CAI Technology
Programează demo
Menu ☰
Anexa I — Entități esențiale · Servicii ICT

🛠️NIS2 pentru ICT Service Management (MSP / MSSP) — termene, obligații, amenzi

ICT Service Management (MSP / MSSP) cad sub NIS2 (Directiva UE 2022/2555 + OUG 155/2024). Vezi obligații Art.21, termene, amenzi maxime și plan de conformitate pentru Anexa I.

Ultima revizuire: · CAI Technology · echipa Lexnomia + AEGIS

🎯 Cine intră sub regulă

Furnizorii de servicii gestionate (MSP) si furnizorii de servicii gestionate de securitate (MSSP) sunt listati in Anexa I la Directiva (UE) 2022/2555 (NIS2) in sectorul "Gestionarea serviciilor TIC (business-to-business)", ca sector de criticitate ridicata [C1]. Articolul 6 NIS2 defineste MSP-ul ca entitate care instaleaza, gestioneaza, opereaza sau intretine produse TIC, retele, infrastructuri sau aplicatii; MSSP = un MSP care desfasoara sau ofera asistenta pentru activitati legate de gestionarea riscurilor cibernetice [C14]. In Romania, OUG 155/2024 transpune NIS2 si include explicit MSP si MSSP ca entitati ce intra in scop, sub supravegherea DNSC [C7]. Specificul sectorului: orice incident la un MSP/MSSP nu afecteaza doar firma in sine, ci se propaga in baza de clienti — recitalul 86 NIS2 subliniaza ca MSSP-urile "pun un risc particular din cauza integrarii lor stranse in operatiunile clientilor" [C6].

Exemple de entități acoperite în România

Bittnet Group (BNET) — divizia cybersecurity (Fort SA, GRX-Advisory, ISEC Associates)Eviden Romania (parte din Atos Group) — CloudSecOps Center Timisoara, SOC managed servicesS&T Romania — servicii IT managed si consultingFurnizori MSSP pure-play, hibrid IT+securitate, sau Telco/Enterprise (categorii clasificate de DNSC 2025) [C13]

Praguri de aplicabilitate

Anexa I NIS2 include sectorul "Gestionarea serviciilor TIC (B2B)" cu cele doua sub-categorii: furnizori de servicii gestionate si furnizori de servicii gestionate de securitate [C1]. Pragul implicit pentru regimul de entitate esentiala: medii si mari intreprinderi (>= 50 angajati sau cifra de afaceri / total bilantier >= 10 mil. EUR). MSP-urile mici si micro sub prag pot fi totusi identificate individual de DNSC daca au rol critic, ca furnizori catre alte entitati esentiale [C7]. In practica, odata ce un MSP semneaza contracte cu o banca, un spital sau un operator de infrastructura critica, deserveste cumulativ scope-ul mai multor sectoare reglementate.

📅 Timeline regulatoriu

  1. Adoptarea Directivei (UE) 2022/2555 (NIS2) [C1]

  2. Publicarea NIS2 in Jurnalul Oficial UE [C1]

  3. Adoptare Reg. (UE) 2024/2690 — cerinte tehnice si metodologice specifice pentru MSP, MSSP si furnizori de infrastructura digitala [C3]

  4. Termen UE pentru transpunere NIS2 in legislatiile nationale (Art. 41) [C1]

  5. NIS1 (Dir. 2016/1148) abrogata; NIS2 produce efecte [C1]

  6. Intrare in vigoare Reg. (UE) 2024/2847 (Cyber Resilience Act) [C11]

  7. Romania publica OUG 155/2024 — transpunere NIS2; DNSC = autoritate competenta nationala [C7]

  8. DORA aplicabil integral; MSP/MSSP care deservesc entitati financiare intra automat in scopul Art. 28-30 DORA, cu posibilitate de desemnare CTPP [C12]

  9. DNSC: termen pentru inregistrarea entitatilor esentiale si importante sub OUG 155/2024 prin NIS Tool / evidenta@dnsc.ro [C7]

