CAI Technology
Programează demo
Menu ☰
Anexa I — Entități esențiale · Transport

✈️NIS2 pentru Transport aerian — termene, obligații, amenzi

Transport aerian cad sub NIS2 (Directiva UE 2022/2555 + OUG 155/2024). Vezi obligații Art.21, termene, amenzi maxime și plan de conformitate pentru Anexa I.

Ultima revizuire: · CAI Technology · echipa Lexnomia + AEGIS

🎯 Cine intră sub regulă

Transportul aerian — operatori aeroportuari, servicii de management al traficului aerian (ATM/ANS) si transportatori aerieni — este listat in Anexa I la Directiva (UE) 2022/2555 (NIS2) ca sector de criticitate ridicata [C1]. In Romania, transpunerea s-a facut prin OUG nr. 155/2024 (semnata 30 decembrie 2024, publicata in Monitorul Oficial nr. 1332 din 31 decembrie 2024); DNSC este autoritate competenta nationala si CSIRT national [C6]. Pe deasupra NIS2 se suprapun normele tehnice aviatice EASA: Regulamentul Delegat (UE) 2022/1645 (aplicabil 16 octombrie 2025) si Regulamentul de Implementare (UE) 2023/203 (aplicabil 22 februarie 2026) — impreuna formeaza cadrul Part-IS pentru managementul riscurilor de securitate a informatiei cu impact asupra sigurantei aviatiei [C7][C8]. Atentie practica: in septembrie 2023 Comisia a emis Ghidul pe Art. 4 NIS2, iar EASA a clarificat ca Part-IS NU este 'lex specialis' sub Art. 4 NIS2 — adica obligatiile NIS2 NU dispar cand aplici Part-IS, cele doua coexista pana cand Comisia decide echivalarea formala [C9].

Exemple de entități acoperite în România

ROMATSA — singurul furnizor national de servicii de trafic aerian (ANSP)CN Aeroporturi Bucuresti (Otopeni Henri Coanda + Baneasa Aurel Vlaicu)AIBC Cluj — Aeroportul Internațional ClujAITS Timisoara — Aeroportul Internațional Traian VuiaAeroportul Internațional IasiTAROM — Compania Națională de Transporturi Aeriene RomâneWizz Air Hungary Ltd. — operatiuni din RomaniaRomaero — organizatie de mentenanta Part-145

Praguri de aplicabilitate

Anexa I NIS2 acopera transportatorii aerieni (cf. Reg. (CE) 1008/2008), organismele de administrare a aeroporturilor (cf. Reg. (CE) 300/2008) si operatorii ATC/ATM [C1][C12]. Pragul implicit: entitati medii si mari (>= 50 angajati sau cifra de afaceri / total bilantier >= 10 mil. EUR) intra ca esentiale; entitati sub prag, daca DNSC le identifica drept critice (de exemplu Aeroportul Iasi sau aeroporturile regionale cu rol strategic), pot fi notificate individual [C1][C6]. Pentru Part-IS, scopul tehnic este diferit: AOC-ul ca atare NU este sub Part-IS, dar organizatiile Part-145 (mentenanta), Part-CAMO, Part-ATCO, Part-ATM/ANS, Part-ADR (aerodromi) si Part-21 (productie/proiectare) intra [C10]. Practic, un grup precum CN Aeroporturi Bucuresti are obligatii NIS2 (ca entitate esentiala) plus Part-IS pe latura ADR; un transportator precum TAROM intra sub NIS2 (AOC) plus Part-IS pe portiunea Part-145 (mentenanta in-house).

📅 Timeline regulatoriu

  1. Reg. (CE) 300/2008 — reguli comune pentru securitatea aviatiei civile (anti-unlawful interference) [C12]

  2. Reg. (UE) 2018/1139 — Regulamentul de baza EASA, intra in vigoare septembrie 2018 [C11]

  3. Comisia adopta Reg. Delegat (UE) 2022/1645 (Part-IS Delegated) — semnat 14 iulie 2022 [C8]

  4. Adoptarea Directivei (UE) 2022/2555 (NIS2) [C1]

  5. Comisia adopta Reg. Impl. (UE) 2023/203 (Part-IS Implementing) [C7]

  6. Comisia publica Ghidul pe Art. 4(1) NIS2 — sector-specific Union legal acts [C9]

  7. Termen UE pentru transpunerea NIS2 in legislatiile nationale (NIS2 Art. 41) [C2]

  8. NIS1 (Directiva 2016/1148) abrogata; NIS2 produce efecte [C2]

  9. Romania publica OUG 155/2024 in Monitorul Oficial nr. 1332 din 31 decembrie 2024 — transpunere NIS2; DNSC = autoritate competenta [C6]

