Două cadre europene schimbă modul în care organizațiile sunt așteptate să gestioneze riscul cibernetic: NIS 2 (Directiva (UE) 2022/2555) și DORA (Regulamentul (UE) 2022/2554). Se aplică unor categorii diferite — NIS 2 unui set larg de entități esențiale și importante din multe sectoare, DORA entităților financiare și furnizorilor lor ICT — dar trag în aceeași direcție: măsuri de securitate măsurabile, raportare rapidă a incidentelor, atenție la lanțul de aprovizionare și responsabilizarea conducerii.
Dacă răspunzi de securitate sau IT, partea grea de obicei nu e înțelegerea scopului, ci să știi, concret, unde organizația ta deja atinge ștacheta și unde sunt lipsurile. Acest articol îți oferă un punct de plecare practic — și un checklist gratuit ca să-l faci acționabil.
Ce cere de fapt NIS 2
NIS 2 stabilește o bază de zece măsuri minime de management al riscului în Articolul 21(2): analiză de risc și politici de securitate; gestionarea incidentelor; continuitate și management de criză; securitatea lanțului de aprovizionare; securitate în achiziție, dezvoltare și mentenanță; evaluarea eficacității măsurilor; igienă cibernetică de bază și training; criptografie și criptare; securitatea resurselor umane, control acces și management al activelor; și autentificare multi-factor cu comunicații securizate.
Două lucruri se trec ușor cu vederea. Întâi, Articolul 20 face conducerea responsabilă — trebuie să aprobe și să supravegheze aceste măsuri și să urmeze ea însăși training. Apoi, Articolul 23 impune un ceas strict de raportare: avertizare timpurie în 24 de ore, notificare în 72 de ore și raport final într-o lună.
Ce adaugă DORA pentru entitățile financiare
DORA este construit pe cinci piloni: un cadru de management al riscului ICT asumat de board; gestionarea și raportarea incidentelor ICT majore către autoritatea competentă; testarea rezilienței operaționale digitale, inclusiv Threat-Led Penetration Testing (TLPT) pentru entitățile vizate; managementul riscului ICT al terților, cu un registru al furnizorilor și atenție la riscul de concentrare; și schimbul de informații de tip threat intelligence.
Dacă intri sub ambele regimuri, vestea bună e că munca de bază se suprapune mult — managementul riscului, testarea, răspunsul la incidente și supravegherea terților servesc ambelor.
De la „ar trebui" la „putem dovedi"
Tema recurentă în ambele cadre este dovada. Nu mai e suficient să spui că faci conștientizare sau că îți testezi sistemele; trebuie să o demonstrezi, să ții dovezile la zi și să arăți că riscul scade. Asta înseamnă o referință, o țintă și un mod repetabil de a testa și raporta.
Un mod simplu de a începe:
- Mapează fiecare cerință la un responsabil și un status curent — implementat, parțial sau lipsă.
- Transformă lipsurile într-un plan scurt și prioritizat, nu într-un program de 200 de pagini.
- Validează controalele tehnice cu testare reală — evaluări de vulnerabilități și testare de penetrație — nu doar auto-declarații.
- Tratează stratul uman (conștientizare, reziliență la phishing, evidențe de training) ca pe un control măsurat, fiindcă oamenii rămân cea mai exploatată poartă de intrare.
Ia checklist-ul gratuit
Ca să fie concret, am publicat un checklist gratuit de pregătire NIS 2 & DORA, fără jargon. Acoperă toate cele zece măsuri din Articolul 21, obligațiile din Articolele 20 și 23 și cei cinci piloni DORA — sub formă de bife pe care le poți parcurge cu echipa. Îl poți citi online sau descărca în PDF ca să-l distribui intern.
Dacă, după checklist, vrei ajutor să închizi lipsurile, exact asta facem: de la testare de penetrație și evaluare de vulnerabilități la risc uman și conștientizare și dovezi de conformitate pregătite pentru audit.
Începe cu checklist-ul, vezi unde te afli și transformă lipsurile într-un plan.
Acest articol este informație generală, nu consultanță juridică. Obligațiile tale specifice depind de sectorul, dimensiunea și rolul tău sub fiecare cadru.