Obligații GDPR & NIS2 — CAEN 6203: Activități de management al resurselor informatice
GDPR și NIS2 pentru furnizori de servicii IT gestionate — CAEN 6203
Furnizorii de servicii IT gestionate (MSP) administrează infrastructura, sistemele și rețelele altor companii. Acest rol creează unul dintre cele mai clare profiluri de împuternicit (procesator) din GDPR — accesul continuu și privilegiat la sistemele care stochează date personale ale clienților este implicit în serviciu. În același timp, MSP-urile sunt explicit vizați în NIS2 ca vectori critici de risc cibernetic pentru clienții lor.
De ce MSP-urile sunt în centrul atenției GDPR și NIS2
- Acces privilegiat la sisteme critice — remote access, administrare servere, backup management, monitorizare — toate implică procesarea indirectă a datelor personale ale clienților
- Vectori de atac în cascadă — un MSP compromis poate fi punct de intrare pentru toți clienții săi; NIS2 recunoaște explicit acest risc în sectoarele incluse
- Responsabilitate pentru breșele care afectează clienții — dacă o breșă la nivelul MSP expune date ale clienților, ești procesatorul responsabil și trebuie să notifici clientul (operatorul) imediat, fără întârziere
- Subprocesori proprii — platformele RMM, soluțiile de backup cloud, sistemele de ticketing sunt subprocesori ai MSP-ului și necesită DPA-uri separate
Obligații NIS2 specifice pentru CAEN 6203
MSP-urile care deservesc companii din sectoare incluse în NIS2, sau care sunt ele însele furnizori ICT B2B de dimensiune medie/mare, intră în sectorul ICT service management din Anexa II NIS2. Obligațiile includ: înregistrarea la DNSC, implementarea MFA pe toate accesele privilegiate, politica documentată de gestionare a vulnerabilităților și un plan de continuitate testat anual. Pragul: 50+ angajați sau 10M+ EUR cifră de afaceri.
Contractele cu clienții — cheia conformității unui MSP
- DPA (Data Processing Agreement) în fiecare contract MSP — obligatoriu art. 28 GDPR; fără DPA, relația de procesare nu are bază legală
- Lista subprocesatorilor aprobați — clienții au dreptul să știe ce instrumente terțe le atingi datele; modificările necesită notificare prealabilă
- SLA cu clauze de securitate și notificare breșe — timpii de răspuns la incidente și procedura de notificare a clientului trebuie specificate contractual
- Registrul de prelucrări separat per client — documentează tipul de date accesate, scopul și durata pentru fiecare contract MSP
Verificatorul de mai jos calculează dacă firma ta de servicii IT gestionate intră sub NIS2 și ce obligații specifice îți revin în funcție de dimensiune.
Cod CAEN analizat
6203 — Activități de management al resurselor informatice
În afara domeniului NIS2
Sector: ICT_service_management_B2B
Aplicabil — cerințe standard
Posibil obligatoriu — verifică pragurile
DPO obligatoriu dacă: managed_services_at_scale.
Posibil necesară
Analiza NIS2
Obligații aplicabile
Pași concreti pentru tine
- 1Creează Registrul de evidență a prelucrărilor (art. 30 GDPR) — folosește template-ul nostru gratuit
- 2Redactează Nota de informare și plasează-o vizibil pe site / la recepție / în contracte.
- 3Elaborează o procedură internă pentru notificarea breșelor în 72h la ANSPDCP.
- 4Evaluează dacă ești obligat să desemnezi un DPO — consultă criteriile de mai sus.
Serviciu BrainTrust
Securitate Cloud & Conformitate GDPR/ISO
Implementare GDPR, audit de conformitate, DPO externalizat și consultanță NIS2 pentru firma ta.
Vezi serviciile de conformitate GDPRNotă: Informațiile prezentate pe această pagină au caracter orientativ și sunt generate automat pe baza codului CAEN declarat. Ele nu constituie consultanță juridică și nu înlocuiesc analiza unui specialist în protecția datelor sau drept IT. Reglementările GDPR și NIS2 pot fi interpretate diferit în funcție de contextul specific al fiecărei organizații. BrainTrust nu își asumă răspunderea pentru deciziile luate exclusiv pe baza acestui instrument.
Analiză generată pe baza CAEN Rev.3, GDPR (UE) 679/2016, Directiva NIS2 (UE) 2022/2555, OUG 155/2024 și Legea 124/2025.