  10. Reg. Delegat (UE) 2022/1645 (Part-IS Delegated) devine aplicabil pentru Part-21 si Part-ADR [C8]

  11. Reg. Impl. (UE) 2023/203 (Part-IS Implementing) devine aplicabil pentru Part-145, Part-CAMO, Part-ORO, Part-ATCO, ATM/ANS, ATO [C7]

📋 Obligații cheie

Cadru de risc-management ICT (NIS2 Art. 21(2) + Part-IS ISMS)

efort: high

NIS2 Art. 21(2) impune cele zece masuri minime (a-j) — analiza de risc, gestiunea incidentelor, continuitate, securitatea lantului de aprovizionare, MFA, criptografie, training, evaluare a eficacitatii — abordare all-hazard, aliniate pe standarde europene si internationale, inclusiv ISO/IEC 27001 si ISO/IEC 27002 [C3]. Pe latura aviatica, Part-IS suprapune cerinte specifice: Information Security Management System (ISMS) cu risc-assessment (IS.I.OR.205), risc-treatment (IS.I.OR.210), detectie si raspuns (IS.I.OR.220), Information Security Management Manual (ISMM) si retentie de 5 ani a inregistrarilor [C7]. Organul de conducere aproba si supravegheaza implementarea (NIS2 Art. 20), poate fi tinut responsabil pentru incalcari [C15]. Pentru operatorii aeroportuari din Romania, AACR este autoritatea care monitorizeaza conformitatea Part-IS, in cooperare cu DNSC pe componenta de cybersecurity training (Modulele 27 si 28 din PNPSAC) [C18].

Controale recomandate: NIS2 Art. 21(2)(a-j)Part-IS IS.I.OR.205-235ISO/IEC 27001:2022ICAO Annex 17 Std. 4.9.1AACR PNPSAC Mod. 27-28

Raportarea incidentelor pe doua paliere paralele (NIS2 Art. 23 + Part-IS IS.I.OR.230)

efort: high

Pentru o entitate aviatica acoperita simultan de NIS2 si Part-IS, acelasi eveniment poate declansa doua fluxuri de raportare paralele. NIS2 Art. 23: early warning catre CSIRT (DNSC) in maxim 24h de la constientizare, notificare incident in 72h, raport final in maxim o luna [C4]. Part-IS IS.I.OR.230: notificare catre autoritatea competenta (AACR pentru entitati romanesti) in maxim 72h de la incident cu impact pe siguranta aviatiei, plus rapoarte de follow-up [C7]. In plus, Reg. (CE) 300/2008 si ICAO Annex 17 cer raportarea evenimentelor de unlawful interference, inclusiv cibernetice, prin canalele de securitate aviatica (in Romania: Ministerul Transporturilor + AACR) [C12][C13]. Un CISO de aeroport are nevoie de un singur runbook care alimenteaza, in paralel, formularul DNSC + formularul AACR + raportarea catre EATM-CERT EUROCONTROL daca incidentul afecteaza ATM [C14].

Controale recomandate: NIS2 Art. 23(4)Part-IS IS.I.OR.230Reg. (EC) 300/2008ICAO Annex 17EATM-CERT EUROCONTROL

Securitatea lantului de aprovizionare (NIS2 Art. 21(2)(d) + Part-IS supply chain)

efort: medium

Industria aeronautica functioneaza pe lanturi adanci: avionica, software de bord, sisteme ATM, software de check-in (vMUSE, Altea), platforme de bag drop, sisteme PSS (Passenger Service Systems), sisteme de mentenanta MRO. Incidentele recente confirma blast-radius-ul lantului: ransomware Collins Aerospace (septembrie 2025) a oprit check-in la Heathrow, Bruxelles si Berlin Brandenburg, fortand procesare manuala timp de ore [I1]; SITA in 2021 a expus date pentru 4,5 milioane de pasageri Air India [I3]; LockBit la Boeing in 2023 a scurs 50 GB de date din parts and distribution [I2]. NIS2 Art. 21(2)(d) cere evaluarea furnizorilor critici, clauze contractuale, monitorizare continua [C3]. Pentru Part-IS, operatorul ramane responsabil chiar daca delega functii ICT/ISMS — IS.I.OR.235 [C7]. Recomandare practica: SBOM pentru avionica si software de aeroport, clauze de notificare <24h in contracte, exit strategy pentru hyperscalere si furnizori PSS.

