Directiva NIS2 (Network and Information Security 2) reprezintă un pas esențial al Uniunii Europene în consolidarea securității cibernetice. Adoptată în 2022 și cu termen de transpunere în legislațiile naționale până în 17 octombrie 2024, NIS2 vizează extinderea obligațiilor de securitate și raportare pentru companiile din sectoare critice – inclusiv furnizorii de servicii de hosting și cloud.

Ce presupune directiva NIS2

Noua directivă impune standarde mai stricte privind:

  • gestionarea riscurilor de securitate cibernetică,
  • notificarea incidentelor într-un termen de 24 de ore,
  • audituri periodice,
  • politici clare de securitate,
  • responsabilitatea managementului companiei,
  • măsuri de remediere în caz de breșe.

Față de versiunea anterioară (NIS1), NIS2 extinde considerabil lista entităților vizate, incluzând acum mai multe companii private din zona de digital infrastructure – adică firmele de găzduire web, centrele de date și operatorii de DNS.

Cum sunt afectate firmele de hosting din România

Majoritatea companiilor românești de hosting intră în categoria „entităților esențiale” sau „importante”, în funcție de mărimea companiei, cifra de afaceri și impactul asupra serviciilor digitale. Prin urmare, ele vor trebui să:

  • implementeze politici avansate de securitate (inclusiv protecție DDoS, segmentare rețea, acces controlat),
  • aibă personal dedicat pentru gestionarea incidentelor,
  • își asume responsabilitatea prin consiliul de administrație/directori,
  • raporteze rapid incidentele de securitate către CERT-RO (viitorul DNSC).

Cât de pregătite sunt firmele românești – analiza actuală

La nivel național, pregătirea este mixtă:

1. Marii jucători

  • Puncte forte: Investiții constante în infrastructură, echipe dedicate de securitate IT, servere în centre de date certificate ISO 27001.
  • Slăbiciuni: Unele companii nu oferă încă transparență deplină privind politicile de răspuns la incidente, iar notificările de breșe nu sunt întotdeauna publice.

2. Companii medii și mici

  • Puncte forte: Flexibilitate în adoptarea de soluții noi și în colaborarea cu autoritățile.
  • Slăbiciuni: Resurse umane și financiare limitate pentru a respecta cerințele stricte ale NIS2, lipsa auditărilor externe de securitate.

Probleme identificate în procesul de conformare

  • Lipsa standardelor comune în industrie – nu toate firmele urmează bunele practici internaționale.
  • Infrastructură moștenită – unele servere mai vechi nu mai pot fi securizate eficient fără upgrade complet.
  • Neclaritate legislativă – transpunerea NIS2 în legislația română este în curs, iar firmele așteaptă normele de aplicare de la DNSC.

Ce pot face companiile pentru a se conforma

  1. Evaluare internă completă de risc și securitate.
  2. Implementarea de politici și proceduri scrise pentru prevenție și răspuns la incidente.
  3. Investiții în echipe și traininguri de securitate cibernetică.
  4. Colaborare cu autoritățile (CERT-RO/DNSC) și consultanți specializați.
  5. Adoptarea de soluții automatizate de monitorizare, backup și intervenție rapidă.

Rolul DNSC și al statului român

Direcția Națională pentru Securitate Cibernetică (DNSC) va avea rolul de autoritate competentă pentru NIS2 în România. Ea va evalua, monitoriza și sancționa companiile care nu respectă directiva. Este așteptat un set clar de ghiduri oficiale pentru entitățile esențiale și importante, ceea ce va ajuta inclusiv firmele de hosting să-și clarifice obligațiile.

Firmele de hosting din România sunt într-un punct de tranziție. Deși unii dintre marii furnizori sunt bine poziționați pentru conformare, companiile mici și medii au nevoie de sprijin, timp și claritate legislativă. Conformarea cu NIS2 nu este doar o obligație legală, ci și o investiție în încrederea clienților și în siguranța infrastructurii digitale a României.

Te-ar putea interesa si: