Ce este un audit NIS2 și de ce e necesar?

Auditul NIS2 este o evaluare independentă a măsurilor de securitate cibernetică ale unei organizații, conform cerințelor Directivei NIS2 și Legii 58/2024 din România. Verifică 10 domenii obligatorii (politici, gestionare riscuri, raportare incidente, criptare, MFA, backup, continuitate, securitate furnizori, instruire, control acces) și produce un raport cu măsuri de remediere.

Cât costă un audit NIS2 pentru o firmă mică din România?

Pentru o entitate importantă cu 20–50 angajați, auditul NIS2 complet costă tipic între 3000 și 8000 RON. Pentru entități esențiale sau organizații complexe peste 50 angajați, costul este 6000–15000 RON. Auditul de re-evaluare anuală este de obicei 40–60% din costul inițial.

Cât durează un audit NIS2?

Un audit NIS2 tipic durează 5–15 zile lucrătoare de la primul kick-off până la livrarea raportului final: 1–2 zile interviuri, 3–7 zile evaluare tehnică, 2–4 zile redactare raport și plan de remediere. Implementarea remedierilor identificate poate dura suplimentar 1–6 luni.

Ce documente primește firma după un audit NIS2?

După un audit NIS2 complet primești: raportul de evaluare cu scor per domeniu, matricea de riscuri prioritizate, plan de remediere cu cost și termene, politicile minime obligatorii (15+ documente), procedura de raportare incidente la DNSC și certificatul de finalizare al auditului.

Audit NIS2 pentru Firme · Pași Concreți, Cost, Timeline și Documente 2026

De ce ai nevoie de audit NIS2 (și de ce nu poți amâna)

Directiva europeană NIS2 (2022/2555) a fost transpusă în România prin Legea 58/2024. Spre deosebire de NIS1, care viza câteva sute de operatori critici, NIS2 acoperă mii de firme din 18 sectoare – inclusiv multe pe care nu te-ai aștepta să fie incluse.

Amenzile sunt severe: până la 10.000.000 EUR sau 2% din cifra de afaceri pentru entități esențiale, plus răspundere personală a managementului. DNSC (Directoratul Național de Securitate Cibernetică) are deja inspectori activi în 2026 și a comunicat că nu va mai tolera „lipsa de conformitate prin necunoaștere".

⚠️ Dacă firma ta intră sub NIS2 și nu ai dovedit conformitate până la prima inspecție, amenda minimă este de 5000 EUR – chiar dacă nu ai avut nici un incident.

Cum verifici dacă firma ta intră sub NIS2

Sectoarele NIS2 sunt împărțite în esențiale (anexa I) și importante (anexa II). Câteva sectoare surprinzător de comune pentru firme mici și mijlocii:

Furnizori de servicii IT gestionate (MSP, MSSP) – multe firme cu doar 10–20 angajați
Furnizori servicii cloud, datacenter, CDN
Servicii poștale și de curierat
Producție alimentară (peste 50 angajați sau 10M EUR CA)
Producție echipamente medicale, chimice, mecanice
Distribuție și retail (peste anumite praguri)
Cercetare
Servicii financiare digitale

Pragul standard de intrare sub NIS2 este 50 angajați sau 10M EUR cifră de afaceri. Sub acest prag, NIS2 nu se aplică direct – dar contractele B2B cu firme mari pot impune cerințe similare în lanțul de furnizare.

💡 Test rapid de aplicabilitate: dacă firma ta are 50+ angajați SAU 10M+ EUR CA SAU prestează servicii IT/cloud/digitale, începe cu o evaluare de aplicabilitate. La iSoft Consulting facem această evaluare în 2 zile, contra unei taxe simbolice.

Ce verifică un audit NIS2: cele 10 domenii obligatorii

Articolul 21 din Directiva NIS2 enumeră 10 categorii minime de măsuri tehnice și organizatorice. Un audit serios le verifică pe toate:

1. Politici de securitate cibernetică și analize de risc

Există politici scrise, aprobate de conducere, revizuite anual? Există un proces formal de management al riscurilor?

2. Tratarea incidentelor (detecție, răspuns, recuperare)

Cum se detectează un incident? Cine este responsabil? Ce procedură se urmează? Există runbook-uri? Au fost testate în ultimele 12 luni?

