CAI Technology
Programează demo
Menu ☰
Anexa I — Entități esențiale · Infrastructură digitală

☁️NIS2 pentru Cloud computing și data centers — termene, obligații, amenzi

Cloud computing și data centers cad sub NIS2 (Directiva UE 2022/2555 + OUG 155/2024). Vezi obligații Art.21, termene, amenzi maxime și plan de conformitate pentru Anexa I.

Ultima revizuire: · CAI Technology · echipa Lexnomia + AEGIS

🎯 Cine intră sub regulă

Furnizorii de servicii cloud computing, furnizorii de servicii data centre si furnizorii de retele de distributie a continutului (CDN) sunt listati in Anexa I la Directiva (UE) 2022/2555 (NIS2), in sectorul de criticitate ridicata "Infrastructura digitala" [C1]. Pragul de marime se aplica per regula generala: entitatile de marime medie sau mare (>= 50 angajati sau >= 10 mil. EUR cifra de afaceri / total bilantier) intra ca entitati esentiale; furnizorii care nu ating pragul dar au importanta nationala sau regionala critica pot fi reclasificati de DNSC [C1][C7]. Reg. de Implementare (UE) 2024/2690 din 17 octombrie 2024 detaliaza cerintele tehnice si metodologice pentru cloud, data centre, CDN, DNS, TLD, MSP, MSSP, trust service providers si platforme online — un act unic care se aplica direct in toate Statele Membre din 7 noiembrie 2024 si care imparte Anexa in 13 sectiuni tematice de control [C8][C10]. In Romania, transpunerea NIS2 s-a facut prin OUG 155/2024 (publicata 30.12.2024) aprobata si modificata prin Legea 124/2025 (10.07.2025); DNSC este autoritatea nationala competenta, iar inregistrarea entitatilor esentiale si importante a inceput dupa intrarea in vigoare a Ordinelor DNSC 1/2025 si 2/2025 la 20.08.2025, cu termen 30 zile pentru notificare [C7][C15]. Pe langa NIS2, sectorul ramane sub Reg. (UE) 2023/2854 (EU Data Act — drepturi de switching cloud, aplicabil din 12 septembrie 2025) [C12], Reg. (UE) 2022/2554 (DORA) cand serveste entitati financiare ca furnizor critic ICT tert (CTPP) [C13] si Reg. (UE) 2024/2847 (CRA) pe produsele cu elemente digitale [C14]. Schema europeana de certificare a securitatii serviciilor cloud (EUCS) este in faza de finalizare la ENISA sub Cybersecurity Act (Reg. (UE) 2019/881) [C11].

Exemple de entități acoperite în România

NXDATA — NXDATA-1 si NXDATA-2 (Pipera, Bucuresti), NXDATA-3 operational 2026 — colocation neutru, hub interconectare regionalTelekom Romania Communications — 8 data centre operate (Bucuresti, Brasov, Cluj-Napoca)GTS Telecom Romania (Deutsche Telekom) — DC2 / DC3 / DC3.2 Bucuresti, capacitate ~2 MW, 240 racksOperatori hyperscaler (AWS Frankfurt, Microsoft Azure West Europe / Netherlands, Google Cloud europe-west) — care servesc trafic catre RO si pot intra in scop NIS2 daca au stabilire sau reprezentant in UEM247, Voxility, Tennet Telecom, Star Storage, Phoenix Telecom & Media Services, Teletrans, NAV Telecom, Prime Telecom — alti operatori colocation / cloud privat in Bucuresti

Praguri de aplicabilitate

Anexa I NIS2 include "Cloud computing service providers", "Data centre service providers" si "Content delivery network providers" in sectorul Infrastructura digitala [C1]. Regula de marime: entitatile cu >= 50 angajati sau >= 10 mil. EUR cifra de afaceri / total bilantier intra direct ca entitati esentiale (servicii cloud, data centre, CDN sunt clasificate in sectorul de criticitate ridicata). Definitia "data centre service" exclude data centrele in-house operate de o entitate pentru scopurile proprii — doar furnizorii de servicii pentru terti sunt in scop [C1]. Pragul concret de reclasificare in entitate esentiala vs. importanta pentru un operator anume se aplica prin Ordinele DNSC 1/2025 si 2/2025 [C15]; practic, hyperscaler-ii si operatorii nationali de data centre intra ca esentiale, iar furnizorii de cloud privat / colocation locali intra de regula ca importante. Pentru raportarea incidentelor semnificative, Reg. 2024/2690 fixeaza praguri specifice per tip de serviciu: cloud — Art. 7; data centre — Art. 8; CDN — Art. 9 [C8][C9].

