CAI Technology
Programează demo
Menu ☰
Anexa I — Entități esențiale · Sănătate

🏥NIS2 pentru Sănătate — termene, obligații, amenzi

Sănătate cad sub NIS2 (Directiva UE 2022/2555 + OUG 155/2024). Vezi obligații Art.21, termene, amenzi maxime și plan de conformitate pentru Anexa I.

Ultima revizuire: · CAI Technology · echipa Lexnomia + AEGIS

🎯 Cine intră sub regulă

Sectorul sanatate (spitale, furnizori de servicii medicale, laboratoare UE de referinta, producatori de medicamente de baza si dispozitive medicale critice) este listat in Anexa I la Directiva (UE) 2022/2555 (NIS2) ca sector de criticitate ridicata [C2]. In Romania, regulile sunt transpuse prin OUG 155/2024, iar DNSC este autoritatea competenta nationala pentru supravegherea entitatilor esentiale si importante [C6]. Pe langa NIS2, spitalele proceseaza categorii speciale de date (date de sanatate) sub regim restrictiv GDPR Art. 9 [C7] si — daca opereaza dispozitive medicale conectate — sunt clienti directi ai producatorilor sub MDR 2017/745 si IVDR 2017/746 [C9][C10]. Practic, pentru un spital, conformitatea inseamna stack NIS2 + GDPR + MDR/IVDR, nu unul sau celalalt.

Exemple de entități acoperite în România

Spitalul Clinic de Urgenta Bucuresti (Floreasca)Spitalul Universitar de Urgenta BucurestiSpitalul Clinic ColteaSpitalul Clinic Judetean de Urgenta ClujInstitutul Oncologic BucurestiInstitutul National de Boli Infectioase Matei BalsMedLifeReteaua Privata de Sanatate Regina MariaSanador

Praguri de aplicabilitate

Anexa I NIS2 acopera furnizorii de servicii medicale (definiti prin Art. 3(g) din Directiva 2011/24/UE), laboratoarele UE de referinta (Art. 15 din Reg. 2022/2371), entitatile de cercetare-dezvoltare a medicamentelor, producatorii de medicamente de baza si producatorii de dispozitive medicale critice in situatii de urgenta de sanatate publica [C2]. Pragul implicit: entitati medii si mari (>= 50 angajati sau cifra de afaceri / total bilantier >= 10 mil. EUR) intra ca esentiale; spitalele si entitatile sub prag, daca sunt identificate de DNSC ca avand rol critic, pot fi notificate individual [C2][C6].

📅 Timeline regulatoriu

  1. Adoptarea Regulamentului General privind Protectia Datelor (GDPR, Reg. (UE) 2016/679) [C7][C8]

  2. Adoptarea Regulamentelor (UE) 2017/745 (MDR) si 2017/746 (IVDR) [C9][C10]

  3. GDPR intra in aplicare integrala in UE; Art. 9 protejeaza datele de sanatate; Art. 33 stabileste termenul de 72h pentru notificarea bresei [C7][C8]

  4. Incident global de referinta: Conti ransomware paralizeaza HSE Ireland (cost estimat peste 600 mil. USD)

  5. IVDR (Reg. (UE) 2017/746) intra in aplicare [C10]

  6. Adoptarea Directivei (UE) 2022/2555 (NIS2) [C1]

  7. Publicarea NIS2 in Jurnalul Oficial UE [C1]

  8. Incident BackMyData / Phobos pe Hipocrate (RSC) — 26 de spitale din Romania afectate; incidentul de referinta invocat in nota de fundamentare OUG 155/2024 [C18]

  9. AI Act (Reg. (UE) 2024/1689) intra in vigoare; sistemele AI pentru dispozitive medicale = high-risk [C12]

  10. Termen UE pentru transpunere NIS2 in legislatiile nationale (NIS2 Art. 41) [C1]

  11. NIS1 (Directiva 2016/1148) abrogata; NIS2 produce efecte [C1]

  12. Cyber Resilience Act (Reg. (UE) 2024/2847) intra in vigoare [C11]

  13. Romania publica OUG 155/2024 — transpunere NIS2; DNSC = autoritate competenta nationala [C6]

  14. Comisia Europeana adopta Planul de actiune european pentru securitatea cibernetica a spitalelor si furnizorilor de servicii medicale (4 piloni + ENISA Health Cybersecurity Support Centre) [C15]

