Audit Securitate Instituție de Stat

Verificări de securitate, conformitate și accesibilitate adaptate pentru instituții publice, primării, spitale și organizații.

Cum funcționează auditul pentru instituții publice

  1. Introdu URL-ul site-ului instituțional — Adresa site-ului primăriei, spitalului, universității sau agenției. Adaptăm automat verificările pentru sector public.
  2. Analiză cu accent pe securitate și conformitate — 28 module cu ponderi pentru instituții: SSL 14%, securitate 12%, conformitate legală 12%, blacklist 10%, accesibilitate 8%. Focus pe NIS2 și EAA.
  3. Raport de conformitate instituțional — Scor adaptat cu prioritizare: ce e critic pentru securitate (NIS2), ce e obligatoriu legal (EAA, Legea 544), ce protejează reputația. PDF disponibil.

Ce verificăm la site-ul instituției de stat

Analizăm site-ul instituției prin prisma cerințelor legale și de securitate cibernetică. Fiecare modul este ponderat conform obligațiilor NIS2, EAA și legislației transparenței publice.

SSL & Criptare Avansată

TLS 1.3, certificate de stat sau comerciale valide — securitate maximă pentru date cetățenilor.

Securitate Completă

Headere de securitate, protecție XSS, clickjacking, CORS — site-ul instituției nu trebuie compromis.

Conformitate Legală

GDPR, NIS2, date instituție, transparență — obligații legale stricte pentru sector public.

Accesibilitate EAA

WCAG 2.1 AA obligatoriu — European Accessibility Act impune accesibilitate pentru site-uri publice.

Blacklist & Reputație

Verificare Spamhaus, Google Safe Browsing — un site de instituție pe blacklist e o urgență.

Protecție Informații

Scurgeri de informații server, porturi deschise, versiuni expuse — suprafață de atac minimă.

De ce contează securitatea și conformitatea în sectorul public

Site-urile instituțiilor publice protejează date sensibile ale cetățenilor și trebuie să respecte standarde stricte de securitate, accesibilitate și transparență. Un audit generic nu surprinde aceste cerințe specifice sectorului de stat.

Securitate cibernetică: site-urile instituționale sunt ținta #1

79% din atacurile sponsorizate de state vizează instituții guvernamentale și ONG-uri. În România, DNSC a gestionat 101 incidente de ransomware în 2024, cu atacuri asupra Electrica (800+ servere), Primăriei Timișoara (112 sisteme) și 26 spitale prin platforma Hipocrate. Atacurile malware au crescut cu 286.8% în 2024 (Raport DNSC). NIS2 impune cerințe stricte de securitate.

NIS2 în România: OUG 155/2024 — amenzi de milioane de euro

Romania a transpus NIS2 prin OUG 155/2024, aprobată prin Legea 124/2025. Amenzi: până la 10M EUR sau 2% din cifra de afaceri pentru entități esențiale (administrație centrală, sănătate, energie). DNSC este autoritatea națională. Înregistrarea la DNSC era obligatorie în 30 zile de la 20 august 2025, cu amenzi de până la 500.000 RON pentru neconformare.

Accesibilitate EAA: obligație legală din iunie 2025

European Accessibility Act este în vigoare din 28 iunie 2025, impunând WCAG 2.1 nivel AA pentru serviciile digitale ale sectorului public. Doar 5.2% din site-uri respectă standardele de bază (Accessibility.Works 2025). 86% din home pages au contrast insuficient, 42% au imagini fără alt text, 54% au formulare fără labels. Penalitățile pot ajunge la €100.000 sau 4% din cifra de afaceri.

SSL și criptare: datele cetățenilor trebuie protejate

Un site de instituție fără SSL valid afișează 'Not Secure' — erodează încrederea publică. TLS 1.3 este standardul minim. Headere de securitate (HSTS, CSP, X-Frame-Options) previn XSS, clickjacking și data exfiltration. Mixed content (resurse HTTP pe pagini HTTPS) este o vulnerabilitate frecventă pe site-uri vechi cu conținut migrat.

