NIS2 și transformarea AI în sectorul de producție: cum OpenKBS asigură conformitatea cu OUG 155/2024

Ordonanța de Urgență a Guvernului nr. 155/2024 (OUG 155/2024), adoptată la 31 decembrie 2024, transpune Directiva (UE) 2022/2555 (NIS2) în legislația românească. Ordonanța a fost aprobată prin Legea nr. 124/2025, publicată la 7 iulie 2025 și intrată în vigoare la 10 iulie 2025. Directoratul Național de Securitate Cibernetică (DNSC) este autoritatea competentă pentru supravegherea și aplicarea legislației. Ordinele nr. 1-3/2025 detaliază aspectele de implementare.

Termenele de notificare a incidentelor sunt: 6 ore pentru alerta inițială și 24 de ore pentru notificarea completă.

Întreprinderile mijlocii și mari din sectorul de producție intră în sfera de aplicare a legislației ca „entități importante" (întreprinderi cu cel puțin 50 de angajați și o cifră de afaceri anuală de 10 milioane EUR, în sectoarele prevăzute în Anexa II a Directivei). Pentru aceste organizații, NIS2 ridică o provocare concretă: cum să integreze soluții AI în procesele de producție fără a crește riscul regulator și de securitate cibernetică. Prezenta publicație descrie modul în care platforma OpenKBS adresează cerințele OUG 155/2024 pentru clienții săi enterprise.

Securitatea infrastructurii prin AWS

OpenKBS construiește infrastructura clienților săi integral pe Amazon Web Services (AWS). Aceasta nu este o simplă alegere de furnizor de hosting — implică preluarea unui catalog amplu de certificări și atestări verificate independent, printre care:

  • ISO/IEC 27001 — sistem de management al securității informației;
  • ISO/IEC 22301 — managementul continuității afacerii;
  • ISO/IEC 27017 — controale de securitate pentru servicii cloud;
  • SOC 2 Type II — controale de securitate, disponibilitate, integritatea procesării, confidențialitate și protecția datelor cu caracter personal;
  • C5 — catalog de conformitate pentru cloud computing, dezvoltat de BSI din Germania.

AWS deține peste 150 de certificări de securitate verificate independent la nivel mondial. În contextul OUG 155/2024, acest lucru este esențial deoarece art. 21 alin. (1) din Directiva (UE) 2022/2555 impune ca măsurile de management al riscului să reflecte „stadiul actual al cunoștințelor" (state of the art). Utilizarea unei infrastructuri certificate demonstrează respectarea acestui principiu.

Modelul responsabilității partajate

AWS aplică modelul responsabilității partajate (Shared Responsibility Model):

  • AWS răspunde de securitatea infrastructurii cloud — centre de date fizice, rețea, hypervisor, servicii gestionate;
  • Clientul răspunde de securitatea a ceea ce construiește în cloud — codul aplicației, configurații, controlul accesului.

Pentru clienții enterprise, fiecare soluție este supusă unui proces structurat de audit și revizuire a securității înainte de punerea în producție.

Cont AWS dedicat pentru fiecare client enterprise

Printre cerințele centrale ale NIS2 se numără asigurarea continuității operațiunilor și managementul crizelor (art. 21 alin. (2) lit. c) din Directiva (UE) 2022/2555). Directiva pune accent și pe securitatea lanțului de aprovizionare (art. 21 alin. (2) lit. d)), inclusiv managementul riscurilor care decurg din dependențele față de furnizorii tehnologici.

OpenKBS adresează aceste cerințe prin modelul conturilor AWS dedicate.

Cum funcționează

Fiecare client enterprise primește un cont AWS propriu, în care sunt implementate toate resursele sale:

ResursăDescriere
Funcții LambdaCalcul serverless pentru logica de afaceri (până la 20 per proiect)
Stocare S3Stocare de obiecte pentru fișiere și date
Aurora PostgreSQLBază de date relațională gestionată cu backup-uri automate și restaurare point-in-time
CloudFront CDNDistribuție de conținut cu criptare TLS
EventBridgeSarcini programate și automatizări

Resursele unui client sunt izolate fizic de resursele oricărui alt client la nivel de cont AWS. Nu este o separare logică (namespace, etichetă sau rețea virtuală), ci o graniță dură la nivel de cont, aplicată de AWS Identity and Access Management (IAM).