📅 Timeline regulatoriu

  1. Adoptare Cybersecurity Act (Reg. (UE) 2019/881) — baza legala pentru schemele europene de certificare cibernetica, inclusiv EUCS pentru cloud [C11]

  2. ENISA publica primul draft al schemei EUCS — Cloud Services Cybersecurity Certification Scheme [C11]

  3. Adoptarea Directivei (UE) 2022/2555 (NIS2) — cloud, data centre si CDN intra in scop ca entitati esentiale in Anexa I [C1][C2]

  4. Adoptarea Reg. (UE) 2022/2554 (DORA) — pentru CSP-urile catre entitati financiare introduce regim de oversight ca CTPP [C13]

  5. Adoptarea Reg. (UE) 2023/2854 (EU Data Act) — drepturi de cloud switching si portabilitate date [C12]

  6. EU Data Act intra in vigoare; reguli noi pentru contracte cu CSP-urile [C12]

  7. Termen UE pentru transpunere NIS2 (Art. 41); adoptare Reg. Impl. (UE) 2024/2690 — masuri tehnice + praguri incident pentru cloud, data centre, CDN, DNS, TLD, MSP, MSSP, trust services [C2][C8]

  8. Reg. Impl. (UE) 2024/2690 intra in vigoare — 13 sectiuni tematice direct aplicabile [C8][C10]

  9. Cyber Resilience Act (Reg. (UE) 2024/2847) intra in vigoare; obligatii noi pe SBOM, vulnerability handling, durata de viata sigura pe produsele cu elemente digitale [C14]

  10. Romania publica OUG 155/2024 — transpunere NIS2; DNSC = autoritate competenta nationala [C7]

  11. Legea 124/2025 — aprobarea OUG 155/2024 cu modificari (inclusiv obligatia de instruire periodica a organului de conducere) [C7][C16]

  12. Ordinele DNSC 1/2025 si 2/2025 intra in vigoare — cerinte notificare + metodologie evaluare risc; termen 30 zile pentru inregistrarea entitatilor la evidenta@dnsc.ro [C15]

  13. EU Data Act complet aplicabil — obligatiile de cloud switching incep sa se aplice contractual [C12]

  14. ESAs publica prima lista oficiala de Critical ICT Third-Party Providers (CTPPs) sub DORA Art. 31(9) — AWS, Microsoft Azure, Google Cloud printre primii 19 desemnati [C13]

  15. CRA — obligatiile de raportare a vulnerabilitatilor exploatate si incidente severe (Art. 14) devin aplicabile [C14]

  16. EU Data Act — taxele de switching cloud devin interzise [C12]

  17. Cyber Resilience Act — aplicabil complet; toate produsele cu elemente digitale puse pe piata trebuie sa respecte cerintele esentiale [C14]

📋 Obligații cheie

Cadru de risc-management ICT bazat pe NIS2 Art. 21(2) + Reg. (UE) 2024/2690 — 13 sectiuni tehnice obligatorii

efort: high

Furnizorii cloud, data centre si CDN trebuie sa implementeze cele zece masuri minime din NIS2 Art. 21(2)(a-j): politici de risc si securitate, tratarea incidentelor, continuitate si recuperare, securitatea lantului de aprovizionare, achizitia si dezvoltarea ICT (inclusiv vulnerability handling), evaluarea eficacitatii, igiena cibernetica si training, criptografie, securitate HR si control acces, multi-factor authentication [C3]. Spre deosebire de telecom, pentru cloud / data centre / CDN exista un Regulament de Implementare propriu — Reg. (UE) 2024/2690 — care concretizeaza Art. 21(2) in 13 sectiuni tehnice: politica de securitate a retelelor si sistemelor informatice; risc-management; tratare incidente; BCM si crisis management; securitatea lantului de aprovizionare; achizitia si dezvoltarea sigura a sistemelor ICT; securitatea retelei; protectie anti-malware; igiena cibernetica si training; control acces; securitatea personalului; asset management; securitate fizica si environmental [C10]. Cadru tehnic uzual: ISO/IEC 27001:2022 + ISO/IEC 27017 (cloud security) + ISO/IEC 27018 (PII cloud); pentru data centre — EN 50600 si TIA-942; pentru baseline cloud — CSA STAR si ENISA Cloud Computing Risk Assessment. Organul de conducere aproba si supravegheaza implementarea (NIS2 Art. 20) — completat prin Legea 124/2025 cu obligatia de instruire profesionala periodica in cibersecuritate pentru membrii organului de conducere [C6][C16].