Blacklist și reputație: un site de instituție compromis e urgență

Un site de primărie sau spital pe Google Safe Browsing sau Spamhaus Blacklist afișează avertismente roșii în browser — 95% din vizitatori pleacă. Recuperarea durează 2-4 săptămâni. Romanian Waters a avut 1.000 sisteme compromise în decembrie 2025 prin ransomware. Monitorizarea reputației și scanarea regulată sunt obligatorii.

Securitate cibernetică în sectorul public

Statistici privind atacurile cibernetice, conformitatea NIS2 și accesibilitatea digitală în instituțiile publice din România și UE.

286.8% Creștere atacuri malware în România în 2024 față de 2023 (Raport DNSC)
101 Incidente de ransomware gestionate de DNSC în România în 2024
10M € Amenda maximă NIS2 pentru entități esențiale — 2% din cifra de afaceri globală
5.2% Din site-uri respectă standardele WCAG de accesibilitate (Accessibility.Works 2025)
79% Din atacurile sponsorizate de state vizează guverne și instituții publice
28 Module de analiză cu ponderi adaptate pentru securitate și conformitate instituțională

Instituții care au remediat vulnerabilități după audit

Situații reale din instituții publice care au remediat vulnerabilități critice identificate prin auditul de securitate și conformitate.

Primărie județeană — SSL expirat și headere lipsă

Înainte: SSL expirat, 0 headere securitate → După: TLS 1.3, 6/6 headere complete. Site-ul primăriei avea certificat SSL expirat de 3 luni și zero headere de securitate. Chrome afișa 'Not Secure' pe toate paginile. După instalarea certificatului TLS 1.3, configurarea HSTS, CSP, X-Frame-Options și Permissions-Policy, site-ul a trecut de la scor 18 la 87 securitate.

Spital regional — Accesibilitate EAA

Înainte: 23% WCAG conformitate → După: 94% WCAG 2.1 AA. Site-ul spitalului avea contrast insuficient pe 80% din pagini, formulare fără labels ARIA, imagini medicale fără alt text și navigare imposibilă cu tastatura. După implementarea completă a WCAG 2.1 AA, conformitatea a crescut de la 23% la 94%, făcând site-ul accesibil pentru toți pacienții.

Agenție guvernamentală — Conformitate NIS2

Înainte: Neconform NIS2, 3 porturi expuse → După: Înregistrat DNSC, 0 porturi expuse. Auditul a identificat 3 porturi administrative expuse public (SSH, MySQL, admin panel), lipsa planului de răspuns la incidente și neînregistrarea la DNSC. După securizarea porturilor, configurarea firewall-ului și înregistrarea conform OUG 155/2024, instituția a devenit conformă NIS2.

Vulnerabilități frecvente pe site-urile instituțiilor publice

Vulnerabilitățile cel mai des întâlnite pe site-urile instituțiilor publice, clasificate după riscul pe care îl prezintă pentru datele cetățenilor.

  • Critic: SSL expirat sau TLS 1.0/1.1 activ — Site-uri vechi cu certificate expirate sau protocoale depășite. 'Not Secure' afișat vizitatorilor.
  • Critic: Headere de securitate absente (HSTS, CSP, X-Frame-Options) — Fără CSP: vulnerabil la XSS. Fără HSTS: downgrade attacks posibile. Fără X-Frame: clickjacking.
  • Critic: Neconformitate NIS2 — neînregistrare la DNSC — Amendă până la 500.000 RON pentru neînregistrare. Obligații de audit, training conducere și raportare incidente.
  • Critic: Accesibilitate sub WCAG 2.1 AA — 86% home pages cu contrast insuficient, 42% imagini fără alt text. EAA obligatoriu din iunie 2025.
  • Atenție: Informații obligatorii lipsă (Legea 544/2001) — Organigrama, buget, achiziții, declarații avere, DPO. Sancțiuni de la ANI sau Avocatul Poporului.
  • Atenție: Porturi administrative expuse (SSH, DB) — Porturi deschise public = punct de intrare. Ransomware-ul exploatează porturi expuse.
  • Atenție: Mixed content — resurse HTTP pe site HTTPS — Conținut vechi migrat cu link-uri HTTP. Browser-ul blochează sau afișează avertisment.
  • Minor: Lipsa planului de răspuns la incidente — NIS2 impune: alertă 24h, notificare 72h, raport 30 zile. Fără plan = haos la incident.

