Pe scurt
Conform Art. 15 din GEO 155/2024, entitățile esențiale și importante au obligația de a raporta incidentele semnificative la DNSC în trei etape: o avertizare inițială în 24 de ore, o notificare a incidentului cu evaluare inițială în 72 de ore și un raport final în termen de maximum o lună de la notificarea inițială. Această pagină explică structura de raportare și ce poate pregăti intern o organizație pentru a fi capabilă să respecte aceste termene.
Aceasta este pagina de referinta pentru etapele din Art. 15: avertizarea la 24h, notificarea la 72h si raportul final. Pentru pregatirea interna inainte de o situatie reala, vezi ghidul despre pregatirea raportarii fara interventie tehnica la incident; pentru o explicatie mai scurta pentru conducere, vezi varianta pe intelesul managementului. Pagina nu decide daca un incident concret este raportabil si nu furnizeaza servicii de interventie tehnica.
Idei principale
- Art. 15 din GEO 155/2024 prevede trei etape de raportare: avertizare la 24h, notificare a incidentului cu evaluare inițială la 72h, raport final în maximum o lună de la notificarea inițială.
- Nu orice incident se raportează — doar cele „semnificative" conform criteriilor din Art. 15(6).
- Cea mai importantă investiție este pregătirea internă: roluri, lanț de escaladare și șabloane testate înainte de un incident real.
Ce este un incident semnificativ conform GEO 155/2024
Nu orice incident de securitate declanșează obligația de raportare. Art. 15(6) din GEO 155/2024 descrie un incident semnificativ prin oricare dintre următoarele criterii:
- Perturbări operaționale grave sau pierderi financiareIncidentul a cauzat sau este susceptibil să cauzeze perturbări operaționale grave ale serviciilor sau pierderi financiare pentru entitatea în cauză.
- Prejudicii considerabile pentru terțiIncidentul a afectat sau este susceptibil să afecteze alte persoane fizice sau juridice prin cauzarea de prejudicii materiale sau morale considerabile.
Cele trei etape de raportare
Art. 15(7) din GEO 155/2024 stabilește un proces de raportare în trei pași, fiecare cu un termen specific:
Etapa 1 — Avertizare inițială
În termen de 24 de ore de la constatarea incidentului semnificativ, entitatea transmite o avertizare inițială la DNSC. Aceasta semnalează existența incidentului și oferă informații preliminare.
Ce trebuie să conțină: confirmarea existenței incidentului, descriere sumară, evaluare inițială a impactului (dacă este disponibilă), informații de contact ale persoanei responsabile.
Etapa 2 — Notificare cu evaluare inițială
În termen de 72 de ore, entitatea transmite o notificare a incidentului cu evaluare inițială, care actualizează și detaliază informațiile disponibile după avertizarea inițială.
Ce poate include: descrierea cunoscută a incidentului, evaluarea inițială a severității și impactului, indicatori de compromitere (dacă sunt disponibili), măsuri de remediere aplicate sau planificate.
Etapa 3 — Raport final
În termen de maximum o lună de la notificarea inițială, entitatea transmite un raport final care documentează complet incidentul și răspunsul organizației.
Ce trebuie să conțină: descriere completă a incidentului, cauza probabilă, impactul real, măsurile aplicate pentru remediere și prevenire, impactul transfrontalier (dacă este cazul).
Termenele de mai sus curg de la momente diferite: avertizarea și notificarea de 72h de la constatarea incidentului semnificativ, iar raportul final în maximum o lună de la notificarea inițială. Consultați un specialist juridic pentru interpretarea exactă a momentelor de declanșare aplicabile organizației dvs.
Către cine se raportează
Conform GEO 155/2024, raportarea incidentelor se face către DNSC (Direcția Națională de Securitate Cibernetică), în calitate de autoritate competentă și punct unic de contact pentru NIS2 în România.
Ordinul DNSC 1/2025 poate conține detalii suplimentare privind canalele de comunicare, formatele acceptate și procedurile tehnice de transmitere. Verificați pagina DNSC — Legislație NIS2 pentru orientări actualizate.
