Dupa pregatirea notificarii sau dupa notificarea initiala NIS2, compania ar trebui sa urmareasca intern schimbarile care pot afecta datele, rolurile, sistemele, furnizorii, activitatile, clientii sau ipotezele folosite. Scopul este revizuire interna si pregatire, nu transmitere automata la DNSC si nu calculator de termene.
Prin urmarire interna intelegem un watchlist de lucru: o lista de schimbari observate, proprietari, intrebari si surse de verificat. Prin notificare NIS2 intelegem procesul oficial de furnizare a informatiilor catre DNSC, in contextul OUG 155/2024 Art. 18 si al cerintelor DNSC aplicabile.
Pe scurt
- Pastreaza un watchlist intern al schimbarilor care pot afecta datele, rolurile sau ipotezele NIS2.
- Leaga fiecare schimbare de datele pregatite initial si de un proprietar intern.
- Nu presupune automat ca orice schimbare are acelasi efect oficial sau acelasi termen.
- Nu transforma urmarirea interna in notificare DNSC, audit, opinie juridica sau dovada de conformitate.
- NIS2 Pilot poate organiza notele si intrebarile, dar nu actualizeaza inregistrari oficiale.
De ce conteaza schimbarile dupa notificare
Informatiile pregatite sau transmise intr-un proces NIS2 pot deveni depasite. Se pot schimba datele companiei, persoanele de contact, serviciile, furnizorii, sistemele sau ipotezele despre sfera. Daca aceste schimbari raman doar in e-mailuri sau in memoria unei persoane, managementul poate lua decizii pe date vechi.
Articolul despre notificare initiala vs actualizare explica diferenta dintre pregatirea initiala si contextul de actualizare. Acest articol se ocupa doar de practica interna: cum observi schimbari, cum le documentezi si cum pregatesti intrebarile potrivite.
Ce tipuri de schimbari merita urmarite intern
| Tip de schimbare | Exemple | Ce trebuie verificat intern | Ce nu trebuie presupus |
|---|---|---|---|
| Date companie si reprezentare | Denumire, sediu, date de contact, reprezentant sau persoana care monitorizeaza contactele. | Daca informatia din registrul intern si din materialele pregatite pentru notificare mai este actuala. | Nu presupune ca o nota interna actualizeaza automat datele oficiale sau valideaza reprezentarea. |
| Contact tehnic sau contact de securitate | Persoana responsabila cu securitatea, contact operational, telefon, e-mail sau rol intern. | Cine poate fi contactat efectiv si cine confirma informatiile tehnice cand apar intrebari. | Nu presupune ca reprezentantul legal si contactul de securitate sunt aceeasi persoana. |
| CAEN si activitate reala | CAEN principal, CAEN secundar autorizat, serviciu nou, activitate oprita sau model de business schimbat. | Daca activitatea reala mai corespunde ipotezelor de sector, subsector si tip de entitate. | Nu presupune ca un CAEN nou sau vechi decide singur incadrarea NIS2. |
| Indicatori de marime | Numar mediu de salariati, cifra de afaceri, active totale sau schimbari de grup. | Daca ipotezele folosite pentru criteriul de marime trebuie revizuite cu date mai recente. | Nu presupune ca o schimbare financiara izolata inchide discutia fara verificare. |
| Sector, subsector si tip de entitate | Intrare intr-un serviciu nou, schimbarea portofoliului sau activitate in alta zona din anexe. | Daca rationamentul despre anexe si activitatea efectiva trebuie actualizat in registrul intern. | Nu presupune ca toate serviciile companiei au acelasi tratament NIS2. |
| IP-uri publice, sisteme si servicii | Intervale IP unde sunt aplicabile, platforme publice, servicii expuse sau infrastructura modificata. | Daca IT/security poate confirma proprietarul, scopul si legatura cu serviciile relevante. | Nu presupune ca o lista tehnica este audit, pentest sau dovada de conformitate. |
| Furnizori si dependente | Cloud, hosting, telecom, SaaS, externalizare IT, servicii de grup sau furnizor greu de inlocuit. | Daca schimbarea afecteaza continuitatea, clientii, sistemele sau intrebarile pentru specialisti. | Nu presupune ca externalizarea transfera automat toata responsabilitatea interna. |
| Amprenta de servicii si clienti | Clienti noi in sectoare reglementate, servicii critice pentru clienti sau extindere regionala. | Daca impactul, dependentele si intrebarea de incadrare trebuie rediscutate intern. | Nu presupune ca un client mare decide singur statutul companiei. |
| Proprietari interni si decizii | Coordonator NIS2, proprietar de date, owner tehnic, persoana de contact sau data urmatoarei revizuiri. | Daca exista un responsabil real pentru urmarire, clarificari si escaladare catre management. | Nu presupune ca lipsa unui owner inseamna ca subiectul poate fi ignorat. |
Ce urmaresti periodic dupa notificare sau pregatire
Lista de mai jos este un model de lucru intern. Nu este formular oficial, dosar de audit sau concluzie juridica.
