explica integral.

9. Toate sistemele sunt actualizate cu patch-uri într-un SLA scris în politica dumneavoastră (interval tipic: 7 zile critic, 30 zile mare, 90 zile mediu), cu excepții documentate pentru cazurile când SLA-ul nu poate fi respectat?

Excepțiile sunt la fel de importante ca SLA-ul. Un "patchuim lunar" generic, fără registru de excepții, nu este un program; este un obicei.

10. Controalele de criptare (în repaus, în tranzit, pentru copii de rezervă) sunt documentate pe fiecare sistem și validate prin dovezi tehnice periodice (capturi de configurare, revizuiri de cifre, jurnale de rotație a cheilor)?

Lacuna cea mai comună aici este criptarea backup-ului: activată în consolă, niciodată validată de echipa care ar restaura sub presiune.

3 · Răspuns la incidente (întrebările 11-15)

11. Aveți un plan scris de răspuns la incidente, datat în ultimele 12 luni, cu roluri numite, liste de contact, arbori de decizie și căi de escaladare?

Nu o diagramă de o pagină. Un plan cu playbook-uri pentru cele mai probabile trei sau patru clase de incidente (ransomware, fraudă tip CEO, incident la un terț, exfiltrare de date) este pragul realist.

12. Ați rulat o exercițiu de masă (tabletop) sau un exercițiu tehnic care să simuleze un incident în ultimele 9 luni, cu raport scris de lecții învățate și plan de remediere atribuit?

Un exercițiu fără raport este teatru. Lista de remedieri cu responsabili și termene este artefactul pe care supravegherea NIS2 îl va căuta.

13. Știți exact către ce CSIRT național sau autoritate competentă trebuie să notifice firma conform NIS2 și ați înregistrat canalul de contact?

În România, DNSC. În Spania, INCIBE-CERT pentru majoritatea sectoarelor, CCN-CERT pentru administrațiile publice. A cunoaște URL-ul nu este suficient; canalul de contact trebuie testat cel puțin o dată.

14. Puteți emite avertismentul timpuriu în 24 de ore de la detectarea unui incident semnificativ, notificarea completă în 72 de ore și raportul final în o lună, așa cum cere articolul 23?

Ceasul de 24 de ore începe la detectare, nu la confirmare. Majoritatea firmelor mijlocii care nu au testat procesul subestimează cât durează numai validarea internă.

15. Jurnalele sunt centralizate, păstrate pentru perioada cerută de sectorul dumneavoastră și de planul de răspuns (interval mediu tipic: minimum 12 luni pentru jurnale de securitate) și protejate împotriva manipulării?

Perioada de păstrare nu este arbitrară. Mai multe autorități de supraveghere au început să ceară între 12 și 24 de luni de jurnale de autentificare, rețea și endpoint în cererile de urmărire.

4 · Lanț de aprovizionare și terți (întrebările 16-20)

16. Mențineți o listă de terți critici, sortată după criticitate, cu cel puțin o revizuire anuală a posturii lor de securitate cibernetică (chestionar, referință de certificare sau raport de audit)?

Articolul 21 alineatul 2 litera d face din riscul lanțului de aprovizionare o obligație explicită. Răspunsul "avem încredere în furnizorul de CRM" nu o satisface.

17. Clauzele de securitate cibernetică sunt incluse în toate contractele cu furnizori critici, inclusiv obligația de notificare a incidentelor care afectează datele sau serviciile dumneavoastră?

Am văzut această clauză lipsă în contracte semnate în 2023 și 2024 cu mari furnizori de cloud, pentru că echipa juridică nu a văzut o actualizare a șablonului, iar achizițiile nu au întrebat.

18. Aveți un proces scris pentru a evalua postura de securitate cibernetică a noilor furnizori înainte de semnarea contractului, proporțional cu criticitatea și datele pe care le vor manipula?

"Proporțional" este cuvântul cheie. Un chestionar monolitic de 200 de întrebări pentru fiecare furnizor ucide procesul. Un chestionar pe niveluri, cu cale rapidă pentru criticitate redusă, este răspunsul realist.

