Mittelstand / IMM

Implementarea NIS2 pentru companiile din segmentul mediu

O foaie de parcurs practica de implementare in 12 saptamani pentru companiile germane cu 50-250 de angajati, fara echipa de securitate necesara.

Simon OrzelSimon Orzel·Laufend geprüft

Sunteti vizati. Si acum?

Se estimeaza ca 29.500 de companii din Germania intra in domeniul de aplicare al NIS2. Daca aveti peste 50 de angajati si operati intr-un sector vizat (gestionarea deseurilor, productia alimentara, fabricatie, energie, transport, sanatate, infrastructura digitala) sunteti aproape sigur una dintre ele. BSIG a intrat in vigoare la 6 decembrie 2025, iar termenul de inregistrare la BSI a fost 6 martie 2026.

Iata ce nu va vor spune majoritatea consultantilor: pentru o companie din segmentul mediu cu IT de baza, conformitatea NIS2 este gestionabila. Nu este un proiect de 6 luni de sase cifre. Cele mai multe dintre cele 49 de cerinte BSIG sunt documentatie scrisa o singura data: politici, evaluari de risc, proceduri. Doar cateva necesita procese operationale continue. Legea cere masuri 'adecvate' proportionale cu riscul vostru, nu o infrastructura de securitate de tip Fortune 500.

Acest ghid va ofera planul practic: o foaie de parcurs de 12 saptamani, rolurile de care aveti nevoie (toate cu fractiune de norma, toate cu personalul existent), greselile frecvente care impiedica companiile de marimea voastra si ordinea de prioritate pentru abordarea celor 10 masuri obligatorii in temeiul §30 BSIG. Fara teorie, fara alarmism, doar pasii.

Pentru cine este acest ghid
Acest ghid este scris special pentru companiile germane din segmentul mediu care intalnesc NIS2 pentru prima data.
  • Companii cu 50-250 de angajati in sectoarele NIS2
  • Personal IT limitat, poate 2-5 persoane, nu o echipa de securitate
  • Fara un departament de conformitate dedicat sau experienta GRC
  • Prima interactiune cu NIS2, BSIG sau inregistrarea la BSI

Foaie de parcurs pentru implementare

Fundatie
Saptamanile 1-2
Stabiliti fundatia organizationala: inregistrati-va la BSI, atribuiti responsabilitati si informati conducerea despre raspunderea personala in temeiul §38 BSIG. Aceasta faza inseamna implicarea oamenilor potriviti si definirea domeniului.
  • Inregistrare la BSI prin Mein Unternehmenskonto + portalul BSI
  • Numirea responsabilului de conformitate (rol cu fractiune de norma, nu o noua angajare)
  • Sesiune de informare a conducerii despre atributiile §38 BSIG si raspunderea personala
  • Configurarea platformei de conformitate si invitarea membrilor echipei
  • Domeniu initial: identificati ce categorie de entitate se aplica (esentiala sau importanta)
Evaluarea riscului
Saptamanile 3-4
Construiti inventarul de active si efectuati evaluarea initiala a riscului. Aceasta este fundatia pe care se construieste totul, masura 1 din §30(1) BSIG. Folositi metodologia de analiza a riscului BSI-200-3: identificati activele, identificati amenintarile, evaluati probabilitatea si impactul, decideti tratarea.
  • Construiti inventarul de active, grupand activele identice (de ex. '45 de laptopuri' = 1 intrare)
  • Identificati si clasificati furnizorii cu acces la sistemele voastre
  • Efectuati evaluarea initiala a riscului: probabilitate × impact pentru fiecare activ
  • Documentati deciziile de tratare a riscului: acceptare, atenuare, transfer sau evitare
  • Mapati riscurile la masurile BSIG: ce controale abordeaza ce riscuri
Controale si documentatie
Saptamanile 5-8
Documentati controalele si procedurile de securitate. Aceasta este cea mai mare faza ca volum, dar majoritatea cerintelor sunt politici scrise o singura data. Concentrati-va pe documentarea a ceea ce faceti deja (majoritatea companiilor au procese informale) si pe acoperirea lacunelor reale.
  • Scrieti sau adoptati politici de securitate (securitatea informatiei, controlul accesului, raspunsul la incidente)
  • Documentati utilizarea criptografiei si abordarea de gestionare a cheilor
  • Configurati procesul de raspuns la incidente cu cascada 24h/72h/1 luna
  • Revizuiti controlul accesului: privilegiu minim, proceduri de integrare/dezangajare
  • Documentati procedurile de continuitate a activitatii si de backup
  • Implementati sau documentati MFA pentru sistemele critice
Dovezi si pregatire pentru audit
Saptamanile 9-12
Inchideti bucla: aprobari ale conducerii, finalizarea instruirii, colectarea dovezilor si o prima verificare a eficacitatii. Aceasta faza transforma masurile voastre documentate in dovezi de conformitate auditabile.
  • Conducerea aproba oficial toate masurile de securitate cibernetica (atributia §38)
  • Finalizati instruirea obligatorie de securitate cibernetica a conducerii
  • Incarcati documente justificative: capturi de ecran, configuratii, aprobari de politici
  • Efectuati prima evaluare a eficacitatii: functioneaza controalele cu adevarat?
  • Exportati raportul de conformitate pentru revizuire interna
Rolurile de care aveti nevoie
Nu trebuie sa angajati pe nimeni. Acestea sunt responsabilitati cu fractiune de norma atribuite personalului existent.