Controale recomandate: NIS2 Art. 21(2)(a-j)Reg. (EU) 2024/2690 Annex Sections 1-13OUG 155/2024 + Law 124/2025ISO/IEC 27001:2022ISO/IEC 27017ISO/IEC 27018EN 50600 (data centre)ENISA NIS2 Implementing Act Technical Guidance v1.0 (2025)

Praguri de incident semnificativ specifice cloud, data centre si CDN — raportare 24h / 72h / 1 luna catre DNSC

efort: high

Reg. (UE) 2024/2690 Art. 7 stabileste, pentru cloud computing service providers, ca un incident e semnificativ daca: (a) serviciul e complet indisponibil > 30 min; (b) disponibilitatea e limitata pentru > 5% din utilizatorii UE ai serviciului sau pentru > 1 milion de utilizatori UE (cel mai mic dintre cele doua), pentru > 1 ora; (c) integritatea / confidentialitatea datelor e compromisa prin actiune malitioasa suspectata; (d) compromiterea afecteaza > 5% sau > 1 mil. utilizatori UE [C9]. Pentru data centre service providers (Art. 8): indisponibilitate completa, sau limitare > 1 ora, sau compromitere fizica a accesului la facilitate [C8]. Pentru CDN (Art. 9): praguri proprii bazate pe trafic si disponibilitate. Procedura de raportare e standard NIS2 Art. 23: early warning catre CSIRT (DNSC) in maxim 24h de la constientizare, notificare detaliata in 72h, raport final in maxim o luna [C4]. In plus, NIS2 Art. 23(2) cere notificarea clientilor / destinatarilor serviciului cand incidentul e probabil sa-i afecteze negativ in furnizarea serviciului contractat — un element-cheie pentru orice operator cloud sau colocation multi-tenant. Lectia din evenimentul Azure West Europe 2025 [I7]: un singur eveniment termic poate scoate offline un cluster regional intreg — monitorizare termica + safety shutdown automat + plan de comunicare cu clientii sunt deja parte din 'masura proportionala'.

Controale recomandate: NIS2 Art. 23(1)-(4)Reg. (EU) 2024/2690 Art. 7, 8, 9OUG 155/2024 (incident reporting chapter)DNSC Order 2/2025 (disruption criteria)ENISA Technical Guidance on Incident Notification

Multi-tenant isolation, criptografie at-rest + in-transit, MFA pe management plane

efort: high

Reg. (UE) 2024/2690 Sectiunea 6 (Achizitie si dezvoltare sigura) + Sectiunea 7 (Securitatea retelei) cere izolare logica intre tenanti, izolare hardware unde e necesar pentru workload-uri critice, segmentare retea si separare a planurilor de management vs. data plane [C10]. NIS2 Art. 21(2)(h) (criptografie) impune criptografie de calitate pentru date at-rest si in-transit; Sectiunea 10 din Anexa Reg. 2024/2690 cere politica de criptare cu rotatie de chei + KMS dedicat [C3][C10]. NIS2 Art. 21(2)(j) (autentificare multi-factor) impune MFA pe orice acces la sisteme critice — pe partea operatorului, asta inseamna MFA obligatoriu pe consolele de administrare cloud, jump-host-uri, SSH la hypervisors si la orchestratorii Kubernetes [C3]. Lectia din breach-ul Snowflake 2024 [I6]: operatorul cloud nu poate transfera complet responsabilitatea MFA catre client — modelul de responsabilitate impartita cere ca CSP-ul sa ofere si sa enforceze MFA by default. ENISA Threat Landscape 2024 confirma ca breach-urile pe cloud vin in mare parte din configuratii laxe si MFA absent [C17]. Pentru data centre colocation, izolarea fizica per client (custom cage, locking cabinets, biometric access logs) e standard minim cerut prin Sectiunea 13 (Securitate fizica).

