CAI Technology
Programează demo
Menu ☰
Anexa I — Entități esențiale · Infrastructură digitală

📡NIS2 pentru Furnizori comunicații electronice (telecom) — termene, obligații, amenzi

Furnizori comunicații electronice (telecom) cad sub NIS2 (Directiva UE 2022/2555 + OUG 155/2024). Vezi obligații Art.21, termene, amenzi maxime și plan de conformitate pentru Anexa I.

Ultima revizuire: · CAI Technology · echipa Lexnomia + AEGIS

🎯 Cine intră sub regulă

Furnizorii de retele publice de comunicatii electronice si furnizorii de servicii de comunicatii electronice destinate publicului sunt listati in Anexa I la Directiva (UE) 2022/2555 (NIS2), in sectorul de criticitate ridicata "Infrastructura digitala" [C1]. Operatorii care califica drept medie sau mare intreprindere (>= 50 angajati sau >= 10 mil. EUR cifra de afaceri / total bilantier) sunt direct in scop ca entitati esentiale; in plus, Art. 2(2) NIS2 extinde aplicabilitatea indiferent de marime catre furnizorii de retele/servicii publice de comunicatii electronice atunci cand indeplinesc criteriile de criticitate specifice — unic furnizor pe un Stat Membru, impact sistemic posibil, importanta nationala sau regionala critica [C2]. In Romania, transpunerea s-a facut prin OUG 155/2024 (publicata 30.12.2024) si aprobata prin Legea 124/2025; DNSC este autoritatea nationala competenta, in cooperare cu ANCOM ca regulator sectorial [C7][C15]. NIS2 a abrogat Articolele 40-41 din EECC (Dir. 2018/1972) cu efect din 18 octombrie 2024 — toate obligatiile de raportare a incidentelor de integritate / disponibilitate sunt consolidate sub regimul NIS2 [C8]. Pe langa NIS2, telecom-ul ramane sub Dir. 2018/1972 transpusa in Romania prin Legea 198/2022 (modificand OUG 111/2011) [C14], plus Legea 506/2004 (ePrivacy + date personale in comunicatii electronice) [C13] si Legea 163/2021 (cadrul national 5G + furnizori autorizati) [C10].

Exemple de entități acoperite în România

Digi Romania (RCS&RDS) — operator integrat mobil + fix + Internet, prezenta in 5 tari UEOrange Romania — operator mobil + fix + Internet, parte din Orange GroupVodafone Romania — operator mobil + fix, parte din Vodafone GroupTelekom Romania Mobile Communications — operator mobilFurnizori B2B / wholesale carrier si MVNO-uri inregistrati la ANCOM ca furnizori publici de retele si servicii de comunicatii electronice

Praguri de aplicabilitate

Anexa I NIS2 include "Furnizori de retele publice de comunicatii electronice" si "Furnizori de servicii de comunicatii electronice destinate publicului" in sectorul de infrastructura digitala [C1]. Regula generala: medii si mari intreprinderi (>= 50 angajati sau >= 10 mil. EUR cifra de afaceri / total bilantier) intra direct ca entitati esentiale. Pe deasupra, Art. 2(2) NIS2 extinde scopul indiferent de marime catre furnizorii de comunicatii electronice publice cand sunt singurul furnizor al unui serviciu esential intr-un SM, cand disrupera ar avea impact sistemic sau pe siguranta publica, sau cand entitatea este critica la nivel national / regional [C2]. Clasificarea esential vs. important si pragurile concrete de notificare se aplica prin Ordinele DNSC 1/2025 si 2/2025 (criterii si praguri de perturbare) [C7]. In practica, operatorii integrati nationali (Digi, Orange, Vodafone, Telekom RO) intra ca esentiale; MVNO-urile si ISP-urile locale intra de regula ca importante, dar pot fi reclasificate individual de DNSC.

