Dacă citești acest articol, probabil ești director de IMM și tocmai ai realizat că NIS2 te privește. Sau clientul tău mare te-a întrebat despre “măsuri de securitate cibernetică” și nu știi ce să răspunzi.
Acest ghid îți oferă exact ce ai nevoie: un plan pas cu pas pentru următoarele 90 de zile, detaliere completă de costuri și red flags în oferte de consultanță.
Toate recomandările sunt bazate pe Directiva NIS2 oficială și pe experiența noastră din implementări reale în România.
Table of Contents
Început rapid: primii 3 pași în 24 ore
Înainte să intrăm în detalii, iată ce poți face azi pentru a începe.
Pas 1: Evaluare rapidă (2 ore)
Răspunde la 10 întrebări simple și vei ști exact unde stai:
- Ai MFA activat pe email, CRM, ERP?
- Știe cineva ce date personale/sensibile ai și unde sunt?
- Ai inventar complet al device-urilor (laptopuri, telefoane, routere)?
- Backup-urile sunt izolate de rețeaua principală?
- Ai testat restore de backup în ultimele 3 luni?
- Există cineva responsabil oficial pentru securitate IT?
- Ai listă cu toți furnizorii care au acces la sisteme?
- Ai clauze de securitate în contractele cu furnizorii?
- Angajații au făcut training de securitate în ultimul an?
- Știi exact ce faci dacă ești atacat? (plan scris)
Scor:
- 8-10 “DA”: Ești pe drumul bun, ai nevoie de ajustări finale
- 4-7 “DA”: Ai o bază dar multe lacune de acoperit
- 0-3 “DA”: Urgent, începe cu pasul 1 imediat
Pas 2: Identifică prioritatea #1 (1 oră)
Pe baza scorului de mai sus, identifică cel mai critic decalaj. Dacă nu ai MFA nicăieri, asta e prioritatea #1 – costă 0€ și o poți implementa în 2 ore. Dacă backup-urile nu sunt izolate, aceasta devine prioritatea ta absolută, pentru că un ransomware poate cripta și backup-urile dacă sunt în aceeași rețea. Dacă nu ai plan de incident response, iarăși prioritate #1 – când te atacă cineva, nu ai timp să te gândești ce faci.
Pas 3: Programează următoarele 90 de zile (1 oră)
Deschide un Google Calendar sau Excel:
- Săptămâna 1-2: Evaluare completă
- Săptămâna 3-6: Implementare rezultate rapide
- Săptămâna 7-12: Documentare și plan pe termen lung
Ai făcut deja mai mult decât 70% din companiile care “o să se uite la asta când au timp.”
Plan de implementare: zilele 1-90
Faza 1: Evaluare și pregătire (zilele 1-30)
Obiectiv: Înțelegi exact unde ești și ce lipsește.
Săptămâna 1-2: Evaluare tehnică
Faci inventar complet al sistemelor și datelor critice. Lista tuturor sistemelor (servere, cloud, aplicații), ce date critice ai (clienți, financiare, proprietate intelectuală), și cine are acces la ce.
Un Excel simplu cu 3 coloane e suficient: Sistem | Nivel Criticitate | Cine are acces. Timpul necesar e 2-3 zile și poți delega IT-ului.
Apoi scanezi vulnerabilitățile de bază. Verifici ce sisteme sunt out-of-date, ce conturi au parole slabe sau fără MFA, și ce backup-uri există și unde. Poți face asta intern cu checklist manual sau consultant extern cu instrumente automate (1.500€-2.500€, durează 2-3 zile).
Partea despre lanțul de aprovizionare înseamnă că listezi toți furnizorii IT (cloud providers, firmă IT, software vendors), verifici ce acces au la sistemele tale și ce contracte există. Un Excel simplu cu coloană “Revizuire Contract” e suficient, ia 1-2 zile.
Ce ai la final:
- Listă vulnerabilități identificate (prioritizate: critice, înalte, medii, scăzute)
- Listă furnizori cu nivel de acces
- Analiză lacune
Săptămâna 3-4: Evaluare organizațională
Stabilești structura de guvernanță. Cine e responsabil pentru securitate? (DPO, Director IT, Director Operațiuni?) Cum raportează către board sau conducere? (lunar, trimestrial?) Există buget alocat pentru securitate?
