NIS2 accelerează proiectele de integrare: IAM și SIEM devin critice pentru companiile din România

Pe fondul presiunii de conformare la Directiva NIS2, valul de proiecte de integrare IT din companiile românești a intrat într-o nouă etapă: identitatea digitală și monitorizarea evenimentelor de securitate nu mai sunt „nice to have”, ci infrastructură critică. IAM (Identity and Access Management) și SIEM (Security Information and Event Management) devin coloana vertebrală pentru guvernanța accesului, vizibilitatea end‑to‑end și raportarea incidentelor, mai ales într-un peisaj tot mai complex de procese EDI și integrare non‑EDI cu sisteme cloud, ERP, marketplace‑uri și autorități.

De ce NIS2 schimbă regulile jocului

Directiva (UE) 2022/2555 – cunoscută drept NIS2 – extinde semnificativ aria entităților „esențiale” și „importante” (de la energie, transport și sănătate, la infrastructură digitală, servicii poștale, apă, producția de echipamente critice, administrație publică etc.) și ridică standardul măsurilor tehnico‑organizatorice. Printre cerințele explicite se află gestionarea identităților și accesului (inclusiv MFA), jurnalizarea și monitorizarea continuă, raportarea incidentelor în 24/72 de ore și guvernanța riscurilor în lanțul de aprovizionare.

Sancțiunile administrative prevăzute de NIS2 pot ajunge până la 10 milioane de euro sau 2% din cifra de afaceri globală (pentru entități esențiale) și până la 7 milioane de euro sau 1,4% (pentru entități importante). În România, rolul de autoritate competentă și CERT național este exercitat de Directoratul Național de Securitate Cibernetică (DNSC), care publică periodic alerte, ghiduri și recomandări sectoriale. Pentru C‑level, mesajul este clar: guvernanța identității și telemetria de securitate nu mai pot fi amânate.

Integrarea crește în complexitate: EDI, ERP, cloud și marketplace‑uri

Pentru multe organizații locale, digitalizarea accelerată a adăugat straturi noi de integrare ce trebuie securizate și monitorizate unitar:

• EDI (Electronic Data Interchange) cu retaileri mari precum Carrefour România, Kaufland România sau METRO Cash & Carry, unde schimburile de comenzi, avize și facturi impun atât conformitate de format, cât și control robust al identităților de sistem (API keys, certificate, conturi tehnice).
• Integrarea cu RO e‑Factura și alte sisteme fiscale electronice operate de ANAF, unde furnizori ERP precum TotalSoft (Charisma ERP), Senior Software (SeniorERP), SoftOne România sau SAP România oferă conectori și gateway‑uri pentru schimbul securizat de documente. Deși e‑Factura nu este EDI în sens clasic, ea extinde suprafața de integrare ce trebuie inventariată, autentificată și jurnalizată.
• Conexiuni non‑EDI prin API cu platforme de logistică (FAN Courier, Sameday, DPD) și marketplace‑uri (eMAG Marketplace), precum și migrarea către SaaS (Microsoft 365, Google Workspace), IaaS/PaaS (Microsoft Azure, AWS), fiecare aducând identități federate și fluxuri de evenimente ce trebuie corelate.

În lipsa unui IAM coerent, conturile privilegiate, cheile de integrare și identitățile de mașină scapă rapid de sub control. Iar fără un SIEM modern, distribuția jurnalelor în mai multe medii lasă „zone moarte” exact acolo unde un incident ar putea escalada rapid.

Vânzători și integratori activi în România

Pe segmentul IAM, Microsoft Entra ID (fost Azure AD) este omniprezent în organizațiile care au standardizat pe Microsoft 365, completat frecvent de soluții PAM (privileged access management) precum CyberArk sau Delinea (fost Centrify), și de platforme independente precum Okta (prin parteneri locali din grupul Bittnet, Dendrio) ori One Identity. Pe partea de SIEM, implementările locale se concentrează în jurul Splunk, IBM QRadar, Microsoft Sentinel și, în medii cu cerințe de suveranitate a datelor, stack‑uri open-source consolidate de integratori.

Servicii de SOC (Security Operations Center) și MDR/MSSP sunt oferite de jucători precum Bitdefender (MDR bazat pe telemetrie XDR și integrare cu SIEM), Safetech Innovations (listată la BVB), Orange Business (prin Orange România) și integratori enterprise precum IBM România, Kyndryl sau Kontron România (fosta S&T). Pentru companii fără echipe interne extinse, modelele „as‑a‑service” scurtează timpul până la conformitate.

Sectoare în prim‑plan: bănci, energie, retail

Băncile – Banca Transilvania, Raiffeisen Bank România, ING – au deja tradiție în IAM puternic (SSO, MFA, guvernanță a accesului) și SIEM/SOC matur, impulsionate de reglementări precum PSD2 și EBA GL. NIS2 împinge însă extinderea controalelor către furnizori, aplicații non‑critice și sucursale, reducând „insulele” de identitate.

