Control DNSC pentru IMM-uri: la ce să te aștepți, ce cer, cum te pregătești

Picture of Daniel Sarica, the founder of HIFENCE.
Daniel Sarica
Published: April 29, 2026
 

Context rapid

România a transpus NIS2 prin OUG 155/2024, aprobată prin Legea 124/2025. DNSC e autoritatea care verifică conformarea. Companii afectate: peste 50 de angajați sau cifră de afaceri peste 10 milioane EUR, din sectoarele acoperite (energie, transport, sănătate, infrastructură digitală, producție, servicii digitale). Chiar dacă nu intri direct, poți fi afectat indirect prin cerințe de la clienți sau parteneri.

 

Tipuri de controale

  • Planificate: programate, de obicei cu notificare prealabilă
  • Reactive: declanșate de un incident raportat sau o sesizare
  • Tematice: focusate pe un aspect specific (ex: raportare incidente, managementul accesului)

Durata: 1–3 zile pentru o companie mid-market, din care mare parte e verificare documentară. Cine participă din partea companiei: responsabilul de securitate, echipa IT, un reprezentant al managementului.

Zona 1: Guvernanță

Ce întreabă:

  • Ați desemnat un responsabil de securitate cibernetică? Are atribuții clare, documentate?
  • Management-ul a fost informat despre riscurile cibernetice? Când? Există dovadă?
  • Există politică de securitate aprobată de management?

Ce trebuie să ai: decizie internă de numire a responsabilului (semnată de director), fișa de atribuții, politica de securitate (semnată, datată), și minuta ședinței în care management-ul a fost informat — sau măcar un email cu confirmare de primire.
De ce contează informarea managementului: sub NIS2, managementul răspunde personal pentru neconformitate. „Nu am știut” nu e o apărare validă. Dovada informării demonstrează că managementul a fost conștient de riscuri și a luat (sau nu) măsuri.

Zona 2: Măsuri tehnice

Ce întreabă:

  • Cum gestionați accesul la sisteme? Există MFA pe sistemele critice?
  • Care e politica de parole?
  • Sistemele sunt actualizate? Există un proces de patch management?
  • Cum e protejată rețeaua?

Ce trebuie să ai: registrul de accesuri privilegiate (cine are acces admin la ce), evidența că MFA e activ pe email, VPN și sisteme critice, evidența actualizărilor din ultimele 6 luni (un log sau un raport de la sistemul de patch management), și configurarea firewall documentată măcar la nivel general.
Un lucru pe care-l văd des: companii care au MFA activ pe email dar nu pe VPN sau pe ERP. DNSC se uită la sistemele critice — nu doar la email.

Zona 3: Backup și continuitate

Ce întreabă:

  • Ce se salvează, unde, cât de des?
  • Când a fost ultima testare de restaurare? Cât a durat?
  • Există plan de continuitate a activității?

Ce trebuie să ai: procedura de backup, jurnalul testărilor de restaurare (cu date concrete, durată, rezultat), plan de continuitate (chiar și simplificat — ce se face dacă pică fiecare sistem critic).
Asta e zona unde cad cele mai multe companii. Au backup, dar nu l-au testat. Sau l-au testat acum 2 ani. Sau backup-ul rulează dar nimeni nu a verificat că salvează efectiv ce trebuie. Am văzut o companie care primea zilnic confirmarea de backup dar când a avut nevoie de restaurare a descoperit că 8 luni de date lipseau.

Zona 4: Managementul incidentelor

Ce întreabă:

  • Există procedură de răspuns la incidente?
  • Cine decide, cine comunică, cine raportează?
  • Cunoașteți obligațiile de raportare? (24h notificare inițială, 72h raport intermediar, 30 zile raport final)
  • A fost testat planul?