Greșeala comună e “băiatul de IT se ocupă.” Realitatea? Băiatul de IT execută, dar cineva senior trebuie să coordoneze și să ia decizii.
Identifici riscurile de business. Ce se întâmplă dacă ești atacat și stai offline 5 zile? Calculezi impactul financiar și identifici ce sisteme trebuie să funcționeze mereu.
Definești politicile de bază: politica de parole, politica de acces (cine poate accesa ce), politica BYOD (bring your own device), politica de backup. Timpul necesar e 2-3 zile pentru draft-uri inițiale, cost zero dacă folosești template-uri sau 1.000€-2.000€ dacă externalizezi scrierea.
Ce ai la final:
- Structură de guvernanță definită și comunicată
- Evaluare risc business documentată
- Draft politici de securitate (vor fi revizuite continuu)
Cost total Faza 1:
- Intern: 0€-1.000€
- Cu consultant: 2.500€-6.000€
Faza 2: Implementări rapide (zilele 31-60)
Obiectiv: Implementezi măsurile cu cel mai mare impact și cel mai mic cost.
Săptămâna 5-6: Măsuri tehnice esențiale
Rezultat rapid #1: Autentificare Multi-Factor (MFA)
De ce asta prima? Blochează 99% din atacurile cu parole compromise, costă aproape zero și poți implementa în 1-2 zile.
Ziua 1 activezi MFA pe email corporativ (Google Workspace sau Microsoft 365), instruiești echipa (15 minute per persoană), testezi că toată lumea poate accesa. Timp: 2-4 ore, cost: 0€ (inclus în subscripție).
Ziua 2 te ocupi de aplicații critice: banking corporativ, software contabilitate, CRM/ERP, cloud storage. Timp: 2-4 ore, cost: 0€-50€/lună (unele aplicații cer plan superior pentru MFA).
Rezultat rapid #2: Izolare backup și testare
De ce e critic? Ransomware-ul criptează și backup-urile dacă sunt în aceeași rețea. 40% din companii care plătesc ransom tot nu își recuperează datele. Un backup testat te salvează.
Verifici backup-ul curent: unde se stochează (local, cloud, offline), e izolat de rețeaua principală, când a fost testat ultima dată.
Implementezi regula 3-2-1: 3 copii ale datelor, 2 tipuri diferite de media (ex: disk + cloud), 1 copie offline (air-gapped). Cost: 100€-500€/lună pentru cloud backup cu retenție.
Testezi restaurare: alegi un sistem non-critic, faci restaurare completă, documentezi timpul necesar și eventualele probleme. Timp: 1 zi pentru test complet. Repetabilitate: testare lunară (4 ore/lună continuu).
Rezultat rapid #3: Gestionare actualizări
Faci inventarul software-ului: ce sisteme de operare rulează, ce aplicații business-critical, când au fost actualizate ultima dată.
Stabilești plan gestionare patch-uri: patch-uri critice în 72h, înalte în 2 săptămâni, medii în 1 lună, scăzute când e convenabil.
Procedura de testare: nu dai update direct în producție, testezi pe 1-2 sisteme pilot, implementare graduală. Timp: 4-8 ore/lună continuu.
Ce ai implementat:
- MFA activat pe toate sistemele critice
- Backup izolat și testat
- Plan de gestionare patch-uri implementat
Cost săptămâna 5-6: 500€-2.000€
Săptămâna 7-8: Procese și documentare
Plan de răspuns la incidente
Un plan bun include 5 faze: detectare (cine detectează și cum – instrumente monitorizare, rapoarte de la angajați, alerte automate), limitare (oprești răspândirea – izolezi sistemele afectate, blochezi accese suspicioase, păstrezi probe), eradicare (elimini amenințarea – identifici cauza rădăcină, elimini malware/acces neautorizat, aplici patch-uri vulnerabilități), recuperare (restore normal – restaurare din backup, verifici integritatea sistemelor, monitorizare intensivă 48-72h), și lecții învățate (revizuire post-incident, actualizare proceduri, training echipă).
