Pregătire internă · NIS2 Pilot Resurse

Lista de active si riscuri pentru pregatirea NIS2

Cum pregatesti intern o lista de active si o lista de riscuri pentru NIS2, ca materiale de lucru, nu ca audit sau dovada de conformitate.

Publicat: 4 iunie 20269 min de citire

Pentru pregatirea NIS2, o lista de active si o lista de riscuri ajuta compania sa inteleaga ce sisteme, servicii, date, furnizori si dependente sustin activitatea si unde pot aparea probleme de securitate cibernetica sau continuitate.

Aceste liste sunt materiale de lucru pentru management, IT, juridic, operatiuni si specialisti. Nu sunt audit, nu sunt evaluare oficiala, nu dovedesc singure conformitatea si nu decid daca o companie intra sau nu in sfera NIS2.

Pe scurt

  • Lista de active arata ce sisteme, servicii, date, furnizori si dependente trebuie intelese.
  • Lista de riscuri arata ce se poate intampla, ce impact ar putea avea si ce ramane neclar.
  • Ambele liste ajuta la discutia despre OUG 155/2024 Art. 11 si Art. 13, dar nu sunt audit.
  • Listele sunt materiale interne de pregatire, nu evaluare oficiala, certificare sau dovada de conformitate.
  • NIS2 Pilot poate ajuta la organizarea notelor si intrebarilor, nu la scanare, audit sau validare oficiala.

Ce inseamna active in pregatirea NIS2

In acest articol, active inseamna lucrurile care sustin activitatea relevanta: sisteme, aplicatii, servicii digitale, date, infrastructura, furnizori, contacte si dependente operationale. Este o definitie practica pentru pregatire interna, nu o definitie juridica noua.

OUG 155/2024 Art. 11 vorbeste despre riscurile aferente retelelor si sistemelor informatice utilizate in activitate sau in furnizarea serviciilor. De aceea, inainte de o discutie serioasa despre riscuri, compania trebuie sa stie macar ce sisteme si servicii sunt relevante.

Ce inseamna riscuri in aceasta lista

Aici, risc inseamna o incertitudine sau o problema posibila care poate afecta securitatea, continuitatea serviciului, datele pregatite pentru notificare sau deciziile managementului. Nu folosim o metodologie de scor si nu stabilim un nivel oficial de risc.

OUG 155/2024 Art. 13 include categorii precum analiza riscurilor, lantul de aprovizionare, gestionarea activelor, incidentele si continuitatea activitatii. Lista de fata ajuta doar la pregatirea informatiei care poate fi discutata ulterior cu specialisti.

Ce poti nota intr-o lista simpla

CategorieCe poti nota internDe ce conteazaCe nu inseamna automat
Sisteme si aplicatiiAplicatii critice, platforme, ERP, CRM, portaluri, API-uri si sisteme care sustin activitatea.Ajuta echipa sa inteleaga ce trebuie protejat si ce servicii depind de fiecare sistem.Nu este inventar tehnic complet sau CMDB validat.
IP-uri publice si servicii expuseIntervale IP publice, domenii, servicii expuse si persoana care poate confirma informatia.Ordinul DNSC 1/2025 Art. 5 include date privind retelele si sistemele informatice.Lista IP nu dovedeste securitatea si nu inlocuieste scanarea tehnica.
Proprietari de date si proceseCine raspunde de date, proces, sistem, contact sau documentul intern.Fara proprietari, managementul nu stie cine confirma sau actualizeaza informatia.Un proprietar intern nu este automat reprezentant legal sau responsabil oficial.
Furnizori, cloud si servicii externeCloud, hosting, MSP, MSSP, telecom, software critic si dependente operationale.OUG 155/2024 Art. 11 si Art. 13 includ context de lant de aprovizionare si risc.Lista furnizorilor nu este evaluare de securitate a furnizorilor.
Clienti critici si dependente de serviciuServicii livrate, categorii de clienti, dependente si efecte posibile ale intreruperilor.Ajuta managementul sa discute impactul operational si continuitatea serviciilor.Nu stabileste oficial sfera NIS2 sau impactul juridic.
Note de incident si continuitateIntreruperi cunoscute, lectii interne, probleme recurente si intrebari despre continuitate.OUG 155/2024 Art. 13 include gestionarea incidentelor si continuitatea activitatii.Nu este raportare de incident si nu este plan complet de raspuns la incident.
Goluri si incertitudiniDate lipsa, proprietar neclar, impact necunoscut, servicii necartografiate si intrebari pentru specialisti.Incertitudinea vizibila este mai utila decat o lista care pare completa, dar ascunde lipsuri.Nu inseamna concluzie juridica sau evaluare oficiala.