19. Există un plan documentat de ieșire pentru fiecare furnizor critic, inclusiv returnarea datelor, rotația cheilor și revocarea accesului, revizuit în ultimele 24 de luni?

Planul de ieșire este controlul lanțului de aprovizionare despre care nimeni nu vrea să discute până în ziua în care e nevoie de el și nu există.

20. Sunteți informat de furnizorii critici când suferă un incident de securitate cibernetică care v-ar putea afecta serviciile sau datele, într-un termen care vă permite să respectați propriile obligații de notificare NIS2 (în mod tipic 12-24 ore)?

Fără aceasta, ceasul dumneavoastră de 24 de ore în fața supraveghetorului va fi foarte strâmt.

5 · Continuitate, backup și recuperare (întrebările 21-25)

21. Aveți un backup imuabil sau izolat fizic al sistemelor critice, testat printr-o restaurare completă în ultimele 6 luni?

Lecția cea mai scumpă pe care valul de ransomware 2023-2025 a lăsat-o pieței mijlocii europene este că "avem backup-uri" nu este același lucru cu "avem backup-uri recuperabile". Un test de restaurare cu maximum șase luni vechime este pragul realist.

22. Obiectivele de timp de recuperare (RTO) și punct de recuperare (RPO) sunt definite pe fiecare serviciu critic, agreate cu proprietarul de business și măsurate în ultimul exercițiu?

Dacă RTO-ul dumneavoastră este un număr pe o diapozitivă pe care nimeni nu l-a măsurat sub presiune, este o dorință, nu un obiectiv.

23. Aveți un plan de continuitate care să acopere pierderea sediului principal, pierderea regiunii principale de cloud și pierderea echipei IT timp de 72 de ore?

Scenariul "pierderea echipei IT" sună dramatic; acoperă un spear phishing reușit împotriva a trei persoane în aceeași zi.

24. Controalele de securitate cibernetică sunt validate periodic prin evaluare independentă (audit intern, pentest extern sau diagnostic extern), cu raport scris și registru de remedieri?

Independența contează. Aceeași echipă care operează controalele nu ar trebui să fie singura care le validează.

25. Există un proces scris pentru a informa destinatarii serviciilor dumneavoastră despre un incident semnificativ care le-ar putea afecta material capacitatea de utilizare, în termenele pe care NIS2 le cere?

Aceasta este obligația pe care multe firme mijlocii o ratează pentru că se află între comunicare, juridic și securitate. Dacă nimeni nu o deține, răspunsul este nu.

Cum să interpretați scorul

Nu oferim un scor în sens strict pentru că nici supravegherea NIS2 nu o face. Ce sugerăm:

> "O autoevaluare NIS2 nu vă oferă conformitatea. Vă oferă o listă de dovezi pe care le puteți produce sau nu. Diferența dintre cele două devine foarte vizibilă prima dată când un supraveghetor o cere." — Metodologia diagnostică IBL, notă internă 2026

Ce trebuie făcut acum

Dacă ați completat cele 25 de întrebări și numărătoarea sinceră vă îngrijorează, primul lucru de făcut este să împărtășiți rezultatul cu organul de conducere. Obligațiile NIS2 le revin lor, nu doar echipei de securitate cibernetică. Al doilea lucru este să decideți dacă aveți capacitate internă pentru a închide lacunele sau aveți nevoie de sprijin extern.

Dacă doriți o a doua opinie asupra autoevaluării, ne puteți solicita o conversație de 45 de minute. Nu vom încerca să vă vindem un program în acel apel. Vă vom ruga să ne descrieți în detaliu trei dintre răspunsurile "nu" și vă vom spune dacă ni se par soluții simple, lacune structurale sau ceva intermediar.

Scrieți la [email protected]. Răspundem într-o zi lucrătoare.

---

Ibida Black Level S.L. este o firmă boutique de consultanță în securitate cibernetică cu sediul în Málaga, Spania, și echipă operațională în România. Lucrăm cu firme mijlocii europene care preferă onestitatea tehnică în locul ambalajului comercial. Am fost înființați în 2026; nu inventăm o istorie mai lungă.

Lecturi conexe

Etichete: nis2, conformitate, companii-mijlocii, autoevaluare, articolul-21, notificare-incidente, lant-aprovizionare