- Schimbari in datele de identificare ale companieiDenumire, sediu, contacte, reprezentare sau alte date administrative folosite in pregatire.
- Schimbari de reprezentant, contact sau contact de securitateCine raspunde administrativ si cine poate confirma rapid date tehnice sau de securitate.
- CAEN si activitate realaActivitati noi, activitati oprite sau diferente intre coduri autorizate si serviciile livrate efectiv.
- Indicatori de marime si structura de grupDate folosite pentru criteriul de marime si orice modificare care poate cere revizuire.
- Ipoteze despre sector, subsector si tip de entitateLegatura dintre serviciile reale si anexele OUG 155/2024, pastrata ca rationament intern.
- Intervale de IP-uri publice, unde sunt aplicabileListe confirmate de IT/security, fara a trata lista ca audit sau validare tehnica.
- Sisteme, servicii si active cheiePlatforme, aplicatii, servicii si proprietari care sustin activitatea relevanta.
- Furnizori si dependenteCloud, hosting, telecom, SaaS, outsourcing, dependente de grup si intrebari ramase.
- Contacte pentru incidente si pregatirePersoane care trebuie anuntate intern cand apar intrebari despre continuitate sau raportare.
- Incertitudini deschiseCe nu este clar, cine verifica, ce sursa trebuie citita si ce specialist ar trebui intrebat.
- Intrebari pentru review specializatPuncte care nu trebuie inchise prin auto-verificare atunci cand impactul este material.
- Data ultimei revizuiri si urmatorul ownerCand a fost verificata lista si cine urmareste urmatorul pas intern.
Cum revizuiesti o schimbare fara sa fortezi o concluzie
O schimbare nu trebuie ignorata, dar nici transformata automat intr-un verdict. Pasul util este sa separi faptele confirmate de ipoteze si sa marchezi ce trebuie verificat mai departe.
Proces intern de revizuire
Foloseste pasii ca ritm intern de lucru. Ei nu inlocuiesc procesul oficial, DNSC, consultantii, auditorii sau specialistii cybersecurity.
- 1Inregistreaza schimbareaNoteaza ce s-a schimbat, cine a semnalat schimbarea, sursa informatiei si data la care a fost observata.
- 2Leag-o de datele pregatite anteriorVerifica daca schimbarea atinge date de notificare, roluri, activitate, sisteme, furnizori sau ipoteze de sfera.
- 3Atribuie un proprietar internStabileste cine confirma informatia: legal/admin, IT/security, operatiuni, management sau un specialist extern.
- 4Marcheaza nivelul de incertitudineSeparati ce este fapt confirmat de ce este ipoteza, intrebare deschisa sau subiect pentru review specializat.
- 5Verifica sursele oficiale unde este cazulFoloseste OUG 155/2024 si ordinele DNSC pentru context, fara sa inventezi termene sau trigger-e nesustinute.
- 6Decide urmatorul pas internPoate fi doar actualizarea registrului intern, o intrebare pentru specialist, o discutie de management sau verificarea canalelor oficiale.
Situatii practice in care watchlist-ul ajuta
Exemplele de mai jos arata cand o companie ar trebui sa redeschida discutia interna. Ele nu spun ca firma este sau nu este in sfera NIS2 si nu decid daca este necesara o actualizare oficiala.
Se schimba reprezentantul legal
Legal/admin ar trebui sa verifice ce note interne si materiale de pregatire mentioneaza vechiul reprezentant.
Se schimba persoana de contact de securitate
IT/security si managementul trebuie sa stie cine poate raspunde operational si unde este pastrata informatia.
Apare o activitate secundara relevanta
CAEN-ul si activitatea reala trebuie comparate cu rationamentul de sector, fara concluzie automata de incadrare.