  15. CRA — obligatii de raportare a vulnerabilitatilor exploatate activ si incidentelor severe intra in aplicare [C11]

  16. CRA — obligatiile principale (securitate by-design pentru produsele cu elemente digitale) intra in aplicare [C11]

📋 Obligații cheie

Cadru de risc-management ICT — masurile minime NIS2 Art. 21(2) aplicate clinic

efort: high

Cadru documentat, abordare all-hazard, acoperind politici de risc, securitatea sistemelor, gestiunea incidentelor, business continuity (cu RTO/RPO documentate pentru ATI, salile de operatie, urgenta, farmacie, laboratoare), criptografie, MFA, training, controlul accesului si securitatea resurselor umane. NIS2 Art. 21(2) impune cele zece masuri minime (a-j), aliniate pe ISO/IEC 27001 si ISO/IEC 27002 [C3]. Pentru spitale, ENISA Technical Implementation Guidance v1.0 (2025) ramane ghidul tehnic de referinta — nu Reg. 2024/2690, care vizeaza juridic furnizorii de DNS, cloud, MSP, data centres si nu spitalele [C17]. Organul de conducere al entitatii (consiliul de administratie, board-ul, comitetul director) aproba si supravegheaza implementarea conform NIS2 Art. 20, cu raspundere personala [C14].

Controale recomandate: NIS2 Art. 21(2)(a-j)ISO/IEC 27001:2022ISO/IEC 27002:2022ENISA NIS2 Technical Implementation Guidance v1.0NIS2 Art. 20

Raportarea incidentelor pe doua paliere paralele — NIS2 Art. 23 + GDPR Art. 33

efort: high

Pentru un spital cazut sub NIS2 in care un incident cibernetic atinge si date de pacienti, acelasi eveniment declanseaza doua fluxuri paralele de raportare. NIS2 Art. 23 catre CSIRT/DNSC: early warning in maxim 24h de la constientizare, notificare incident in 72h, raport final in maxim o luna [C4]. GDPR Art. 33 catre ANSPDCP: notificare bresa de date cu caracter personal in maxim 72h de la constientizare, daca exista risc pentru drepturile si libertatile persoanelor [C8]. Cele doua termene de 72h se masoara independent — momentul de start poate fi diferit (constientizarea "incidentului semnificativ" vs. constientizarea "incalcarii datelor cu caracter personal"). Practic, CISO + DPO impart un singur runbook care alimenteaza simultan formularul DNSC si formularul ANSPDCP, fara duplicari de munca si fara intarziere a vreunuia.

Controale recomandate: NIS2 Art. 23(4)GDPR Reg. 2016/679 Art. 33EDPB Guidelines 9/2022 v2.0 (personal data breach notification)OUG 155/2024

Securitatea datelor de sanatate — GDPR Art. 9 + by-design in HIS/EHR/LIS

efort: high

Datele de sanatate sunt categorie speciala de date cu caracter personal — GDPR Art. 9(1) interzice prelucrarea, cu exceptia situatiilor expres prevazute la Art. 9(2): consimtamant explicit, asistenta medicala / diagnostic medical, interes public in domeniul sanatatii publice, scopuri stiintifice etc. [C7]. Implementarea ceruta de NIS2 Art. 21(2)(h) (criptografie) + GDPR Art. 32 (masuri tehnice si organizatorice) include criptarea la transport (TLS 1.3) si la depozit pentru HIS/EHR/PACS/LIS, segregarea retelelor clinice de cele administrative, audit logging persistent, retentie minima pentru date identificabile, pseudonimizare/anonimizare pentru cercetare. Acordul cu producatorul HIS sau cu furnizorul cloud devine contract DPA + clauze de securitate, nu doar serviciu IT.

Controale recomandate: GDPR Art. 9, 32, 35 (DPIA obligatoriu pentru date de sanatate)NIS2 Art. 21(2)(h)ISO/IEC 27799 (security management in health)

Continuitate operationala pentru sistemele care sustin viata — ATI, urgenta, blocuri operatorii

efort: high

Pentru un spital, "business continuity" inseamna pacienti in ATI care nu raman fara monitorizare, blocuri operatorii care pot interveni in 24/7, farmacie care poate elibera medicatie. NIS2 Art. 21(2)(c) cere business continuity si crisis management ca cerinte minime [C3]. Practic: planuri offline functionale (formulare hartie, traseu manual laborator, decizii clinice fara HIS), exercitii anuale cu tabletop si simulari, backup-uri offline imutabile (cu rotire si testare restore), redundanta multi-site pentru imagistica si laboratoare. Lectia BackMyData / Hipocrate (februarie 2024) este ca spitalele care aveau backup-uri recente functionale au reluat activitatea rapid; cele care nu le testasera au stat zile sau saptamani in regim manual [C18].

