Pregătire internă · NIS2 Pilot Resurse

Cum transformi NIS2 într-un plan intern de acțiune

Pași practici pentru transformarea obligațiilor NIS2 din GEO 155/2024 într-un plan intern de acțiune: guvernanță, riscuri, incidente, furnizori și documentare.

Publicat: 29 mai 202614 min de citire

Pe scurt

Multe organizații citesc GEO 155/2024 și înțeleg obligațiile la nivel general, dar nu știu cum să transforme acele obligații în acțiuni concrete. Această pagină oferă un cadru practic pentru trecerea de la „ce prevede legea" la „ce facem intern" — o structură orientativă de plan intern de acțiune, bazată pe ariile de pregătire prevăzute de lege.

Idei principale

  • Provocarea nu este lipsa informațiilor legale, ci traducerea lor în responsabilități, termene orientative și priorități.
  • Un plan intern util respectă proporționalitatea (Art. 11), are responsabili numiți și se actualizează iterativ.
  • Planul intern este un instrument de organizare — nu un certificat de conformitate și nu înlocuiește consultanța specializată.

De la lege la acțiune: provocarea principală

GEO 155/2024 prevede obligații în mai multe arii: managementul riscurilor (Art. 11), măsuri minime de securitate (Art. 13), responsabilitățile conducerii (Art. 14), raportarea incidentelor (Art. 15). Fiecare articol descrie ce trebuie realizat, dar nu prescrie modul specific de implementare — acesta depinde de dimensiunea, sectorul și nivelul de maturitate al fiecărei organizații.

Provocarea pentru echipele interne nu este lipsa informațiilor legale, ci traducerea acelor informații în responsabilități concrete, termene orientative și priorități de acțiune. Un plan intern de acțiune face exact acest lucru: transformă textul legislativ în sarcini atribuite, cu responsabili și termene.

Principiile unui plan intern eficient

Înainte de a începe documentul propriu-zis, câteva principii care ghidează un plan intern util:

  • ProporționalitateArt. 11 din GEO 155/2024 menționează explicit că măsurile trebuie să fie „proporționale și adecvate". Un plan pentru o companie cu 50 de angajați va arăta diferit de unul pentru o corporație cu 5.000.
  • Realismul termenelorStabiliți termene pe care echipa le poate respecta. Un plan ambițios dar nerealizabil generează frustrare și abandon.
  • Responsabili numiți„Echipa IT" nu este un responsabil — o persoană specifică este. Fiecare acțiune trebuie să aibă un responsabil.
  • DocumentareDocumentați ce s-a făcut, nu doar ce trebuie făcut. Dovezile de pregătire sunt la fel de importante ca pregătirea în sine.
  • IterativitatePlanul se actualizează pe măsură ce organizația avansează, primește orientări noi de la DNSC sau identifică lacune suplimentare.

Structura unui plan intern de acțiune NIS2

Un plan intern poate fi organizat pe ariile principale de obligații prevăzute de GEO 155/2024. Structura de mai jos este orientativă — nu este un format impus de lege sau de DNSC:

Aria 1 — Guvernanță și responsabilități (Art. 14)

  • Identificați candidatul pentru rolul de responsabil de securitateBază legală: Art. 14(3) din GEO 155/2024.
  • Pregătiți decizia internă de desemnare (draft)Bază legală: Art. 14(3).
  • Inventariați formările profesionale existente ale conduceriiBază legală: Art. 14(2).
  • Identificați furnizori de formare profesională acreditatăBază legală: Art. 14(2).
  • Pregătiți un brief intern pentru conducere (Board Pack)Bază legală: Art. 14(1).
  • Stabiliți procesul de aprobare a politicilor de securitate la nivel de conducereBază legală: Art. 14(1).

Aria 2 — Managementul riscurilor (Art. 11)

  • Inventariați activele critice (sisteme, date, rețele)Bază legală: Art. 11(1).
  • Identificați riscurile principale de securitate ciberneticăBază legală: Art. 11(1).
  • Documentați registrul de riscuri (sau creați unul de start)Bază legală: Art. 11(1).
  • Stabiliți procesul periodic de revizuire a riscurilorBază legală: Art. 11(2).
  • Verificați dacă există evaluări anterioare de risc (ISO, audit intern)Bază legală: Art. 11.

Aria 3 — Măsuri de securitate (Art. 13)

  • Verificați existența unei politici de securitate a informațiilorBază legală: Art. 13(a).
  • Evaluați procesul de gestionare a incidentelorBază legală: Art. 13(b).
  • Verificați planul de continuitate a activitățiiBază legală: Art. 13(c).
  • Identificați și evaluați furnizorii criticiBază legală: Art. 13(d).
  • Verificați procesul de achiziție și întreținere a sistemelorBază legală: Art. 13(e).
  • Evaluați politicile de control al accesului și autentificareBază legală: Art. 13(i)–(j).
  • Verificați existența măsurilor de igienă cibernetică de bazăBază legală: Art. 13(g).
  • Evaluați utilizarea criptografiei în comunicații și stocareBază legală: Art. 13(h).

Aria 4 — Raportarea incidentelor (Art. 15)

  • Definiți cine evaluează dacă un incident este semnificativBază legală: Art. 15(6).
  • Stabiliți lanțul de escaladare (detectare → evaluare → raportare)Bază legală: Art. 15(7).
  • Pregătiți șabloane interne pentru 24h, 72h și raportul finalBază legală: Art. 15(7).
  • Asigurați disponibilitatea persoanelor responsabile în afara orelor de programBază legală: Art. 15(7).
  • Testați procedura intern (exercițiu simulat)Bază legală: Art. 15.

