NIS2 pentru firme mici: te privește sau nu?
NIS2 e directiva europeană de securitate cibernetică despre care ai primit, probabil, măcar un e-mail alarmant. Vestea bună: pentru majoritatea firmelor mici, panica e nejustificată. Vestea mai puțin bună: „nu mă privește direct" nu înseamnă „nu mă privește deloc". Hai să despărțim lucrurile calm.
Pe cine vizează direct, pe scurt
NIS2 se aplică în primul rând companiilor medii și mari din sectoarele considerate esențiale sau importante, cum ar fi energie, transport, sănătate, infrastructură digitală, anumite tipuri de producție și altele asemenea. Pragul orientativ pleacă de la 50 de angajați sau 10 milioane de euro cifră de afaceri, în sectoarele vizate, iar în România autoritatea care supraveghează domeniul e DNSC.
Dacă ai o firmă de 15 oameni care face contabilitate, comerț sau servicii obișnuite, cel mai probabil nu ești pe lista entităților reglementate direct. Înainte să răsufli ușurat, citește totuși mai departe.
Cum ajunge totuși la tine: prin clienții tăi
Directiva le cere firmelor reglementate să-și verifice securitatea lanțului de furnizori, adică, printre alții, pe tine, dacă le ești furnizor. În practică, asta se traduce în chestionare de securitate, clauze noi prin contracte și, uneori, audituri cerute de client. Prima întâlnire a multor firme mici cu NIS2 nu e o amendă, ci un Excel cu o sută de întrebări primit de la cel mai mare client al lor.
În momentul ăla, „avem un băiat care se pricepe" nu mai e un răspuns. Clientul vrea să vadă lucruri concrete: backup făcut și verificat, acces controlat la date, actualizări la zi, un istoric al incidentelor și al felului în care au fost rezolvate.
Ce e de făcut, fără isterie
Partea liniștitoare e că cerințele de bază ale NIS2 sunt, în mare, igiena IT pe care o firmă serioasă ar trebui să o aibă oricum: backup făcut și verificat, actualizări la timp, parole și accese ținute în ordine, un mod limpede de a reacționa când apare un incident. Nimic exotic, mentenanță și disciplină, făcute constant, nu o dată pe an.
Recomandarea noastră e simplă. Nu cumpăra „pachete NIS2" sub presiunea unui e-mail și nici nu ignora subiectul cu totul; pune-ți întâi întrebarea concretă, dacă mâine clientul tău cel mare îți cere dovezi de securitate, ce îi arăți? Dacă răspunsul e „nu prea știu", de acolo se începe, iar un audit IT obișnuit, făcut la fața locului, îți arată exact unde stai. Pentru încadrarea juridică precisă a firmei tale, sursa corectă rămâne DNSC, nu e-mailurile de marketing.