Audit Securitate pentru Instituții de Stat
Verificări de securitate, conformitate NIS2 și accesibilitate EAA adaptate pentru instituții publice, primării, spitale, universități și organizații de stat.
Cum funcționează auditul pentru instituții publice
Introdu URL-ul instituției sau organizației de stat
Adresa site-ului primăriei, spitalului, universității sau agenției. Adaptăm automat verificările pentru sector public.
Analiză cu accent pe securitate și conformitate
28 module cu ponderi pentru instituții: SSL 14%, securitate 12%, conformitate legală 12%, blacklist 10%, accesibilitate 8%. Focus pe NIS2 și EAA.
Raport de conformitate pentru instituție de stat
Scor adaptat cu prioritizare: ce e critic pentru securitate (NIS2), ce e obligatoriu legal (EAA, Legea 544), ce protejează reputația. PDF disponibil.
Ce verificăm la site-ul instituției de stat
Analizăm site-ul instituției prin prisma cerințelor legale și de securitate cibernetică. Fiecare modul este ponderat conform obligațiilor NIS2, EAA și legislației transparenței publice.
SSL & Criptare Avansată
TLS 1.3, certificate de stat sau comerciale valide — securitate maximă pentru date cetățenilor.
Securitate Completă
Headere de securitate, protecție XSS, clickjacking, CORS — site-ul unei instituții publice nu trebuie compromis.
Conformitate Legală
GDPR, NIS2, date instituție, transparență — obligații legale stricte pentru sector public.
Accesibilitate EAA
WCAG 2.1 AA obligatoriu — European Accessibility Act impune accesibilitate pentru site-uri publice.
Blacklist & Reputație
Verificare Spamhaus, Google Safe Browsing — un site de instituție publică pe blacklist e o urgență.
Protecție Informații
Scurgeri de informații server, porturi deschise, versiuni expuse — suprafață de atac minimă.
De ce contează securitatea și conformitatea în sectorul public
Site-urile instituțiilor publice protejează date sensibile ale cetățenilor și trebuie să respecte standarde stricte de securitate, accesibilitate și transparență. Un audit generic nu surprinde aceste cerințe specifice sectorului de stat.
Securitate cibernetică: instituțiile publice sunt ținta #1
79% din atacurile sponsorizate de state vizează instituții guvernamentale și ONG-uri. În România, DNSC a gestionat 101 incidente de ransomware în 2024, cu atacuri asupra Electrica (800+ servere), Primăriei Timișoara (112 sisteme) și 26 spitale prin platforma Hipocrate. Atacurile malware au crescut cu 286.8% în 2024 (Raport DNSC). NIS2 impune cerințe stricte de securitate.
NIS2 în România: OUG 155/2024 — amenzi de milioane de euro
Romania a transpus NIS2 prin OUG 155/2024, aprobată prin Legea 124/2025. Amenzi: până la 10M EUR sau 2% din cifra de afaceri pentru entități esențiale (administrație centrală, sănătate, energie). DNSC este autoritatea națională. Înregistrarea la DNSC era obligatorie în 30 zile de la 20 august 2025, cu amenzi de până la 500.000 RON pentru neconformare.
Accesibilitate EAA: obligație legală din iunie 2025
European Accessibility Act este în vigoare din 28 iunie 2025, impunând WCAG 2.1 nivel AA pentru serviciile digitale ale sectorului public. Doar 5.2% din site-uri respectă standardele de bază (Accessibility.Works 2025). 86% din home pages au contrast insuficient, 42% au imagini fără alt text, 54% au formulare fără labels. Penalitățile pot ajunge la €100.000 sau 4% din cifra de afaceri.
SSL și criptare: datele cetățenilor trebuie protejate
Un site de instituție fără SSL valid afișează 'Not Secure' — erodează încrederea publică. TLS 1.3 este standardul minim. Headere de securitate (HSTS, CSP, X-Frame-Options) previn XSS, clickjacking și data exfiltration. Mixed content (resurse HTTP pe pagini HTTPS) este o vulnerabilitate frecventă pe site-uri vechi cu conținut migrat.
Blacklist și reputație: un site de instituție publică compromis e urgență
Un site de primărie sau spital pe Google Safe Browsing sau Spamhaus Blacklist afișează avertismente roșii în browser — 95% din vizitatori pleacă. Recuperarea durează 2-4 săptămâni. Romanian Waters a avut 1.000 sisteme compromise în decembrie 2025 prin ransomware. Monitorizarea reputației și scanarea regulată sunt obligatorii.
Securitate cibernetică în sectorul public
Statistici privind atacurile cibernetice, conformitatea NIS2 și accesibilitatea digitală în instituțiile publice din România și UE.
Creștere atacuri malware în România în 2024 față de 2023 (Raport DNSC)
Incidente de ransomware gestionate de DNSC în România în 2024
Amenda maximă NIS2 pentru entități esențiale — 2% din cifra de afaceri globală
Din site-uri respectă standardele WCAG de accesibilitate (Accessibility.Works 2025)
Din atacurile sponsorizate de state vizează guverne și instituții publice
Module de analiză cu ponderi adaptate pentru securitate și conformitate instituții / stat
Instituții care au remediat vulnerabilități după audit
Situații reale din instituții publice care au remediat vulnerabilități critice identificate prin auditul de securitate și conformitate.
Primărie județeană — SSL expirat și headere lipsă
Site-ul primăriei avea certificat SSL expirat de 3 luni și zero headere de securitate. Chrome afișa 'Not Secure' pe toate paginile. După instalarea certificatului TLS 1.3, configurarea HSTS, CSP, X-Frame-Options și Permissions-Policy, site-ul a trecut de la scor 18 la 87 securitate.