Controale recomandate: NIS2 Art. 21(2)(d)Part-IS IS.I.OR.235Reg. (EU) 2022/1645 Art. 3EATM-CERT supply chain alerts

Continuitate operationala si rezilienta cibernetica (NIS2 Art. 21(2)(c) + ICAO Doc 10213)

efort: high

Aviatia este 24/7, cu marja zero pentru downtime in ATM si redusa in operare aeroportuara. NIS2 Art. 21(2)(c) cere business continuity, backup management si crisis management [C3]. ICAO Doc 10213 (Global Cyber Risk Considerations) si Strategia EUROCONTROL de Cybersecurity anticipeaza ca atacurile vor avea loc — accentul cade pe reducerea magnitudinii si duratei impactului [C13][C14]. Pentru ANSP-uri (ROMATSA), EATM-CERT colecteaza si distribuie cyber intelligence, coordoneaza raspuns paneuropean, suporta CERT-urile nationale [C14]. Lectia din Air Serbia 2025: lipsa log-urilor de securitate a impiedicat determinarea timpului exact de intruziune; planuri de continuitate care nu au fost testate pe runbook real nu functioneaza sub presiune [I6]. RTO/RPO documentate per functie critica (ATC, supraveghere, comunicatii, check-in, bag drop, AODB, BHS) si testare anuala minim.

Controale recomandate: NIS2 Art. 21(2)(c)Part-IS IS.I.OR.220ICAO Doc 10213EUROCONTROL Cyber Strategy

Guvernanta, responsabilitate manageriala si training (NIS2 Art. 20 + AACR PNPSAC Mod. 27-28)

efort: medium

NIS2 Art. 20 cere ca organul de conducere sa aprobe masurile de risc-management, sa supravegheze implementarea si poate fi tinut responsabil pentru incalcari; Statele Membre pot impune interdictii temporare de exercitare a functiilor de conducere pentru entitati esentiale [C15]. In Romania, OUG 155/2024 a transpus aceste prevederi [C6]. Part-IS adauga figura 'accountable manager' (manager responsabil) — persoana cu autoritate sa asigure resursele si politica de securitate [C7]. Specific aviatic: AACR, in consultare cu DNSC, stabileste continutul Modulului 27 (Cybersecurity awareness training) si Modulului 28 (Specific cybersecurity training) din Programul National de Pregatire in Securitatea Aviatiei Civile (PNPSAC) [C18]. Pentru entitatile esentiale, training periodic obligatoriu pentru personal cu acces la sisteme critice (turn de control, AODB, BHS, sisteme de securitate aeroportuara, sisteme MRO).

Controale recomandate: NIS2 Art. 20Part-IS Accountable ManagerOUG 155/2024 Art. 18-20PNPSAC Mod. 27PNPSAC Mod. 28

📰 Incidente reale, lecții concrete

Collins Aerospace (RTX) — ARINC vMUSE/cMUSE

2025 · UE+UK (Heathrow, Bruxelles, Berlin Brandenburg)

Tip: Ransomware (revendicat de gruparea Everest) pe sistemul de check-in si bag drop

Impact: Atac inceput pe 19 septembrie 2025; ENISA a confirmat oficial ca a fost ransomware. Sute de zboruri anulate si intarzieri majore, aeroporturile au revenit la procesare manuala. Bruxelles a cerut anularea a aproape jumatate din zboruri intr-o zi; Heathrow a operat aproape de normal prin contingencies. UK NCA a arestat un suspect in West Sussex sub Computer Misuse Act.

Lecția: Furnizor unic ICT pe functie operationala critica = punct unic de cadere multi-aeroport. NIS2 Art. 21(2)(d) si Part-IS supply chain (IS.I.OR.235) cer evaluare concentrare, clauze de notificare rapida si planuri de bypass manual testate periodic.