Transferul infrastructurii la încetarea contractului

La încetarea contractului sau în caz de necesitate, contul AWS dedicat poate fi transferat integral clientului. Procesul include:

  1. Schimbarea utilizatorului root al contului către o adresă de e-mail a clientului;
  2. Confirmarea de către client și setarea unei noi parole;
  3. Eliminarea contului din AWS Organization a OpenKBS;
  4. Clientul adaugă o metodă de plată și preia controlul complet;
  5. Clientul elimină accesul OpenKBS prin ștergerea rolului IAM cross-account.

Nu se migrează nimic. Funcțiile Lambda continuă să funcționeze, datele din S3 și Aurora rămân la locul lor, distribuțiile CloudFront servesc traficul fără întrerupere. Clientul obține controlul complet asupra infrastructurii sale fără pierdere de date și fără timp de nefuncționare.

Toate resursele sunt primitive AWS standard — fără formate proprietare, fără vendor lock-in. Clientul poate continua să își gestioneze infrastructura autonom sau cu un alt furnizor.

AWS Organizations permite crearea a până la 50.000 de conturi în cadrul unei organizații, fără taxe suplimentare pentru contul în sine. Se facturează exclusiv consumul de resurse din cont.

Relevanța pentru conformitatea NIS2

  • Art. 21 alin. (2) lit. c) (continuitatea operațiunilor): Infrastructura nu depinde de starea operațională a OpenKBS. În cazul încetării activității furnizorului, clientul poate continua operațiunile.
  • Art. 21 alin. (2) lit. d) (securitatea lanțului de aprovizionare): Riscul de dependență de un singur furnizor este redus la minimum datorită posibilității garantate de transfer complet.
  • Clauza 5 din cerințele contractuale NIS2 (asistență la încetare și securitatea datelor): Acoperită prin design — datele se află deja într-un cont pe care clientul îl poate prelua integral.

Localizarea datelor și arhitectura serverless

Hosting în Uniunea Europeană

Toate resursele clienților enterprise sunt implementate în regiunea AWS eu-central-1 (Frankfurt, Germania) în mod implicit. Baza de date centrală a platformei (AWS Aurora DSQL) funcționează exclusiv în eu-central-1.

Datele nu părăsesc teritoriul UE. Fiecare proiect al clientului primește:

  • Stocare S3 în eu-central-1;
  • Instanță Aurora PostgreSQL în eu-central-1;
  • Funcții Lambda executate în eu-central-1;
  • Distribuție CloudFront cu locații edge în UE.

Localizarea datelor este un factor cheie în evaluarea riscurilor conform NIS2. Implementarea infrastructurii în UE simplifică conformitatea cu cerințele de protecție a datelor și facilitează interacțiunea cu autoritățile naționale de reglementare.

Arhitectura serverless și suprafața de atac redusă

OpenKBS utilizează o arhitectură complet serverless pentru resursele clienților. Aceasta înseamnă:

  • Niciun server de întreținut — niciun sistem de operare de actualizat, niciun acces SSH, niciun port deschis;
  • AWS gestionează mediul de execuție — Node.js 24.x pe Lambda, cu actualizări automate de securitate;
  • Izolare la nivel de execuție — fiecare funcție Lambda se execută într-un mediu microVM separat;
  • TLS 1.2+ pentru toate comunicațiile — prin CloudFront, fără excepții.

Din perspectiva art. 21 alin. (2) lit. e) din Directiva (UE) 2022/2555 (securitatea în achiziționarea, dezvoltarea și întreținerea rețelelor și sistemelor informatice), arhitectura serverless elimină o întreagă clasă de vulnerabilități — sisteme de operare neactualizate, servere configurate incorect, acces neautorizat la rețea.

Securitatea codului generat de AI

Realitatea dezvoltării moderne

O parte semnificativă și în creștere a codului de programare din industrie este generată cu ajutorul modelelor AI. Această tendință este ireversibilă. Întrebarea nu este dacă AI-ul va genera codul, ci ce procese garantează calitatea și securitatea acestui cod.

