Ce inseamna cu adevarat 'proportional' in art. 21(1) NIS 2
Cel mai util cuvant din NIS 2 este 'proportional'. Este linia dintre o implementare pe care un Mittelstand de 60 de persoane o poate sustine si un cost de teatru de audit pe care nicio Geschäftsführung nu il va aproba.
De ce proportionalitatea este cuvantul de sustinere
Cele mai multe echipe abordeaza art. 21 NIS 2 ca pe o lista de bifat de zece masuri de securitate cibernetica. Directiva nu spune asta. Spune ca entitatile trebuie sa ia masuri care sunt adecvate si proportionale, iar art. 21(1) enumera sase factori care decid ce inseamna proportional in cazul vostru specific.
Acest lucru conteaza in doua directii. In sus: permite unui Stadtwerk de 60 de persoane sa opereze fara stiva GRC a unei banci de 5000 de persoane. In jos: va obliga sa scrieti de ce nivelul vostru este suficient. Proportionalitatea nu este o portita de scapare, este o alegere documentata.
Cititorii de prima data rateaza adesea acest lucru deoarece cuvantul suna ca o acoperire. Este opusul. Proportionalitatea este singura ancora legala pentru adaptarea NIS 2 la bugetul unui Mittelstand si este singura aparare impotriva unui auditor care sugereaza ca ar fi trebuit sa faceti mai mult.
Art. 21(1) NIS 2 (operativ)
Statele membre se asigura ca entitatile esentiale si importante iau masuri tehnice, operationale si organizationale adecvate si proportionale pentru a gestiona riscurile la adresa securitatii retelelor si sistemelor informatice pe care aceste entitati le utilizeaza pentru operatiunile lor sau pentru furnizarea serviciilor lor, precum si pentru a preveni sau a reduce la minimum impactul incidentelor asupra destinatarilor serviciilor lor.
Acelasi paragraf enumera sase factori care decid proportionalitatea: gradul de expunere la riscuri al entitatii, marimea entitatii, probabilitatea producerii incidentelor si gravitatea lor, inclusiv impactul societal si economic, stadiul actual al tehnicii si costul implementarii. Toti sase sunt date de intrare pentru decizie, niciunul nu este optional.
Considerentul 79 NIS 2
Masurile de gestionare a riscurilor de securitate cibernetica ar trebui sa fie proportionale cu gradul de expunere la riscuri al entitatii in cauza si cu impactul societal si economic pe care l-ar avea un incident.
Considerentul 79 este cadrul interpretativ. Le spune instantelor si auditorilor ca de la o entitate mica, cu amprenta transfrontaliera redusa, nu se asteapta sa egaleze un operator paneuropean de mari dimensiuni.
CIR 2024/2690, art. 1
Prezentul regulament stabileste cerintele tehnice si metodologice ale masurilor mentionate la articolul 21(2) din Directiva (UE) 2022/2555 in ceea ce priveste entitatile enumerate in anexa.
Regulamentul de punere in aplicare cuantifica masuri doar pentru un set restrans de furnizori de infrastructura digitala (DNS, TLD, cloud, centru de date, CDN, MSP, MSSP, piata, motor de cautare, platforma sociala, servicii de incredere). Toti ceilalti aplica proportionalitatea fara acele praguri cantitative.
Gradul de expunere la riscuri
Care este suprafata reala de amenintare? O utilitate de apa potabila cu doar un segment SCADA este intr-o pozitie diferita fata de un spital cu dosare de pacienti pe internetul deschis.
Marimea entitatii
Numar de angajati, cifra de afaceri, acoperire de piata. Directiva asteapta controale diferite de la 60 de angajati si de la 6000 de angajati. Ambii pot fi conformi.
Probabilitatea si severitatea incidentelor
Rata istorica a incidentelor, interesul actorilor de amenintare pentru sector, severitatea daca se intampla. Un producator farmaceutic se confrunta cu sanse diferite fata de un broker logistic.
Impactul societal si economic
Cine este afectat cand esuati. Un operator de retea electrica are o densitate de impact mai mare per esec decat o companie B2B SaaS. Acest factor trage catre masuri mai grele chiar si in entitatile mici.
Stadiul actual al tehnicii
Care este nivelul tehnic de baza pe care l-ar implementa un omolog rezonabil. MFA in 2026 este stadiul actual al tehnicii pentru accesul de administrator; stocarea parolelor cu SHA-1 nu este.
Costul implementarii
Documentat explicit in art. 21(1). Nu puteti sari peste o masura pentru ca este scumpa, dar puteti alege o cale mai putin costisitoare daca aceasta atinge obiectivul de securitate.
Stadtwerk, 80 de angajati, distributie de energie
Sector din Anexa I, intra in domeniul de aplicare indiferent de marime daca furnizeaza servicii esentiale. Stiva proportionala: MFA pe accesul de administrator si de OT, retea OT segmentata, clauze contractuale scrise cu furnizorii, simulare anuala de incident, registru de risc documentat. Fara SOC, fara SIEM ca serviciu. Defensabil deoarece expunerea este sectoriala, dar numarul de angajati este mic.
Spital, 200 de angajati, clinica regionala
Sector de sanatate din Anexa I. Stiva proportionala adauga: criptarea datelor pacientilor in repaus, audit al furnizorilor pentru vanzatorii de IT clinic, garda 24/7 pentru raspunsul la incidente, politica formala de clasificare a incidentelor. Mai grea decat Stadtwerk-ul deoarece impactul societal este mai mare per esec si suprafata de amenintare este mai larga.
O analiza scrisa de proportionalitate
Parcurgeti cei sase factori, declarati pozitia voastra pentru fiecare, justificati de ce profunzimea de masuri rezultata este suficienta. O pagina este suficienta pentru o entitate de 60 de persoane.
O evidenta cost-beneficiu per pas omis
Daca o entitate omoloaga face X si voi nu, documentati de ce. Stand der Technik plus cost este un motiv legitim. Tacerea nu este.
O revizuire anuala
Deciziile de proportionalitate imbatranesc. Peisajul amenintarilor se schimba, marimea voastra se schimba, practica omologilor se modifica. Reluati-va pozitia cel putin anual.
- Directiva (UE) 2022/2555 (NIS 2), art. 21(1) si considerentul 79, www.eur-lex.europa.eu
- Regulamentul de punere in aplicare (UE) 2024/2690 al Comisiei (CIR), art. 1, www.eur-lex.europa.eu
- Legea privind Oficiul Federal pentru Securitatea Informatiei (BSIG), §30 (transpunerea nationala a art. 21), www.gesetze-im-internet.de
- ENISA Technical Implementation Guidance v1.0 (iunie 2025) privind evaluarea proportionalitatii
Aceasta pagina ofera indrumare structurata pe baza unor surse disponibile public (Directiva NIS 2, CIR 2024/2690, BSIG, ENISA TIG). Nu constituie consultanta juridica in sensul §2 RDG. Pentru cazuri specifice consultati un avocat admis in barou. La data de 2026-06-04.