CAI Technology
Programează demo
Menu ☰
Anexa I — Entități esențiale · Financiar

🏦NIS2 pentru Sector bancar — termene, obligații, amenzi

Sector bancar cad sub NIS2 (Directiva UE 2022/2555 + OUG 155/2024). Vezi obligații Art.21, termene, amenzi maxime și plan de conformitate pentru Anexa I.

Ultima revizuire: · CAI Technology · echipa Lexnomia + AEGIS

🎯 Cine intră sub regulă

Sectorul bancar (institutii de credit) este listat in Anexa I la Directiva (UE) 2022/2555 (NIS2) ca sector de criticitate ridicata [C2]. In Romania, regulile sunt transpuse prin OUG 155/2024, iar DNSC, BNR si ASF coopereaza pentru aplicare in zona financiara [C6][C17]. Pe langa NIS2, bancile cad direct sub Regulamentul (UE) 2022/2554 (DORA), aplicabil din 17 ianuarie 2025 [C7]. Practic, pentru o banca, conformitatea inseamna stack NIS2 + DORA, nu unul sau celalalt.

Exemple de entități acoperite în România

Banca Comercială Română (BCR)BRD Groupe Société GénéraleBanca TransilvaniaRaiffeisen Bank RomâniaING Bank RomaniaUniCredit Bank Romania

Praguri de aplicabilitate

Anexa I NIS2 acopera institutiile de credit definite prin Art. 4 din Regulamentul (UE) 575/2013 (CRR) [C2]. Pragul implicit: entitati medii si mari (>= 50 angajati sau cifra de afaceri / total bilantier >= 10 mil. EUR) intra ca esentiale; institutiile sub prag, daca sunt identificate de DNSC ca avand rol critic, pot fi notificate individual [C2][C6].

📅 Timeline regulatoriu

  1. Adoptarea Directivei (UE) 2022/2555 (NIS2) si a Regulamentului (UE) 2022/2554 (DORA) [C1][C7]

  2. Publicarea NIS2 si DORA in Jurnalul Oficial UE [C1][C7]

  3. MiCA Titlurile III si IV (asset-referenced tokens, e-money tokens) intra in aplicare [C16]

  4. Termen UE pentru transpunere NIS2 in legislatiile nationale (NIS2 Art. 41) [C1]

  5. NIS1 (Directiva 2016/1148) abrogata; NIS2 produce efecte [C1]

  6. MiCA aplicabil integral [C16]

  7. Romania publica OUG 155/2024 — transpunere NIS2; DNSC = autoritate competenta [C6]

  8. DORA intra in aplicare integrala in UE; registrele ICT third-party Art. 28 devin obligatorii [C7][C10]

  9. ECB actualizeaza TIBER-EU pentru aliniere completa cu RTS DORA pe TLPT [C11]

  10. Adoptare Comm. Del. Reg. (UE) 2025/1190 — criterii pentru entitatile obligate la TLPT [C9]

📋 Obligații cheie

Cadru de risc-management ICT (NIS2 Art. 21(2) + DORA Cap. II)

efort: high

Cadru documentat care acopera politici de risc, securitatea sistemelor, controale criptografice si MFA, training, evaluare a eficacitatii. NIS2 Art. 21(2) impune cele zece masuri minime (a-j), abordare all-hazard, aliniate pe standarde europene si internationale, incluzand ISO/IEC 27001 si ISO/IEC 27002 [C3]. DORA suprapune un strat specific sectorului financiar (politici, identificare active, protectie criptografica, detectie, raspuns). EBA/GL/2019/04 ramane aplicabil pentru institutiile de credit si firmele de investitii, cu scopul restrans dupa intrarea DORA in aplicare [C12]. Organul de conducere aproba si supravegheaza implementarea (NIS2 Art. 20) [C14].

Controale recomandate: NIS2 Art. 21(2)(a-j)DORA Art. 5-15EBA/GL/2019/04ISO/IEC 27001:2022ISO/IEC 27002:2022

Raportarea incidentelor pe doua paliere paralele (NIS2 Art. 23 + DORA Art. 19)

efort: high

Pentru o banca aflata sub NIS2+DORA, aceleasi categorii de evenimente pot declansa doua fluxuri de raportare paralele. NIS2 Art. 23: early warning catre CSIRT in maxim 24h de la constientizare, notificare incident in 72h, raport final in maxim o luna [C4]. DORA Art. 19 (RTS Joint Committee): notificare initiala in 4h dupa clasificarea ca major si 24h dupa detectare, raport intermediar in 72h, raport final in 1 luna [C8]. Practic, CISO are nevoie de un singur runbook care sa scuipe ambele formulare in paralel — incluzand BNR/ASF pe latura DORA si DNSC pe latura NIS2.

