În 2025, România nu mai poate ignora valul tot mai agresiv de amenințări cibernetice. După o serie de atacuri la nivel european și o presiune crescută din partea Uniunii Europene, autoritățile române au început să implementeze noul cadru de securitate cloud bazat pe directiva NIS2.
Pentru mine, schimbarea e clară: nu mai e suficient să ai un server securizat și un antivirus plătit. Companiile – fie ele publice sau private – trebuie să respecte standarde clare, aplicabile oricărui serviciu care rulează în cloud sau accesează date sensibile.
Ce este directiva NIS2 și de ce contează
Directiva NIS2 (Network and Information Security) este noua legislație europeană care obligă statele membre să adopte un set minim de măsuri privind securitatea cibernetică, cu aplicabilitate extinsă: de la furnizori de servicii digitale, până la spitale, bănci, firme IT și operatori telecom.
România a început transpunerea directivei în legislația națională și, din ce am văzut, noul cadru implică:
-
audituri periodice de securitate
-
notificarea incidentelor în max. 24h
-
politici de acces diferențiat și criptare obligatorie
-
desemnarea unor responsabili de securitate (CISO)
-
proceduri clare de backup și restaurare
Este pentru prima dată când astfel de obligații nu mai sunt opționale, ci impuse prin lege, cu sancțiuni concrete.
Cine este afectat în România
Orice companie sau instituție care oferă servicii digitale, procesează date cu caracter personal sau lucrează cu infrastructuri critice va trebui să se conformeze. Asta înseamnă:
-
companii IT care dezvoltă software cloud
-
furnizori de hosting și infrastructură digitală
-
instituții publice cu sisteme informatice proprii
-
spitale, rețele de clinici și operatori de sănătate
-
firme din energie, logistică, telecom și retail
Eu am discutat deja cu câțiva CEO de firme tech care se pregătesc pentru certificări ISO 27001 și NIS2. Toți spun același lucru: „nu mai e vorba de reputație, ci de a rămâne în piață”.
Ce presupun noile standarde de securitate cloud
Pe scurt, companiile vor trebui să implementeze:
-
criptare end-to-end pentru date stocate și transferate
-
sisteme de autentificare multiplă pentru toți utilizatorii
-
backup-uri automate și redundante, în cloud și offsite
-
politici de acces controlat și loguri centralizate
-
sisteme automate de detecție și răspuns la incidente (SIEM, EDR)
Un aspect important e că aceste măsuri nu mai sunt doar recomandări „bune de avut”. Sunt obligatorii, auditate și penalizabile. Firmele care nu implementează aceste cerințe riscă amenzi de până la 2% din cifra de afaceri anuală.
Ce poate face o companie mică pentru a fi conformă
Chiar dacă poate părea intimidant, implementarea cerințelor NIS2 este fezabilă și pentru IMM-uri. Am văzut companii care:
-
externalizează securitatea către furnizori specializați
-
folosesc servicii cloud certificate (Microsoft, Google, Amazon)
-
achiziționează soluții all-in-one cu backup, criptare și control de acces
-
implementează politici clare de educare a angajaților
Totul pornește de la o evaluare inițială, un audit simplu, apoi pași concreți de conformare. România are acum acces la fonduri europene care pot acoperi o mare parte din costurile acestor schimbări.
FAQ – Întrebări frecvente
1. Ce este directiva NIS2 și cui se aplică?
Este un set de reguli europene privind securitatea cibernetică, aplicabil tuturor entităților care furnizează servicii digitale sau gestionează date critice.
2. Cum afectează NIS2 companiile care folosesc cloud?
Companiile trebuie să implementeze criptare, backup, autentificare multiplă, monitorizare și raportare a incidentelor pentru toate aplicațiile și datele din cloud.
3. Sunt IMM-urile obligate să respecte NIS2?
Da, dacă gestionează date sensibile sau oferă servicii digitale. Există și excepții, dar majoritatea firmelor tech vor intra sub incidența noilor reguli.
4. Cine verifică implementarea standardelor de securitate?
Autoritățile desemnate de stat, în parteneriat cu CERT-RO și alte entități de reglementare, pot verifica și aplica sancțiuni.
5. Care sunt sancțiunile pentru neconformitate?
Amenzile pot ajunge la 10 milioane lei sau 2% din cifra de afaceri, plus riscuri reputaționale și blocarea accesului la anumite licitații sau contracte publice.