Se schimba furnizorul de cloud
Schimbarea poate afecta dependentele, proprietarii tehnici, continuitatea si intrebarile pentru specialisti.
Se modifica intervale de IP-uri publice
IT trebuie sa confirme ce este aplicabil, ce serviciu sustine si daca lista interna mai este corecta.
Compania castiga clienti reglementati sau critici
Operatiunile si managementul pot revizui impactul, dependentele si eventualele intrebari de sfera.
Ipotezele vechi se dovedesc incomplete
Registrul intern ar trebui sa pastreze schimbarea de rationament si ce trebuie verificat mai departe.
Cum se leaga de registrul intern NIS2
Un registru intern NIS2 este locul natural in care poti pastra istoricul schimbarilor: data, sursa, persoana care a semnalat schimbarea, ownerul de verificare si intrebarea ramasa. Asa pastrezi trasabilitatea fara sa numesti lista dosar de audit. Pentru ritm, il poti lega de un calendar de revizuire interna NIS2.
Daca schimbarea este tehnica sau operationala, ea poate fi legata de lista de active si riscuri si de articolul despre furnizori critici si dependente. Daca schimbarea tine de reprezentare sau de datele pregatite pentru proces, citeste articolul despre reprezentantul entitatii si articolul despre informatiile pentru notificarea DNSC. Cand schimbarea tine de owneri sau contacte interne, vezi si predarea rolurilor interne NIS2.
Cum se leaga de board pack si management review
Schimbarile materiale ar trebui sa ajunga intr-un rezumat pentru management, nu doar intr-o lista operationala. Un board pack NIS2 poate arata ce s-a schimbat, ce ipoteze sunt afectate, cine verifica si ce decizie interna este necesara.
Aceasta nu este discutie despre raspundere juridica si nu transforma management review-ul in certificare. Este o metoda de a pastra vizibile schimbarile relevante si de a evita ca pregatirea NIS2 sa ramana blocata in date vechi.
Ce poate face NIS2 Pilot si ce nu poate face
NIS2 Pilot poate ajuta la organizarea interna a schimbarilor, intrebarilor si incertitudinilor. Nu este DNSC, nu este Platforma NIS2@RO, nu este consultant juridic, auditor, integrator cybersecurity sau canal oficial de actualizare.
| Zona | Poate ajuta | Nu poate face |
|---|---|---|
| Watchlist intern | Organizeaza note despre schimbari, proprietari, surse si intrebari ramase. | Nu transforma lista interna in actualizare oficiala sau decizie DNSC. |
| Legatura cu pregatirea initiala | Arata ce schimbari pot afecta datele si ipotezele folosite anterior. | Nu decide daca o modificare trebuie raportata oficial sau in ce termen. |
| Coordonare interna | Ajuta la identificarea proprietarilor: management, legal/admin, IT/security si operatiuni. | Nu valideaza autoritate juridica, nu numeste oficial roluri si nu inlocuieste specialistii. |
| Pregatire pentru review | Pregateste intrebari si context pentru consultant, legal, audit sau cybersecurity unde este cazul. | Nu ofera consultanta juridica, audit, certificare, implementare sau garantie de conformitate. |
| Proces oficial | Ajuta compania sa ajunga mai organizata la verificarea surselor si canalelor oficiale. | Nu transmite, nu modifica si nu actualizeaza inregistrari DNSC. |
Ce sa nu presupui
Riscul principal este sa confunzi o lista interna cu un rezultat oficial. Pastreaza explicit diferenta dintre pregatire, review specializat si proces oficial.
- Urmarirea interna nu este actualizare oficiala la DNSC.
- Un jurnal de schimbari nu dovedeste conformitatea companiei.
- Ipotezele vechi din self-check pot necesita revizuire cand apar date noi.
- Nu toate schimbarile trebuie tratate automat la fel; contextul si sursele conteaza.
- Outputul NIS2 Pilot nu este decizie DNSC, opinie juridica sau certificare.
Surse oficiale si articole citate
Acest articol foloseste OUG 155/2024 Art. 18 ca reper pentru contextul notificarii si al informatiilor furnizate catre DNSC. Ordinul DNSC nr. 1/2025 Art. 4 si Art. 5 sunt folosite pentru structura formularului de notificare, iar Art. 12 este folosit doar ca reper pentru contextul actualizarii datelor declarate.