Controale recomandate: NIS2 Art. 23(4)DORA Art. 17-19Comm. Del. Reg. (EU) 2024/1772 — clasificare incidente · Comm. Del. Reg. (EU) 2025/301 — RTS conținut raportare · Comm. Impl. Reg. (EU) 2025/302 — ITS template raportare

TLPT (threat-led penetration testing) la fiecare 3 ani — DORA Art. 26

efort: high

Entitatile financiare semnificative (incluzand bancile peste un anumit prag) sunt obligate sa efectueze advanced testing prin TLPT cel putin o data la 3 ani [C9]. Daca se folosesc testeri interni, fiecare al 3-lea ciclu trebuie subcontractat unor testeri externi (DORA Art. 26(8)) [C9]. Cadrul tehnic de referinta este TIBER-EU, actualizat in februarie 2025 pentru aliniere cu RTS DORA pe TLPT [C11]. Romania este pe lista statelor care au adoptat TIBER-EU, deci putem rula intern teste TLPT compatibile cu cadrul european [C11]. Scope-ul acopera functiile critice / importante in productie, nu in pre-prod.

Controale recomandate: DORA Art. 26DORA Art. 26(8)TIBER-EU framework (ECB)Comm. Del. Reg. (EU) 2025/1190

Gestionarea riscului furnizorilor ICT terti (DORA Cap. V + NIS2 Art. 21(2)(d))

efort: medium

DORA Art. 28(3) cere mentinerea unui registru al furnizorilor ICT terti la nivel de entitate, sub-consolidat si consolidat, cu template standard impus de Comm. Impl. Reg. (EU) 2024/2956 [C10]. Registrul este folosit de autoritatile competente si ESAs pentru a desemna furnizorii critici (CTPP) supusi regimului de oversight DORA. NIS2 Art. 21(2)(d) suprapune cerinta de securitate a lantului de aprovizionare pentru toate entitatile esentiale, nu doar cele financiare [C3]. Practic: clauze contractuale obligatorii (exit-strategy, audit, sub-outsourcing), monitorizare continua, evaluare a concentrarii.

Controale recomandate: DORA Art. 28(3)DORA Art. 28-30NIS2 Art. 21(2)(d)Comm. Impl. Reg. (EU) 2024/2956

Rezilienta operationala digitala si continuitatea afacerii (DORA Art. 11-14)

efort: high

DORA cere politici de continuitate ICT, planuri de raspuns si recuperare, testare regulata a scenariilor (inclusiv switch-over, recovery, crisis communication). NIS2 Art. 21(2)(c) adauga business continuity si crisis management ca cerinte minime [C3]. Pentru institutiile de credit, EBA/GL/2019/04 (BCM si DR) ramane referinta operationala, in noul scope restrans dupa DORA [C12]. Banca trebuie sa demonstreze RTO/RPO documentate pentru fiecare functie critica si testare anuala a planurilor (Art. 25 DORA — testing basic). Lectie din incidentele ICBC si Evolve: planuri de continuitate pe care nu le-ai testat real nu functioneaza in criza.

Controale recomandate: DORA Art. 11-14DORA Art. 25NIS2 Art. 21(2)(c)EBA/GL/2019/04 (BCM section)

📰 Incidente reale, lecții concrete

ICBC Financial Services (subsidiara americana ICBC)

2023 · SUA (impact global pe pietele US Treasury)

Tip: Ransomware LockBit exploatand CitrixBleed (CVE-2023-4966)

Impact: Decuplare a sistemelor financiare; SIFMA a notificat membrii ca tranzactiile US Treasury nu pot fi decontate prin ICBC; restaurare partiala in 8-9 noiembrie 2023.

Lecția: Patch-management deficitar pentru o vulnerabilitate cunoscuta (patch Citrix 10 oct 2023) a oprit decontari pe pietele globale. NIS2 Art. 21(2)(e) si DORA Art. 9 cer gestionarea vulnerabilitatilor in timp util.

Sursă publică ↗

Infosys McCamish Systems / Bank of America

2023 · SUA

Tip: Ransomware (LockBit suspectat) la furnizor ICT tert

Impact: 57.028 persoane afectate; date privind planurile de compensatie amanata gestionate pentru Bank of America compromise; disclosure SEC Infosys pe 3 noiembrie 2023; notificare Bank of America pe 24 noiembrie 2023.