  10. CRA Art. 14 (obligatii de raportare a vulnerabilitatilor active) intra in aplicare [C11]

  11. CRA aplicabil integral [C11]

📋 Obligații cheie

Cadru de risc-management ICT (NIS2 Art. 21(2) + Reg. (UE) 2024/2690 Anexa cu 13 titluri)

efort: high

MSP/MSSP trebuie sa implementeze cele zece masuri minime prevazute de NIS2 Art. 21(2)(a-j): politici de risc si securitate, tratarea incidentelor, continuitate si recuperare, securitatea lantului de aprovizionare, achizitie si dezvoltare ICT, evaluarea eficacitatii, igiena si training, criptografie, securitate HR si control acces, MFA [C2]. Pentru MSP si MSSP specifically, Regulamentul (UE) 2024/2690 din 17 octombrie 2024 detaliaza cerintele tehnice si metodologice: anexa la regulament contine 13 titluri tematice (politica de securitate, risc, tratarea incidentelor, continuitate, lant de aprovizionare, achizitie ICT, detectie / monitorizare / logging, vulnerabilitati, igiena si training, control acces, resurse umane, gestiunea activelor, securitate fizica) [C3][C8]. Cadrul se bazeaza pe ISO/IEC 27001, ISO/IEC 27002 si ETSI EN 319401 [C2]. Organul de conducere aproba si supravegheaza implementarea (NIS2 Art. 20) [C15].

Controale recomandate: NIS2 Art. 21(2)(a-j)Reg. (UE) 2024/2690 Anexa Titlurile 1-13ISO/IEC 27001:2022ISO/IEC 27002:2022ETSI EN 319401

Securitatea lantului de aprovizionare ICT, in doua directii (NIS2 Art. 21(2)(d) + Reg. (UE) 2024/2690 Titlul 5)

efort: high

MSP/MSSP au o pozitie particulara in lantul de aprovizionare: sunt furnizori ICT pentru toti clientii lor si, in acelasi timp, depind de propriii lor furnizori (RMM, EDR, file transfer, identity provider, hyperscaleri). NIS2 Art. 21(2)(d) cere managementul securitatii lantului inclusiv pentru relatiile cu furnizorii directi [C9]. Anexa Titlul 5 al Reg. (UE) 2024/2690 detaliaza: politica scrisa de securitate a lantului, evaluare a furnizorilor inainte de contractare, clauze contractuale privind securitatea, monitorizare continua [C3][C9]. In practica MSP-ul trebuie sa cascade aceste cerinte: orice sub-furnizor critic (ex. RMM-ul folosit pentru clienti, identity provider, vault de credentiale) trebuie sa fie el insusi sub un regim contractual aliniat cu NIS2.

Controale recomandate: NIS2 Art. 21(2)(d)Reg. (UE) 2024/2690 Anexa Titlul 5Reg. (UE) 2024/2690 Anexa Titlul 6 (achizitie ICT)ISO/IEC 27036

Notificare incidente in 24h/72h/1 luna catre DNSC + notificare imediata a clientilor (NIS2 Art. 23)

efort: high

Articolul 23 NIS2 stabileste etapele: early warning catre CSIRT-ul national (echipa DNSC) in maxim 24h de la constientizarea incidentului semnificativ, notificare detaliata in 72h, raport final in maxim o luna [C4]. Pentru MSP/MSSP exista o a doua dimensiune: clientii afectati de incident trebuie informati "fara intarziere nejustificata" pentru a permite raspunsul lor propriu (recitalul 86 + obligatii de notificare client-side derivate din contracte si Art. 21(2)(d)) [C6]. CISA si NCSC-UK au cerut printr-un advisory comun ca MSP-urile sa aiba clauze contractuale care identifica transparent responsabilitatile ICT intre MSP si client [C10]. Practic, un MSP trebuie sa aiba doua canale: unul catre DNSC, unul de notificare in cascada catre clienti.

