Angajamentul nostru
La AdSymphony tratăm securitatea cibernetică ca pe o obligație față de clienți, parteneri și echipă. Ne aliniem cadrului european NIS2 – Directiva (UE) 2022/2555 privind un nivel comun ridicat de securitate a rețelelor și sistemelor informatice – și regulilor aplicabile în România (OUG nr. 155/2024, aprobată cu modificări prin Legea nr. 124/2025). (EUR-Lex)
Notă: Chiar dacă o agenție de publicitate/marketing nu intră de regulă în categoriile „entități esențiale sau importante”, implementăm voluntar măsurile-cheie NIS2 pentru a asigura continuitatea serviciilor și protecția datelor. (nis-2-directive.com)
1) Guvernanță & responsabilitate
- Politică de management al riscului cibernetic cu inventarierea activelor, evaluări periodice și registru de riscuri.
- Răspunderea managementului pentru aprobarea bugetelor, obiectivelor și raportarea indicatorilor de securitate.
- Roluri clare: responsabil securitate (CISO fractional), echipa de răspuns la incidente, proprietari de sisteme.
Acestea reflectă principiile art. 21 NIS2 privind măsurile de management al riscului. (nis-2-directive.com)
2) Măsuri tehnice și organizatorice
Implementăm un set de controale aliniat recomandărilor ENISA pentru NIS2:
- Control acces & MFA: autentificare multifactor la conturi privilegiate și resurse critice.
- Criptare & gestionarea cheilor pentru date în tranzit și în repaus, acolo unde este aplicabil.
- Patching & managementul vulnerabilităților (scannere recurente + SLA-uri de remediere).
- Logging & detecție: centralizare jurnale, alerte corelate, retenție conformă.
- Back-up & continuitate: copii izolate, teste de restaurare, plan de continuitate/DR.
- Securitate în ciclu de viață: „secure by design”, revizuiri de cod pentru componentele interne, SBOM pentru integrări relevante.
- Protecția e-mail & endpoint
- Minimizarea datelor clienților și separarea mediilor (prod/staging).
Ghidaj: ENISA – „Technical implementation guidance on cybersecurity risk-management measures”. (enisa.europa.eu)
3) Securitatea lanțului de aprovizionare (third parties)
- Due diligence pentru furnizorii cu acces la date/sisteme (DPA, clauze de securitate).
- Evaluări la contractare și anual (controale minime, MFA, logging, back-up, răspuns la incidente).
- Încetarea colaborării: proceduri de revocare acces & ștergere/returnare date.
Aceste cerințe sunt prevăzute explicit în art. 21 NIS2 (securitatea lanțului de aprovizionare). (nis-2-directive.com)
4) Răspuns la incidente & raportare
- Playbook de incident (identificare, izolare, eradicare, recuperare, lecții învățate).
- Cronologie NIS2: în cazul unui incident semnificativ, urmăm termenele de raportare:
- Avertizare timpurie în 24h,
- Notificare incident în 72h,
- Raport final în max. 1 lună.
Termenele sunt stabilite de art. 23 din NIS2; în România, autoritatea competentă este DNSC. Dacă prin natura activității vom fi catalogați drept entitate acoperită, notificăm DNSC conform cadrului național. (nis-2-directive.com)
5) Continuitatea serviciilor
- Plan de continuitate & dezastru testat (exerciții cel puțin anual).
- RTO/RPO definite pentru sisteme critice (campanii, rapoarte, automatizări).
- Canale alternative pentru comunicarea cu clienții pe durata incidentelor.
Aceste măsuri sunt parte a setului de „business continuity” cerut de art. 21 NIS2. (nis-2-directive.com)
6) Conștientizare & training
- Onboarding cu training de securitate, urmat de refresh trimestrial (phishing sims, bune practici parole/MFA, manipulare date).
- Proceduri clare pentru raportarea rapidă a evenimentelor și a e-mailurilor suspecte.
ENISA recomandă programe recurente de pregătire și conștientizare pentru implementare efectivă. (enisa.europa.eu)
7) Audit, testare & îmbunătățire continuă
- Teste tehnice (scanări și teste de intruziune periodice).
- Audit anual al politicilor și proceselor de securitate.
- Lecții învățate documentate după evenimente/alerte majore.
Aliniat cu abordarea de îmbunătățire continuă din ghidajul ENISA. (enisa.europa.eu)
8) Confidențialitate & GDPR
- Principiul minimizării datelor, legalitate & transparență.
- DPIA atunci când lansăm fluxuri noi cu date personale.
- Drepturile persoanelor vizate și canale de exercițiu documentate.
NIS2 completează, nu înlocuiește, obligațiile de protecție a datelor. (EUR-Lex)
9) Domeniu de aplicare în România
În România, cadrul NIS2 este transpus prin OUG nr. 155/2024, ulterior aprobată și modificată prin Legea nr. 124/2025. Competentă la nivel național este Direcția Națională de Securitate Cibernetică (DNSC), inclusiv pentru notificări. Actualizăm permanent această pagină în funcție de ordinele/ghidurile DNSC și modificările legislative. (cms-lawnow.com)
10) Politică de divulgare responsabilă a vulnerabilităților
Dacă identificați o vulnerabilitate în serviciile noastre, vă rugăm să ne contactați la emil@adsymphony.ro. Ne angajăm să:
- confirmăm primirea în 48h,
- furnizăm o evaluare inițială în 5 zile lucrătoare,
- remediem conform severității și să vă ținem la curent.
Politica noastră urmează bunele practici ENISA pentru gestionarea vulnerabilităților. (enisa.europa.eu)
Declarație
Acest material descrie alinierea AdSymphony la cerințele NIS2 și la cadrul național, nu o certificare/atestare oficială. Statutul de „entitate esențială/importantă” depinde de criteriile din Directivă și din legislația națională. În cazul în care AdSymphony va fi încadrată formal, vom urma integral procedurile DNSC aplicabile. (nis-2-directive.com)
Resurse utile
- Textul oficial al Directivei (UE) 2022/2555 (NIS2). (EUR-Lex)
- ENISA – Ghid tehnic pentru măsuri de management al riscului (implementare NIS2). (enisa.europa.eu)
- Actualizări privind transpunerea în România (GEO 155/2024, Legea 124/2025). (cms-lawnow.com)