Controale recomandate: NIS2 Art. 21(2)(c)ISO 22301:2019 (business continuity management)OUG 155/2024ENISA Health Threat Landscape recommendations

Lant ICT clinic si dispozitive medicale conectate — NIS2 Art. 21(2)(d) + MDR 2017/745

efort: high

Spitalul nu cumpara doar IT: cumpara CT, RMN, monitoare ATI, pompe de perfuzie, defibrilatoare conectate, sisteme PACS, sisteme de laborator (LIS) — toate cu firmware, software, conectivitate. NIS2 Art. 21(2)(d) cere securitatea lantului de aprovizionare [C3]. MDR (Reg. 2017/745) impune producatorilor cerinte esentiale de cybersecurity pentru dispozitive cu software, inclusiv risk management si security-by-design (Anexa I, sectiunile 14.2(d) si 17.2) [C9]; IVDR (Reg. 2017/746) le extinde la dispozitivele de diagnostic in vitro din 26 mai 2022 [C10]. Concret: clauze contractuale cu fiecare producator (SLA pe patching, SBOM, vulnerability disclosure), inventar tehnic al dispozitivelor cu IP/firmware, segregare retea pentru clase de dispozitive non-patch-abile, monitorizare comportamentala pentru anomalii. Lectia Dusseldorf 2020: backdoor pe Citrix CVE-2019-19781 a stat ~9 luni pe retea, in cele din urma a contribuit la moartea unui pacient transferat la alt spital.

Controale recomandate: NIS2 Art. 21(2)(d)MDR Reg. 2017/745 Anexa I 14.2(d) + 17.2IVDR Reg. 2017/746MDCG 2019-16 Guidance on Cybersecurity for medical devices

📰 Incidente reale, lecții concrete

Romanian Soft Company (RSC) — sistemul Hipocrate (HIS), 26 spitale din Romania

2024 · Romania

Tip: Ransomware BackMyData (familia Phobos); vector RDP / acces la furnizor ICT tert

Impact: 26 spitale afectate (printre care Spitalul de Pediatrie Pitesti, primul care a raportat pe 10 februarie 2024); criptare date HIS; cerere de rascumparare 3,5 BTC (~157.000 EUR / ~180.000 USD la momentul atacului — februarie 2024). Majoritatea spitalelor afectate aveau backup-uri recente, restaurare relativ rapida. Incidentul a fost invocat in nota de fundamentare a OUG 155/2024 ca justificare directa a transpunerii NIS2 in Romania.

Lecția: Compromiterea unui singur furnizor de software (RSC) a propagat incidentul la 26 de spitale publice. NIS2 Art. 21(2)(d) si OUG 155/2024 cer evaluare si monitorizare contractuala continua a furnizorilor critici de servicii medicale ICT; segregare retea + backup-uri offline testate au salvat majoritatea unitatilor.

Sursă publică ↗

Universitatsklinikum Dusseldorf (UKD)

2020 · Germania

Tip: Ransomware DoppelPaymer; exploit pe Citrix CVE-2019-19781 (Shitrix), backdoor latent din decembrie 2019

Impact: Spitalul a iesit din sistemul de urgenta; o pacienta de 78 ani a fost transferata la un spital la ~32 km distanta si a decedat in timpul transportului — primul caz public de deces direct asociat unui atac ransomware. Procurorii din Koln au deschis o ancheta pentru omor din culpa. Operatorii DoppelPaymer au furnizat ulterior cheia de decriptare cand au realizat ca au lovit un spital.

Lecția: Patch-management deficitar (~9 luni intre publicarea patch-ului Citrix si exploatare) intr-un perimetru critic clinic a contribuit la prima moarte direct asociata public unui ransomware. NIS2 Art. 21(2)(e) si MDR Anexa I 17.2 cer gestionarea vulnerabilitatilor si security-by-design pentru dispozitivele si sistemele clinice.