Controale recomandate: NIS2 Art. 23(4)Reg. (UE) 2024/2690 Anexa Titlul 3CISA/NCSC AA22-131A

Segregare multi-tenant si controale operationale specifice MSP (Reg. (UE) 2024/2690)

efort: medium

Un MSP/MSSP care deserveste mai multi clienti dintr-un singur tenant gestionat central trebuie sa demonstreze izolarea operationala: separare a accesului privilegiat per client, logging segmentat per tenant, identitati distincte pentru operatorii MSP cand actioneaza pe sistemele clientilor, MFA obligatoriu pe orice acces inter-tenant [C10]. Reg. (UE) 2024/2690 Titlul 10 (control acces) si Titlul 7 (detectie / monitorizare / logging) cer politici de control acces si logging adecvate; in cazul unui MSP, aceasta inseamna jurnalizare per-client cu retentie suficienta pentru investigatii de tip "blast radius" [C3][C8]. Advisory-ul AA22-131A recomanda dezactivarea conturilor inactive si MFA obligatoriu pe conturile MSP cu acces la mediul clientilor, plus monitorizare a tentativelor de autentificare esuate [C10].

Controale recomandate: Reg. (UE) 2024/2690 Anexa Titlul 10Reg. (UE) 2024/2690 Anexa Titlul 7NIS2 Art. 21(2)(g),(i),(j)CISA/NCSC AA22-131A

Continuitate, criza si raspuns la incidente in cascada (Reg. (UE) 2024/2690 Titlurile 3-4)

efort: high

Cand un incident la MSP afecteaza simultan zeci sau sute de clienti (cazul tipic Kaseya, MOVEit, 3CX), planul de continuitate nu mai este o problema interna — devine raspuns coordonat pe N organizatii. Reg. (UE) 2024/2690 Titlurile 3 si 4 cer politica scrisa de tratarea incidentelor (Title 3) si politica de continuitate si gestiune a crizei (Title 4), cu testare periodica [C3][C8]. Pentru un MSP/MSSP asta inseamna: scenarii de tabletop care testeaza explicit cazul "build-ul nostru / RMM-ul nostru / portalul nostru a fost trojanizat", procedura de kill-switch pentru oprirea propagarii automate, plan de comunicare paralel catre toti clientii simultan. Lectiile din incidentele I1-I4 (SolarWinds, Kaseya, MOVEit, 3CX) arata ca firmele care nu au testat real scenariul "cascade" au reactionat cu zile sau saptamani de intarziere.

Controale recomandate: Reg. (UE) 2024/2690 Anexa Titlurile 3-4NIS2 Art. 21(2)(b),(c)ISO/IEC 27031ISO 22301

📰 Incidente reale, lecții concrete

SolarWinds (produsul Orion)

2020 · SUA / impact global

Tip: Atac pe lantul de aprovizionare software (Sunburst); atribuit APT29 / SVR (Rusia)

Impact: ~33.000 clienti Orion au primit comunicarea SolarWinds; ~18.000 au avut o instalare cu vulnerabilitate; un subset mult mai mic a fost compromis activ ulterior (agentii guvernamentale SUA, FireEye, Microsoft etc.). CISA a emis Emergency Directive 21-01 pe 13 dec 2020 obligand decuplarea sistemelor afectate.

Lecția: Build-ul software al furnizorului IT a fost vehicul pentru ~18.000 de instalari trojanizate distribuite ca update legitim. NIS2 Art. 21(2)(d) si (e), plus Reg. (UE) 2024/2690 Titlurile 5-6, cer politici de securitate a achizitiilor TIC si controale pentru integritatea ciclului de dezvoltare si livrare.

Sursă publică ↗

Kaseya VSA (furnizor RMM utilizat de MSP-uri)

2021 · Global (~22 tari, focus SUA si UE)

Tip: Ransomware REvil exploatand zero-day CVE-2021-30116

Impact: Aprox. 60 de MSP-uri compromise direct prin VSA on-premises; ~1.500 organizatii downstream criptate (clientii MSP); cerere de rascumparare initial 70 mil. USD, redusa apoi la 50 mil. USD. Atacul a coincis cu weekend-ul de 4 iulie.