📅 Timeline regulatoriu

  1. Adoptare Directiva (UE) 2018/1972 (EECC) — cadrul de securitate pre-NIS2 pentru telecom, Art. 40-41 [C14]

  2. Publicare EU 5G Cybersecurity Toolbox de catre NIS Cooperation Group [C9]

  3. Romania adopta Legea 163/2021 — autorizare furnizori 5G; baza pentru excluderea furnizorilor cu risc ridicat [C10]

  4. Legea 198/2022 — transpunere completa Codul European al Comunicatiilor Electronice in OUG 111/2011 [C14]

  5. Adoptarea Directivei (UE) 2022/2555 (NIS2) [C8]

  6. Comunicarea Comisiei privind implementarea 5G Toolbox: Huawei si ZTE confirmati ca prezentand risc materialmente mai ridicat [C9]

  7. Termen UE pentru transpunere NIS2 (Art. 41); adoptare Comm. Impl. Reg. (UE) 2024/2690 — NU acopera telecom-ul, doar DNS/cloud/CDN/MSP/MSSP etc. [C8][C16]

  8. NIS1 abrogata; Art. 40-41 EECC abrogate; raportarea consolidata sub NIS2 [C8]

  9. Romania publica OUG 155/2024 — transpunere NIS2; DNSC = autoritate competenta nationala [C7]

  10. Legea 124/2025 — aprobarea OUG 155/2024 [C7]

  11. ENISA publica raportul Telecom Security Incidents 2024: 188 incidente in 26 SM UE + 2 EFTA, 1743 mil. user-hours pierdute (scadere de peste 50% fata de 2023) [C12]

📋 Obligații cheie

Cadru de risc-management ICT bazat direct pe NIS2 Art. 21(2) — fara act delegat sectorial

efort: high

Furnizorii de comunicatii electronice publice trebuie sa implementeze cele zece masuri minime din NIS2 Art. 21(2)(a-j): politici de risc si securitate, tratarea incidentelor, continuitate si recuperare, securitatea lantului de aprovizionare, achizitia si dezvoltarea ICT (inclusiv vulnerability handling), evaluarea eficacitatii, igiena cibernetica si training, criptografie, securitate HR si control acces, multi-factor authentication [C3]. Spre deosebire de DNS, cloud, CDN, MSP si MSSP, sectorul telecom NU are un Regulament de Implementare propriu — Reg. (UE) 2024/2690 NU acopera furnizorii de retele/servicii de comunicatii electronice publice [C16]. In practica, obligatiile derivate vin direct din NIS2 + transpunerea OUG 155/2024, completate pentru 5G de masurile din EU Toolbox si Legea 163/2021 [C9][C10]. Cadrul tehnic uzual: ISO/IEC 27001:2022, ISO/IEC 27002, ETSI EN 319401, plus controalele tehnice specifice telecom din ghidul ENISA pe EECC (ramas relevant tehnic dupa abrogarea Art. 40-41) [C8]. Organul de conducere aproba si supravegheaza implementarea (NIS2 Art. 20) [C6].

Controale recomandate: NIS2 Art. 21(2)(a-j)OUG 155/2024ISO/IEC 27001:2022ISO/IEC 27002:2022ETSI EN 319401ENISA Guide on Security Measures under the EECC (technical)

5G EU Toolbox + Legea 163/2021 — control al furnizorilor de tehnologie 5G

efort: high

EU Toolbox pe 5G (ianuarie 2020) cere identificarea si gestionarea furnizorilor de echipamente, software si tehnologii ca element-cheie al rezilientei retelelor 5G [C9]. In comunicarea din iunie 2023, Comisia confirma ca masurile Statelor Membre de a restrictiona sau exclude Huawei si ZTE sunt justificate si conforme cu Toolbox-ul, iar acesti furnizori prezinta un risc materialmente mai ridicat decat alti furnizori 5G [C9]. Romania a transpus aceasta politica prin Legea 163/2021, care impune autorizare prealabila a producatorilor de tehnologii si echipamente 5G; pe lista entitatilor din sistemul de aparare nationala, ordine publica si securitate nationala, achizitiile de la furnizori neautorizati sunt interzise [C10]. ANCOM poate cere informatii detaliate despre tehnologii, echipamente si software-ul folosit in retelele 5G, manufacturer si gradul de externalizare [C10]. Cadrul tehnic de baseline: ENISA 5G Security Controls Matrix, aliniat cu 3GPP [C17].