Aria 5 — Lanțul de aprovizionare (Art. 13(d))

  • Creați registrul furnizorilor de servicii IT și operaționaleBază legală: Art. 13(d).
  • Clasificați furnizorii pe niveluri de criticitateBază legală: Art. 13(d).
  • Verificați clauzele contractuale de securitateBază legală: Art. 13(d).
  • Pregătiți întrebări standard pentru furnizorii criticiBază legală: Art. 13(d).

Aria 6 — Documentare și evidențe

  • Centralizați documentele existente de securitateContext: pregătire generală.
  • Identificați documentele lipsă sau expirateContext: gap analysis intern.
  • Stabiliți procesul de revizuire periodică a documentelorContext: mentenanță continuă.
  • Pregătiți un dosar intern structurat pentru consultantul externContext: consultant handoff.

Cum se prioritizează acțiunile

Nu toate acțiunile au aceeași urgență. O abordare practică de prioritizare:

  • Primele 30 de zile: guvernanță (responsabil, brief pentru conducere), inventar de active și furnizori, procedura de raportare incidente. Aceste sunt fundamentale și condiționează totul altceva.
  • Zilele 30–60: evaluare de riscuri, verificarea măsurilor existente de securitate, analiza contractelor cu furnizorii critici.
  • Zilele 60–90: remedierea lacunelor identificate, testarea procedurilor (exercițiu simulat de incident), pregătirea documentației pentru discuția cu consultantul.

Pentru un cadru mai detaliat pe etape de 30/60/90 de zile, consultați planul de acțiune NIS2 pe 30/60/90 de zile.

Greșeli frecvente în construirea planului intern

  • Plan fără responsabili. O listă de acțiuni fără persoane responsabile rămâne o listă de dorințe. Fiecare acțiune trebuie atribuită.
  • Totul simultan. Încercarea de a rezolva toate obligațiile în paralel duce la progres superficial. Prioritizați și secvențializați.
  • Focus exclusiv pe tehnologie. NIS2 este la fel de mult despre guvernanță, documentare și procese cât despre soluții tehnice. Un plan doar tehnic ratează jumătate din cerințe.
  • Lipsa revizuirii. Un plan static este deja depășit după prima lună. Stabiliți un ciclu de revizuire (lunar sau trimestrial).
  • Confundarea planului cu conformitatea. Existența unui plan intern de acțiune nu înseamnă conformitate. Planul este un instrument de organizare, nu un certificat.

Rolul consultantului extern

Un plan intern de acțiune nu înlocuiește consultanța specializată. Rolul planului este de a pregăti organizația pentru o discuție productivă cu un consultant:

  • Consultantul vede ce s-a făcut deja și unde sunt lacunele
  • Timpul consultantului este folosit eficient — nu se pornește de la zero
  • Organizația are un limbaj comun cu consultantul
  • Costurile de consultanță pot fi mai mici când pregătirea internă este solidă

NIS2 Pilot este conceput ca un instrument pre-consultant — nu post-consultant. Ajută la organizarea internă, nu la înlocuirea expertizei profesionale.

Resurse suplimentare

Pentru context suplimentar privind ariile individuale ale planului:

Cum poate ajuta NIS2 Pilot

Întrebări frecvente

Ce este un plan intern de acțiune NIS2?

Este un document orientativ care traduce obligațiile din GEO 155/2024 în acțiuni concrete, cu responsabili și termene. Nu este un format impus de lege sau de DNSC, ci un instrument intern de organizare a pregătirii.

Pe ce arii se structurează un astfel de plan?

Frecvent: guvernanță și responsabilități (Art. 14), managementul riscurilor (Art. 11), măsuri de securitate (Art. 13), raportarea incidentelor (Art. 15), lanțul de aprovizionare (Art. 13(d)) și documentare. Structura este orientativă și se adaptează la fiecare organizație.

Cum prioritizez acțiunile?

O abordare practică: în primele 30 de zile, guvernanța, inventarul de active/furnizori și procedura de incidente; în zilele 30–60, evaluarea de riscuri și verificarea măsurilor; în zilele 60–90, remedierea lacunelor și testarea procedurilor. Termenele sunt orientative.

Un plan intern înseamnă că sunt conform cu NIS2?

Nu. Existența unui plan intern de acțiune nu înseamnă conformitate. Planul este un instrument de organizare, nu un certificat. Evaluarea situației specifice necesită un specialist.

Planul intern înlocuiește consultantul extern?

Nu. Rolul planului este de a pregăti organizația pentru o discuție productivă cu un consultant — acesta vede ce s-a făcut și unde sunt lacunele. NIS2 Pilot este conceput ca instrument pre-consultant, nu ca înlocuitor al expertizei profesionale.

Cum ajută NIS2 Pilot la construirea planului?

Transformă răspunsurile auto-raportate într-un raport structurat pe arii, util ca punct de plecare pentru planul intern. Nu generează un plan oficial de conformitate, nu auditează organizația și nu substituie evaluarea profesională.

Transformați obligațiile NIS2 în acțiuni concrete

Organizați informațiile interne relevante și generați un raport de planificare structurat pe arii — guvernanță, riscuri, incidente, furnizori, documentare — util ca punct de plecare pentru planul intern de acțiune.

Verificați dacă compania dvs. intră în sfera NIS2 →

Acest articol are scop informativ. Nu constituie consultanță juridică sau evaluare tehnică de specialitate. Toate resursele NIS2 Pilot

Surse oficiale și context

  • GEO 155/2024textul complet al transpunerii NIS2 în România (legislatie.just.ro)
  • Legea 124/2025modificările aduse GEO 155/2024, în vigoare din iulie 2025 (legislatie.just.ro)
  • DNSC — Legislație NIS2ordine, ghiduri și materiale publice de orientare (dnsc.ro)