Lecția: RMM-ul folosit zilnic de MSP-uri (Kaseya VSA) a devenit vector simultan pentru criptarea clientilor lor. Concluzie operationala: orice tool privilegiat utilizat transversal pe clienti are nevoie de pipeline de patching agresiv, izolare per-tenant si capacitate operationala de oprire instant a propagarii.

Sursă publică ↗

MOVEit Transfer (Progress Software) — exploatat de Clop

2023 · Global (UE+UK+SUA)

Tip: Exploit zero-day SQL injection CVE-2023-34362; web shell LEMURLOOT pentru exfiltrare

Impact: Pana la 19 iulie 2023: 383 organizatii si peste 20 milioane persoane afectate (Emsisoft). Cascade prin furnizori downstream: Zellis (payroll) -> British Airways, BBC, Boots. CISA si FBI au emis joint advisory AA23-158A.

Lecția: Un produs (MOVEit Transfer) folosit de un singur furnizor downstream (Zellis) a expus zeci de organizatii mari. NIS2 Art. 21(2)(d) si Reg. (UE) 2024/2690 Titlul 5 cer monitorizarea continua a furnizorilor critici si testarea scenariului in care furnizorul tau de tier-2 este vectorul atacului.

Sursă publică ↗

3CX (furnizor software de comunicatii enterprise)

2023 · Global

Tip: Atac dublu pe lant de aprovizionare; atribuit Lazarus (Coreea de Nord, UNC4736)

Impact: 3CX raporteaza ~600.000 clienti corporativi si ~12 milioane utilizatori in aerospatial, sanatate, ospitalitate, finante. Aplicatiile desktop (Win + macOS) au fost livrate cu cod malitios; backdoor secundar Gopuram livrat la tinte selectate (cripto). Compromiterea initiala a venit prin software-ul tert Trading Technologies — un atac "double-hop" pe lantul de aprovizionare.

Lecția: Furnizorul tau este compromis prin furnizorul lui. NIS2 Art. 21(2)(e) cere securitatea ciclului de achizitie + dezvoltare + intretinere, inclusiv pentru dependentele indirecte; CRA Reg. (UE) 2024/2847 introduce SBOM si raportarea vulnerabilitatilor active la produsele cu elemente digitale [C11].

Sursă publică ↗

⚠️ Amenințări tipice

  • • Supply chain attacks (vezi Kaseya 2021, SolarWinds)
  • • Insider threat
  • • Credential compromise multi-tenant

💰 Amenzi maxime

Max 10 mil. EUR sau 2% cifra afaceri

📊 Status conformitate România

MSP-urile mari (Bittnet, S&T) la 75%+ NIS2. Mid-tier 30-50%.

🛡️ Cum ajută CAI Technology

AEGIS — Observability + SecOps cu AI

SIEM unified pentru DC on-premise: logs + metrics + threat detection + AI incident analysis.

ARTEMIS — Pentest cu AI · Hunt · Reveal · Strike

Platformă autonomă de pentesting cu 5 agenți AI și 6 tipuri de audit. De la 2€ per scan, fără abonament.

CAI-AUTH — Identity Provider post-quantum

OIDC IdP construit în România cu criptografie post-quantum (hybrid post-quantum signatures). Patent Pending.

Lexnomia — Audit conformitate UE

Self-serve audit conformitate pe 7+ regulamente UE: GDPR, NIS2, DORA, EU AI Act, ISO 27001, CRA, DSA.

📚 Reglementări adiacente care se suprapun

Reg. (UE) 2024/2690 — cerinte tehnice si metodologice NIS2 pentru MSP, MSSP si infrastructura digitala · Direct aplicabil din 17 oct 2024; nu necesita transpunere nationala [C3]

Pentru MSP/MSSP, este textul de referinta pentru operationalizarea Art. 21(2) NIS2. Anexa cu 13 titluri (politica, risc, incidente, continuitate, lant de aprovizionare, achizitie ICT, detectie/monitorizare/logging, vulnerabilitati, igiena, control acces, HR, active, securitate fizica) este lista de control pe care DNSC o va folosi la verificari [C3][C8]. ENISA a publicat in 2025 un ghid tehnic de implementare cu exemple de evidenta si mapping pe ISO/IEC 27001 si ETSI EN 319401 [C2].