Ce ar trebui sa contina o lista simpla de active si riscuri

Pentru inceput, lista trebuie sa fie usor de completat si usor de revizuit. Nu incerca sa construiesti din prima zi un sistem tehnic complet; marcheaza clar ce este confirmat si ce trebuie verificat.

Campuri utile pentru pregatire

Alege campurile relevante pentru companie. Nu toate se aplica in fiecare caz.
  • Servicii de businessCe servicii livreaza compania si ce sisteme sau furnizori le sustin.
  • Sisteme si aplicatii de bazaAplicatii interne, platforme client, baze de date, API-uri, sisteme operationale si instrumente critice.
  • Intervale de IP publice, unde se aplicaIP-uri, servicii expuse si persoana sau furnizorul care poate confirma lista.
  • Cloud, hosting si furnizoriFurnizori externi care sustin disponibilitatea, securitatea sau functionarea serviciilor.
  • Dependente de tertiServicii fara de care compania nu poate livra normal catre clienti sau utilizatori.
  • Persoane responsabile si contacteProprietari interni, contacte tehnice, persoane care monitorizeaza comunicarea si coordonatori.
  • Proprietari de date si proceseCine cunoaste datele, cine confirma procesul si cine aproba schimbarea informatiei.
  • Note de incident si continuitateProbleme cunoscute, intreruperi, dependente fragile si intrebari despre redresare.
  • Goluri cunoscuteCe lipseste din lista, ce nu a fost confirmat si ce trebuie verificat separat.
  • Proprietate neclaraActive sau riscuri pentru care nimeni nu poate confirma rapid responsabilul.
  • Legaturi catre documente internePolitici, diagrame, contracte, registre, fise de sistem sau note operationale relevante.
  • Data ultimei revizuiriCand a fost verificata lista si cine a participat la actualizare.

Scenarii practice

Lista devine utila cand informatia este impartita intre management, IT, furnizori si operatiuni. Aceste exemple sunt orientative si nu stabilesc sfera NIS2.

Compania are IP-uri publice, dar nu exista proprietar

Lista marcheaza intervalele cunoscute, cine le poate confirma si intrebarea ramasa pentru IT sau furnizor.

SaaS-ul depinde de un furnizor cloud

Activele includ platforma si furnizorul, iar riscurile noteaza dependenta, schimbarea furnizorului sau indisponibilitatea.

Managementul stie clientii, IT-ul stie sistemele

Lista leaga serviciile livrate de sistemele si datele care le sustin, fara sa forteze o concluzie juridica.

Schimbarea unui furnizor afecteaza continuitatea

Echipa noteaza ce servicii depind de furnizor si ce intrebari trebuie clarificate inainte de decizie.

Se schimba persoana de contact de securitate

Lista ajuta la actualizarea proprietarilor, contactelor si mijloacelor de comunicare interne.

Pleaca proprietarul unui sistem critic

Riscul nu este doar tehnic: compania poate pierde context, acces, documentatie si capacitate de raspuns.

Cum se leaga lista de notificarea DNSC

Ordinul DNSC nr. 1/2025 Art. 5 include categorii de date precum serviciile furnizate, mijloacele permanente de contact, persoana responsabila cu securitatea daca este deja desemnata, intervalele de adrese IP publice si documentele anexate, unde sunt aplicabile.