Sursă publică ↗

Synnovis — joint venture Synlab UK / Guy's and St Thomas' / King's College Hospital

2024 · Marea Britanie (NHS Londra)

Tip: Ransomware Qilin (3 iunie 2024); criptare retea Synnovis + exfiltrare date

Impact: Servicii de patologie pentru NHS Londra blocate. La King's College + Guy's and St Thomas' — 1.134 operatii planificate si 2.194 programari ambulatorii anulate in primele 13 zile. Analize de sange in capitala operationale la ~10% din capacitate. Cerere de rascumparare 50 mil. USD, refuzata. Peste 900.000 pacienti cu date potential exfiltrate.

Lecția: Un singur furnizor de patologie compromis a paralizat doua dintre cele mai mari trusturi NHS din Londra. NIS2 Art. 21(2)(d) si Planul de actiune UE 2025 pe sanatate cer harti detaliate ale dependentei de furnizori critici clinici (laboratoare, imagistica, farmacie).

Sursă publică ↗

Change Healthcare (UnitedHealth Group / Optum)

2024 · SUA

Tip: Ransomware BlackCat / ALPHV (detectat 21 februarie 2024); intrare presupusa prin Citrix fara MFA

Impact: Cea mai mare bresa de date medicale din SUA. Intreruperi majore in procesarea retetelor, decontari medicale si plati pentru providers. UnitedHealth a furnizat peste 9 miliarde USD in finantare-puente catre furnizorii afectati. Impact financiar 2024 estimat la 1,90-2,05 USD/actiune. Date PHI/PII confirmate exfiltrate (22 screenshots publicate pe dark web). Call-center dedicat pentru 2 ani de credit monitoring gratuit clientilor afectati.

Lecția: Concentrarea de risc ICT in sanatate (un singur procesor de claims pentru cca o treime din SUA) a propagat incidentul la mii de spitale si farmacii. NIS2 Art. 21(2)(d) si Planul de actiune UE 2025 cer testarea concentrarii pe furnizori critici si scenarii de continuitate sub asumarea ca un furnizor mare cade.

Sursă publică ↗

⚠️ Amenințări tipice

  • • Ransomware pe spitale (vezi HSE Irlanda, Düsseldorf)
  • • Furtul de date pacient (RO Q4 2024 — multiple)
  • • Disruption ATI / sala operație prin atac IT

💰 Amenzi maxime

NIS2 + GDPR amenzi cumulative — până la 20 mil EUR sau 4% cifră afaceri

📊 Status conformitate România

Sector vulnerabil. Spitalele de top (Floreasca, Coltea, MedLife, Regina Maria) în lucru. Sub 30% conformitate sector.

🛡️ Cum ajută CAI Technology

AEGIS — Observability + SecOps cu AI

SIEM unified pentru DC on-premise: logs + metrics + threat detection + AI incident analysis.

ARTEMIS — Pentest cu AI · Hunt · Reveal · Strike

Platformă autonomă de pentesting cu 5 agenți AI și 6 tipuri de audit. De la 2€ per scan, fără abonament.

CAI-AUTH — Identity Provider post-quantum

OIDC IdP construit în România cu criptografie post-quantum (hybrid post-quantum signatures). Patent Pending.

Lexnomia — Audit conformitate UE

Self-serve audit conformitate pe 7+ regulamente UE: GDPR, NIS2, DORA, EU AI Act, ISO 27001, CRA, DSA.

📚 Reglementări adiacente care se suprapun

GDPR — Regulamentul (UE) 2016/679 · Direct aplicabil din 25 mai 2018; ANSPDCP este autoritatea de supraveghere in Romania [C7][C8]

Datele de sanatate sunt categorie speciala — GDPR Art. 9(1) interzice prelucrarea cu exceptia situatiilor expres prevazute la Art. 9(2) [C7]. Art. 33 impune notificarea bresei catre ANSPDCP in 72h [C8]. Diferenta cheie fata de NIS2: GDPR e activat de bresa de date personale, NIS2 e activat de incident cibernetic semnificativ — pot coincide, dar nu obligatoriu. Sanctiunile sunt cumulative cu cele NIS2.