Spital regional — Accesibilitate EAA
Site-ul spitalului avea contrast insuficient pe 80% din pagini, formulare fără labels ARIA, imagini medicale fără alt text și navigare imposibilă cu tastatura. După implementarea completă a WCAG 2.1 AA, conformitatea a crescut de la 23% la 94%, făcând site-ul accesibil pentru toți pacienții.
Agenție guvernamentală — Conformitate NIS2
Auditul a identificat 3 porturi administrative expuse public (SSH, MySQL, admin panel), lipsa planului de răspuns la incidente și neînregistrarea la DNSC. După securizarea porturilor, configurarea firewall-ului și înregistrarea conform OUG 155/2024, instituția a devenit conformă NIS2.
Vulnerabilități frecvente pe site-urile instituțiilor publice
Vulnerabilitățile cel mai des întâlnite pe site-urile instituțiilor publice, clasificate după riscul pe care îl prezintă pentru datele cetățenilor.
SSL expirat sau TLS 1.0/1.1 activ
Site-uri vechi cu certificate expirate sau protocoale depășite. 'Not Secure' afișat vizitatorilor.
Headere de securitate absente (HSTS, CSP, X-Frame-Options)
Fără CSP: vulnerabil la XSS. Fără HSTS: downgrade attacks posibile. Fără X-Frame: clickjacking.
Neconformitate NIS2 — neînregistrare la DNSC
Amendă până la 500.000 RON pentru neînregistrare. Obligații de audit, training conducere și raportare incidente.
Accesibilitate sub WCAG 2.1 AA
86% home pages cu contrast insuficient, 42% imagini fără alt text. EAA obligatoriu din iunie 2025.
Informații obligatorii lipsă (Legea 544/2001)
Organigrama, buget, achiziții, declarații avere, DPO. Sancțiuni de la ANI sau Avocatul Poporului.
Porturi administrative expuse (SSH, DB)
Porturi deschise public = punct de intrare. Ransomware-ul exploatează porturi expuse.
Mixed content — resurse HTTP pe site HTTPS
Conținut vechi migrat cu link-uri HTTP. Browser-ul blochează sau afișează avertisment.
Lipsa planului de răspuns la incidente
NIS2 impune: alertă 24h, notificare 72h, raport 30 zile. Fără plan = haos la incident.
Cum interpretezi scorul de conformitate instituțional
Bine
Instituție de Stat securizat, conform NIS2, accesibil EAA și cu informații obligatorii complete. Reauditare trimestrială recomandată. Exerciții de securitate semestriale.
Atenție
Vulnerabilități moderate: headere lipsă, accesibilitate parțială sau informații incomplete. Prioritate: SSL, headere securitate, accesibilitate. Rezolvabil în 2-5 ore.
Critic
Risc critic: SSL expirat, zero securitate, neconform NIS2 și EAA. Instituția e vulnerabilă la atacuri și expusă la amenzi. Acțiune imediată obligatorie.
Audit instituțional vs verificare standard
Față de un audit standard, cel dedicat instituțiilor publice acordă importanță semnificativ mai mare modulelor de securitate, criptare și conformitate legală.
Verificări dedicate securității publice
Aprofundează aspectele critice ale infrastructurii digitale a instituției cu verificări dedicate pe SSL, securitate și accesibilitate.
Verificare Securitate
Headere HTTP, HSTS, CSP, XSS protection — verificare completă conform NIS2.
Verifică gratuitVerificare SSL
TLS 1.3, certificate, forward secrecy — criptare obligatorie pentru date cetățeni.
Verifică gratuitVerificare Accesibilitate
WCAG 2.1 AA, contrast, formulare, navigare — EAA obligatoriu pentru sector public.
Verifică gratuitPlatforme folosite de instituții — toate compatibile
Auditul este compatibil cu orice platformă utilizată de instituțiile publice, de la CMS-uri open-source până la soluții guvernamentale specializate.
WordPress (Starter Gov)
Frecvent folosit de primării și instituții mici. Verificăm plugin-uri, securitate, actualizări și accesibilitate.
Joomla
Folosit de multe instituții din România. Verificăm extensii, securitate, headere și conformitate.
Drupal (GovCMS)
Platformă preferată pentru guverne. Verificăm securitate avansată, module, accesibilitate și performanță.
Platforma STS / E-guvernare
Verificăm conformitate cu standardele DNSC, securitate și accesibilitate EAA.
Site custom (PHP / .NET)
Multe instituții au site-uri vechi custom. Verificăm SSL, headere, porturi, mixed content și accesibilitate.
SharePoint / CMS Enterprise
Soluții enterprise pentru instituții mari. Verificăm securitate, accesibilitate și conformitate din exterior.
Audituri relevante pentru sectorul public
Întrebări frecvente despre auditul instituțional
De ce securitatea are cea mai mare importanță?+
Ce este directiva NIS2 și cum afectează site-ul?+
Accesibilitatea e obligatorie pentru site-uri publice?+
Ce conformitate legală specifică e necesară?+
Funcționează pentru primării, spitale sau universități?+
De ce SEO-ul are pondere mai mică?+
Ce sancțiuni prevede NIS2 în România?+
Câte atacuri cibernetice au fost în România în 2024?+
Ce este European Accessibility Act și când se aplică?+
Ce informații sunt obligatorii pe un site de instituție publică?+
Cum protejez site-ul împotriva DDoS?+
Ce obligații de raportare are o instituție sub NIS2?+
Evaluează conformitatea instituției tale
Rulează auditul dedicat sectorului public și identifică vulnerabilitățile de securitate și lacunele de conformitate NIS2 și EAA.
Începe auditul gratuit