Sursă publică ↗

Boeing — parts and distribution business

2023 · SUA (impact global pe supply chain aeronautic)

Tip: Ransomware LockBit, exploat CVE-2023-4966 (CitrixBleed)

Impact: Listat pe site-ul de leak LockBit pe 28 octombrie 2023; Boeing confirma intruziunea pe 2 noiembrie 2023; pe 10 noiembrie 2023, LockBit dumpa ~50 GB de date dupa esuarea negocierilor. Impact pe lantul de aprovizionare al partilor de aeronava.

Lecția: Patch-management pe vulnerabilitati cunoscute (Citrix Bleed avea fix din 10 octombrie 2023). NIS2 Art. 21(2)(e) si Part-IS IS.I.OR.205 cer gestionarea vulnerabilitatilor in timp util, cu trecere prin scope critic (production, sisteme expuse Internet).

Sursă publică ↗

SITA Passenger Service System (PSS) — Air India + Lufthansa + American Airlines + Star Alliance

2021 · Global (UE + Asia + SUA)

Tip: Atac cibernetic 'highly sophisticated but limited' identificat pe 24 februarie 2021

Impact: Air India a confirmat 4,5 milioane de pasageri afectati cu date din intervalul 26 august 2011 - 3 februarie 2021: nume, data nasterii, pasaport, ticket, status frequent flyer. SITA are peste 2.500 de clienti aviatie in 200+ tari. Air India a publicat statement-ul cu numirea SITA abia pe 15 mai 2021 — intarziere de comunicare de cinci saptamani.

Lecția: Furnizor PSS = single point of failure pentru zeci de airlines. NIS2 Art. 23 cere notificare catre CSIRT in 24h/72h; intarzierea de cinci saptamani Air India ar fi cumulat azi sanctiuni atat NIS2 cat si GDPR (Art. 33).

Sursă publică ↗

EUROCONTROL + 7 aeroporturi germane (Düsseldorf, Hanover, Dortmund, Erfurt, Nürnberg, Baden-Baden + Bremen)

2023 · UE (Belgia / Germania)

Tip: DDoS hacktivist KillNet / Anonymous Sudan / Anonymous Russia

Impact: Februarie 2023: site-uri publice ale aeroporturilor germane oprite, fara impact pe zboruri sau pe sisteme operationale. Aprilie 2023: 'maraton EUROCONTROL de 100 ore' anuntat de KillNet; comunicatiile interne si externe afectate pentru 2.000 angajati care au trecut pe canale comerciale; siguranta traficului aerian neafectata. Cazuri similare in Statele Unite (octombrie 2022) si Germania (ianuarie 2023).

Lecția: DDoS hacktivist pro-rus = vector recurent pe public-facing sites din transport. Anti-DDoS la edge, WAF pentru aplicatii publice, segregarea retelelor publice de cele operationale — cerinte minime NIS2 Art. 21(2)(a) si (e).

Sursă publică ↗

Air Serbia (JAT)

2025 · Serbia (operator regional, conexiuni Bucuresti / Cluj)

Tip: Cyberattack cu compromis Active Directory

Impact: Memo intern din 10 iulie 2025 amana distribuirea fluturasilor de salariu iunie 2025; salariile platite dar PDF-urile inaccesibile. Pe 14 iulie 2025, echipa interna nu reusise eradicarea acceselor; lipsa de log-uri de securitate impiedica determinarea timpului exact de intruziune, estimat in primele zile din iulie 2025. Risc inalt de compromis date personale.

Lecția: Loguri si telemetrie pe AD = preconditie pentru investigatie. NIS2 Art. 21(2)(a) (analiza de risc) si (i) (monitoring) cer logging centralizat cu retentie suficienta. Daca nu poti raspunde la 'cand a intrat atacatorul?', nu poti respecta Art. 23 (early warning 24h).

Sursă publică ↗

⚠️ Amenințări tipice

  • • Ransomware pe sisteme bagaje/check-in (vezi Cathay 2024)
  • • DDoS pe sisteme online check-in
  • • Spoofing GPS / GNSS

💰 Amenzi maxime

Max 10 mil. EUR sau 2% cifra afaceri

📊 Status conformitate România

ROMATSA + aeroporturi (Otopeni, Cluj, Timișoara) sub auditul Q2 2026.