Controale recomandate: 5G EU Toolbox (Strategic + Technical Measures)Law 163/2021 (RO)ENISA 5G Security Controls Matrix3GPP TS 33.501 (5G security)

Raportarea incidentelor in 24h/72h/1 luna (NIS2 Art. 23) — succesor al Art. 40 EECC

efort: high

Pana la 17 octombrie 2024, incidentele de integritate / disponibilitate in telecom se raportau sub Art. 40-41 EECC catre autoritatea nationala (in RO: ANCOM) [C8]. Din 18 octombrie 2024, NIS2 abroga Art. 40-41 si consolideaza raportarea sub Art. 23: early warning catre CSIRT (DNSC) in maxim 24h de la constientizare, notificare incident detaliata in 72h, raport final in maxim o luna [C4][C8]. Pentru furnizorii publici de comunicatii electronice ramane obligatia de a notifica utilizatorii cand exista o amenintare particulara sau semnificativa la securitatea retelei sau serviciului — derivata din NIS2 Art. 23 si din practica EECC anterioara [C4]. In raportarea agregata 2024 catre ENISA, 26 SM UE + 2 EFTA au raportat 188 de incidente telecom; user-hours pierdute au scazut cu peste 50% (1743 mil. 2024 vs. 3906 mil. 2023), 58% din incidente au avut impact pe telefonia mobila [C12]. Procedural, operatorii din RO trimit acum un singur flux catre DNSC; coordonarea cu ANCOM pentru aspectele de continuitate si disponibilitate ramane prin BEREC Cybersecurity WG [C15].

Controale recomandate: NIS2 Art. 23(4)OUG 155/2024 (incident reporting chapter)ENISA Guide on Incident Reporting under the EECC (technical)ENISA Single Information Sharing Point mechanism

Securitatea semnalizarii SS7 / Diameter / 5G + protectia rutarii (NIS2 Art. 21(2)(e))

efort: high

Protocoalele de semnalizare SS7 (2G/3G) si Diameter (4G) au fost proiectate fara considerente de securitate moderne si sunt vulnerabile la interceptare, redirectare, localizare a abonatilor si fraud-uri ofertate de actori cu acces la retelele interconectate [C11]. ENISA, intr-un raport dedicat semnalizarii in telecom, clasifica nivelul de risc ca mediu pana la inalt si recomanda contributia activa a tuturor furnizorilor [C11]. Pentru 5G, semnalizarea HTTP/2 + API NEF + SBA introduce un vector nou (network slicing isolation, autentificare service-to-service). NIS2 Art. 21(2)(e) acopera securitatea retelelor si sistemelor in achizitie / dezvoltare / intretinere, ceea ce, pentru un operator mobil, inseamna obligatii concrete pe semnalling firewall, anti-spoofing GTP, monitorizare anomalii inter-PLMN, izolare a slice-urilor 5G [C3][C11]. Lectia din campania Salt Typhoon (2024+) este ca backbone-ul si routerele edge ale operatorilor sunt tinta directa pentru actori de stat — securitatea routerelor (patching, control management plane, segregation) este parte din lista NIS2, nu un extra optional [I4][C9].

Controale recomandate: NIS2 Art. 21(2)(e),(b),(j)ENISA — Signalling Security in Telecom SS7/Diameter/5GENISA 5G Security Controls Matrix3GPP TS 33.116 / TS 33.117 (SECAM)

