E una dintre cele mai frecvente întrebări pe care le primim de la CISO și manageri IT care se pregătesc pentru NIS 2: cere directiva efectiv o testare de penetrație? Pe scurt, NIS 2 nu folosește niciodată sintagma „testare de penetrație" — dar pentru majoritatea organizațiilor vizate, un pentest este modul cel mai practic și de apărat de a îndeplini ce cere Articolul 21.
Ce spune de fapt Articolul 21
NIS 2 (Directiva (UE) 2022/2555) stabilește, în Articolul 21(2), zece măsuri de bază de management al riscului. Două dintre ele indică direct testarea:
- (e) Securitate în achiziția, dezvoltarea și mentenanța sistemelor, inclusiv gestionarea și raportarea vulnerabilităților. Trebuie să găsești și să gestionezi vulnerabilitățile — nu să presupui că nu există.
- (f) Politici și proceduri pentru evaluarea eficacității măsurilor de management al riscului. Trebuie să dovedești că funcționează controalele, nu doar că există pe hârtie.
Testarea de penetrație este modul standard, producător de dovezi, de a face ambele: descoperă vulnerabilități exploatabile și demonstrează, cu dovezi reproductibile, dacă măsurile tale rezistă în fața unui atacator real.
De ce „evaluarea eficacității" înseamnă, practic, testare
Autoritățile și auditorii nu acceptă „avem un firewall" ca dovadă că riscul e gestionat. Articolul 21(2)(f) mută sarcina pe eficacitate demonstrabilă. În practică, asta înseamnă testare independentă — evaluări de vulnerabilități pentru amploare și testare de penetrație pentru profunzime — pe sistemele care susțin serviciile tale esențiale sau importante.
Adaugă că Articolul 20 face conducerea responsabilă pentru aprobarea și supravegherea acestor măsuri, iar Articolul 23 impune termene stricte de raportare (avertizare în 24 de ore, notificare în 72 de ore, raport final într-o lună). Nu poți raporta rapid despre slăbiciuni pe care nu le-ai căutat niciodată. Testarea alimentează atât responsabilizarea, cât și pregătirea la incidente.
Cât de des ar trebui testat?
Nu există un număr unic în directivă, dar baza de apărat este:
- Cel puțin anual, ca dovezile să rămână actuale pentru audit și review-ul conducerii.
- După orice schimbare majoră a unui sistem critic — o aplicație nouă, o schimbare majoră de infrastructură, o migrare în cloud.
- Bazat pe risc, adică sistemele cu expunere sau impact mai mare se testează mai des.
NIS 2 vs DORA: o notă despre TLPT
Dacă ești o entitate financiară, poți intra și sub DORA, care e mai explicit: impune un program de Threat-Led Penetration Testing (TLPT) pentru entitățile semnificative. Dacă ambele ți se aplică, mișcarea inteligentă e să rulezi un singur program de testare care produce dovezi pentru NIS 2 și satisface cerințele mai stricte din DORA, în loc să dublezi efortul.
Cum transformi un test în dovadă de conformitate
Valoarea unui pentest pentru NIS 2 nu stă doar în constatări — ci în cum sunt documentate. Caută:
- Constatări mapate la măsurile NIS 2 specifice pe care le dovedesc.
- Un sumar executiv pe care board-ul și auditorii chiar îl pot citi.
- Un roadmap de remediere prioritizat, evaluat CVSS.
- O retestare care confirmă că remedierile au funcționat.
Acel pachet transformă „am făcut un test" în „iată dovada că măsurile noastre sunt eficace."
De unde începi
Dacă definești asta pentru prima oară, checklist-ul nostru gratuit NIS 2 & DORA acoperă toate cele zece măsuri din Articolul 21 și arată unde intră testarea. Când ești gata să generezi dovezile, testarea de penetrație NIS 2 mapează fiecare constatare înapoi la obligațiile tale.
Nu ești sigur ce sisteme intră în scope sau cât de adânc să mergi? Exact asta e discuția de purtat înainte de audit, nu în timpul lui.
Acest articol este informație generală, nu consultanță juridică. Obligațiile tale specifice depind de sectorul, dimensiunea și rolul tău sub NIS 2. Surse: Directiva (UE) 2022/2555 (NIS 2), Articolele 20, 21 și 23.