Controale recomandate: NIS2 Art. 21(2)(h),(j),(i)Reg. 2024/2690 Sections 6, 7, 10, 13ISO/IEC 27017 (cloud security controls)ENISA Cloud Computing Risk AssessmentCSA STAR Cloud Controls Matrix

Securitatea lantului de aprovizionare + clauze contractuale standard NIS2 cu sub-furnizorii

efort: high

NIS2 Art. 21(2)(d) impune evaluarea si gestionarea riscurilor de securitate cibernetica pe lant-ul de aprovizionare, inclusiv aspecte legate de furnizori directi si terti [C3]. Reg. 2024/2690 Sectiunea 5 detaliaza: inventar de furnizori cu evaluare de criticitate, due diligence pre-contractual, clauze contractuale care impun aceleasi obligatii de raportare incidente catre operator, drepturi de audit, SBOM pentru componente software, monitorizare continua a furnizorilor critici [C10]. Lectia din OVH Strasbourg 2021 [I1] — decizia ulterioara care a obligat OVH la peste 400.000 EUR pentru date pierdute fara backup off-site — demonstreaza ca clauzele standard de exonerare a furnizorului cloud sunt strict limitate sub regimul european. Lectia din CrowdStrike 2024 [I4]: o singura actualizare defectuoasa a unui vendor de securitate a oprit 8,5 milioane de sisteme Windows in 24h; din 11.09.2026 vendorii ICT sunt obligati prin CRA (Reg. (UE) 2024/2847) sa raporteze vulnerabilitatile exploatate in 24h, sa publice SBOM si sa furnizeze updates de securitate pe toata durata de viata a produsului [C14]. Pentru CSP-uri care servesc clienti financiari, DORA Reg. 2022/2554 adauga supraveghere directa daca sunt desemnati CTPP — la 18.11.2025 ESAs au desemnat AWS, Microsoft Azure si Google Cloud printre primii 19 CTPPs [C13].

Controale recomandate: NIS2 Art. 21(2)(d)Reg. 2024/2690 Section 5 (Supply chain)Reg. (EU) 2024/2847 (CRA)Reg. (EU) 2022/2554 (DORA) — for CSPs serving financial entitiesISO/IEC 27036 (Supplier relationships)ENISA Good Practices for Supply Chain Security

Securitate fizica si environmental pentru data centre — racire, alimentare redundanta, control acces fizic

efort: medium

Reg. (UE) 2024/2690 Sectiunea 13 (Securitate fizica si environmental) impune protectia perimetrului, controlul accesului fizic biometric, monitorizare video, sisteme de detectie incendiu + agent de stingere fara aer-conditionat (FM-200 / Novec / IG-541), redundanta N+1 sau 2N pe alimentare + racire, monitorizare temperatura / umiditate / presiune in sala [C10]. Lectia din OVH Strasbourg 2021 [I1]: incendiul a pornit intr-o camera UPS, designul Eco-Room a transformat fluxul de aer in cos de chimney; cele doua UPS-uri identificate ca origine fusesera in mentenanta recenta. Lectia din Contabo Nuremberg 2024 [I5]: o fluctuatie de tensiune a pornit comutarea pe UPS, dar sistemul de racire nu a repornit dupa restabilirea grid-ului — toate VPS si dedicated servers au fost oprite preventiv pentru a nu depasi 40°C in sala. Lectia din Microsoft Azure West Europe 2025 [I7]: un eveniment termic a oprit toate unitatile de racire -> safety shutdown automat al cluster-elor. Cadru tehnic uzual: EN 50600 (data centre facilities and infrastructures), TIA-942 (Telecommunications Infrastructure Standard for Data Centers), Uptime Institute Tier I-IV. Testare anuala obligatorie a planurilor de continuitate sub NIS2 Art. 21(2)(c) si Sectiunea 4 din Anexa Reg. 2024/2690 [C3][C10].

Controale recomandate: NIS2 Art. 21(2)(c),(b)Reg. 2024/2690 Sections 4, 13EN 50600TIA-942Uptime Institute Tier CertificationISO/IEC 22301 (BCMS)ISO/IEC 27031 (ICT readiness for business continuity)

📰 Incidente reale, lecții concrete

OVHcloud

2021 · Franta (Strasbourg)

Tip: Incendiu major intr-un data centre — origine in camera de alimentare (UPS), design Eco-Room a alimentat focul

Impact: SBG2 (2 MW, ~30.000 servere) distrus complet; SBG1 grav avariat; 100 pompieri si 44 vehicule au luptat 6 ore cu incendiul. Sute de mii de site-uri si servicii offline simultan. Class action initiat de peste 140 clienti pentru daune peste 10 mil. EUR; in 2023 o decizie franceza a obligat OVH la peste 400.000 EUR pentru date de backup pierdute, demonstrand ca clauzele standard de exonerare a furnizorului cloud sunt strict limitate sub regimul european.