Cumul NIS2 + GDPR + Legea 506/2004 (ePrivacy comunicatii electronice)

efort: medium

Furnizorii de comunicatii electronice publice prelucreaza categorii sensibile (date de localizare, date de trafic, continut, date de identitate) — drept pentru care peste NIS2 se suprapun Regulamentul (UE) 2016/679 (GDPR) si, in Romania, Legea 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice [C13]. Practic, pentru orice incident care afecteaza confidentialitatea datelor abonatilor, operatorul trebuie sa noteze paralel: DNSC sub NIS2 Art. 23 (24h/72h/1 luna) [C4], ANSPDCP sub GDPR Art. 33 (72h pentru notificarea autoritatii) si direct abonatii cand riscul e ridicat. Lectiile T-Mobile US 2021 [I1], Optus 2022 [I2] si Lyca Mobile 2023 [I5] arata acelasi pattern: o vulnerabilitate de aplicatie / un cont compromis a expus sute de mii pana la zeci de milioane de inregistrari de abonati. Cadru de control: criptare strong-at-rest si in-transit (NIS2 Art. 21(2)(h)), control acces granular (i), MFA pe orice acces administrativ (j), gestiune a vulnerabilitatilor (e), izolare a sistemelor CRM si billing fata de retea.

Controale recomandate: NIS2 Art. 21(2)(h),(i),(j),(e)GDPR Reg. 2016/679 Art. 32-34Law 506/2004 (RO)ePrivacy Directive 2002/58/EC (consolidated)

📰 Incidente reale, lecții concrete

T-Mobile US

2021 · United States

Tip: Credential compromise + exfiltration of subscriber databases (attributed to an individual attacker identified later)

Impact: Aprox. 7,8 mil. clienti postpaid actuali cu date personale (nume, data nasterii, SSN, ID) expuse; aprox. 5,3 mil. clienti postpaid pe alt set de date (IMEI, IMSI, telefon); aprox. 40 mil. fosti / potentiali clienti expusi. Settlement class action 350 mil. USD. Fara date financiare expuse.

Lecția: Incident-pivot pentru sectorul telecom: o configuratie laxa pe un mediu non-prod expus public a fost punctul de intrare. NIS2 Art. 21(2)(e) si (i) cere segregare a mediilor, control acces, gestionarea vulnerabilitatilor — masuri care, daca erau implementate, ar fi blocat lant-ul de exploatare.

Sursă publică ↗

Optus (Singtel Optus, Australia)

2022 · Australia

Tip: API exposed without authentication; coding error in a legacy endpoint

Impact: Din 9,8 mil. clienti Optus, aprox. 1,2 mil. cu ID valid si informatii personale complete compromise; 900.000 cu ID expirat compromis. Date expuse: nume, data nasterii, telefon, email, adrese, numere de pasaport si permis de conducere. Atacul a fost descris drept "nu sofisticat" — trial and error pe un endpoint uitat. Dublu probe regulatorie (ACMA + OAIC).

Lecția: Aceeasi clasa de cauza ca Salt Typhoon-ul si T-Mobile: asset management lipsit de control si API-uri uitate / nedezactivate. NIS2 Art. 21(2)(i) (asset management) si Reg. (UE) 2024/2690 — chiar daca nu acopera telecom-ul, e clar ca un inventar complet de endpoint-uri publice e o practica minima cerub si de DNSC in OUG 155/2024.

Sursă publică ↗

Vodafone Portugal

2022 · Portugal

Tip: Deliberate cyber attack that halted 4G/5G, SMS, fixed voice and TV services

Impact: Toata baza Vodafone Portugal (aprox. 4 mil. abonati mobili + 3,4 mil. clienti rezidentiali si business pe servicii fixe) afectata; doar 3G a ramas operational, cu capacitate limitata (~3 MB/s); restaurarea serviciilor a necesitat actiune prelungita si atenta. Vodafone Portugal a calificat oficial incidentul drept "atac deliberat si rauvoitor menit sa cauzeze daune".

Lecția: Demonstratie ca un singur incident la un operator integrat poate scoate offline simultan retele mobile, fixe, TV si SMS. NIS2 Art. 21(2)(c) (continuitate / crisis management) cere testare periodica a scenariilor; pentru un operator integrat, planul de criza trebuie sa includa restaurare per serviciu, prioritizare a serviciilor de urgenta (112) si comunicare publica coordonata cu autoritatile.