O lista interna de active si riscuri poate ajuta compania sa pregateasca aceste date si sa vada ce trebuie confirmat. Nu transmite notificari si nu actualizeaza registrul DNSC. Pentru structura formularului, vezi articolul despre informatiile pentru notificarea DNSC. Daca unele date despre sisteme sau servicii nu sunt confirmate, tine-le intr-un jurnal de date lipsa pentru pregatirea NIS2.

Cum se leaga lista de registrul intern NIS2

Lista de active si riscuri poate deveni o sectiune dintr-un registru intern NIS2: notezi sursa, proprietarul, data revizuirii, incertitudinea si decizia urmatoare. Astfel, raspunsurile nu raman doar intr-o discutie informala.

Registrul intern ramane tot o evidenta de lucru. Nu este registru oficial DNSC, nu este certificare si nu este dovada suficienta de conformitate. Pentru detalii, vezi articolul despre registrul intern NIS2 si jurnalul de decizii. Pentru dependente externe care trebuie verificate periodic, vezi si revizuirea furnizorilor si dependentelor NIS2.

Cum incepi in 5 pasi

Pastreaza procesul simplu si verificabil. Scopul este sa obtii claritate, nu sa bifezi artificial o lista.
  1. 1Porneste de la serviciile livrateNoteaza ce servicii sau procese conteaza pentru clienti, operatiuni si activitatea analizata NIS2.
  2. 2Leaga serviciile de sisteme si furnizoriPentru fiecare serviciu important, noteaza aplicatii, date, infrastructura, furnizori si dependente.
  3. 3Adauga proprietari si contacteScrie cine confirma informatia, cine poate raspunde tehnic si cine trebuie implicat la schimbari.
  4. 4Noteaza riscurile si incertitudinileMarcheaza intreruperi posibile, dependente fragile, date lipsa si intrebari care necesita review.
  5. 5Revizuieste periodicActualizeaza lista cand apar sisteme noi, furnizori noi, contacte schimbate sau servicii relevante.

Ce poate face NIS2 Pilot si ce nu poate face

NIS2 Pilot poate ajuta la organizarea notelor interne si a intrebarilor de clarificat. Nu este un scanner tehnic, un auditor sau un furnizor de implementare cybersecurity.

ZonaPoate ajutaNu poate face
Note despre activeOrganizeaza sisteme, servicii, proprietari, furnizori si documente interne.Nu descopera automat active, nu scaneaza infrastructura si nu valideaza tehnic lista.
Note despre riscuriPastreaza riscuri observate, impact orientativ, incertitudini si intrebari pentru specialisti.Nu calculeaza un nivel oficial de risc si nu face evaluare ENIRE sau certificare.
Pregatire pentru discutiiAjuta managementul, IT-ul si operatiunile sa intre in discutie cu date mai clare.Nu ofera consultanta juridica, audit de securitate sau garantie de conformitate.
Pregatire pentru DNSCAjuta la organizarea datelor interne care pot sustine notificarea sau actualizarile.Nu transmite notificarea, nu actualizeaza registrul DNSC si nu decide incadrarea oficiala.

Ce sa nu presupui

Aceste limite mentin articolul in zona de orientare si pregatire interna.
  • O lista de active nu este auditEste un punct de pornire pentru discutii, nu o verificare tehnica independenta.
  • O nota de risc nu este concluzie juridicaRiscurile trebuie discutate cu specialisti cand pot schimba decizii importante.
  • Datele lipsa nu trebuie ascunseO incertitudine vizibila este mai sigura decat o lista care pare completa artificial.
  • Lista de IP-uri nu dovedeste conformitateaIP-urile pot fi relevante pentru pregatire, dar nu spun daca sistemele sunt securizate.
  • Ghidarea produsului nu este decizie DNSCNIS2 Pilot ajuta la organizare interna si nu inlocuieste autoritatea sau specialistii.