Lecția: Incident-pivot pentru sectorul. NIS2 Art. 21(2)(c) (continuitate / crisis management) + Sectiunea 13 din Anexa Reg. 2024/2690 (securitate fizica si environmental) cer redundanta N+1 sau 2N pe alimentare + racire, sisteme de detectie si stingere fara aer-conditionat, separare a camerelor de UPS de sala IT. Pentru clienti: backup off-site geo-redundant nu mai e optional — e parte din modelul de responsabilitate impartita.

Sursă publică ↗

Amazon Web Services (AWS US-EAST-1)

2021 · SUA (Northern Virginia)

Tip: Activitate automata de scaling a generat denial-of-service intern pe reteaua AWS

Impact: 7 decembrie 2021, ~10:30 EST: dispozitive de retea ce conectau reteaua interna Amazon cu reteaua AWS s-au supraincarcat; servicii foundationale (DNS intern, autorizare, EC2 control plane, monitorizare) au fost afectate; recuperare completa la 14:22 PST. Clienti afectati la nivel global: Amazon Connect, Disney+, Netflix, Robinhood, Tinder, Coinbase, iRobot, McDonalds app etc.

Lecția: Hyperscaler-i nu sunt imuni. NIS2 Art. 21(2)(b) (tratarea incidentelor) + Sectiunea 3 din Anexa Reg. 2024/2690 (incident handling) cer playbook-uri cu trigger automat pentru izolare cascada. Pentru clientii cloud din RO: arhitectura multi-region + multi-cloud nu mai e exotica — e parte din 'masura proportionala' la riscul de furnizor unic, mai ales daca CSP-ul e desemnat CTPP sub DORA.

Sursă publică ↗

Microsoft Azure (Microsoft WAN global)

2023 · global (impact UE inclusiv)

Tip: Schimbare pe router-ul Microsoft WAN a declansat re-anuntarea rapida a BGP prefixes -> churn global de routare

Impact: 25 ianuarie 2023, 07:05-12:43 UTC: pierderi de pachete pana la 100% pe rute Azure pentru multe locatii; servicii afectate Azure, Microsoft 365 (Teams, Outlook, SharePoint), Power Platform. Bulk-ul incidentului ~90 min, efecte reziduale a doua zi. Microsoft a explicat ca o comanda pe router a fost propagata in WAN si toate router-ele si-au recomputat adjacency / forwarding tables aproape simultan.

Lecția: Configuration management si change management pe backbone-ul cloud nu sunt proceduri "back-office" — sunt parte din NIS2 Art. 21(2)(e) si Sectiunea 6 din Anexa Reg. 2024/2690 (achizitie / dezvoltare sigura). Pentru un CSP la scara, orice schimbare pe productie cere staged rollout, automated rollback si simulare prealabila pe environment izolat.

Sursă publică ↗

CrowdStrike — impact pe ecosistemul cloud + on-prem Windows global

2024 · global

Tip: Update defectuos Channel File 291 in Falcon sensor (mismatch 20 vs. 21 input fields, out-of-bounds memory read)

Impact: 19 iulie 2024 — aprox. 8,5 milioane de sisteme Windows blocate (BSOD); cel mai mare outage IT din istorie; sectoare afectate: aviatie (Delta — 7.000 zboruri anulate, ~500 mil. USD pierderi declarate prin 8-K SEC), spitale, banci, retail, guverne. CISA a emis advisory in 19.07.2024; pagube globale estimate la zeci de miliarde USD.

Lecția: Acelasi vendor de securitate prezent pe milioane de sisteme = punct unic de esec. NIS2 Art. 21(2)(d) (lant aprovizionare) + Reg. (UE) 2024/2847 (CRA) cer SBOM, vulnerability disclosure si pre-deployment testing pe orice update kernel-mode. Lectia operationala: kill-switch pentru kernel drivers terti + staged rollout (canary, regional, global) + Microsoft a anuntat ca va muta EDR / antivirus in afara kernel-ului Windows.