Ce trebuie să ai: procedura de incident, contactele de urgență actualizate (IT, furnizori, CERT-RO la 1911, avocat, asigurător), template-uri de raportare DNSC, și dovada testării — chiar și o minută care zice „am simulat un scenariu X în data Y, participanți Z, concluzii W.”
Termenele de raportare sunt strânse: 24 de ore de la detectare pentru notificarea inițială. Nu de la investigare, de la detectare. Dacă nu ai un proces clar pentru cine face ce în primele ore, timpul se pierde pe panică, nu pe acțiune.

Zona 5: Furnizori și supply chain

Ce întreabă:

  • Cum evaluați furnizorii IT din perspectivă de securitate?
  • Există clauze contractuale relevante?
  • Furnizorii au acces la date sau sisteme? Cum e controlat?

Ce trebuie să ai: lista furnizorilor cu acces la date sau sisteme (extinsă cu ce acces are fiecare), o evaluare de risc simplificată (chiar și un tabel cu furnizor / ce acces are / risc estimat), și clauze contractuale de confidențialitate și securitate în contractele cu furnizorii principali.

Zona 6: Training

Ce întreabă:

  • Angajații au primit training pe securitate cibernetică?
  • Management-ul a fost format?
  • Dovezi?

Ce trebuie să ai: evidența trainingului (liste de prezență, materiale folosite, scurtă descriere a conținutului), frecvența (minim anual, ideal semestrial), și dovada formării managementului (separat de trainingul general al angajaților — managementul are responsabilități specifice sub NIS2).

Checklist de pregătire — 15 puncte

 

 

Guvernanță

  • Responsabil de securitate desemnat (decizie scrisă, semnată)
  • Politica de securitate aprobată de management (semnată, datată)
  • Dovada informării managementului (minută sau email cu confirmare)
 

Tehnic

  • Registrul accesurilor privilegiate (actualizat)
  • MFA activ pe email, VPN, sisteme critice
  • Evidența actualizărilor software din ultimele 6 luni
  • Configurarea firewall documentată
 

Backup

  • Procedura de backup scrisă
  • Jurnalul testărilor de restaurare (cel puțin ultima, cu dată și rezultat)
  • Backup offline/offsite funcțional
 

Incidente

  • Procedura de răspuns la incidente
  • Contacte urgență actualizate (IT, furnizori, CERT-RO, avocat)
  • Template-uri de raportare DNSC
  • Dovada testării planului
 

Training

  • Evidența trainingului angajaților și managementului

Dacă ai bifat 12+ din 15, ești mai pregătit decât majoritatea companiilor mid-market din România. Dacă ai bifat mai puțin de 8, merită să începi pregătirea cât mai curând.

Ce se întâmplă dacă nu ești pregătit

DNSC poate emite:

  • Recomandări: observații fără sancțiune, cu termen de remediere
  • Măsuri corective: trebuie implementate în termenul specificat, cu verificare ulterioară
  • Sancțiuni: amenzi de până la 2% din cifra de afaceri

Din ce se vede, pentru controalele inițiale DNSC pare orientat mai mult spre conformare decât spre sancționare — preferă să te ajute să te conformezi decât să te amendeze direct. Dar asta nu înseamnă că poți ignora procesul. Și pe măsură ce controalele devin mai frecvente, toleranța scade.

Cât durează pregătirea

Pentru o companie de 80–120 angajați care face deja lucruri rezonabile pe IT dar nu le are documentate:

  • Guvernanță (desemnare, politică, informare management): 2–3 zile
  • Documentare backup și testare: 1–2 zile
  • Registrul accesuri: 1–2 zile
  • Procedura incident: 1–2 zile
  • Training angajați: 1 zi (sesiune inițială)
  • Total: 2–4 săptămâni, distribuit pe câteva ore pe zi

Dacă vrei să te pregătești pentru un control DNSC

Dacă nu ești sigur unde te afli cu pregătirea sau vrei să verifici ce lipsește, poți începe cu o discuție scurtă în care analizăm situația actuală și identificăm ce trebuie adresat prima dată.