În energie și utilități, operatori ca OMV Petrom, Hidroelectrica, E‑Distribuție/PPC și Electrica combină cerințele NIS2 cu realitățile ICS/OT. Integrarea jurnalelor OT în SIEM, segmentarea de rețea și accesul privilegiat la sisteme industriale devin priorități, la pachet cu planuri de răspuns la incidente multi‑parte (furnizori, operatori, autorități).

Retailul și FMCG – Carrefour România, Kaufland, Profi, Altex – gestionează volume mari de integrare EDI și API cu furnizori, curieri și marketplace‑uri. Aici, NIS2 înseamnă standardizarea controalelor de identitate pentru conturi de sistem, rotația cheilor, audit trail end‑to‑end și integrarea alertelor din WMS/TMS/ERP în SIEM pentru detectarea anomaliilor (ex. manipulări de preț sau fluxuri neobișnuite de retur).

Ce înseamnă „bun” în IAM și SIEM, în termeni NIS2

• IAM: inventar complet al identităților (umane, aplicative, mașină), MFA pervasiv, SSO unde e posibil, politici de „least privilege”, separare a atribuțiilor, aprobare/recertificare periodică, PAM pentru conturi privilegiate, și controale pentru accesul furnizorilor și al contractorilor.
• SIEM: colectarea și corelarea jurnalelor din surse on‑prem, cloud și OT; cazuri de utilizare mapate la MITRE ATT&CK; integrare cu EDR/XDR; alerte calibrate pe risc; retenție conformă; playbook‑uri SOAR pentru răspuns; drill‑uri de raportare 24/72 de ore cerute de NIS2.
• Lanț de aprovizionare: due diligence de securitate în contracte, cerințe minime pentru EDI/API (TLS modern, rotație chei, IP allowlisting), canale securizate de schimb de chei, dreptul de audit și obligații de notificare a incidentelor.

Capcane frecvente și cum le evitați

• „Shadow integrations”: conexiuni EDI sau API create de unități de business fără guvernanță centrală. Soluția: registru unic de integrare, onboarding/offboarding standardizat, token management la nivel enterprise.
• Telemetrie incompletă: jurnale pierdute în multi‑cloud ori în sisteme legacy. Soluția: arhitectură de colectare unificată (agentless/agent), forwardere regionale, politici de retenție și pseudonimizare conformă GDPR.
• Conturi privilegiate neseparate: administratori de domeniu cu acces permanent. Soluția: PAM cu sesiuni izolate, time‑bound elevation, înregistrare și review periodic.
• Subestimarea costului operațional: SIEM fără resurse umane calificate. Soluția: combinație MSSP/MDR + formare, cu transfer gradual de capabilități.

Plan de 90 de zile pentru C‑level

1. Stabiliți responsabilități NIS2 la nivel de board și numiți un owner pentru identitate și unul pentru telemetrie.
2. Faceți un inventar al identităților și integrațiilor (EDI și non‑EDI), clasificate pe risc; închideți conturile orfane și cheile vechi.
3. Implementați MFA universal și consolidați SSO; mutați conturile privilegiate în PAM.
4. Consolidați colectarea jurnalelor în SIEM; definiți 10–15 cazuri de utilizare cu impact (exfiltrare, escaladare privilegiu, anomalii EDI, compromitere cont cloud) și testați răspunsul.
5. Introduceți cerințe minime de securitate pentru furnizori în contracte (inclusiv pentru EDI/API) și rulați un exercițiu de raportare incident în 24/72 de ore.

România are avantajul unui ecosistem tehnologic matur: furnizori locali (Bitdefender, Safetech Innovations), integratori cu acoperire regională (Orange Business, IBM, Kontron), și o bază extinsă de soluții enterprise (Microsoft, Okta, CyberArk, Splunk, QRadar, Sentinel). Cheia succesului, în contextul NIS2, nu este doar achiziția de tehnologii, ci orhestrarea coerentă a identităților, jurnalelor și proceselor – peste granițele dintre IT, OT, financiar, logistică și achiziții.

Concluzie: NIS2 accelerează trecerea de la „best effort” la „security by design”. Pentru directorii generali și financiari, argumentul este dublu: reducerea riscului operațional și de conformitate, dar și eficiență în procesele digitale (EDI și non‑EDI) prin standardizare, vizibilitate și control. Investițiile în IAM și SIEM, bine ancorate în guvernanță și servicii de operațiuni, se dovedesc nu doar un răspuns la reglementare, ci un avantaj competitiv pe o piață în care încrederea și reziliența devin monedă forte.