Plus lista contacte: intern (IT lead, Director, Legal, PR) și extern (consultant securitate, DNSC la 1911 pentru urgențe, asigurare).
Timp: 1-2 zile pentru draft rafinat continuu. Cost: 0€ cu template sau 2.000€-4.000€ consultant să îl facă personalizat.
Training angajați
Training inițial de 2 ore per angajat distribuit în 5 module: recunoaștere phishing (30 min), igienă parole (20 min), practici BYOD (20 min), raportare incidente (20 min), întrebări și răspunsuri (30 min).
Livrare offline (2 ore × număr angajați) sau online prin platformă de e-learning.
Cost: DIY cu materiale gratuite (0€), platformă e-learning (500€-1.500€/an), trainer extern (1.000€-2.000€ pentru sesiune).
Continuu: teste phishing simulate trimestrial, training de reîmprospătare anual, newsletter securitate lunar.
Ce ai la final:
- Plan de răspuns la incidente documentat și comunicat
- Training inițial complet pentru toată echipa
- Plan training continuu stabilit
Cost săptămâna 7-8: 1.000€-4.000€
Cost total Faza 2:
- Intern + instrumente: 2.000€-5.000€
- Cu consultant: 5.000€-10.000€
Faza 3: Documentare și conformare (zilele 61-90)
Obiectiv: Documentezi tot ce ai făcut și te pregătești pentru audit.
Săptămâna 9-10: Documentare completă
Documentezi toate politicile și procedurile (scrise și aprobate): politica securitate informații (document principal), politica control acces, politica backup și recuperare, politica răspuns la incidente, politica utilizare acceptabilă, politica BYOD, politica securitate furnizori.
Format recomandat: PDF semnat de conducere distribuit la toată echipa. Timp: 2-3 zile cu template-uri sau 1-2 săptămâni de la zero.
Faci apoi un inventar al activelor care include toate sistemele (hardware, software, cloud), proprietate (cine e responsabil pentru ce), clasificare (public, intern, confidențial, restricționat). Poți folosi Excel sau software gestionare active, actualizare trimestrial.
Registrul de riscuri listează toate riscurile identificate, probabilitate și impact pentru fiecare, plan de mitigare, status (deschis, în progres, închis). Revizuire trimestrial către board.
Registrul de furnizori include toți furnizorii cu acces la sisteme/date, nivel acces, status evaluare securitate, dată revizuire contract. Actualizare la fiecare furnizor nou și revizuire anuală pentru existenți.
Înregistrările training-ului documentează cine a făcut ce training când, rezultate teste (simulări phishing), calendar reîmprospătare. Poți folosi Excel sau LMS.
Jurnalul de incidente păstrează toate incidentele (chiar și minore), cum au fost gestionate, lecții învățate, acțiuni de urmărire. Critic: chiar dacă n-ai avut incidente, documentezi asta.
Ce ai la final:
- Toate politicile documentate și semnate
- Inventar active complet
- Registru riscuri actualizat
- Documentație pregătită pentru audit
Timp: 1-2 săptămâni (poți delega mare parte către IT + HR).
Săptămâna 11-12: Simulare audit și ajustări finale
De ce audit simulat? Identifici lacune înainte de auditul real, echipa se obișnuiește cu procesul, reduci stress-ul la auditul real.
Poți face audit simulat intern (cineva din echipă, nu IT-ul, face pe auditorul, folosește checklist-ul NIS2 oficial, verifică documentația, intervievează oameni cheie, testează proceduri) sau consultant extern independent (face audit, raport detaliat cu constatări, recomandări de îmbunătățire, cost: 2.000€-5.000€).
Auditorul verifică guvernanța (e clar cine e responsabil? board-ul primește rapoarte? există bugete alocate?), măsurile tehnice (MFA e implementat? backup-ul e testat? actualizările sunt aplicate?), procesele (există politici scrise? sunt comunicate? sunt urmate cu probe?), documentația (inventarul activelor e complet? registrul de riscuri e actualizat? există jurnal de incidente), training-ul (toți angajații au făcut training? când a fost ultimul? ce rezultate la testele de phishing?), și gestionarea furnizorilor (există listă furnizori? a fost făcută evaluarea de securitate? contractele au clauze de securitate?).