DORA — Reg. (UE) 2022/2554 · Direct aplicabil din 17 ian 2025 [C12]

Cand un MSP/MSSP semneaza contract cu o entitate financiara (banca, asigurator, casa de pensii, fintech), intra automat sub regimul Art. 28-30 DORA: clauze contractuale standardizate, registru ICT third-party la nivel de client (template Reg. (UE) 2024/2956), evaluare a concentrarii. Daca furnizorul este desemnat "critical ICT third-party provider" (CTPP) de ESAs (EBA + ESMA + EIOPA), intra sub oversight european direct [C12]. Lista CTPP-urilor desemnate este publicata anual de ESAs.

CRA — Reg. (UE) 2024/2847 (Cyber Resilience Act) · Intrare in vigoare 10 dec 2024; aplicabil integral 11 dec 2027; Art. 14 (raportare vulnerabilitati) din 11 sep 2026 [C11]

MSP/MSSP care dezvolta sau redistribuie produse cu elemente digitale (agenti EDR proprii, instrumente RMM customizate, integrari) intra sub CRA ca producator sau importator. Cerinta cheie: SBOM obligatoriu, raportarea vulnerabilitatilor active catre ENISA si CSIRT-ul national in 24h, gestiune a vulnerabilitatilor pe toata durata de viata a produsului [C11]. CRA se cumuleaza cu NIS2 — nu se substituie.

ISO/IEC 27001:2022 si ISO/IEC 27036 · Standarde voluntare; folosite drept baseline pentru demonstrarea conformitatii cu Reg. (UE) 2024/2690 [C2]

Reg. (UE) 2024/2690 cere ca masurile sa fie aliniate cu ISO/IEC 27001 si ISO/IEC 27002 [C2]. Pentru lantul de aprovizionare, ISO/IEC 27036 (Information security for supplier relationships) este standardul de referinta operationala. In practica DNSC, certificarea ISO/IEC 27001 reduce semnificativ efortul demonstrarii conformitatii, dar nu este per se suficienta — auditul DNSC se face pe textul Reg. (UE) 2024/2690.

CISA / NCSC-UK Joint Advisory AA22-131A — protejarea MSP · Document non-legal, dar referinta internationala (Five Eyes) [C10]

Advisory din 11 mai 2022 emis impreuna de CISA, FBI, NSA, NCSC-UK, ACSC (Australia), CCCS (Canada), NCSC-NZ. Recomandari concrete pentru MSP-uri si clientii lor: MFA obligatoriu pe orice cont MSP cu acces la mediul clientilor, dezactivarea conturilor neutilizate, clauze contractuale care identifica explicit responsabilitatile ICT [C10]. Este referinta operationala uzuala in audituri si contracte UE.

Întrebări frecvente

Suntem un MSP / MSSP din Romania — suntem in scopul NIS2 ca entitate esentiala?

Cel mai probabil da. Anexa I NIS2 listeaza explicit furnizorii de servicii gestionate si furnizorii de servicii gestionate de securitate in sectorul "Gestionarea serviciilor TIC (B2B)", sector de criticitate ridicata [C1]. Daca esti medie sau mare intreprindere (>= 50 angajati sau >= 10 mil. EUR cifra de afaceri / total bilantier), esti entitate esentiala. Sub prag poti fi totusi identificat de DNSC ca avand rol critic prin natura clientilor [C7]. Inregistrarea se face prin NIS Tool pe www.dnsc.ro si notificare la evidenta@dnsc.ro din 20 aug 2025 [C7].

Ce inseamna diferenta intre MSP si MSSP in textul NIS2?

Articolul 6 NIS2 defineste MSP-ul ca entitate care furnizeaza servicii de instalare, gestionare, operare sau intretinere a produselor TIC, retelelor, infrastructurilor sau aplicatiilor — fie pe sediul clientului, fie remote (punctul 39). MSSP-ul (punctul 40) este un MSP care desfasoara sau ofera asistenta pentru activitati legate de gestionarea riscurilor cibernetice — incident response, penetration testing, audit, SOC managed [C14]. Recitalul 86 detaliaza rolul MSSP-urilor si riscul lor specific din cauza integrarii stranse in operatiunile clientilor [C6].