De ce pregătirea internă contează mai mult decât procesul de raportare
Cele mai mari dificultăți nu apar la completarea formularului de raportare, ci în primele ore ale incidentului, când organizația trebuie să rezolve simultan:
- Stabiliți dacă incidentul este „semnificativ" conform criteriilor legale (Art. 15(6))
- Identificați cine are autoritatea de a decide escaladarea
- Colectați informațiile tehnice preliminare necesare avertizării
- Contactați persoanele responsabile, inclusiv în afara orelor de program
- Coordonați comunicarea internă și externă
O organizație care nu și-a pregătit intern aceste procese va constata că termenul de 24 de ore este extrem de strâns. Pregătirea internă — stabilirea rolurilor, crearea procedurilor de escaladare, testarea fluxului de notificare — este cea mai importantă investiție pe care o poate face o organizație în contextul obligațiilor de raportare.
Checklist de pregătire internă — raportarea incidentelor
Această listă orientativă ajută la organizarea informațiilor și proceselor interne pentru gestionarea raportării incidentelor:
- 1Desemnați un responsabil intern pentru evaluarea incidentelorCine decide dacă un incident este „semnificativ" și declanșează procesul de raportare? Această responsabilitate trebuie atribuită explicit.
- 2Definiți lanțul de escaladareStabiliți clar: cine detectează → cine evaluează → cine decide raportarea → cine transmite la DNSC → cine informează conducerea. Testați fluxul.
- 3Pregătiți un șablon intern de avertizare inițialăUn document intern care listează informațiile minime necesare pentru avertizarea la 24h: tip incident, momentul constatării, sisteme afectate, impact estimat, persoana de contact.
- 4Pregătiți un șablon pentru notificarea la 72hUn document pentru notificarea incidentului cu evaluare inițială: descrierea cunoscută, indicatori de compromitere disponibili, măsuri luate, evaluare de impact actualizată și persoane implicate.
- 5Stabiliți un proces de colectare a evidențelor tehniceLog-uri, capturi de ecran, indicatori de compromitere, cronologie — cine le colectează, unde se păstrează, cum se protejează integritatea lor.
- 6Asigurați disponibilitatea persoanelor cheie în afara orelor de programIncidentele nu respectă programul de lucru. Există date de contact actualizate pentru weekend și noapte? Există o procedură de alertare automată?
- 7Stabiliți cine coordonează comunicarea externăPe lângă raportarea la DNSC, pot fi necesare comunicări cu clienții, partenerii sau autoritățile de reglementare sectoriale. Cine decide ce și când se comunică?
- 8Testați procedura internUn exercițiu simulat (tabletop exercise) ajută la identificarea lacunelor înainte de un incident real. Discutați un scenariu ipotetic cu echipa responsabilă.
- 9Documentați și revizuiți procedura periodicProcedura de raportare trebuie actualizată când se schimbă personalul, furnizorii, sistemele sau cadrul legislativ.
Greșeli frecvente în pregătirea raportării
Pe baza materialelor publice de orientare disponibile, câteva erori comune includ:
- Lipsa unei proceduri scrise. Multe organizații presupun că „se va rezolva la momentul respectiv". Fără un flux documentat, termenul de 24 de ore devine dificil de respectat.
- Confuzia între incident și incident semnificativ. Nu orice problemă de securitate declanșează obligația de raportare. Criteriile din Art. 15(6) trebuie înțelese înainte de a decide dacă se raportează.
- Lipsa datelor de contact actualizate. Persoanele responsabile și-au schimbat rolul, numărul de telefon sau nu mai sunt în organizație. Listele de contact trebuie verificate periodic.
- Excluderea conducerii din flux. Art. 14(1) prevede că conducerea răspunde de implementarea măsurilor. O procedură de raportare care nu include notificarea conducerii este incompletă.
- Lipsa evidențelor tehnice. Raportul final necesită detalii tehnice. Dacă log-urile nu sunt păstrate sau sistemele de monitorizare nu sunt configurate, informațiile necesare pot fi pierdute ireversibil.
Legătura cu alte obligații NIS2
Raportarea incidentelor se conectează cu alte obligații prevăzute de GEO 155/2024:
- Responsabilitatea conducerii (Art. 14) — conducerea trebuie să fie familiarizată cu termenele și să asigure existența procedurilor. Citiți mai multe despre NIS2 pentru management.
- Managementul riscurilor (Art. 11) — evaluarea riscurilor include scenarii de incident care pot declanșa obligații de raportare.
- Securitatea lanțului de aprovizionare (Art. 13(d)) — un incident la un furnizor critic poate genera obligații de raportare pentru organizație. Citiți mai multe despre NIS2 și lanțul de aprovizionare.
- Planul de acțiune intern — pregătirea raportării este o componentă esențială a oricărui plan de acțiune NIS2.