Sursă publică ↗

Snowflake (campanie UNC5537 pe conturi clienti)

2024 · global (clienti UE inclusi)

Tip: Conturi clienti Snowflake compromise via credentiale furate (infostealer malware) + lipsa MFA pe partea clientului

Impact: Mai-iunie 2024 — sute de instante Snowflake compromise; clienti afectati includ Live Nation / Ticketmaster (declarata in 8-K SEC ~560 mil. inregistrari clienti), Santander, Advance Auto Parts, AT&T (date de apel), Pure Storage, Neiman Marcus, LendingTree. Atacatorul UNC5537 (tracked de Mandiant) a folosit credentiale Snowflake fara MFA.

Lecția: Modelul de responsabilitate impartita are limite reale. NIS2 Art. 21(2)(j) + Sectiunea 10 din Anexa Reg. 2024/2690 cer MFA obligatoriu pe orice acces la sisteme critice — operatorul cloud nu poate transfera complet aceasta responsabilitate clientului. Snowflake a anuntat ulterior ca va enforces MFA by default pe conturi noi. Lectia pentru operatorii cloud din RO: MFA on-by- default este standard minim, nu un feature optional.

Sursă publică ↗

⚠️ Amenințări tipice

  • • Supply chain attack pe vendori cloud
  • • Insider threat la operatori DC
  • • Disruption fizică (incendii, atacuri)

💰 Amenzi maxime

Max 10 mil. EUR sau 2% cifra afaceri

📊 Status conformitate România

Operatori RO (NXDATA, Telekom RO Cloud) în pregătire DORA + NIS2.

🛡️ Cum ajută CAI Technology

AEGIS — Observability + SecOps cu AI

SIEM unified pentru DC on-premise: logs + metrics + threat detection + AI incident analysis.

ARTEMIS — Pentest cu AI · Hunt · Reveal · Strike

Platformă autonomă de pentesting cu 5 agenți AI și 6 tipuri de audit. De la 2€ per scan, fără abonament.

CAI-AUTH — Identity Provider post-quantum

OIDC IdP construit în România cu criptografie post-quantum (hybrid post-quantum signatures). Patent Pending.

Lexnomia — Audit conformitate UE

Self-serve audit conformitate pe 7+ regulamente UE: GDPR, NIS2, DORA, EU AI Act, ISO 27001, CRA, DSA.

📚 Reglementări adiacente care se suprapun

Reg. de Implementare (UE) 2024/2690 — masuri tehnice si praguri incident NIS2 pentru cloud, data centre, CDN, DNS, TLD, MSP, MSSP, trust services · Direct aplicabil din 7 noiembrie 2024 (twentieth day after publication in OJ on 18.10.2024) [C8]

Documentul tehnic-juridic central pentru sectorul cloud / data centre / CDN. Anexa contine 13 sectiuni tematice: politica de securitate retele si sisteme; risc-management; incident handling; BCM si crisis management; supply chain; achizitie / dezvoltare sigura ICT; securitate retea; anti-malware; igiena cibernetica + training; control acces; securitate personal; asset management; securitate fizica si environmental [C10]. Pentru raportarea incidentelor, Art. 7 fixeaza pragurile pentru cloud, Art. 8 pentru data centre, Art. 9 pentru CDN [C9]. Aplicare proportionala — "where appropriate, where applicable, or to the extent feasible" — lasa spatiu pentru contextul fiecarui furnizor, dar inseamna si ca DNSC va cere justificare formala pentru orice masura neimplementata.

EU Data Act — Reg. (UE) 2023/2854 · Intra in vigoare 11 ianuarie 2024; complet aplicabil din 12 septembrie 2025; taxele de switching cloud devin interzise din 12 ianuarie 2027 [C12]

Chapter VI introduce obligatii broad de facilitare a switching-ului intre furnizori de servicii data processing (IaaS, PaaS, SaaS) [C12]. Furnizorii trebuie sa elimine bariere tehnice si contractuale, sa asigure portabilitate + interoperabilitate, sa ofere migration / exit processes contractuale si tehnice. Daca standardele lipsesc, e obligatorie exportul fallback intr-un format structurat, machine-readable. Pentru orice CSP roman, asta inseamna revizuirea tuturor contractelor de servicii cloud pana la 12.09.2025 — termen aplicabilitate generala.