MDR — Regulamentul (UE) 2017/745 · Direct aplicabil din 26 mai 2021 [C9]

Pentru orice spital care opereaza dispozitive medicale cu software (CT, RMN, pompe, monitoare ATI, defibrilatoare conectate), producatorul are obligatii esentiale de cybersecurity sub MDR Anexa I 14.2(d) + 17.2 [C9]. Spitalul, ca utilizator, trebuie sa-si inventarieze parcul de dispozitive, sa segregheze retelele si sa pretinda SBOM + politica de patching contractuala. MDCG 2019-16 este ghidul tehnic principal.

IVDR — Regulamentul (UE) 2017/746 · Direct aplicabil din 26 mai 2022 [C10]

Extinde regimul MDR la dispozitivele de diagnostic in vitro (analizoare biochimice, hematologice, microbiologice, software de interpretare). Software-ul care conduce sau influenteaza un dispozitiv IVD cade in aceeasi clasa cu dispozitivul. Pentru laboratoare de spital si laboratoare medicale, IVDR + GDPR Art. 9 se aplica simultan cu NIS2 Art. 21(2)(d).

Cyber Resilience Act — Regulamentul (UE) 2024/2847 · Intrat in vigoare 10 decembrie 2024; obligatii principale aplicabile din 11 decembrie 2027, raportare vulnerabilitati active din 11 septembrie 2026 [C11]

CRA exclude explicit dispozitivele medicale acoperite de MDR/IVDR (Art. 2(2)(a)), pentru ca acelea raman sub Anexa I MDR/IVDR. Ramane relevant insa pentru produsele IT generice utilizate in spitale (sisteme HIS care nu sunt MDR, terminale, IoT facility, software administrativ, cititoare de carduri, sisteme de control acces, camere conectate). Spitalul devine cumparator pretentios: produsele cu elemente digitale trebuie sa aiba conformitate CRA inainte de plasare pe piata UE.

AI Act — Regulamentul (UE) 2024/1689 · Intrat in vigoare 1 august 2024; obligatii pentru AI high-risk aplicabile esalonat 24-36 luni [C12]

Pentru spitale care utilizeaza AI clinic (radiologie asistata, triaj, predictie de mortalitate, decizie terapeutica, IVD-uri cu AI), sistemele AI clasificate ca high-risk sub Anexa III sau prin armonizarea cu MDR au obligatii suplimentare: risk management, seturi de date de calitate, transparenta, human oversight, log-uri. AI Act se aplica cumulativ cu MDR + GDPR Art. 9 — practic, decizia clinica asistata de AI ramane sub raspunderea medicului si a institutiei.

Întrebări frecvente

Sunt spital public de urgenta — sunt sub NIS2?

Da. NIS2 Art. 2 + Anexa I listeaza explicit furnizorii de servicii medicale (definiti prin Directiva 2011/24/UE Art. 3(g)) ca sector de criticitate ridicata [C2]. Daca esti entitate medie sau mare (>= 50 angajati sau >= 10 mil. EUR cifra de afaceri/total bilantier), esti entitate esentiala. Spitalele sub prag pot fi notificate individual de DNSC daca au rol critic in sistemul national de sanatate [C2][C6]. In Romania, OUG 155/2024 + DNSC gestioneaza inregistrarea, supravegherea si controlul.

Cum se cumuleaza NIS2 cu GDPR pentru un spital romanesc?

Nu te scuteste unul de celalalt. NIS2 (orizontal cybersecurity) impune zece masuri minime de risc-management si raportare a incidentelor semnificative in 24h/72h/1 luna catre DNSC [C3][C4]. GDPR (orizontal data protection) cere notificarea bresei de date personale in 72h catre ANSPDCP, daca exista risc pentru drepturile persoanelor [C8]; datele de sanatate sunt categorie speciala sub Art. 9 [C7]. In practica: un singur eveniment poate declansa ambele canale, dar momentul de start si pragul de declansare pot fi diferite. CISO + DPO impart un singur runbook care alimenteaza simultan formularul DNSC si formularul ANSPDCP.

Ce inseamna `incident semnificativ` pentru un spital sub NIS2?