Pe baza constatărilor din audit simulat remediezi constatările critice imediat (1-7 zile), constatările mari în 2-4 săptămâni, constatări medii în 1-3 luni, iar constatări scăzute când ai resurse.
Ce ai la final:
- Audit simulat complet
- Lacune identificate și prioritizate
- Plan acțiune de remediere
- Pregătit pentru audit real
Cost săptămâna 11-12:
- Audit simulat intern: 0€
- Audit simulat extern: 2.000€-5.000€
Cost total Faza 3:
- Intern: 500€-2.000€
- Cu consultant audit simulat: 2.500€-7.000€
Costuri detaliate per dimensiune companie
Companie 50-80 angajați
| Categorie | An 1 | An 2+ |
|---|---|---|
| Evaluare | ||
| Consultant extern evaluare tehnică | 2.500€ | – |
| Evaluare risc business | 1.000€ | – |
| Implementare | ||
| MFA (dacă nu inclus în subscripție) | 0-500€ | – |
| Soluție backup cloud | 600€ | 600€ |
| Instrument gestionare patch-uri | 800€ | 800€ |
| Platformă training conștientizare | 1.000€ | 1.000€ |
| Plan răspuns la incidente | 2.500€ | – |
| Documentare politici | 1.000€ | – |
| Teste simulare phishing | – | 500€ |
| Revizuire anuală risc (2 zile consultant) | – | 1.500€ |
| Evaluări securitate furnizori | – | 500€ |
| Training reîmprospătare | – | 500€ |
| Audit simulat | ||
| Audit simulat extern | 2.500€ | – |
| TOTAL | 12.400€ | 5.400€/an |
Companie 80-120 angajați
| Categorie | An 1 | An 2+ |
|---|---|---|
| Evaluare | ||
| Evaluare complexă (mai multe sisteme, mai mulți furnizori, lanț aprovizionare complex) | 4.500€ | – |
| Implementare | ||
| MFA funcționalități enterprise | 1.000€ | – |
| Backup pentru mai multe sisteme | 1.200€ | 1.200€ |
| EDR (Endpoint Detection & Response) | 3.000€ | 3.000€ |
| Gestionare patch-uri | 1.200€ | 1.200€ |
| Training (mai mulți angajați) | 2.000€ | 2.000€ |
| Plan răspuns incidente + exercițiu simulare | 3.500€ | – |
| Documentație | 1.500€ | – |
| Teste simulare phishing | – | 500€ |
| Revizuire trimestrială risc | – | 1.600€ |
| Evaluări securitate furnizori | – | 500€ |
| Audit simulat | ||
| Audit simulat extern | 3.500€ | – |
| TOTAL | 21.400€ | 9.500€/an |
Companie 120-200 angajați
| Categorie | An 1 | An 2+ |
|---|---|---|
| Evaluare | ||
| Evaluare enterprise (infrastructură complexă, multiple locații, integrare ISO/GDPR) | 6.000€ | – |
| Implementare | ||
| MFA enterprise + acces condițional | 2.000€ | – |
| Soluție backup enterprise | 2.000€ | 2.000€ |
| EDR + monitorizare SOC | 8.000€ | 8.000€ |
| SIEM | 4.000€ | 4.000€ |
| Training (diferențiat per rol) | 3.000€ | 3.000€ |
| Plan răspuns incidente + gestionare criză | 5.000€ | – |
| Suită documentație completă | 2.000€ | – |
| Verificări conformare lunare | – | 1.500€ |
| Audituri furnizori | – | 1.000€ |
| Retenție răspuns incidente | – | 1.500€ |
| Audit simulat + remediere | ||
| Audit simulat extern | 5.000€ | – |
| TOTAL | 31.000€ | 15.000€/an |
Ce NU e inclus în cifrele de mai sus:
- Schimbări majore infrastructură (migrare cloud, înlocuire sisteme legacy): 20.000€-100.000€+
- Asigurare cyber: 1.000€-5.000€/an extra
- Consiliere juridică pentru întrebări conformare: 500€-2.000€ ad-hoc
- Răspuns incidente majore (dacă ești deja compromis): 10.000€-50.000€+
Red flags în oferte de consultanță
După ce am evaluat peste 30+ de oferte din industrie, am identificat pattern-uri clare care indică supravânzare sau consultanți necalificați.
