
În contextul actual, marcat de instabilitate geopolitică și creșterea atacurilor cibernetice, reziliența nu mai este un concept teoretic. Securitatea cibernetică a ieșit din zona „IT” și a intrat direct în zona de business, risc și continuitate operațională.
Conflictele geopolitice — precum războiul din Ucraina sau tensiunile din Orientul Mijlociu — au mutat o parte importantă a confruntărilor în zona digitală. Nu mai vorbim doar de atacuri izolate, ci de un adevărat război hibrid, în care infrastructurile IT, companiile și instituțiile devin ținte directe.
Aceste atacuri nu mai afectează doar statele implicate direct, ci se propagă în ecosistemele economice din întreaga Europă. Companiile private, inclusiv cele din România, devin parte din acest context fără să își dorească — fie ca furnizori, fie ca parteneri în lanțuri de aprovizionare.
În acest context, NIS2 nu apare întâmplător. Este răspunsul Uniunii Europene la o realitate în care riscurile cibernetice nu mai sunt doar economice, ci și strategice. Nu mai vorbim doar despre protecția datelor, ci despre capacitatea de a menține operațiunile funcționale în situații critice.
Dimensiunea reală a impactului
La nivel european, peste 100.000 de organizații vor intra sub incidența NIS2 în 2026. În România, estimările variază între 8.000 și 15.000 de companii, incluzând nu doar entități mari, ci și IMM-uri integrate în lanțuri de aprovizionare critice. În paralel, rapoartele de securitate arată că majoritatea incidentelor (peste 70%) au la bază erori umane sau procese interne slabe, nu vulnerabilități tehnice sofisticate.
Nu este suficient să ai tehnologie, trebuie să ai structură, responsabilitate și capacitatea de a reacționa rapid. În practică, companiile care au proceduri clare, responsabilități definite și angajați instruiți reușesc să limiteze impactul incidentelor în ore, nu zile.
NIS2 vine exact în acest punct — nu ca o obligație izolată, ci ca un răspuns la o realitate mult mai amplă. Mulți încă privesc NIS2 ca pe o „actualizare” a vechii directive NIS1. Dar în realitate, diferențele sunt majore, iar impactul asupra companiilor, inclusiv IMM-urilor, este mult mai mare.
Acest context explică de ce NIS2 nu mai este doar despre protecție, ci despre reziliență.
”În practică, reziliența nu se măsoară prin numărul de soluții implementate, ci prin capacitatea companiei de a-și continua operațiunile, de a limita impactul și de a răspunde rapid atunci când apare un incident” - menționează Olimpia Oancea, Co-Fondator ITAdviser
Securitatea cibernetică a evoluat dincolo de sfera tehnică, fiind acum parte din modul în care sunt gestionate riscurile și responsabilitățile. Diferența reală apare în capacitatea de a anticipa, de a răspunde rapid și de a menține controlul atunci când lucrurile devin imprevizibile. Pentru că, în final, reziliența nu se construiește în momentul incidentului, ci înainte ca acesta să apară.
“Vedem o schimbare fundamentală în modul în care companiile sunt evaluate: performanța financiară și operațională nu mai este suficientă fără o demonstrare clară a maturității în gestionarea riscurilor cibernetice.”
Partenerii externi cer deja dovezi de conformitate, politici documentate, planuri de continuitate și responsabilități clar definite.
În România, această presiune vine tot mai mult din relațiile comerciale internaționale, nu doar din zona de reglementare.
Ce aduce nou NIS2
În trecut, NIS1 se aplica unui număr limitat de operatori și avea cerințe generale, concentrate mai mult la nivel tehnic. În prezent, NIS2:
extinde masiv domeniul de aplicare și include IMM-uri, startup-uri și furnizori din lanțuri critice (mii de entități noi)
transferă responsabilitatea la nivel de management și board
introduce sancțiuni dure: până la 10 milioane EUR sau 2% din cifra de afaceri globală;
cere politici documentate, management al riscurilor, securitatea lanțului de aprovizionare și proceduri de audit.
cerințe clare privind: managementul riscurilor, securitatea lanțului de aprovizionare, politici, proceduri și controale documentate, obligații stricte de raportare a incidentelor
În România, NIS2 este aplicată sub supravegherea Directoratului Național de Securitate Cibernetică, conform cadrului legislativ național.
NIS2 și IMM-urile: efect direct
Pentru IMM-uri, NIS2 nu se aplică doar „direct”, ci și prin clienți și parteneri:
IMM-uri din IT, software, cloud, servicii digitale
furnizori în lanțuri de aprovizionare
companii care gestionează date sau servicii critice
Chiar dacă nu sunt entități „esențiale”, IMM-urile care furnizează servicii către companii mari sau gestionează date critice trebuie să se conformeze:
implementarea politicilor minime de securitate cibernetică
evaluarea și gestionarea riscurilor
proceduri clare de raportare a incidentelor
planuri de continuitate și backup
roluri și responsabilități clar definite
Conformarea trebuie să fie proporțională cu dimensiunea și riscurile companiei.
Din practica ITAdviser
Din experiența noastră, companiile care reușesc să implementeze NIS2 eficient nu încearcă să facă totul deodată. Iată de unde puteți să începeți: primul pas este să înțelegeți clar unde vă aflați. Această directivă ține de organizare, responsabilitate și capacitatea de a arăta că aveți control asupra riscurilor din companie.