Lecția: Lant ICT: compromiterea unui furnizor (Infosys McCamish) a expus date sensibile ale unui client major. DORA Cap. V si NIS2 Art. 21(2)(d) cer evaluare si monitorizare contractuala continua pentru toti furnizorii ICT.

Sursă publică ↗

Evolve Bank & Trust

2024 · SUA

Tip: Ransomware LockBit (incident descoperit 29 mai 2024)

Impact: 7,6 milioane persoane afectate; SSN, numere de cont bancar si contact pentru majoritatea clientilor de retail; partenerii Banking-as-a-Service (Affirm, Wise) au raportat la randul lor expunere prin contracte ICT.

Lecția: Modelul Banking-as-a-Service propaga incidentul la zeci de fintech-uri partenere prin contracte ICT. DORA Art. 28 (registru furnizori) + testarea concentrarii reduc blast radius-ul.

Sursă publică ↗

MOVEit Transfer (Progress Software) — vector cu sute de victime financiare

2023 · Global (UE+UK+SUA)

Tip: Exploit zero-day SQL injection CVE-2023-34362, operat de Clop ransomware

Impact: Pana in iulie 2023: 383 organizatii si 20+ milioane persoane afectate; in 2024, totalul a depasit 2.700 de organizatii si ~95 milioane persoane. Victime confirmate in finance: Tesco Bank, Putnam Investments, multiple firme financiare prin furnizori (ex. Zellis payroll).

Lecția: Atac supply-chain pe un software de transfer fisiere larg utilizat. NIS2 Art. 21(2)(d) si DORA Cap. V impun inventar al lantului ICT si proceduri de raspuns pentru furnizori critici.

Sursă publică ↗

⚠️ Amenințări tipice

  • • Phishing + business email compromise
  • • Cyber-fraud pe SWIFT / SEPA
  • • Ransomware pe core-banking

💰 Amenzi maxime

DORA + NIS2 = până la 10 mil EUR + 1% din cifra zilnică de afaceri

📊 Status conformitate România

Top 5 bănci RO (BRD, BCR, Banca Transilvania, Raiffeisen, ING) la 80%+ DORA-NIS2 readiness.

🛡️ Cum ajută CAI Technology

AEGIS — Observability + SecOps cu AI

SIEM unified pentru DC on-premise: logs + metrics + threat detection + AI incident analysis.

ARTEMIS — Pentest cu AI · Hunt · Reveal · Strike

Platformă autonomă de pentesting cu 5 agenți AI și 6 tipuri de audit. De la 2€ per scan, fără abonament.

CAI-AUTH — Identity Provider post-quantum

OIDC IdP construit în România cu criptografie post-quantum (hybrid post-quantum signatures). Patent Pending.

Lexnomia — Audit conformitate UE

Self-serve audit conformitate pe 7+ regulamente UE: GDPR, NIS2, DORA, EU AI Act, ISO 27001, CRA, DSA.

📚 Reglementări adiacente care se suprapun

DORA — Regulamentul (UE) 2022/2554 · Direct aplicabil din 17 ianuarie 2025; nu necesita transpunere nationala [C7]

Suprapunere completa peste NIS2 pentru institutiile de credit. Diferente cheie: DORA cere raportare initiala in 4h dupa clasificare (NIS2: 24h early warning) [C4][C8]; DORA cere TLPT la 3 ani pentru entitati semnificative (NIS2 nu are TLPT obligatoriu) [C9]; DORA cere registru ICT third-party cu template standardizat (NIS2 cere doar masuri de lant-de-aprovizionare proportionate) [C10][C3].

EBA/GL/2019/04 — Guidelines on ICT and security risk management · Aplicabil prin reglementari BNR/ASF; scop restrans dupa intrarea DORA in aplicare (EBA/GL/2025/02) [C12]

Cadrul de baza pentru institutiile de credit si firmele de investitii pe ICT risk management si BCM. Dupa 17 ian 2025, anumite cerinte au migrat sub DORA, dar ghidul ramane referinta in zonele neacoperite de DORA.

PSD2 — Directiva (UE) 2015/2366 + RTS SCA (Reg. delegat 2018/389) · RTS Strong Customer Authentication aplicabile din 14 septembrie 2019 [C15]

Pentru orice banca care opereaza servicii de plata, SCA este obligatoriu pentru tranzactii electronice de la distanta. Mecanismele de autentificare ale clientilor trebuie incadrate in cadrul mai larg de ICT risk management cerut de DORA si NIS2.

MiCA — Regulamentul (UE) 2023/1114 · Aplicabil integral din 30 decembrie 2024 [C16]

Relevant pentru bancile care emit token-uri de bani electronici (EMT) sau ofera custodie crypto-assets. Cerintele de securitate cibernetica pentru CASPs se suprapun cu obligatiile DORA, intrucat majoritatea CASPs vor fi tratati ca entitati financiare sub DORA.