“Pachet all-inclusive obligatoriu”
Oferta vine așa: “Pachet complet NIS2: 85.000€, include tot ce aveți nevoie, nu se poate separa.” Sună bine până realizezi că nimănui nu îi trebuie totul dintr-o dată. “Nu se poate separa” e doar o modalitate de a te forța să cumperi și ce nu ai nevoie.
Când auzi asta, întreabă simplu: “Vreau detaliere pe livrabile și opțiunea să aleg ce implementez când.” Un consultant serios îți va spune: “Sigur, iată lista cu 12 livrabile, poți începe cu prioritățile 1-5 care costă 15.000€ și restul mai târziu.” Dacă refuză să separe, asta e semnul să cauți mai departe.
Când îți bagă soluții enterprise pentru 60 de angajați
Vezi în ofertă SIEM enterprise pentru o companie de 60 angajați, SOC 24/7 care costă 50.000€+/an când tu lucrezi luni-vineri 9-17 și nu ești bancă sau spital, instrumente pentru 500+ utilizatori când ai 80. E overkill pentru nevoile tale și plătești de 5-10 ori mai mult decât trebuie, plus costuri de mentenanță enorme continuu.
Întreabă direct: “Ce parte din această soluție e specific pentru dimensiunea și nevoile mele reale? Ce alternative mai simple există?” Răspunsul bun sună cam așa: “Pentru 60-80 angajați EDR cu alerting automat e suficient, plus consultant on-call pentru incidente majore. SOC 24/7 devine necesar pentru sectoare ultra-critice sau peste 500+ angajați cu risc foarte mare.” Dacă îți justifică enterprise tools fără să îți explice de ce ai nevoie exact de ele, caută mai departe.
Când costurile sunt vagi
Vezi “Implementare: 100-180 ore la 300€/oră = 30.000€-54.000€” și te întrebi de ce diferența de 24.000€. “Aflăm pe drum” înseamnă surprize la factură și zero responsabilitate din partea lor.
Cere clar: “Vreau preț fix per livrabil sau limită maximă garantată pentru ore. Care e diferența între 100 și 180 ore?” Un consultant transparent îți va da: “120 ore fixe – 30h evaluare, 60h implementare, 20h testare, 10h documentare. Total 36.000€ fix. Dacă durează mai mult, e problema noastră.” Dacă nu poate să îți spună exact, o să ai surprize neplăcute la factură.
Când contractul e o capcană
36 luni angajament minim, taxă de terminare anticipată 60% din valoarea rămasă, “configurațiile noastre sunt proprietatea noastră” – toate astea te țin captiv indiferent de calitate. Imposibil să schimbi dacă nu ești mulțumit, și asta e un red flag masiv despre încrederea lor în propriile servicii.
Întreabă: “Care e perioada de preaviz? Pot exporta toate configurațiile când vreau? Cine deține documentația?” Răspunsul corect: preaviz maxim 90 zile, export da oricând, documentația o deții tu și ei o creează pentru tine. Orice altceva înseamnă că vor să te țină captiv.
Când zic “vom vedea la audit”
“Implementăm ce recomandăm noi. Dacă auditorul cere altceva, rezolvăm atunci.” E reactiv nu proactiv, riști să fii neconform la primul audit și apar costuri extra neașteptate.
Cere garanții: “Ce garanție am că ce implementăm trece auditul? Aveți experiență cu audituri NIS2 în România?” Răspunsul bun: “Implementăm conform cadrului oficial NIS2, facem audit simulat înainte de auditul real, dacă e ceva neclar clarificăm cu DNSC înainte să implementăm.” Dacă nu pot să îți dea garanții clare, înseamnă că experimentează pe tine.
Întrebări pentru consultanți
Când evaluezi oferte de consultanță NIS2, pune toate aceste întrebări și evaluează răspunsurile.
Despre experiență
“Câte implementări NIS2 ați făcut pentru companii 50-200 angajați în România?”