Codul generat de AI nu este prin definiție nesigur. Modelele lingvistice moderne (precum Claude de la Anthropic) detectează vulnerabilitățile din cod mai eficient decât majoritatea revizuirilor manuale — inclusiv injecții SQL, atacuri XSS, acces neautorizat, gestionarea incorectă a sesiunilor și zeci de alte categorii din OWASP Top 10 și clasificările CWE.

Riscurile codului generat de AI nu provin din modelul în sine, ci din lipsa proceselor de audit și validare. Un sistem în care codul generat este implementat direct fără revizuire este riscant — indiferent dacă codul a fost scris de un om sau de o AI.

Procesul OpenKBS pentru clienții enterprise

OpenKBS aplică un proces structurat de revizuire a securității pentru fiecare versiune nouă a soluției clientului:

Audit automat de securitate la fiecare versiune:

  • Analiză statică a codului pentru vulnerabilități din OWASP Top 10;
  • Verificare pentru injecții SQL, XSS, CSRF, SSRF, command injection;
  • Analiză a dependențelor (dependency audit) pentru vulnerabilități cunoscute (CVE);
  • Verificare pentru expunerea datelor sensibile (credențiale hardcodate, chei API, șiruri de conexiune);
  • Validarea datelor de intrare și controlul accesului;
  • Verificare pentru divulgarea neautorizată de informații în răspunsurile HTTP și gestionarea erorilor.

Revizuire a infrastructurii:

  • Revizuirea politicilor IAM și a principiului privilegiului minim (least privilege);
  • Validarea criptării în tranzit (TLS) și în repaus (AES-256);
  • Verificarea resurselor accesibile public (bucket-uri S3, endpoint-uri Lambda);
  • Audit al configurației de rețea și al regulilor de firewall.

Raport documentat:

  • Fiecare audit generează un raport documentat cu constatări și recomandări;
  • Vulnerabilitățile critice sunt remediate înainte de punerea în producție;
  • Rapoartele sunt accesibile clientului și pot fi prezentate autorităților de reglementare în cadrul unui audit.

Acest proces adresează cerințele art. 21 alin. (2) lit. e) (securitate în dezvoltare și întreținere) și art. 21 alin. (2) lit. f) (politici și proceduri de evaluare a eficacității măsurilor de management al riscului).

Consolidarea lanțului de aprovizionare AI

O organizație care dorește să utilizeze modele AI de la mai mulți furnizori (OpenAI, Anthropic, Google) trebuie să încheie contracte separate, să efectueze evaluări separate ale riscurilor și să asigure conformitatea NIS2 pentru fiecare dintre ei.

OpenKBS consolidează accesul la mai multe modele AI prin intermediul unui proxy unic, operat în infrastructura UE a platformei. Clientul interacționează cu un singur furnizor (OpenKBS), care își asumă responsabilitatea integrării cu furnizorii AI.

Aceasta reduce:

  • numărul de furnizori supuși evaluării conform art. 21 alin. (2) lit. d) din NIS2;
  • numărul de contracte care trebuie să conțină cele cinci clauze obligatorii privind securitatea lanțului de aprovizionare;
  • sarcina administrativă la revizuirea periodică a furnizorilor.

Măsuri suplimentare de conformitate

Criptare

În conformitate cu art. 21 alin. (2) lit. h) din Directiva (UE) 2022/2555 (politici de utilizare a criptografiei):

  • În tranzit: TLS 1.2+ pentru toate comunicațiile, fără excepții;
  • În repaus: AES-256 pentru datele sensibile (șiruri de conexiune, chei API), criptare gestionată de AWS pentru S3 și Aurora;
  • Token-uri de acces: Stocate ca hash SHA-256, textul original nu este păstrat;
  • Comunicații MQTT: Conexiuni WebSocket semnate SigV4 cu token-uri de sesiune STS temporare (valabilitate 15 minute).

Controlul accesului

În conformitate cu art. 21 alin. (2) lit. i) (securitatea resurselor umane, controlul accesului):

  • Autentificare JWT (RS256) cu durată de valabilitate limitată;
  • Chei API per proiect cu permisiuni explicit definite;
  • Rotație automată a cheilor la fiecare implementare;
  • STS session credentials cu valabilitate de 15 minute pentru acces cross-account.

