Ce este NIS2 și de ce contează mai mult decât pareWhat is NIS2 and why it matters more than it seems

Directiva NIS2 (Network and Information Security 2) este un act legislativ european care obligă companiile să își securizeze sistemele IT, să prevină incidentele cibernetice și, dacă acestea totuși apar, să le raporteze rapid. A intrat în vigoare în UE și se implementează în legislația națională a fiecărui stat membru, inclusiv România prin DNSC.

The NIS2 Directive (Network and Information Security 2) is a European legislative act that requires companies to secure their IT systems, prevent cyber incidents and, if they do occur, report them quickly. It entered into force in the EU and is being implemented in the national legislation of each member state, including Romania through DNSC.

Diferența față de ce exista înainte e fundamentală: NIS2 nu îți cere să bifezi o listă de documente. Îți cere să poți demonstra că ai măsuri reale, că le testezi, că știi ce faci dacă ceva merge prost. Este trecerea de la conformitate pe hârtie la securitate în practică.

The difference from what existed before is fundamental: NIS2 doesn't ask you to tick a list of documents. It asks you to be able to demonstrate that you have real measures, that you test them, that you know what to do if something goes wrong. It's the transition from compliance on paper to security in practice.

„NIS2 nu este despre birocrație. Este despre supraviețuirea business-ului tău într-o lume digitală." "NIS2 isn't about bureaucracy. It's about your business surviving in a digital world."

Cui se aplică NIS2?Who does NIS2 apply to?

Una dintre cele mai mari surprize pentru antreprenori este că NIS2 nu se aplică doar marilor corporații. Se aplică unei game largi de sectoare, inclusiv firme IT, clinici medicale, firme de contabilitate, logistică, transport, energie, furnizori de servicii digitale. Criteriile generale vizează companiile cu peste 50 de angajați sau cu o cifră de afaceri mai mare de 10 milioane de euro | dar depinde și de sectorul de activitate.

One of the biggest surprises for entrepreneurs is that NIS2 doesn't just apply to large corporations. It applies to a wide range of sectors, including IT firms, medical clinics, accounting firms, logistics, transport, energy, digital service providers. The general criteria target companies with more than 50 employees or a turnover exceeding €10 million | but it also depends on the sector.

Chiar dacă nu intri direct sub incidența NIS2, dacă lucrezi cu clienți care intră, s-ar putea să fii obligat să îndeplinești cerințele lor de securitate ca parte din lanțul de aprovizionare. Supply chain security e una dintre componentele cheie ale directivei.

Even if you don't directly fall under NIS2, if you work with clients who do, you may be required to meet their security requirements as part of the supply chain. Supply chain security is one of the key components of the directive.

Ce trebuie să ai concretWhat you need concretely

NIS2 nu îți spune exact ce software să cumperi. Îți spune ce rezultate trebuie să obții. Tradus în practică, asta înseamnă câteva categorii esențiale:

NIS2 doesn't tell you exactly what software to buy. It tells you what outcomes you need to achieve. Translated into practice, that means a few essential categories:

Securitate de bază implementată corect

MFA (autentificare cu doi factori) peste tot, politici de parole serioase, control acces bazat pe principiul least privilege. Nu e nou | dar trebuie implementat corect, nu bifat.

MFA (two-factor authentication) everywhere, serious password policies, access control based on least privilege principle. None of this is new | but it needs to be properly implemented, not just ticked off.

Monitorizare și audit logs

Trebuie să știi când ceva nu e ok. Asta înseamnă loguri de acces, alerte la comportament suspect, posibilitatea de a reconstrui ce s-a întâmplat după un incident.

You need to know when something's wrong. That means access logs, alerts for suspicious behaviour, the ability to reconstruct what happened after an incident.

Backup real și disaster recovery

Nu e suficient să "ai backup". Backup-ul trebuie să fie automat, testat regulat și restaurabil în timp rezonabil. Un backup care nu a fost niciodată testat este o iluzie de securitate.

It's not enough to "have a backup". The backup must be automatic, regularly tested and restorable in a reasonable time. A backup that's never been tested is an illusion of security.

Incident response documentat

Trebuie să știi ce faci dacă ești atacat: pe cine anunți, cum limitezi impactul, cum raportezi. Asta nu se improvizează în mijlocul unui incident.

You need to know what to do if you're attacked: who to notify, how to limit the impact, how to report. This isn't something you improvise in the middle of an incident.

Raportarea incidentelor | termene strânseIncident reporting | tight deadlines

Dacă ai un incident cibernetic semnificativ, NIS2 impune termene clare: 24 de ore pentru o notificare inițială (early warning) și 72 de ore pentru un raport complet cu detalii. Dacă infrastructura ta nu îți permite să știi că ai avut un incident în 24 de ore, ai deja o problemă.

If you have a significant cyber incident, NIS2 sets clear deadlines: 24 hours for an initial notification (early warning) and 72 hours for a full detailed report. If your infrastructure doesn't allow you to know you've had an incident within 24 hours, you already have a problem.

NIS2 în România | unde suntemNIS2 in Romania | where we stand

România implementează NIS2 prin legislație națională coordonată de DNSC (Directoratul Național de Securitate Cibernetică). Multe companii nu sunt pregătite | nu pentru că nu vor, ci pentru că nu știu exact ce li se cere sau unde să înceapă. Atacurile ransomware nu mai țin cont de dimensiunea firmei, clienții enterprise încep să ceară dovezi de securitate, iar piața se schimbă rapid.

Romania implements NIS2 through national legislation coordinated by DNSC (National Directorate of Cyber Security). Many companies aren't prepared | not because they don't want to be, but because they don't know exactly what's required or where to start. Ransomware attacks no longer respect company size, enterprise clients are starting to demand security proof, and the market is changing rapidly.

Unde ești acum? Evaluează gratuitWhere are you now? Free assessment

Nu trebuie să devii expert în NIS2 peste noapte. Dar poți să afli rapid unde ești acum și ce ar trebui să prioritizezi. Am creat un instrument de evaluare a securității cibernetice cu 86 de întrebări, structurate pe domeniile cheie ale NIS2. La final primești un PDF cu scorul tău pe fiecare domeniu și recomandări concrete.

You don't need to become a NIS2 expert overnight. But you can quickly find out where you stand today and what to prioritise. I've created a cybersecurity assessment tool with 86 questions, structured around the key domains of NIS2. You receive a PDF with your score on each domain and concrete recommendations.

Notă importantă

Acesta nu este un audit oficial NIS2 și nu garantează conformitatea sau certificarea. Este un instrument de auto-evaluare creat de mine, util ca punct de start și pentru a identifica zonele care necesită atenție. Nu înlocuiește o evaluare profesională sau un audit formal.

This is not an official NIS2 audit and does not guarantee compliance or certification. It's a self-assessment tool I created, useful as a starting point to identify areas needing attention. It does not replace a professional evaluation or formal audit.

Dacă vrei să soliciți evaluarea, scrie-mi la contact@claudiuvasilache.ro cu subiectul "NIS2 Self-Assessment" | e gratuit, fără obligații.

If you want to request the assessment, write to me at contact@claudiuvasilache.ro with the subject "NIS2 Self-Assessment" | it's free, no obligations.