Nu folosim Ordinul DNSC nr. 2/2025 sau Ordinul DNSC nr. 3/2025 in acest articol. Nu calculam termene, nu stabilim declansatori oficiali si nu spunem ca fiecare schimbare are acelasi efect. Pentru rolul canalelor oficiale, citeste articolul despre Platforma NIS2@RO si articolul despre ce nu face NIS2 Pilot.
Întrebări frecvente
Ce schimbari ar trebui urmarite dupa notificarea NIS2?
Merita urmarite intern schimbarile de date ale companiei, reprezentare, contacte, activitate reala, CAEN, marime, sector, sisteme, IP-uri publice unde sunt aplicabile, furnizori, clienti relevanti si incertitudini ramase.
Orice schimbare trebuie raportata oficial?
Nu trata acest articol ca raspuns oficial. Unele schimbari pot cere verificare impotriva OUG 155/2024, ordinelor DNSC, surselor oficiale sau sprijinului specializat. Articolul explica urmarirea interna, nu decide obligatia de actualizare.
Cine ar trebui sa tina watchlist-ul intern?
De obicei, un coordonator intern poate tine lista, cu input de la legal/admin, IT/security, operatiuni si management. Important este ca fiecare schimbare sa aiba un proprietar de verificare.
Pot calcula automat termenele de actualizare?
Nu pe baza acestui articol. Pentru termene sau declansatori oficiali trebuie verificata sursa aplicabila si, unde exista incertitudine, cerut review specializat. NIS2 Pilot nu este calculator de termene.
NIS2 Pilot actualizeaza datele la DNSC?
Nu. NIS2 Pilot poate ajuta la organizarea notelor interne, a istoricului de schimbari si a intrebarilor de clarificat, dar nu transmite notificari si nu actualizeaza inregistrari oficiale DNSC.
Tineti evidenta interna a schimbarilor
NIS2 Pilot poate ajuta la organizarea notelor, rolurilor si intrebarilor de clarificat dupa pregatirea initiala. Nu actualizeaza date DNSC, nu calculeaza termene, nu ofera consultanta juridica si nu certifica.
Verificați dacă compania dvs. intră în sfera NIS2 →Initiala vs actualizareAcest articol are scop informativ. Nu constituie consultanță juridică sau evaluare tehnică de specialitate. Toate resursele NIS2 Pilot
Surse oficiale și context
Resurse utile
Notificare inițială vs actualizare date NIS2: ce trebuie urmărit intern
ÎnregistrareDiferența dintre notificarea inițială și actualizarea datelor NIS2: ce spune Ordinul DNSC 1/2025, ce monitorizezi intern și ce nu trebuie presupus.
Deschideți resursa: Notificare inițială vs actualizare date NIS2: ce trebuie urmărit intern →Ce informații pregătești pentru notificarea DNSC (NIS2)
ÎnregistrareFormularul de notificare NIS2 are șase secțiuni (Ordinul DNSC 1/2025). Ce date și documente pregătești intern pentru fiecare, înainte de procesul oficial.
Deschideți resursa: Ce informații pregătești pentru notificarea DNSC (NIS2) →Registru intern NIS2: jurnal de decizii, date si justificari
Pregătire internăCe poate include un registru intern NIS2: surse, decizii, roluri, intrebari si schimbari. Pregatire interna, nu registru oficial DNSC.
Deschideți resursa: Registru intern NIS2: jurnal de decizii, date si justificari →Cum sa pregatesti un board pack NIS2: rezumat intern pentru management
Pregătire internăCe poate include un board pack NIS2: status intern, roluri, riscuri, intrebari si limite, fara audit sau garantie.
Deschideți resursa: Cum sa pregatesti un board pack NIS2: rezumat intern pentru management →Lista de active si riscuri pentru pregatirea NIS2
Pregătire internăCum pregatesti intern o lista de active si o lista de riscuri pentru NIS2, ca materiale de lucru, nu ca audit sau dovada de conformitate.
Deschideți resursa: Lista de active si riscuri pentru pregatirea NIS2 →Furnizori critici si dependente in pregatirea NIS2
Pregătire internăCum organizezi intern furnizorii critici si dependentele pentru pregatirea NIS2, fara audit de furnizori sau garantie.
Deschideți resursa: Furnizori critici si dependente in pregatirea NIS2 →