Sursă publică ↗

AT&T, Verizon, Lumen, T-Mobile US (Salt Typhoon — PRC APT)

2024 · United States (global campaign, including the EU and Indo-Pacific)

Tip: Persistent state espionage on operators' backbone and edge routers; long-term multi-year access

Impact: AT&T, Verizon si Lumen confirma compromiterea in decembrie 2024; campania descrisa de oficiali SUA drept "worst telecom hack in our nation's history", cu capacitate de a geolocaliza milioane de persoane si a inregistra apeluri. T-Mobile US a anuntat ca monitorizeaza activitatea. CISA + parteneri internationali emit advisory AA25-239A in august 2025; FCC lanseaza propunere de reguli noi de cybersecurity pentru carrier-i.

Lecția: Routerele backbone si provider edge / customer edge sunt tinte prioritare. CISA cere patching pentru CVE-2024-21887 (Ivanti Connect Secure) si CVE-2024-3400 (Palo Alto PAN-OS GlobalProtect), plus hunt activ. NIS2 Art. 21(2)(e),(f),(i) acopera exact aceste cerinte; pentru operatorii UE, integrarea cu mecanismele de CTI ENISA si EU CSIRTs Network este punct minim de operare.

Sursă publică ↗

Lyca Mobile (global MVNO, headquartered in the UK)

2023 · UK + 60 other operational markets

Tip: Cyber attack (suspected ransomware-related); top-up service, national and international calls disrupted; investigation into data exfiltration

Impact: Servicii suspendate in toate cele 60 de tari mai putin 4; portalul de top-up oprit; investigatie cu IT third-party + notificare law enforcement + autoritati protectia datelor. Comunicarea Lyca despre "encrypted customer data" sugereaza acces neautorizat la baze de date.

Lecția: Un MVNO global cu IT centralizat propaga incidentul pe zeci de jurisdictii. NIS2 Art. 21(2)(d) (supply chain) + (c) (BCM / crisis management) — pentru un MVNO, segregarea per piata + plan de comunicare paralel cu autoritatile din fiecare jurisdictie sunt deja parte din standardul minim de operare.

Sursă publică ↗

⚠️ Amenințări tipice

  • • Atacuri pe SS7/Diameter
  • • SIM swap fraud
  • • 5G slicing security

💰 Amenzi maxime

Max 10 mil. EUR sau 2% cifra afaceri

📊 Status conformitate România

Top 4 operatori RO la 80%+ conformitate. ANCOM monitorizează proactiv.

🛡️ Cum ajută CAI Technology

AEGIS — Observability + SecOps cu AI

SIEM unified pentru DC on-premise: logs + metrics + threat detection + AI incident analysis.

ARTEMIS — Pentest cu AI · Hunt · Reveal · Strike

Platformă autonomă de pentesting cu 5 agenți AI și 6 tipuri de audit. De la 2€ per scan, fără abonament.

CAI-AUTH — Identity Provider post-quantum

OIDC IdP construit în România cu criptografie post-quantum (hybrid post-quantum signatures). Patent Pending.

Lexnomia — Audit conformitate UE

Self-serve audit conformitate pe 7+ regulamente UE: GDPR, NIS2, DORA, EU AI Act, ISO 27001, CRA, DSA.

📚 Reglementări adiacente care se suprapun

European Electronic Communications Code — Directive (EU) 2018/1972 · Transpus in Romania prin Legea 198/2022 (modificand OUG 111/2011) [C14]

Cadrul de baza de reglementare a sectorului comunicatii electronice (autorizare, acces, spectru, serviciu universal, drepturi utilizatori). Articolele 40-41 (cu cerinte de securitate si raportare incidente) au fost abrogate prin NIS2 din 18 octombrie 2024 [C8]; restul EECC ramane aplicabil. Ghidul ENISA pe Security Measures under EECC ramane relevant tehnic pentru orice operator telecom care vrea un baseline operational verificat.

5G EU Toolbox + Law 163/2021 (Romania) · Toolbox: instrument coordonat NIS Cooperation Group, ianuarie 2020; Legea 163/2021 publicata 11 iunie 2021 [C9][C10]

Cadru combinat pentru securitatea retelelor 5G. Toolbox-ul UE contine masuri strategice (controlul furnizorilor cu risc ridicat) si tehnice (catalogul ENISA 5G Security Controls Matrix) [C9][C17]. Legea 163/2021 impune in Romania autorizare prealabila a producatorilor de tehnologie 5G; pentru sistemul de aparare, ordine publica si securitate nationala, achizitiile de la furnizori neautorizati sunt interzise [C10].