Red flag: “Multe” (vag)
Green flag: “12 în ultimul an, iată 3 referințe verificabile”
“Care a fost cea mai recentă? Pot vorbi cu acel client?”
Red flag: Evitare sau “nu pot da detalii”
Green flag: Contact direct către client recent
“Aveți experiență cu audituri NIS2 în România? Care a fost rezultatul?”
Red flag: “Nu au fost audituri încă” sau vag
Green flag: “Am participat la 3 audituri simulate, toate trecute cu constatări minore”
Despre abordare
“Care e procesul vostru exact? Calendar pentru fiecare fază?”
Red flag: “Depinde de situație” (vag)
Green flag: “Faza 1 30 zile evaluare, Faza 2 60 zile implementare, iată calendarul detaliat”
“Ce instrumente/software recomandați și de ce exact acestea?”
Red flag: Branduri enterprise scumpe fără justificare
Green flag: “Pentru 80 angajați X e suficient, Y devine necesar la 200+, iată de ce”
“Cât din implementare putem face intern vs ce trebuie externalizat?”
Red flag: “Totul prin noi, echipa voastră nu are expertiză”
Green flag: “Rezultate rapide intern, chestii complexe noi, training hibrid, iată detalierea”
Despre costuri
“Care e detalierea completă pe livrabile?”
Red flag: “Pachet all-inclusive, nu se poate separa”
Green flag: “Iată lista cu 15 livrabile și cost pentru fiecare, poți prioritiza”
“Ce e inclus și ce e extra?”
Red flag: “Totul inclus” dar apoi apar costuri extra
Green flag: “Inclus X Y Z, extra potențial A dacă vrei, B dacă e necesar după evaluare”
“Care e costul continuu după implementare?”
Red flag: “Vedem după”
Green flag: “An 2+: 8.000€/an pentru mentenanță, iată ce include”
“Dacă bugetul meu e X, ce pot implementa cu banii ăștia?”
Red flag: “Nu ajunge, ai nevoie de minim Y” (mult mai mult)
Green flag: “Cu X poți prioritățile 1-4, prioritățile 5-7 le adaugi când ai buget, iată riscul”
Despre proprietate și ieșire
“Cine deține documentația creată? Pot exporta tot când vreau?”
Red flag: “Configurațiile noastre sunt proprietare”
Green flag: “Tu deții totul, îți dăm documentația în format editabil, zero dependență”
“Care e perioada de preaviz dacă vreau să opresc colaborarea?”
Red flag: “Contract 24-36 luni cu taxă terminare anticipată mare”
Green flag: “90 zile preaviz fără penalități, documentație completă de predare”
“Ce se întâmplă după implementare? Pot menține eu intern?”
Red flag: “Ai nevoie de noi pentru orice”
Green flag: “Te învățăm pe tine, după 90 zile poți menține intern, oferim opțional contract mentenanță”
Interpretare scor:
- 12-15 green flags: Consultant serios, mergi înainte
- 8-11 green flags: OK, dar clarifică red flags înainte
- 4-7 green flags: Atenție, multe întrebări fără răspuns clar
- 0-3 green flags: Consultant următor, prea multe red flags
Pregătirea pentru primul audit
Primul audit NIS2 vine cu 2-4 săptămâni preaviz. Iată cum te pregătești.
Săptămâna 1-2 înainte de audit
Revizuire documente (2-3 zile):
Verifici că ai toate politicile semnate și datate, inventar active actualizat din ultimele 3 luni, registru risc actualizat, jurnal incidente complet (chiar dacă zero incidente), înregistrări training pentru toți angajații, evaluări securitate furnizori, jurnale teste backup din ultimele 3 luni, și jurnale gestionare patch-uri.
Briefing echipă (1 zi):
Faci briefing pentru echipa cheie: IT lead, Director sau CEO, HR pentru întrebări training, și Operațiuni pentru continuitate business. Discutați procesul de audit și cum va decurge, cine răspunde la ce tip de întrebări, unde e fiecare document, și contacte de urgență dacă e nevoie de clarificări.
Verificare tehnică (1-2 zile):
IT lead verifică că MFA e activat pe tot și poate demonstra, testul de recuperare backup e recent (ideal din ultimele 30 zile), sistemele sunt patched, jurnalele acces sunt disponibile, și instrumentele de monitorizare funcționează.