Care e plafonul maxim de amenda pentru un MSP/MSSP esential?

Sub NIS2 Art. 34: pentru entitati esentiale, maxim cel putin 10.000.000 EUR sau 2% din cifra de afaceri mondiala anuala, oricare e mai mare [C5]. Pentru entitati importante: 7.000.000 EUR sau 1,4% [C5]. Sumele exacte stabilite de OUG 155/2024 includ si amenzi specifice pentru neinregistrare. Sanctiunile NIS2 pot fi cumulate cu GDPR Art. 83 (cand incidentul afecteaza date personale) si, cand MSP-ul deserveste o entitate financiara, cu sanctiunile DORA aplicate prin lant.

Cat de des trebuie sa raportam un incident la DNSC si ce inseamna sa notificam clientii?

NIS2 Art. 23: early warning catre CSIRT (DNSC) in 24h de la constientizare, notificare incident in 72h, raport final in 1 luna [C4]. Pentru un MSP/MSSP exista o a doua dimensiune: clientii afectati trebuie informati "fara intarziere nejustificata" — derivat din recitalul 86 NIS2, obligatiile contractuale si Art. 21(2)(d) [C6][C9]. Practic, un MSP trebuie sa aiba doua canale paralele: unul catre DNSC, unul de notificare in cascada catre toti clientii afectati.

Trebuie sa cerem si furnizorilor nostri ICT (RMM, EDR, cloud) sa fie aliniati NIS2?

Da, prin clauze contractuale. NIS2 Art. 21(2)(d) impune securitatea relatiilor cu furnizorii directi [C9]; Reg. (UE) 2024/2690 Titlul 5 detaliaza ca politica scrisa trebuie sa includa evaluare a furnizorilor inainte de contractare, clauze de securitate, monitorizare continua [C3]. Pentru MSP-uri care folosesc transversal un singur RMM sau EDR pe toti clientii, acel furnizor devine punct unic de esec — lectia Kaseya 2021 [I2]. Recomandare: identifica furnizorii critici, evalueaza concentrarea, cere SBOM (anticipand CRA Art. 14 din 11 sep 2026) [C11].

Cand deservim banci sau asiguratori, NIS2 ne acopera sau intram si sub DORA?

Ambele. NIS2 te acopera ca MSP/MSSP esential prin Anexa I [C1]. In plus, cand contractul este cu o entitate financiara, intri automat sub regimul DORA Cap. V (Art. 28-30): clauze contractuale standardizate, registru ICT third-party la client, evaluare a concentrarii [C12]. Daca esti desemnat "critical ICT third-party provider" (CTPP) de ESAs, intri sub oversight european direct (EBA + ESMA + EIOPA ca Lead Overseers) [C12]. In practica: un singur framework intern care satisface ambele seturi de cerinte.

Care e diferenta intre NIS2 + Reg. 2024/2690 si Cyber Resilience Act pentru MSP-urile care dezvolta tool-uri proprii?

NIS2 + Reg. (UE) 2024/2690 te trateaza ca operator de servicii — accent pe procese, lant de aprovizionare, raportare incidente. CRA — Reg. (UE) 2024/2847 — te trateaza ca producator sau importator daca distribui un produs cu elemente digitale (agent EDR propriu, RMM customizat, integrare comercializata) [C11]. Cerinta esentiala CRA: SBOM obligatoriu si raportarea vulnerabilitatilor active in 24h catre CSIRT si ENISA din 11 sep 2026; conformitate integrala din 11 dec 2027 [C11]. Se cumuleaza cu NIS2 — nu se substituie.

🔗 Surse oficiale

Ești în sectorul ict service management (msp / mssp)?

Audit gratuit NIS2 pentru companii peste 50 angajați. Răspundem în 24 ore lucrătoare.

Solicită audit →