Surse oficiale folosite

Articolul foloseste OUG 155/2024 Art. 11 pentru contextul de gestionare a riscurilor si pentru referinta la lista activelor relevante si lista riscurilor identificate in urma analizei riscurilor. Art. 13 este folosit doar ca reper pentru categorii precum analiza riscurilor, lantul de aprovizionare, gestionarea activelor, incidentele si continuitatea activitatii.

Pentru legatura cu notificarea, articolul foloseste OUG 155/2024 Art. 18 si Ordinul DNSC nr. 1/2025 Art. 4-5. Nu foloseste numerotarea Directivei UE pentru obligatii romanesti si nu foloseste Ordinul DNSC nr. 2/2025 sau Ordinul DNSC nr. 3/2025.

Întrebări frecvente

Care este diferenta dintre lista de active si lista de riscuri?

Lista de active arata ce sisteme, servicii, date, furnizori si dependente sustin activitatea. Lista de riscuri arata ce se poate intampla cu ele, ce impact ar putea avea si ce intrebari raman neclare.

Trebuie sa fie listele complete din prima zi?

Nu. Pentru pregatire interna, este mai util sa pornesti cu ce stii, sa marchezi ce lipseste si sa revizuiesti lista. Nu prezenta o lista incompleta ca audit sau dovada de conformitate.

Lista de riscuri inseamna evaluare oficiala ENIRE?

Nu. Acest articol nu este despre ENIRE si nu stabileste un nivel oficial de risc. Lista de riscuri descrisa aici este un material de lucru pentru orientare si discutii interne.

NIS2 Pilot auditeaza aceste liste?

Nu. NIS2 Pilot poate ajuta la organizarea notelor despre active, riscuri si incertitudini, dar nu scaneaza sisteme, nu auditeaza controale, nu certifica si nu valideaza oficial datele.

Verificati orientativ situatia companiei

NIS2 Pilot va ajuta sa organizati informatiile interne, activele, riscurile si intrebarile ramase. Nu scaneaza sisteme, nu auditeaza si nu valideaza oficial lista.

Verificați dacă compania dvs. intră în sfera NIS2 →Documente interne pentru pregatirea NIS2

Acest articol are scop informativ. Nu constituie consultanță juridică sau evaluare tehnică de specialitate. Toate resursele NIS2 Pilot

Resurse utile

Documente interne utile pentru pregătirea NIS2

Pregătire internă

Documente pregătire NIS2 pe care o organizație le poate centraliza intern înainte de discuții cu specialiști și procese oficiale relevante public.

Deschideți resursa: Documente interne utile pentru pregătirea NIS2

Checklist de pregătire internă NIS2

Pregătire internă

Checklist pregătire NIS2 pentru organizarea informațiilor interne, documentelor și responsabilităților înainte de discuțiile cu specialiștii.

Deschideți resursa: Checklist de pregătire internă NIS2

Cum transformi NIS2 într-un plan intern de acțiune

Pregătire internă

Pași practici pentru transformarea obligațiilor NIS2 din GEO 155/2024 într-un plan intern de acțiune: guvernanță, riscuri, incidente, furnizori și documentare.

Deschideți resursa: Cum transformi NIS2 într-un plan intern de acțiune

Registru intern NIS2: jurnal de decizii, date si justificari

Pregătire internă

Ce poate include un registru intern NIS2: surse, decizii, roluri, intrebari si schimbari. Pregatire interna, nu registru oficial DNSC.

Deschideți resursa: Registru intern NIS2: jurnal de decizii, date si justificari

Intrebari pe care managementul ar trebui sa le puna IT-ului inainte de notificarea NIS2

Pregătire internă

Ce intrebari pune managementul echipei IT inainte de notificarea NIS2: sisteme, servicii, furnizori, contacte, riscuri si dovezi interne.

Deschideți resursa: Intrebari pe care managementul ar trebui sa le puna IT-ului inainte de notificarea NIS2