Jurnal de audit

În conformitate cu art. 21 alin. (2) lit. f) (evaluarea eficacității măsurilor):

  • Jurnal de audit administrativ: tip de acțiune, resursă afectată, detalii, adresă IP;
  • Urmărirea consumului de resurse per proiect și perioadă;
  • Metrici CloudWatch pentru fiecare funcție (invocări, durată, erori).

Backup-uri, restaurare și plan de recuperare în caz de dezastru

În conformitate cu art. 21 alin. (2) lit. c) (continuitatea operațiunilor, managementul backup-urilor, recuperare în caz de dezastru și managementul crizelor):

Baza de date (Aurora PostgreSQL Serverless v2):

  • Backup-uri continue automate, gestionate de AWS;
  • Restaurare la un moment specific (point-in-time restore) cu precizie la secundă, pentru o perioadă configurabilă de până la 35 de zile;
  • Datele sunt stocate în șase copii distribuite în trei zone de disponibilitate (Availability Zones) în regiunea eu-central-1;
  • În cazul defectării instanței primare, Aurora comută automat pe o replică de standby.

Stocare de obiecte (S3):

  • Versionarea obiectelor — fiecare modificare sau ștergere păstrează versiunea anterioară;
  • AWS S3 asigură 99,999999999% (11 de nouă) durabilitate a datelor;
  • Datele sunt stocate în mai multe zone de disponibilitate în regiune.

Principii generale:

  • Ștergere soft (soft delete) pentru toate resursele — fără ștergere ireversibilă;
  • Arhitectura serverless elimină necesitatea restaurării serverelor — în caz de defectare a unei instanțe Lambda, AWS pornește automat una nouă;
  • CloudFront CDN asigură servirea traficului chiar și în caz de indisponibilitate parțială a serverului de origine.

Rezumat: acoperirea măsurilor minime din art. 21 NIS2

Măsură din art. 21 alin. (2)Cum o adresează OpenKBS
a) Analiza riscurilor și politici de securitateProces de audit structurat la fiecare versiune; rapoarte documentate
b) Gestionarea incidentelorProcedură de răspuns la incidente; alertă timpurie către client în 24 de ore
c) Continuitatea operațiunilorCont AWS dedicat; Aurora PITR până la 35 de zile; versionare S3; 6 copii în 3 AZ
d) Securitatea lanțului de aprovizionareProxy AI consolidat; contract unic; cont transferabil
e) Securitate în dezvoltare și întreținereAudit de securitate la fiecare versiune; arhitectură serverless
f) Evaluarea eficacității măsurilorJurnal de audit; monitorizarea resurselor; metrici CloudWatch
g) Instruire în securitate ciberneticăConsultanță și documentație pentru echipele clienților
h) Criptografie și criptareTLS 1.2+; AES-256; SHA-256 pentru token-uri; SigV4 pentru MQTT
i) Controlul accesuluiAutentificare JWT; chei per proiect; rotație automată
j) MFA și comunicații criptateConexiuni WebSocket criptate; STS session credentials

Următorul pas

OpenKBS colaborează cu întreprinderi din sectorul de producție din România și Europa care implementează soluții AI cu respectarea cerințelor NIS2.

Dacă organizația dumneavoastră intră în sfera de aplicare a OUG 155/2024 și are în vedere o transformare AI, contactați-ne pentru o consultare privind:

  • evaluarea infrastructurii actuale în raport cu cerințele NIS2;
  • proiectarea unei soluții AI într-un cont AWS dedicat cu EU Data Residency;
  • procesele de audit al securității pentru codul generat de AI;
  • planul de continuitate a operațiunilor și managementul crizelor.

Serviciile descrise — auditul de securitate, contul AWS dedicat și revizuirea codului generat de AI — fac parte din planul Enterprise al OpenKBS.

Prezenta publicație are caracter informativ și nu constituie consiliere juridică. Pentru întrebări specifice privind aplicarea OUG 155/2024, vă rugăm să consultați un consilier juridic calificat.

Book a Strategy Call
NIS2OUG 155/2024DNSCsecuritate ciberneticăproducțieindustrieAWSAIlanț de aprovizionareenterprise