NIS2 Art. 23(3) defineste incidentul semnificativ ca acela care a cauzat sau e capabil sa cauzeze perturbari operationale grave sau pierderi financiare pentru entitate, sau care a afectat sau e capabil sa afecteze alte persoane prin daune materiale sau nemateriale considerabile [C4]. Operational, pentru un spital: pierdere totala sau partiala HIS, EHR sau PACS pentru cateva ore; blocarea laboratorului central; criptarea sistemelor de imagistica; exfiltrare date pacienti; compromitere a unui dispozitiv conectat critic (monitor ATI, ventilator). Daca esti in dubiu, raporteaza ca early warning in primele 24h — poti retrage ulterior daca se dovedeste minor.

Termenele de raportare incident catre DNSC si ANSPDCP — exact?

Doua canale paralele. NIS2 (catre CSIRT/DNSC, sub OUG 155/2024): early warning in 24h de la constientizare, notificare incident in 72h, raport final in maxim o luna (Art. 23) [C4]. GDPR (catre ANSPDCP, daca incidentul implica si bresa de date personale): notificare in maxim 72h de la constientizarea bresei (Art. 33) [C8]. Cele doua termene de 72h se masoara independent — momentul de constientizare poate diferi. Recomandare practica: pregateste un singur process care alimenteaza ambele formulare automat, cu fluxuri de escaladare separate la CISO si DPO.

Avem un MSP care ne tine HIS-ul — sunt acoperit?

Nu te scuteste de NIS2. Compromiterea furnizorului ICT este una dintre cele mai comune cauze de incident in sanatate — exemplul BackMyData 2024 a afectat 26 de spitale prin compromiterea Romanian Soft Company (RSC), furnizorul Hipocrate [C18]. NIS2 Art. 21(2)(d) cere gestionarea riscului in lantul de aprovizionare, inclusiv clauze contractuale (SLA pe incident response, audit drepturi, exit strategy, sub-outsourcing controlat) [C3]. Spitalul ramane responsabil legal pentru date si servicii catre pacienti — outsourcing-ul ICT nu transfera raspunderea, doar operatiunile.

Avem CT, RMN, pompe, monitoare ATI conectate — cum aplic MDR + NIS2 simultan?

MDR (Reg. 2017/745) impune producatorului dispozitivului cerinte esentiale de cybersecurity sub Anexa I 14.2(d) + 17.2 (risc management, security-by-design, software development life cycle, information security) [C9]. NIS2 Art. 21(2)(d) impune spitalului ca utilizator gestionarea lantului ICT — adica pretinderea SBOM, politica de patching, MFA pe interfetele de service, segregare retea. Practic: ai un inventar tehnic al dispozitivelor (IP, firmware version, manufacturer), un VLAN dedicat dispozitivelor medicale, monitorizare comportamentala, si in contractul de service iti pui dreptul de audit + termene de patching. MDCG 2019-16 e ghidul tehnic pentru producator; tu, ca spital, pretinzi conformitate.

Care e plafonul maxim de amenda pentru un spital esential?

Sub NIS2 Art. 34: maxim cel putin 10.000.000 EUR sau 2% din cifra de afaceri mondiala anuala, oricare e mai mare, pentru entitati esentiale [C5]. Pentru entitati importante: 7.000.000 EUR sau 1,4% [C5]. Atentie: sanctiunile NIS2 sunt cumulative cu cele GDPR Art. 83 (pana la 20.000.000 EUR sau 4% din cifra de afaceri, oricare e mai mare), cumulative cu cele din legislatia sanitara nationala si cu raspunderea personala a conducerii (NIS2 Art. 20) [C14]. In practica, pentru spitalele publice romanesti, pragul efectiv este stabilit de OUG 155/2024 si de regulamentul de aplicare DNSC.

Cine raspunde personal in conducerea spitalului?

NIS2 Art. 20 cere ca organele de conducere (consiliul de administratie, comitetul director, managerul de spital) sa aprobe masurile de risc-management cibernetic, sa supravegheze implementarea si pot fi tinute responsabile personal [C14]. Directiva permite Statelor Membre sa impuna interdictii temporare de exercitare a functiilor de conducere pentru entitati esentiale. In Romania, OUG 155/2024 a transpus aceste prevederi [C6]. Implementare practica: hotararea CA / decizia comitetului director care aproba cadrul de risc-management cibernetic — semnata, datata, arhivata — si raport anual prezentat consiliului de catre CISO si DPO.

🔗 Surse oficiale

Ești în sectorul sănătate?

Audit gratuit NIS2 pentru companii peste 50 angajați. Răspundem în 24 ore lucrătoare.

Solicită audit →