3. Continuitatea activității și gestionarea crizelor

Plan de continuitate (BCP) și plan de recuperare după dezastru (DRP) – nu doar pe hârtie, ci testat. RTO și RPO definite pentru fiecare sistem critic.

4. Securitatea lanțului de aprovizionare

Furnizorii tăi IT (cloud, SaaS, MSP, software) sunt evaluați de securitate? Există clauze contractuale? Cum verifici un breach la furnizor?

5. Securitate la achiziție, dezvoltare și mentenanță IT

Cum se aleg și se introduc sisteme noi? Există proces de patch management? Se aplică actualizările critice în interval definit?

6. Evaluarea eficacității măsurilor de gestionare a riscurilor

Cum se măsoară dacă măsurile chiar funcționează? KPI-uri, audit intern, penetration testing?

7. Igienă cibernetică și instruirea angajaților

Frecvență training, conținut, evidență participare, simulări phishing. Răspundere clară pentru fiecare angajat.

8. Criptare și criptografie (politici)

Date la repaus și în tranzit – criptare conform standardelor? Management chei? Politică de utilizare VPN?

9. Securitate resurse umane, control acces, gestionare active

Procese de onboarding/offboarding, principiul privilegiilor minime, inventar de active actualizat, marcare informații.

10. Autentificare puternică, MFA, comunicații securizate

MFA obligatoriu pentru toate conturile sensibile, passkeys/FIDO2 acolo unde se poate, criptare comunicații interne (Signal, Teams, M365).

Cum decurge un audit NIS2 real – pas cu pas

Etapa 1 · Kick-off și planificare (Ziua 1)

Întâlnire cu conducerea și responsabilul IT. Stabilim scopul auditului, identificăm sistemele critice, programăm interviurile și colectăm lista activelor. Semnăm NDA-ul.

Etapa 2 · Interviuri structurate (Zilele 2–3)

Discutăm cu: management, responsabilul IT, HR, financiar, operațional. Întrebări standard pentru fiecare din cele 10 domenii. Documentăm tot.

Etapa 3 · Evaluare tehnică (Zilele 4–8)

Scanare vulnerabilități rețea (cu acordul scris)
Review configurări firewall, switchuri, VPN
Verificare politici grup Active Directory / M365
Review backup și test parțial de restaurare
Review log-uri și sisteme de monitorizare
Verificare patch management și ciclu actualizări
Inspecție fizică (acces birou, server room, parole pe ecran etc.)

Etapa 4 · Analiză și redactare raport (Zilele 9–12)

Compilăm rezultatele. Scor per domeniu (matrice 0–4). Riscuri prioritizate (P0 = critic, P1 = major, P2 = mediu, P3 = minor). Plan de remediere cu termene și estimare cost.

Etapa 5 · Prezentare și livrare (Ziua 13–15)

Întâlnire de 2 ore cu management și IT. Prezentăm raportul, discutăm prioritizarea, agreăm plan de implementare. Livrăm toate documentele în format editabil.

Documentele primite după un audit NIS2 complet

Un audit serios livrează tipic 18–25 documente. Iată ce trebuie să fie pe listă (cere-le explicit ofertantului):

Raport executiv (5–10 pagini) – pentru management și board
Raport tehnic detaliat (40–80 pagini)
Matrice de riscuri prioritizate (Excel)
Plan de remediere cu cost și timeline
Politica generală de securitate cibernetică
Politica de gestionare incidente + runbook
Politica de management active
Politica de control acces
Politica de backup și restaurare
Politica de criptare
Politica MFA și gestionare credențiale
Politica de utilizare acceptabilă (AUP)
Politica securitate furnizori (vendor management)
Procedura de raportare incidente la DNSC (24h alertă, 72h evaluare, 30 zile raport final)
Plan de continuitate (BCP) și recuperare după dezastru (DRP)
Plan de instruire angajați (curriculum 12 luni)
Inventar active digitale (template)
Inventar furnizori critici cu scor de risc
Registru de incidente (template)
Certificat finalizare audit

Cât costă un audit NIS2 în 2026 – cifre reale

Tip organizație	Cost tipic audit inițial	Re-audit anual
Entitate importantă, 10–20 angajați	3000–5000 RON	1500–2500 RON
Entitate importantă, 20–50 angajați	4000–8000 RON	2000–4000 RON
Entitate esențială, 50–100 angajați	6000–10000 RON	3000–5000 RON
Entitate esențială, 100–250 angajați	10000–15000 RON	5000–8000 RON
Doar evaluare aplicabilitate	500–1200 RON	—

La costul auditului se adaugă implementarea remedierilor – care variază enorm. Un firewall nou: 2000–8000 RON. Implementare MFA pentru toți utilizatorii: 1500–4000 RON. Setup server NAS pentru backup: 1500–3000 RON plus echipament.