Ce nu acoperă această pagină
Răspunsul la un incident de securitate necesită competențe tehnice specializate. NIS2 Pilot nu furnizează servicii de răspuns la incident, monitorizare sau investigație forensică. Consultați un specialist de securitate cibernetică pentru stabilirea procedurii complete.
Cum poate ajuta NIS2 Pilot
Întrebări frecvente
Care sunt termenele de raportare a unui incident NIS2?
Art. 15 din GEO 155/2024 prevede trei etape: o avertizare inițială în 24 de ore de la constatare, o notificare a incidentului cu evaluare inițială în 72 de ore și un raport final în termen de maximum o lună de la notificarea inițială.
Ce este un incident „semnificativ"?
Art. 15(6) descrie incidentul semnificativ ca unul care a cauzat sau poate cauza perturbări operaționale grave ori pierderi financiare, sau care afectează alte persoane prin prejudicii materiale ori morale considerabile. Evaluarea concretă necesită verificarea textului oficial și sprijinul unui specialist.
Către cine se transmite raportarea?
Raportarea se face către DNSC (Direcția Națională de Securitate Cibernetică), autoritatea competentă și punct unic de contact pentru NIS2 în România. Detaliile privind canalele și formatele pot fi precizate prin ordinele DNSC.
De unde încep termenele să curgă?
Termenele curg de la momente diferite: avertizarea de 24h și notificarea de 72h de la constatarea incidentului semnificativ, iar raportul final în maximum o lună de la notificarea inițială. Interpretarea exactă pentru situația dvs. necesită consultarea unui specialist.
Ce ar trebui pregătit intern înainte de un incident?
Un responsabil de evaluare, un lanț de escaladare testat, șabloane pentru avertizarea la 24h și notificarea la 72h, un proces de colectare a evidențelor tehnice și date de contact disponibile în afara programului. Pregătirea internă contează mai mult decât completarea formularului.
NIS2 Pilot răspunde la incidente sau face investigație?
Nu. NIS2 Pilot este un instrument de planificare internă și nu furnizează răspuns la incident, monitorizare sau investigație forensică. Ajută la structurarea procedurilor și a lacunelor, fără a substitui un specialist CSIRT sau de securitate cibernetică.
Evaluați pregătirea organizației pentru raportarea incidentelor
Organizați informațiile interne relevante — responsabili, proceduri, lacune — astfel încât organizația să fie mai bine pregătită pentru respectarea termenelor de raportare prevăzute de GEO 155/2024.
Verificați dacă compania dvs. intră în sfera NIS2 →Acest articol are scop informativ. Nu constituie consultanță juridică sau evaluare tehnică de specialitate. Toate resursele NIS2 Pilot
Surse oficiale și context
- GEO 155/2024 — textul complet al transpunerii NIS2 în România, inclusiv Art. 15 privind raportarea incidentelor (legislatie.just.ro)
- Legea 124/2025 — modificările aduse GEO 155/2024, în vigoare din iulie 2025 (legislatie.just.ro)
- DNSC — Legislație NIS2 — ordine, ghiduri și materiale publice de orientare (dnsc.ro)
Resurse utile
Raportare incident NIS2: 24h, 72h și raportul final explicate pe înțelesul managementului
Incidente și raportareRaportare incident NIS2 explicată pentru management: avertizare timpurie, notificare și raport final, fără a înlocui răspunsul la incident sau consultanța specializată.
Deschideți resursa: Raportare incident NIS2: 24h, 72h și raportul final explicate pe înțelesul managementului →NIS2 pentru management: ce trebuie să știe conducerea unei companii
Guvernanță și managementCe trebuie să înțeleagă conducerea unei companii din România despre NIS2: responsabilități, guvernanță, formare profesională și pași practici de pregătire internă.
Deschideți resursa: NIS2 pentru management: ce trebuie să știe conducerea unei companii →Plan de acțiune NIS2 pe 30/60/90 de zile pentru pregătire internă
Pregătire internăUn plan orientativ de pregătire internă NIS2 pe etape de 30, 60 și 90 de zile. Cum organizați informațiile, documentele și dialogul cu specialiștii.
Deschideți resursa: Plan de acțiune NIS2 pe 30/60/90 de zile pentru pregătire internă →Pregatire pentru raportarea incidentelor NIS2, fara a pretinde incident response
Incidente și raportareCum pregatesti intern raportarea incidentelor NIS2 prin contacte, roluri si note, fara incident response sau calcul de termene.
Deschideți resursa: Pregatire pentru raportarea incidentelor NIS2, fara a pretinde incident response →