ISO 27001 și Directiva NIS2 – Cum te ajută certificarea să fii conform

Ce este Directiva NIS2?

Directiva NIS2 (Network and Information Security Directive) reprezintă cadrul legislativ european pentru securitatea cibernetică, care înlocuiește vechea directivă NIS1. România a transpus această directivă prin OUG nr. 155/2024, consolidată ulterior prin Legea nr. 124/2025.

Autoritatea competentă la nivel național este Directoratul Național de Securitate Cibernetică (DNSC), cu atribuții de supraveghere, monitorizare și sancționare.

Cine trebuie să se conformeze?

NIS2 extinde semnificativ lista entităților obligate să implementeze măsuri de securitate cibernetică:

Sectoare esențiale:

• Energie (electricitate, petrol, gaze)
• Transport
• Sănătate
• Infrastructură digitală
• Administrație publică centrală
• Apă și apă uzată
• Spațiu

Sectoare importante:

• Producători, prelucrători și distribuitori de alimente
• Servicii poștale și de curierat
• Gestionare deșeuri
• Fabricare autovehicule și echipamente electrice
• Producție computere și produse electronice
• Marketplace-uri online

Cerințele principale NIS2

Directiva impune zece măsuri minime de securitate, structurate în Articolul 21:

1. Politici de analiză a riscurilor și securitate a sistemelor informatice
2. Gestionarea incidentelor
3. Continuitatea activității și gestionarea crizelor
4. Securitatea lanțului de aprovizionare
5. Securitatea în achiziția, dezvoltarea și întreținerea sistemelor
6. Politici de evaluare a eficacității măsurilor de securitate
7. Practici de bază de igienă cibernetică și formare
8. Politici privind utilizarea criptografiei
9. Securitatea resurselor umane și controlul accesului
10. Autentificare multi-factor și comunicații securizate

Cum ajută ISO 27001?

Certificarea ISO 27001:2022 acoperă 70-80% din cerințele NIS2. Standardul oferă un cadru sistematic pentru:

• Managementul riscurilor de securitate a informației
• Implementarea controalelor de securitate
• Îmbunătățirea continuă a sistemului de management

Maparea ISO 27001 pe cerințele NIS2

Ce NU acoperă ISO 27001

Există câteva cerințe NIS2 care necesită măsuri suplimentare:

Raportarea incidentelor - NIS2 impune raportare în 24-72 ore către DNSC prin platforma PNRISC. ISO 27001 nu specifică termene sau autorități de raportare.

Răspunderea managementului - NIS2 prevede răspunderea directă a conducerii executive pentru neconformitate. Aceasta necesită politici și proceduri specifice.

Auditul periodic - Entitățile esențiale și importante trebuie să efectueze audituri de securitate cibernetică periodice sau la cererea DNSC.

Sancțiuni pentru neconformitate

DNSC poate aplica amenzi semnificative:

• Entități importante: până la 1,4% din cifra de afaceri sau 7.000.000 EUR
• Entități esențiale: până la 2% din cifra de afaceri sau 10.000.000 EUR

Alte măsuri posibile:

• Suspendarea temporară a activităților
• Interzicerea temporară a funcțiilor de conducere
• Obligarea la remedierea vulnerabilităților

Recomandări practice

Dacă ai deja ISO 27001:

1. Verifică dacă organizația ta intră sub incidența NIS2
2. Realizează o analiză gap între controalele existente și cerințele NIS2
3. Implementează proceduri de raportare a incidentelor către DNSC
4. Actualizează la ISO 27001:2022 (termen: 31 octombrie 2025)

Dacă nu ai ISO 27001:

1. Evaluează dacă organizația ta este vizată de NIS2
2. Implementează ISO 27001:2022 ca bază pentru conformitate
3. Adaugă controalele specifice NIS2 (raportare, responsabilitate management)
4. Planifică auditul de certificare

De ce să alegi certificarea ISO 27001?

Deși NIS2 nu impune obligatoriu certificarea ISO 27001, aceasta oferă avantaje semnificative:

• Dovadă de conformitate - demonstrezi autorităților că ai un sistem robust
• Eficiență - un singur sistem de management acoperă multiple cerințe
• Încredere - partenerii și clienții au garanția securității datelor
• Reducerea riscurilor - identifici și tratezi vulnerabilitățile sistematic