💡 Costul total tipic „audit + remediere de bază" pentru o firmă de 30 de angajați este 15.000–25.000 RON. Comparativ, o amendă DNSC minimă pornește de la 25.000 RON pentru entități importante.

Greșeli comune care se descoperă la audit NIS2

1. Conturi de administrator pentru utilizare zilnică

În 6 din 10 firme, conturile folosite zilnic au privilegii de administrator. Asta înseamnă că un ransomware se propagă fără rezistență.

2. Lipsa MFA pentru conturile critice

Microsoft 365 sau Google Workspace fără MFA = vulnerabilitate maximă. NIS2 cere MFA pe toate accesele privilegiate.

3. Backup care nu a fost testat niciodată

„Avem backup" devine „nu a funcționat restaurarea" exact când e nevoie. NIS2 cere dovada că backup-urile se testează periodic.

4. Absența procedurii de raportare incidente

NIS2 impune notificare la DNSC în 24 ore de la detecție. Fără procedură clară și runbook, ratezi termenul.

5. Furnizori IT fără clauze de securitate

Folosești MSP, contabil cu acces la M365, dezvoltator extern – fără contract care să stipuleze obligații de securitate. Risc legal direct.

6. Fără instruire formală a angajaților

Cel puțin o sesiune anuală documentată este obligatorie. Simulări phishing periodice – recomandate puternic.

Cum aleg consultantul potrivit pentru audit NIS2

Cere referințe locale verificabile

Cere lista (anonimizată dacă e cazul) cu 3–5 firme din România cărora le-a făcut audit NIS2 și permite contactul direct cu măcar una.

Verifică experiența cu DNSC

Întreabă: „Ați asistat la o raportare reală de incident către DNSC?" Cine nu a făcut nu va ști pașii practici.

Cere mostre de raport

Un raport „demo" anonimizat. Calitatea acelui document arată exact ce vei primi.

Atenție la „audit într-o zi"

Niciun audit NIS2 serios nu se face într-o zi. Dacă cineva îți promite asta, fuge de raportul cu DNSC peste 12 luni.

Verifică certificările

ISO 27001 Lead Auditor, CISA, CISSP, certificări NIS2 specifice. Nu sunt obligatorii legal, dar arată profesionalismul.

Timeline real: de la primul contact la conformitate completă

Săptămâna 1: evaluare aplicabilitate + decizie audit
Săptămânile 2–4: audit complet + raport
Săptămânile 5–8: implementare remedieri P0 (critice)
Săptămânile 9–16: implementare remedieri P1 + politici + instruire
Săptămânile 17–24: implementare remedieri P2 + testare BCP/DRP
Lunile 7–12: monitorizare, ajustări, pregătire re-audit anual

💡 La iSoft Consulting oferim audituri NIS2 pentru firme din Brașov și online în toată România. Lucrăm exclusiv cu firme mici și mijlocii și avem pachete adaptate bugetului real. Solicită o evaluare gratuită de aplicabilitate la 0723 497 753.

Concluzie

Auditul NIS2 nu este un cost pe care îl plătești pentru DNSC. Este o investiție în reziliența reală a firmei tale. Firmele care fac auditul serios descoperă probleme pe care nu le știau și economisesc bani prin prevenirea incidentelor.

Dacă firma ta intră sub NIS2, începe acum – nu aștepta inspecția. Primul pas (evaluarea de aplicabilitate) costă puțin și clarifică dacă ai obligație legală sau doar contractuală.

audit NIS2 conformitate NIS2 servicii NIS2 România Legea 58/2024 DNSC cybersecurity firme

Audit NIS2 pentru Firme– Pași Concreți, Cost și Documente 2026