DORA — Reg. (UE) 2022/2554 (pentru CSP-urile catre entitati financiare) · Aplicabil din 17 ianuarie 2025; prima lista CTPP publicata 18 noiembrie 2025 (AWS, Azure, Google Cloud, IBM Cloud si alti 15) [C13]

Daca un CSP / data centre din RO serveste banci, asiguratori, IFN-uri sau institutii financiare in UE, intra simultan sub NIS2 (catre DNSC) si DORA (regim de oversight). Furnizorii desemnati Critical ICT Third-Party Providers (CTPPs) sub DORA Art. 31 sunt supravegheati direct de un Lead Overseer (EBA, ESMA sau EIOPA). Clauzele contractuale obligatorii (Art. 30 DORA) sunt mai stricte decat NIS2 — incluzand drepturi de audit fizic la data centre, sub- contracting cu pre-aprobare, exit strategy testabila [C13].

Cyber Resilience Act — Reg. (UE) 2024/2847 · Intra in vigoare 10 decembrie 2024; obligatii de raportare incidente / vulnerabilitati din 11 septembrie 2026; complet aplicabil 11 decembrie 2027 [C14]

CRA acopera produsele cu elemente digitale (PDE) — hardware si software pus pe piata UE. Pentru un operator cloud / data centre, relevanta vine din lant- ul de aprovizionare: orice hypervisor, router, firewall, EDR, agent de monitorizare e PDE si trebuie sa aiba SBOM publicat, vulnerability disclosure, durata de viata clarificata si security updates pe toata durata [C14]. SaaS pur e in mare parte exclus, dar componenta software a unui produs hibrid (ex: aplicatie + cloud back-end) e in scop. Pentru CSP-urile care servesc managed services, CRA e suprapus peste NIS2 Art. 21(2)(d).

EUCS — schema europeana de certificare cibernetica pentru cloud (Cybersecurity Act, Reg. (UE) 2019/881) · Schema in faza de finalizare la ENISA; participare formal voluntara, dar NIS2 + EU Data Act permit Statelor Membre sa impuna utilizarea CSP-urilor EUCS-certificate pentru entitati publice si esentiale [C11]

EUCS introduce patru niveluri de asigurare (Basic, Substantial, High, High+), acopera 121+ controale tehnice si organizationale. Controversa principala — cerinta de imunitate la legi extra-UE (CLOUD Act US, lege similara CN) la nivelul High+ — a intarziat publicarea finala. Pentru operatorii din RO care servesc autoritati publice, parteneri financiari sau date sensibile, EUCS la nivel Substantial sau High va fi un instrument-cheie de competitivitate in 2026-2027 [C11].

Întrebări frecvente

Operam un cloud / data centre / CDN in Romania — suntem sub NIS2?

Foarte probabil da. Anexa I NIS2 listeaza explicit cloud computing service providers, data centre service providers si content delivery network providers in sectorul "Infrastructura digitala" [C1]. Daca esti medie sau mare intreprindere (>= 50 angajati sau >= 10 mil. EUR cifra de afaceri / total bilantier), intri direct ca entitate esentiala. Definitia "data centre service" exclude centrele in-house operate pentru scopurile proprii — doar furnizorii catre terti sunt in scop [C1]. In Romania, regimul e operat de DNSC via OUG 155/2024 si Legea 124/2025; inregistrarea s-a deschis pe 20.08.2025 prin Ordinele DNSC 1/2025 si 2/2025, cu termen 30 zile pentru notificare la evidenta@dnsc.ro [C7][C15].

Care e pragul de incident semnificativ pe care trebuie sa il raportam?

Pentru cloud (Reg. 2024/2690 Art. 7): serviciu complet indisponibil > 30 min, sau disponibilitate limitata pentru > 5% din utilizatorii UE sau > 1 milion utilizatori UE (cel mai mic dintre cele doua) pentru > 1 ora; sau compromitere a integritatii / confidentialitatii datelor prin actiune malitioasa [C9]. Pentru data centre (Art. 8): indisponibilitate completa, sau limitare > 1 ora, sau compromitere fizica a accesului la facilitate [C8]. Pentru CDN (Art. 9): praguri proprii pe trafic si disponibilitate. Termenele de raportare sunt standard NIS2 Art. 23: early warning 24h, notificare detaliata 72h, raport final 1 luna; in plus, obligatia de a notifica clientii / destinatarii serviciului cand pot fi afectati negativ [C4].

Suntem entitate esentiala sau importanta?