🛡️ Cum ajută CAI Technology

AEGIS — Observability + SecOps cu AI

SIEM unified pentru DC on-premise: logs + metrics + threat detection + AI incident analysis.

ARTEMIS — Pentest cu AI · Hunt · Reveal · Strike

Platformă autonomă de pentesting cu 5 agenți AI și 6 tipuri de audit. De la 2€ per scan, fără abonament.

CAI-AUTH — Identity Provider post-quantum

OIDC IdP construit în România cu criptografie post-quantum (hybrid post-quantum signatures). Patent Pending.

Lexnomia — Audit conformitate UE

Self-serve audit conformitate pe 7+ regulamente UE: GDPR, NIS2, DORA, EU AI Act, ISO 27001, CRA, DSA.

📚 Reglementări adiacente care se suprapun

Reg. Delegat (UE) 2022/1645 (Part-IS Delegated) · Direct aplicabil din 16 octombrie 2025; nu necesita transpunere nationala [C8]

Pentru organizatii de proiectare si productie (Part-21) si operatori de aerodroame (Part-ADR) plus apron management service providers. Pentru CN Aeroporturi Bucuresti, AIBC Cluj, AITS Timisoara, Aeroportul Iasi — Part-IS Delegated devine cadrul tehnic principal pe ISMS aviatic.

Reg. Impl. (UE) 2023/203 (Part-IS Implementing) · Direct aplicabil din 22 februarie 2026; nu necesita transpunere nationala [C7]

Pentru organizatii Part-145 (mentenanta), Part-CAMO, Part-ORO (operatori aerieni, dar AOC direct exclus), Part-ATCO (training controlori), Part-ATM/ANS (ROMATSA), ATO (training). ISMM obligatoriu, retentie inregistrari 5 ani, raportare 72h la AACR pentru evenimente cu impact pe siguranta. Romaero (Part-145) si zona MRO a TAROM intra in scope.

Reg. (CE) 300/2008 — aviation security (anti-unlawful interference) · Aplicabil de la 11 martie 2008; programe nationale in Romania prin PNSAC + PNPSAC [C12]

Cadrul de baza pentru protectia aviatiei civile impotriva actelor de interferenta ilicita, inclusiv cibernetice (prin amendamentele ulterioare). In Romania: Programul National de Securitate a Aviatiei Civile (PNSAC) + Programul National de Pregatire (PNPSAC), gestionate de Ministerul Transporturilor si AACR. Modulele cibernetice 27 si 28 (consultate cu DNSC).

Reg. (UE) 2018/1139 — EASA Basic Regulation · Direct aplicabil din septembrie 2018 [C11]

Regulamentul de baza al EASA, sub care sunt emise toate sub-regulamentele Part-* (Part-145, Part-CAMO, Part-ORO, Part-ATCO, Part-ATM/ANS, Part-ADR, Part-21) plus Part-IS. Pentru orice entitate aviatica romaneasca, conformitatea tehnica trece prin acest regulament + sub-acte.

ICAO Annex 17 — Security (Safeguarding Civil Aviation Against Acts of Unlawful Interference) · Standard international SARPs; implementat in UE prin Reg. (CE) 300/2008; in Romania prin AACR [C13]

Standard 4.9.1 si Doc 8973 Chapter 18 acopera explicit amenintarile cibernetice. Doc 10213 (Global Cyber Risk Considerations) furnizeaza ghidare pentru analiza de risc cibernetic in aviatie. ICAO + EASA + EUROCONTROL formeaza triunghiul de coordonare pentru ANSP-uri si aeroporturi din UE.

Întrebări frecvente

Sunt un aeroport regional din Romania (sub 250.000 pasageri/an). Sunt sub NIS2?

Probabil, da. NIS2 Art. 2 + Anexa I listeaza organismele de administrare a aeroporturilor ca sector de criticitate ridicata, iar pragul implicit este intreprindere medie sau mare (>= 50 angajati sau >= 10 mil. EUR cifra de afaceri / bilant) [C1]. Multe aeroporturi regionale depasesc 50 de angajati. Sub prag, DNSC poate identifica individual entitati drept critice si le poate notifica — pentru aeroporturile romanesti cu rol strategic (Iasi, Cluj, Timisoara) probabilitatea este ridicata [C6].