Responsabil de conformitate (4-8 ore/saptamana)

Conduce procesul, completeaza formularele cerintelor, coordoneaza cu IT-ul si conducerea. De obicei managerul IT, managerul de calitate sau responsabilul de operatiuni.

Persoana de contact IT (2-4 ore/saptamana)

Ofera input tehnic: detalii despre active, arhitectura retelei, statutul criptarii, controale de acces. Administratorul sau managerul vostru IT.

Sponsor din conducere (1-2 ore/saptamana)

Revizuieste si aproba masurile, finalizeaza instruirea, demonstreaza supravegherea. Cerut de §38 BSIG, nu poate fi delegat.

Auditor extern (optional)

Pentru operatorii KRITIS: necesar la fiecare 3 ani. Pentru entitatile esentiale si importante: optional, dar recomandat pentru primul ciclu de conformitate, pentru a valida munca voastra.

Greseli frecvente
Ce vedem ca gresesc companiile si cum sa evitati.

  • Asteptarea 'ghidului final'

    Legea este in vigoare din decembrie 2025. CIR defineste masurile tehnice. Nu vine niciun ghid suplimentar care sa schimbe ce trebuie sa faceti. Incepeti acum.

  • Supradimensionarea solutiei

    O companie de gestionare a deseurilor cu 100 de persoane nu are nevoie de un SOC sau de un SIEM. Potriviti controalele profilului vostru real de risc. BSIG cere masuri 'adecvate', nu masuri maxime.

  • Tratarea ca un proiect IT

    §38 BSIG face din aceasta o responsabilitate a conducerii. Daca administratorul nu este implicat, sunteti deja neconform. Programati sesiunea de informare a conducerii in saptamana 1.

  • Ignorarea securitatii lantului de aprovizionare

    NIS2 cere explicit evaluarea securitatii cibernetice a furnizorilor vostri. Aceasta ia multe companii prin surprindere. Incepeti devreme sa documentati relatiile cu furnizorii.

  • Conformitate pe hartie fara masuri reale

    Scrierea de politici pe care nu le citeste nimeni nu conteaza. BSI poate solicita dovezi ca masurile sunt efectiv implementate si eficiente. Construiti procese reale, nu doar documente.

Incepeti implementarea astazi
Platforma va ghideaza prin toate cele 49 de cerinte BSIG in ordinea in care ar trebui implementate, cu formulare structurate, incarcari de dovezi si fluxuri de lucru de aprobare a conducerii, exact ce are nevoie o companie din segmentul mediu pentru a deveni conforma fara a angaja un consultant.
Incepeti procesul vostru de conformitate NIS2