1. Domeniu de aplicare și clasificare

1.1. Hangar Hosting SRL, în calitate de furnizor de servicii de găzduire web, email și infrastructură digitală, se încadrează în categoria entităților esențiale conform Directivei NIS2, Anexa II – Servicii de infrastructură digitală.

1.2. Autoritatea de supraveghere NIS2 în România este DNSC (Directoratul Național de Securitate Cibernetică) – https://dnsc.ro

2. Guvernanță și responsabilitate

2.1. Conducerea Hangar Hosting aprobă și supervizează implementarea prezentei politici, asumând responsabilitatea directă conform Art. 20 NIS2.
2.2. Sunt desemnate funcțiile responsabile pentru:

• Managementul securității informației (CISO sau echivalent);
• Răspuns la incidente de securitate cibernetică;
• Contactul cu DNSC și autoritățile competente;
• Actualizarea și revizuirea anuală a prezentei politici.

2.3. Conducerea participă la cursuri periodice privind securitatea cibernetică, cel puțin anual.

3. Managementul riscurilor de securitate cibernetică

Conform Art. 21 NIS2, Hangar Hosting implementează un cadru complet de management al riscurilor:

3.1 Politici de securitate

• Politica de securitate a informației (ISP) 
• Politica de control al accesului
• Politica de criptare
• Politica de gestionare a vulnerabilităților

3.2 Gestionarea incidentelor

• Procedura de răspuns la incidente (IRP)
• SOC (Security Operations Center) sau echivalent
• Registrul incidentelor;
• Exerciții simulate de răspuns la incidente

3.3. Continuarea activității

• Business continuity plan (BCP);
• Disaster recovery plan (DRP);
• Politici de backup;
• Teste de restaurare backup.

3.4. Securitatea lanțului de aprovizionare

• Evaluarea de securitate a furnizorilor critici – înainte de contractare și anual ulterior;
• Clauze de securitate în toate contractele cu subcontractori;
• Lista actualizată a subcontractorilor publicată la https://hangar.hosting/subcontractori

3.5. Securitatea achiziției și dezvoltării sistemelor

• Politica de secure development lifecycle (SDLC);
• Code review și teste de securitate înainte de lansarea în producție;
• Gestionarea configurațiilor și a patch-urilor.

3.6. Formarea personalului

• Training obligatoriu de securitate cibernetică – anual pentru toți angajații;
• Training specializat pentru roluri cu acces privilegiat – semestrial;
• Teste de phishing simulate – trimestrial.

4. Notificarea incidentelor de securitate

4.1. Un incident este considerat «semnificativ» dacă:

• cauzează sau poate cauza perturbări operaționale severe;
• implică pierderi financiare sau prejudicii altor persoane fizice sau juridice;
• numărul persoanelor afectate este semnificativ.

4.2. Conform Art. 23 NIS2, Hangar Hosting respectă următoarea procedură de notificare:

1. Alertă inițială
   Maxim 24 de ore de la identificarea unui incident semnificativ → notificare DNSC
2. Raport intermediar
   Maxim 72 de ore → evaluare preliminară a impactului și măsuri adoptate
3. Raport final
   Maxim 1 lună de la incident → analiză completă, lecții învățate, măsuri corective
4. Notificarea clienților afectați
   Fără întârzieri nejustificate, dacă incidentul afectează serviciile lor

5. Măsuri tehnice specifice

1. Criptare
   TLS 1.3 (minim TLS 1.2) pentru toate serviciile expuse public;
2. Autentificare
   Autentificare multi-factor obligatorie pentru accesul la panourile de administrare și la portalul clienților
3. Monitorizare
   retenție log-uri relevante: minimum 12 luni
4. Firewall
   Firewall de rețea și WAF (Web Application Firewall) activ
5. Anti DDoS
   Protecție DDoS activă la nivelul infrastructurii (datacenter)
6. Scanare vulnerabilități
   automată – săptămânal
7. Izolare
   Segregarea rețelelor interne de producție față de cele de test/administrare

6. Audituri și conformitate

6.1. Audit intern de securitate – anual
6.2. Audit extern independent – la solicitarea DNSC.
6.3. Raportul de conformitate NIS2 se depune la DNSC conform calendarului stabilit de autoritate.
6.4. Hangar Hosting cooperează deplin cu inspecțiile și controalele DNSC.

===

versiunea 1.0, publicată la 24 Mai 2026