GDPR (Reg. (EU) 2016/679) + Law 506/2004 (ePrivacy for electronic communications) · GDPR direct aplicabil din 25 mai 2018; Legea 506/2004 publicata 25.11.2004, modificata succesiv (inclusiv Legea 235/2015) [C13]

Furnizorii de comunicatii electronice prelucreaza date de trafic, localizare, identitate ale abonatilor — categorii sensibile pentru care GDPR + Legea 506/2004 impun cerinte de confidentialitate, retentie, drepturi ale abonatilor. La un incident care afecteaza datele cu caracter personal, notificarea catre DNSC sub NIS2 Art. 23 nu inlocuieste notificarea catre ANSPDCP sub GDPR Art. 33 si eventual catre abonati [C4]. Bune practici: un singur runbook care alimenteaza ambele fluxuri.

Comm. Impl. Reg. (EU) 2024/2690 — NIS2 technical measures · Direct aplicabil din 17 octombrie 2024 [C16]

Important pentru lant-ul de aprovizionare: regulamentul detaliaza cerintele tehnice pentru DNS, TLD, cloud, data centre, CDN, MSP, MSSP si trust services [C16]. Furnizorii de comunicatii electronice publice NU sunt in scop direct, dar daca folosesc oricare dintre acesti furnizori (cloud, CDN, MSSP), partenerul lor este obligat la aceleasi 13 titluri tehnice — element-cheie pentru clauzele contractuale NIS2 Art. 21(2)(d).

ENISA — Guide on Security Measures under the EECC + 5G Security Controls Matrix · Documente tehnice non-legale; ramane referinta operationala [C8][C17]

Chiar dupa abrogarea Art. 40-41 EECC, baseline-ul tehnic dezvoltat de ENISA pe vechiul regim ramane un standard operational acceptat. Pentru 5G, 5G Security Controls Matrix (catalog de controale aliniate cu Toolbox + 3GPP) este referinta uzuala a autoritatilor nationale in audituri sub NIS2 + Legea 163/2021. DNSC va folosi acest cadru tehnic in verificarile pe Art. 21(2) NIS2 pentru telecom, pana la o eventuala publicare a unui regulament de implementare sectorial separat.

Întrebări frecvente

Suntem un furnizor de retele sau servicii de comunicatii electronice in Romania — suntem sub NIS2?

Foarte probabil da. Anexa I NIS2 listeaza furnizorii de retele publice de comunicatii electronice si furnizorii de servicii de comunicatii electronice destinate publicului in sectorul "Infrastructura digitala" [C1]. Daca esti medie sau mare intreprindere (>= 50 angajati sau >= 10 mil. EUR cifra de afaceri / total bilantier), intri direct ca entitate esentiala. Pe deasupra, Art. 2(2) NIS2 extinde scopul indiferent de marime cand serviciul are caracter unic intr-un Stat Membru, cand disrupera ar avea efecte sistemice sau cand entitatea este critica la nivel national / regional [C2]. In Romania, regimul e operat de DNSC via OUG 155/2024; inregistrarea se face prin NIS2@RO Tool si platforma ATHENA [C7].

Suntem entitate esentiala sau importanta?

Depinde de criteriile DNSC din Ordinul 2/2025 (criterii si praguri de perturbare). Pentru furnizorii publici de telecom, indicatorii uzuali sunt acoperirea geografica, numarul de abonati, rolul in serviciul universal si in serviciile de urgenta (112). Operatorii mari (Digi, Orange, Vodafone, Telekom RO) sunt candidati naturali la statutul esential; ISP-urile locale si MVNO-urile sunt de regula importante, dar pot fi reclasificate daca DNSC considera ca disrupera serviciului ar avea efecte sistemice [C7].

Mai trebuie sa raportam la ANCOM dupa NIS2?