Depinde de criteriile DNSC din Ordinul 2/2025 (metodologie evaluare risc + criterii de perturbare) [C15]. Pentru cloud / data centre / CDN, indicatorii uzuali sunt: numarul de clienti, volumul de date procesat, rolul critic in lant-ul de aprovizionare al altor entitati esentiale, importanta nationala / regionala. Practic: hyperscaler-ii cu stabilire / reprezentant in RO si operatorii nationali de data centre intra ca esentiale; operatorii cloud privat / colocation locali pot intra ca importante, dar pot fi reclasificati individual de DNSC daca evaluarea de risc indica impact sistemic.

Cum integram Reg. 2024/2690 cu certificarile existente (ISO 27001, SOC 2, C5, EUCS)?

Reg. 2024/2690 nu inlocuieste certificarile internationale — le complementeaza [C10]. Maparile uzuale: ISO/IEC 27001:2022 acopera ~70% din cele 13 sectiuni ale Anexei (politici, risc-management, control acces, asset management); ISO/IEC 27017 adauga controalele cloud-specific; ISO/IEC 27018 — PII in cloud; SOC 2 Type 2 (Trust Services Criteria) — partial pe securitate / disponibilitate / confidentialitate; BSI C5:2020 (sau viitoarea C5:2025) — referinta germana acceptata pentru achizitii publice; EUCS la nivel Substantial / High — va deveni instrumentul European preferential cand schema e finalizata [C11]. Ghidul tehnic ENISA NIS2 Implementing Act v1.0 (2025) ofera maparile detaliate [C3].

Care e plafonul maxim de amenda pentru un operator cloud / data centre esential?

Sub NIS2 Art. 34: pentru entitati esentiale, maxim cel putin 10.000.000 EUR sau 2% din cifra de afaceri mondiala anuala, oricare e mai mare [C5]. Pentru entitati importante: 7.000.000 EUR sau 1,4% [C5]. Sumele exacte transpuse in lei sunt stabilite de OUG 155/2024 si Legea 124/2025. Daca incidentul afecteaza si date personale, sanctiunile NIS2 pot fi cumulate cu cele GDPR Art. 83 (pana la 20 mil. EUR sau 4% cifra de afaceri). Daca operatorul e CTPP sub DORA, adauga si penalitatile DORA pana la 1% din cifra de afaceri zilnica medie a furnizorului, aplicabile zilnic pentru maxim 6 luni.

Sub EU Data Act, ce trebuie sa schimbam pana la 12 septembrie 2025?

Trei lucruri principale [C12]: (1) Revizuirea contractelor existente cu clientii cloud pentru a elimina clauzele care obstructioneaza switching-ul (clauze lock-in, taxe ascunse, restrictii de export date); (2) Implementarea unui proces tehnic de export portabil al datelor clientilor intr-un format structurat, machine-readable (preferabil un standard de industrie); (3) Plan de eliminare a switching fees pana la 12 ianuarie 2027 — reducere graduala acceptata, dar zero din 2027. Pentru un CSP din RO care serveste clienti UE, asta inseamna refactor de procese de offboarding + investment in tooling de export.

Pe ce prioritati ar trebui sa ne concentram operational anul acesta — top 3?

Pe baza incidentelor 2021-2025 [I1-I8] si a Reg. 2024/2690 [C8]: (1) MFA enforcement on-by-default si modelul de responsabilitate impartita clar documentat — Snowflake 2024 [I6] arata ca lipsa MFA enforcement pe partea operatorului inseamna sute de breach-uri la clienti; (2) Securitate fizica si environmental cu redundanta N+1 sau 2N pe alimentare + racire, plus testare anuala obligatorie a planurilor de criza pe scenarii multiple — OVH 2021 [I1], Contabo 2024 [I5] si Azure West Europe 2025 [I7] arata ca un singur incident termic / electric poate scoate offline o regiune intreaga; (3) Supply chain hardening cu SBOM obligatoriu de la furnizori, staged rollout pe orice update kernel-mode si kill-switch pentru drivers terti — CrowdStrike 2024 [I4] e lectia cea mai relevanta pentru ce inseamna NIS2 Art. 21(2)(d) in practica.

🔗 Surse oficiale

Ești în sectorul cloud computing și data centers?

Audit gratuit NIS2 pentru companii peste 50 angajați. Răspundem în 24 ore lucrătoare.

Solicită audit →