În majoritatea cazurilor, companiile au deja o bază: există infrastructură, există soluții tehnice, există oameni care știu ce au de făcut. Diferența apare atunci când toate acestea sunt puse într-o structură clară, ușor de urmărit și de aplicat în mod constant.
aveți peste 50 de angajați sau >10 mil € cifră de afaceri?
lucrați în IT, producție, logistică, sănătate, servicii digitale?
aveți clienți mari (corp / UE) care vă cer securitate?
Dacă răspunsul e „da” la 1–2 din acestea, tratați NIS2 ca aplicabil.
Puteți începe cu o evaluare clară a situației actuale, care poate evolua ulterior într-un audit complet.
politici scrise de securitate (nu doar „știm noi”)
backup funcțional (și testat!)
listă cu cine are acces la ce
procedură dacă apare un incident
Dacă lipsesc, acestea sunt primele aspecte de analizat în detaliu.
cine răspunde de NIS2 în companie?
nu „toată lumea”, ci o persoană clară
Intern (dacă aveți competență) sau externalizați (cel mai frecvent la IMM-uri).
Începeți cu lucrurile care reduc riscul imediat:
activați autentificare multifactor (MFA)
verificați și limitați accesurile
documentați procedura de incident (1 pagină e ok)
testați backup-ul (foarte des ignorat)
Aveți nevoie de:
politică de securitate
procedură de incident
plan de continuitate
evaluare de risc
Important: să fie aplicabile, nu perfecte.
training scurt despre phishing
reguli clare pentru parole și acces
ce faceți dacă „pare suspect”
Aici HR devine critic, nu doar IT.
simulați un incident („ce facem dacă…?”)
verificați accesurile periodic
actualizați documentele
Cazuistica NIS2: cum arată realitatea din companii
NIS2 nu se vede în teorie, ci în situații concrete din companii. Cel mai frecvent scenariu este cel al organizațiilor care „stau bine tehnic”, dar nu au structură: există soluții (firewall, backup, antivirus), dar lipsesc procedurile, responsabilitățile și documentația. În momentul în care li se cere dovada conformității, apare blocajul.
Un alt tipar des întâlnit este cel al IMM-urilor care nu se consideră vizate, dar sunt integrate în lanțuri de aprovizionare. Presiunea vine din partea partenerilor, nu neapărat a autorităților, iar conformarea devine condiție pentru continuarea colaborărilor.
Există și situații în care tehnologia există, dar nu și alinierea internă. IT-ul implementează, dar managementul nu este implicat, iar HR-ul nu are rol definit. Într-un incident real, această lipsă de claritate încetinește reacția și crește impactul.
Un exemplu simplu din experiența noastră de lucru
Companie românească din zona de servicii, aproximativ 90 de angajați, cu clienți internaționali. Avea infrastructură solidă, dar nu avea plan documentat de continuitate, procedură clară de răspuns la incidente și nici responsabil desemnat oficial.
În momentul în care un partener extern a cerut dovada alinierii la NIS2, compania nu a putut răspunde. În câteva luni, fără investiții majore, am structurat procesul: am făcut evaluarea, am documentat procedurile, am testat backup-ul și am clarificat responsabilitățile interne. Rezultatul nu a fost doar conformitatea, ci o schimbare de perspectivă.
„Nu ne lipseau soluțiile. Ne lipsea claritatea.” — acesta a fost feedback-ul managementului.
Concluzia este simplă: vulnerabilitatea nu este, de cele mai multe ori, tehnică, ci organizațională. NIS2 nu adaugă complexitate, ci aduce structură.
Drumul practic spre NIS2
Un plan realist de conformare în 2026 presupune evaluare clară, prioritizare, implementare practică, instruirea echipei și monitorizare continuă. Pentru IMM-uri, externalizarea responsabilului NIS2 face procesul mai simplu, mai sigur și mai eficient.
NIS2 gestionat de experți. ITAdviser oferă un responsabil extern pentru:
evaluare dacă IMM-ul intră sub incidența NIS2
coordonarea procesului de conformare și documentarea procedurilor
gestionarea raportărilor incidentelor și relația cu autoritățile
menținerea companiei în control fără a crea o funcție internă complexă
Astfel, conformarea devine clară, controlabilă și avantajoasă, iar compania își protejează reputația și relațiile cu clienții.
Resurse utile:
În contextul numeroaselor întrebări venite din partea companiilor ( „suntem sau nu impactați?”, „ce obligații avem?”, „de unde începem?” ) am lansat recent platforma nis-solutions.eu, un spațiu dedicat evaluării rapide și ghidării practice în procesul de conformare NIS2
Să alegem specialiști IT potriviți sau să externalizăm cu valoare adăugată?
=================================================================
Despre ITAdviser De peste 20 de ani sprijinim organizații din diverse domenii în proiecte de Training, Cybersecurity și Outsourcing IT, oferind expertiză practică și soluții adaptate nevoilor reale. Continuăm să învățăm și să evoluăm pentru a rămâne un partener de încredere.
20 ani activitate | 300+ proiecte complexe | 24.000 cursanți | 90.000+ ore consultanță IT
Contactează-ne pentru o discuție despre cum putem susține creșterea digitală a organizației: 0728 ADVICE
Primește cele mai noi articole și resurse direct în inbox-ul tău.
Nu facem spam. Poți să te dezabonezi oricând.