Care e relatia practica intre NIS2 si Part-IS pentru o entitate aviatica?

Cumulativa, nu alternativa. Conform Ghidului Comisiei pe Art. 4 NIS2, Part-IS NU este 'lex specialis' — adica obligatiile NIS2 nu dispar cand aplici Part-IS [C9]. In practica: ai un singur ISMS care satisface ambele (multe controale se suprapun cu ISO/IEC 27001 [C3]), dar doua canale de raportare a incidentelor (DNSC pentru NIS2, AACR pentru Part-IS) [C4][C7]. EASA lucreaza cu Comisia pentru creditare formala, dar pana atunci coexista.

TAROM e operator AOC. Pica sub Part-IS?

AOC-ul ca atare NU este sub Part-IS [C10]. Dar TAROM are alte certificate EASA: Part-145 pentru mentenanta in-house, posibil ATO pentru training, Part-CAMO pentru managementul navigabilitatii. Pentru aceste parti din organizatie, Part-IS se aplica integral. In plus, TAROM ramane sub NIS2 ca transportator aerian — Anexa I cere risc-management cibernetic la nivel de companie, nu doar pe ramurile EASA-certificate [C1][C10].

Cine plateste daca un atac la furnizorul ICT (Collins, SITA) imi opreste check-in-ul?

Tu, ca operator, ramai prim raspunzator catre DNSC, AACR si pasageri — supply-chain risk este responsabilitatea ta, NU a furnizorului. NIS2 Art. 21(2)(d) cere evaluare a furnizorilor critici, clauze contractuale, monitorizare [C3]. Part-IS IS.I.OR.235: operatorul ramane responsabil chiar daca delega functii [C7]. Incidentul Collins Aerospace 2025 [I1] a aratat ca aeroporturile cu plan de bypass manual testat au supravietuit, cele fara nu. In contractele cu furnizorii ICT trebuie clauza de notificare rapida (<24h), audit, exit strategy.

Termenele de raportare incident catre AACR si DNSC — exact?

Doua canale paralele. NIS2 Art. 23 catre CSIRT (DNSC): early warning in maxim 24h de la constientizare, notificare in 72h, raport final in maxim o luna [C4]. Part-IS IS.I.OR.230 catre autoritatea competenta (AACR): notificare in maxim 72h pentru incidente cu impact pe siguranta aviatiei, plus follow-up reports [C7]. Pentru ATM/ATS incidents, raportare paralela catre EATM-CERT EUROCONTROL pentru coordonare pan-europeana [C14]. Recomandare practica: un singur process care alimenteaza automat ambele formulare + EUROCONTROL.

Plafonul maxim de amenda NIS2 pentru un aeroport esential?

Sub NIS2 Art. 34: maxim cel putin 10.000.000 EUR sau 2% din cifra de afaceri mondiala anuala, oricare e mai mare [C5]. Pentru CN Aeroporturi Bucuresti, cu venituri din anii buni depasind 100 mil. EUR, plafonul 2% poate depasi 10 mil. EUR. Sanctiunile pot fi cumulative cu cele din GDPR Art. 83 (daca incidentul a expus date personale) si cu sanctiuni AACR pe latura Part-IS / Reg. 300/2008 (cuantum stabilit prin legislatia nationala — OUG 155/2024 + acte administrative).

Cine raspunde personal in conducerea unui aeroport / ANSP?

NIS2 Art. 20 cere ca organul de conducere sa aprobe masurile de risc-management, sa supravegheze implementarea si poate fi tinut responsabil; Statele Membre pot impune interdictii temporare de exercitare a functiilor de conducere pentru entitati esentiale [C15]. In Romania, OUG 155/2024 a transpus aceste prevederi [C6]. Part-IS adauga figura 'accountable manager' — persoana cu autoritate sa asigure resursele si politica de securitate, care semneaza ISMS-ul [C7]. La nivel personal: directorul general + CISO + accountable manager Part-IS.

🔗 Surse oficiale

Ești în sectorul transport aerian?

Audit gratuit NIS2 pentru companii peste 50 angajați. Răspundem în 24 ore lucrătoare.

Solicită audit →