Pentru incidentele de securitate cibernetica (integritate / disponibilitate / confidentialitate), notificarea principala se face acum catre DNSC sub NIS2 Art. 23, in 24h / 72h / 1 luna [C4]. Articolele 40-41 din EECC au fost abrogate din 18 octombrie 2024 [C8]. ANCOM ramane regulatorul sectorial pentru aspectele de licentiere, spectru, calitatea serviciilor si tarife — un incident major ramane relevant pentru ANCOM prin coordonarea via grupul de cybersecurity BEREC si prin obligatii contractuale catre autoritate (continuitate serviciu universal, acces 112) [C15].

Pe ce act tehnic ne pregatim auditele NIS2 daca nu exista un Reg. 2024/2690 pentru telecom?

Direct pe NIS2 Art. 21(2)(a-j) + OUG 155/2024 [C3][C7]. Pentru operationalizare: ghidul tehnic ENISA pe NIS2 Implementing Act (publicat 2025) este referinta practica, chiar daca acopera DNS/cloud/MSP — multe controale sunt direct transferabile [C3]. Pentru 5G, ENISA 5G Security Controls Matrix + 3GPP TS 33.501 [C17]. Pentru semnalling, ghidul ENISA pe SS7/Diameter/5G [C11]. Pentru BCM si continuitate, ISO/IEC 27031 + ISO 22301. Lipsa unui regulament de implementare sectorial nu reduce nivelul de exigenta — il transfera in obligatia de a demonstra alinierea la "european and international standards" (Art. 21(2) NIS2).

Care e plafonul maxim de amenda pentru un operator telecom esential?

Sub NIS2 Art. 34: pentru entitati esentiale, maxim cel putin 10.000.000 EUR sau 2% din cifra de afaceri mondiala anuala, oricare e mai mare [C5]. Pentru entitati importante: 7.000.000 EUR sau 1,4% [C5]. Sumele exacte transpuse in lei sunt stabilite de OUG 155/2024 si pot include si amenzi pentru neinregistrare. Daca incidentul afecteaza si date personale, sanctiunile NIS2 pot fi cumulate cu cele GDPR Art. 83 (pana la 20 mil. EUR sau 4% cifra de afaceri).

Cum integram cerintele 5G EU Toolbox in conformitatea NIS2?

Toolbox-ul EU pe 5G (ianuarie 2020) + Legea 163/2021 sunt complementare cu NIS2, nu o substituie [C9][C10]. Practic: (a) identificare furnizori 5G + autorizare prealabila a producatorilor — Legea 163/2021; (b) restrictionarea furnizorilor cu risc materialmente mai ridicat (Huawei, ZTE) in masura in care Romania a adoptat masuri specifice — Comunicarea Comisiei iun 2023 [C9]; (c) aplicarea controalelor tehnice din ENISA 5G Security Controls Matrix [C17]. Toate acestea pot fi prezentate ca dovezi de conformitate cu NIS2 Art. 21(2)(d),(e).

Pe ce ar trebui sa ne concentram operational anul acesta — top 3 prioritati?

Pe baza incidentelor 2021-2024 [I1-I5] si a raportului ENISA Telecom 2024 [C12]: (1) Asset management si API security — Optus 2022 si T-Mobile 2021 au fost cauzate de endpoint-uri uitate / configuratii laxe pe medii expuse public; inventar complet + scanare regulata externa (Art. 21(2)(i),(e)). (2) Securitatea routerelor backbone si edge — Salt Typhoon 2024 confirma ca actori de stat tintesc direct acest plan; patching agresiv pe CVE-uri publicate (Ivanti, Palo Alto), MFA pe management plane, segregare. (3) Plan de criza testat pe scenarii multi-serviciu — Vodafone Portugal 2022 a aratat ca un operator integrat poate pierde toate serviciile simultan; testare anuala obligatorie sub Art. 21(2)(c).

🔗 Surse oficiale

Ești în sectorul furnizori comunicații electronice (telecom)?

Audit gratuit NIS2 pentru companii peste 50 angajați. Răspundem în 24 ore lucrătoare.

Solicită audit →