Cum interpretezi scorul de conformitate instituțional

80–100 — Bine

Site instituțional securizat, conform NIS2, accesibil EAA și cu informații obligatorii complete. Reauditare trimestrială recomandată. Exerciții de securitate semestriale.

50–79 — Atenție

Vulnerabilități moderate: headere lipsă, accesibilitate parțială sau informații incomplete. Prioritate: SSL, headere securitate, accesibilitate. Rezolvabil în 2-5 ore.

0–49 — Critic

Risc critic: SSL expirat, zero securitate, neconform NIS2 și EAA. Instituția e vulnerabilă la atacuri și expusă la amenzi. Acțiune imediată obligatorie.

Audit instituțional vs verificare standard

Față de un audit standard, cel dedicat instituțiilor publice acordă importanță semnificativ mai mare modulelor de securitate, criptare și conformitate legală.

ModulAudit genericAudit adaptat
SSL & Criptare8% din scor14% — date cetățeni, TLS modern obligatoriu
Securitate8% din scor12% — NIS2 impune cerințe stricte
Conformitate Legală6% din scor12% — NIS2, EAA, Legea 544/2001, GDPR
Blacklist5% din scor10% — site de instituție pe blacklist = urgență
Accesibilitate4% din scor8% — EAA obligatoriu din iunie 2025

Verificări dedicate securității publice

Aprofundează aspectele critice ale infrastructurii digitale a instituției cu verificări dedicate pe SSL, securitate și accesibilitate.

  • Verificare Securitate — Headere HTTP, HSTS, CSP, XSS protection — verificare completă conform NIS2.
  • Verificare SSL — TLS 1.3, certificate, forward secrecy — criptare obligatorie pentru date cetățeni.
  • Verificare Accesibilitate — WCAG 2.1 AA, contrast, formulare, navigare — EAA obligatoriu pentru sector public.

Platforme folosite de instituții — toate compatibile

Auditul este compatibil cu orice platformă utilizată de instituțiile publice, de la CMS-uri open-source până la soluții guvernamentale specializate.

WordPress (Starter Gov)

Frecvent folosit de primării și instituții mici. Verificăm plugin-uri, securitate, actualizări și accesibilitate.

Joomla

Folosit de multe instituții din România. Verificăm extensii, securitate, headere și conformitate.

Drupal (GovCMS)

Platformă preferată pentru guverne. Verificăm securitate avansată, module, accesibilitate și performanță.

Platforma STS / E-guvernare

Verificăm conformitate cu standardele DNSC, securitate și accesibilitate EAA.

Site custom (PHP / .NET)

Multe instituții au site-uri vechi custom. Verificăm SSL, headere, porturi, mixed content și accesibilitate.

SharePoint / CMS Enterprise

Soluții enterprise pentru instituții mari. Verificăm securitate, accesibilitate și conformitate din exterior.

Întrebări frecvente despre auditul instituțional

De ce securitatea are cea mai mare importanță?

Site-urile instituțiilor publice sunt ținte frecvente pentru atacuri cibernetice. O breșă poate expune datele cetățenilor și compromite încrederea în instituție. Directiva NIS2 impune cerințe stricte de securitate.