Interviu simulat (1 zi):
Fă un interviu cu echipa: cineva joacă rolul de auditor, pune întrebări, echipa răspunde, identificați lacune în cunoștințe.
În timpul auditului
Prima zi e întâlnire de deschidere plus revizuire documente. Auditorul explică procesul, primești listă de documente cerute și calendar pentru audit. Aici asculți cu atenție și notezi toate întrebările. Nu te justifica preventiv – răspunde doar la ce e întrebat. Desemnează pe cineva să colecteze documente cerute. Și foarte important: nu te panica, nu inventa răspunsuri și nu ascunde probleme pentru că vor fi descoperite oricum.
A doua zi e verificarea tehnică plus interviurile. Auditorul verifică jurnalele din sisteme, MFA în acțiune, recuperare backup, controluri acces și status patch-uri. Face interviuri cu IT lead despre implementare tehnică, cu directorul despre guvernanță și luare decizii, și cu angajați random despre conștientizare și training. Când te intervievează, răspunde direct și scurt. Dacă nu știi ceva, spune “Nu știu dar pot verifica și revin în X timp.” Dă exemple concrete când poți și nu divaga.
A treia zi e de revizuire constatări plus întâlnire de închidere. Auditorul prezintă constatări preliminare clasificate ca fiind critice, înalte, medii sau scăzute, discutați calendarul pentru remediere și primești un raport scris. Asculți fără a fi defensiv, clarifici ce constatări nu înțelegi, notezi calendare pentru remediere și mulțumești pentru feedback.
Post-audit (24-48h)
Faci debrief cu echipa: ce a mers bine, ce constatări au fost surprinzătoare, ce învățăm pentru următorul audit.
Creezi plan de acțiune: constatări critice imediat în 7 zile, constatări înalte în 30 zile, constatări medii în 60-90 zile, constatări scăzute în ciclu de revizuire următor.
Comunici: actualizează board-ul despre rezultat, briefing echipă despre constatări, comunică planul de acțiune.
Pași următori și resurse
Dacă citești asta și te simți copleșit:
E normal. Am văzut 30+ directori în aceeași poziție.
Dar iată ce trebuie să știi: Nu ești singur. Și nu e sfârșitul lumii.
Pasul următor #1: Descarcă checklist-ul
Începe cu Checklist Pregătire NIS2 (link). Durează 15 minute. Vei ști exact unde ești și ce lipsește.
Pasul următor #2: Prioritizează
Pe baza checklist-ului, identifică ce poți face intern în următoarele 7 zile (ex: activezi MFA), ce ai nevoie de ajutor extern (ex: Plan Răspuns la Incidente), și ce poate aștepta 3-6 luni.
Pasul următor #3: Hai să vorbim
Dacă vrei să discutăm despre situația ta specifică: → 30 min consultanță gratuită: [Link]
În 30 min putem să evaluăm preliminar situația ta, îți spunem prioritățile 1-3, estimăm buget și calendar realist, te ajutăm cu resurse (chiar dacă nu lucrezi cu noi).
Resurse suplimentare:
Autorități oficiale: → DNSC (Direcția Națională de Securitate Cibernetică) – Autoritatea de supraveghere NIS2 în România.
Documentație oficială: → Directiva NIS2 (EUR-Lex) – Textul complet al directivei europene.
Concluzie
NIS2 pare complicat pentru că e scris pentru toată UE, de la micro companii la mega corporații. Dar pentru un IMM de 50-150 angajați, e mult mai simplu decât pare.
Esențele: Procese documentate, măsuri tehnice de bază (MFA, backup, actualizări), training echipă, plan răspuns la incidente.
Buget realist: An 1: 12.000€-25.000€. An 2+: 5.000€-12.000€/an.
Calendar: Rezultate rapide: 30 zile. Implementare completă: 90 zile. Conformare completă: 6 luni cu ajustări finale.
P.S. Dacă ghidul acesta ți-a fost util, trimite-l la un director care se luptă cu NIS2. Probabil are exact aceleași întrebări pe care le-ai avut tu acum o oră.
Ultima actualizare: Octombrie 2025