TIBER-EU — Cadrul ECB pentru threat-led red teaming · Adoptat in Romania; framework versionat 2025 aliniat cu DORA [C11]

Cadrul tehnic de referinta pentru TLPT-urile cerute de DORA Art. 26. Furnizeaza methodology, criterii pentru threat intelligence provider si red team, raportare.

Întrebări frecvente

Sunt o banca autorizata de BNR — sunt sub NIS2?

Da. NIS2 Art. 2 + Anexa I listeaza explicit institutiile de credit (definite prin Art. 4 din Reg. 575/2013) ca sector de criticitate ridicata [C2]. Daca esti medie sau mare intreprindere (>= 50 angajati sau >= 10 mil. EUR cifra de afaceri), esti entitate esentiala. In Romania, OUG 155/2024 + DNSC gestioneaza inregistrarea, iar BNR si ASF cooperationeaza pe partea financiara [C6][C17].

Cum se cumuleaza NIS2 cu DORA pentru bancile romanesti?

Nu te scuteste unul de celalalt. NIS2 (orizontal) impune zece masuri minime de risc-management si raportare a incidentelor in 24/72h/1luna [C3][C4]. DORA (sectorial, lex specialis pentru entitati financiare) impune TLPT, registru ICT third-party, raportare in 4h/24h/72h/1luna [C8][C9][C10]. In practica: un singur ICT risk framework care satisface ambele, doua canale de raportare paralele.

Ce este TLPT si cand sunt obligata sa-l rulez?

Threat-led penetration testing — red teaming pe sistemele de productie, ghidat de threat intelligence real. DORA Art. 26 cere TLPT cel putin la 3 ani pentru entitatile financiare semnificative [C9]. Daca folosesti testeri interni, externi obligatorii la fiecare al 3-lea test (Art. 26(8)) [C9]. Cadrul tehnic = TIBER-EU, versiunea 2025 aliniata cu RTS DORA [C11]. Criteriile exacte de identificare a entitatilor obligate sunt in Comm. Del. Reg. (UE) 2025/1190 [C9].

Termenele de raportare incident catre BNR si DNSC — exact?

Doua canale paralele. NIS2 (catre CSIRT/DNSC): early warning in 24h de la constientizare, notificare in 72h, raport final in maxim o luna (Art. 23) [C4]. DORA (catre autoritatile competente — pentru institutii de credit, BNR): notificare initiala in 4h dupa clasificarea ca major si 24h dupa detectare, raport intermediar 72h, raport final 1 luna (Art. 19 + RTS) [C8]. Recomandare practica: pregateste un singur process care alimenteaza ambele formulare automat.

Pot externaliza catre un hyperscaler public (AWS, Azure, GCP)?

Da, dar respectand DORA Cap. V si NIS2 Art. 21(2)(d). DORA Art. 28(3) cere mentinerea unui registru consolidat al contractelor ICT, cu template standard impus prin Comm. Impl. Reg. (UE) 2024/2956 [C10]. Hyperscalerii sunt candidati la statutul de Critical Third-Party Provider (CTPP) supus oversight-ului direct ESAs [C10]. Clauze obligatorii: exit-strategy, audit, sub-outsourcing, monitorizarea concentrarii.

Care e plafonul maxim de amenda pentru o banca esentiala?

Sub NIS2 Art. 34: maxim cel putin 10.000.000 EUR sau 2% din cifra de afaceri mondiala anuala, oricare e mai mare [C5]. Pentru entitati importante: 7.000.000 EUR sau 1,4% [C5]. Sub DORA Art. 50, plafoanele sunt stabilite de legislatia nationala — nu exista plafon EUR uniform in regulament pentru entitati financiare (doar penalizari periodice pentru CTPP-uri). Sanctiunile pot fi cumulative cu cele din GDPR Art. 83 si din legislatia bancara.

Cine raspunde personal in conducerea bancii?

NIS2 Art. 20 cere ca organele de conducere sa aprobe masurile de risc-management, sa supravegheze implementarea si pot fi tinute responsabile [C14]. Directiva permite Statelor Membre sa impuna interdictii temporare de exercitare a functiilor de conducere pentru entitati esentiale. In Romania, OUG 155/2024 a transpus aceste prevederi [C6].

🔗 Surse oficiale

Ești în sectorul sector bancar?

Audit gratuit NIS2 pentru companii peste 50 angajați. Răspundem în 24 ore lucrătoare.

Solicită audit →