Ce este directiva NIS2 și cum afectează site-ul?

NIS2 (Network and Information Security) este directiva UE care impune cerințe minime de securitate cibernetică pentru entități publice și critice. Include: managementul riscurilor, raportarea incidentelor și securitatea lanțului de aprovizionare.

Accesibilitatea e obligatorie pentru site-uri publice?

Da! European Accessibility Act (EAA) și Directiva (UE) 2016/2102 impun accesibilitate WCAG 2.1 nivel AA pentru site-urile și aplicațiile mobile ale organismelor din sectorul public.

Ce conformitate legală specifică e necesară?

Transparență decizională (Legea 544/2001), protecție date (GDPR), securitate cibernetică (NIS2), accesibilitate (EAA), publicare buget și achiziții publice, datele instituției complete pe site.

Funcționează pentru primării, spitale sau universități?

Da! Auditul verifică orice site de instituție: primării, consilii județene, spitale, universități, agenții guvernamentale, entități de utilitate publică.

De ce SEO-ul are pondere mai mică?

Site-urile instituțiilor sunt căutate de obicei direct (nume instituție). SEO tehnic rămâne relevant, dar nu la nivelul unui business care depinde de trafic organic pentru vânzări.

Ce sancțiuni prevede NIS2 în România?

OUG 155/2024 (transpunerea NIS2 în România) prevede amenzi de până la 10 milioane EUR sau 2% din cifra de afaceri pentru entități esențiale, și 7 milioane EUR sau 1.4% pentru entități importante. Recidiviștii riscă dublarea amenzii. Neînregistrarea la DNSC în 30 de zile: până la 500.000 RON pentru entități esențiale.

Câte atacuri cibernetice au fost în România în 2024?

DNSC a gestionat 101 incidente de ransomware în 2024. Fraudele informatice au crescut cu 40.2%, atacurile malware cu 286.8% (Raport DNSC 2024). Sectoarele cele mai vizate: sănătate, administrație publică și energie. Timișoara City Hall, Electrica și 26 spitale au fost afectate.

Ce este European Accessibility Act și când se aplică?

EAA este în vigoare din 28 iunie 2025. Impune WCAG 2.1 AA pentru servicii digitale ale sectorului public. Penalitățile pot ajunge la €100.000 sau 4% din cifra de afaceri. Doar 5.2% din site-uri respectă standardele actuale (Accessibility.Works 2025). Instituțiile publice au obligație legală directă.

Ce informații sunt obligatorii pe un site de instituție?

Transparență decizională (Legea 544/2001), organigrama, bugetul, achiziții publice (SEAP), date DPO (GDPR), declarații de avere/interese, program audiențe, formulare online. Pentru primării: hotărâri consiliu local, PUG/PUZ, registrul agricol. Lipsa informațiilor = sancțiuni de la ANI sau Avocatul Poporului.

Cum protejez site-ul împotriva DDoS?

Atacuri DDoS masive au vizat instituții: Franța a avut 300 domenii guvernamentale afectate în martie 2024. Protecție: CDN cu DDoS mitigation (Cloudflare, Akamai), rate limiting pe server, WAF (Web Application Firewall), monitorizare trafic anomal. Planul de răspuns la incidente e obligatoriu sub NIS2.

Ce obligații de raportare are o instituție sub NIS2?

Alertă inițială la DNSC în 24 ore de la detectarea incidentului. Notificare completă în 72 ore cu evaluarea impactului. Raport final în 30 zile cu cauze, impact și măsuri luate. Conducerea trebuie să urmeze training obligatoriu de securitate cibernetică.

Audituri relevante pentru sectorul public

Site Prezentare Portal Web Site Rezervări

Evaluează conformitatea instituției tale

Rulează auditul dedicat sectorului public și identifică vulnerabilitățile de securitate și lacunele de conformitate NIS2 și EAA.

Începe auditul gratuit