English
Cristiana Deca, CEO Decalex, atrage atenţia, într-un comunicat remis redacţiei, că termenul-limită până la care organizaţiile trebuie să se înregistreze şi să desemneze un Responsabil NIS este 20 septembrie 2025. Ea subliniază că Directiva NIS2, aplicată în România prin Legea nr. 124/2025, nu este doar o reglementare IT, ci o schimbare strategică majoră, care aduce pentru prima dată răspunderea personală a managementului executiv în centrul arhitecturii de securitate cibernetică.
Redăm mai jos punctul de vedere al acesteia:
„Începând cu 10 iulie 2025, România a oficializat aplicarea Directivei NIS2 prin Legea nr. 124/2025 (care modifică OUG nr. 155/2024). Nu vorbim doar despre o actualizare legislativă, ci despre o schimbare strategică majoră pentru rezilienţa afacerii şi continuitatea operaţională. Adiţional, pe 20 august acest an, Directoratul Naţional de Securitate Cibernetică a publicat două ordine esenţiale: primul este cel care defineşte procedura de notificare şi înregistrare a entităţilor şi al doilea, cel privind criteriile şi pragurile de determinare a gradului de perturbare a serviciilor, ambele cu termenul de implementare 30 de zile de la data publicării.
De ce contează pentru conducerea unei companii o lege din zona IT?
Pentru prima dată, reglementarea aduce răspunderea personală a managementului executiv în centrul arhitecturii de securitate cibernetică. Responsabilitatea nu mai aparţine exclusiv echipelor tehnice - ci se extinde la nivelul de guvernanţă, incluzând CEO-ul, consiliul de administraţie şi echipa executivă.
Această schimbare este aliniată cu tendinţele internaţionale din domeniul securităţii, unde frameworkuri consacrate (precum cele derivate din standardele ISO, NIST sau bunele practici europene) cer ca deciziile privind riscul cibernetic să fie asumate şi gestionate direct de top-management, nu doar delegate tehnic.
Ce presupune, concret, aplicarea NIS2?
Vorbim despre cinci paşi obligatorii întru conformitate cu directiva, astfel:
1.Declararea statutului: companiile vizate trebuie să îşi stabilească, în termen de 30 de zile, încadrarea ca entitate esenţială sau importantă şi să completeze un formular standardizat ce include, printre altele, desemnarea responsabilului pentru aplicarea directivei.
2.Guvernanţă cibernetică asumată: liderii organizaţiei trebuie să deţină vizibilitate, control şi capacitate decizională asupra politicilor de securitate. Nu este suficientă externalizarea obligaţiilor - este necesară o implicare directă, structurată şi documentată a conducerii.
3.Cadru de securitate coerent şi integrat: organizaţiile trebuie să adopte şi să implementeze un cadru formal de management al riscurilor cibernetice, bazat pe standarde recunoscute si care sa fie aliniat obiectivelor de business
4.Raportare accelerată a incidentelor: procesul impus presupune trei etape critice, 24 de ore, 72 de ore si 30 de zile
5.Cultură organizaţională de securitate: managementul nu doar autorizează bugete şi aprobă politici, ci trebuie să fie parte activă în proces. Se impune formarea continuă a conducerii în securitate cibernetică, definirea clară a responsabilităţilor şi integrarea securităţii în ADN-ul decizional al companiei.
Cine poate ajuta companiile să implementeze NIS2
Implementarea Directivei NIS2 nu este un exerciţiu birocratic, ci un proces complex care presupune expertiză multidisciplinară în securitate cibernetică, audit, conformitate şi guvernanţă IT. Companiile nu sunt nevoite să navigheze singure pe acest drum, iar auditorii autorizaţi de către DNSC pot asigura o abordare structurată, scalabilă şi conformă cu cerinţele legale.
Aceşti auditori sunt evaluaţi şi acreditaţi conform unor criterii stricte şi deţin expertiză practică în analiza riscurilor cibernetice, proiectarea controalelor, evaluarea maturităţii sistemelor şi auditarea proceselor IT. Alegerea unui auditor autorizat cu experienţă în industrii critice - cum ar fi energie, producţie, transport sau servicii digitale - devine un diferenţiator strategic.
Din exeperineţa noastră, la Decalex, am asistat companii din industrii critice, precum energie şi producţie, în procesul complet de aliniere la NIS2. De la evaluarea iniţială a riscurilor, implementarea politicilor, procedurilor, până la auditul final - ne-am asigurat că securitatea cibernetică nu este doar un 'checkbox', ci o veritabilă linie de apărare integrată în strategia organizaţională.
Securitatea cibernetică şi impactul asupra companiilor listate la bursă
Pentru companiile listate la bursă, Directiva NIS2 introduce un nivel suplimentar de responsabilitate, cu implicaţii directe asupra valorii de piaţă şi încrederii investitorilor. Securitatea cibernetică devine un indicator de guvernanţă care influenţează percepţia publică, ratingurile ESG şi deciziile investitorilor instituţionali. Orice incident major neraportat la timp sau lipsa unui cadru de securitate matur poate duce la reacţii negative în piaţă, scăderi bursiere, investigaţii de reglementare, afectarea reputaţiei corporate şi, implicit, a valorii brandului.
Prin urmare, NIS2 obligă managementul companiilor listate să trateze securitatea cibernetică ca pe o componentă de capital reputaţional şi indicator strategic de performanţă.
Subcontractorii mici şi mijlocii - veriga slabă din lanţul de conformitate
Un aspect critic, deseori ignorat, este reprezentat de subcontractorii şi furnizorii mici şi mijlocii care operează în lanţurile de aprovizionare ale entităţilor esenţiale sau importante. Directiva NIS2 extinde indirect responsabilitatea şi asupra acestora: orice breşă de securitate din rândul acestor terţi poate afecta serviciile esenţiale şi atrage consecinţe legale şi reputaţionale pentru compania principală. De aceea toţi subcontractorii relevanţi trebuie evaluaţi şi incluşi în politicile de guvernanţă cibernetică ale beneficiarulu fiind obligati saparcurga si el la randul lor procesul de auditare şi implementare a cerinţelor minime de securitate şi rezilienţă.
Neglijarea acestui aspect expune organizaţiile esenţiale la riscuri majore ascunse în ecosistemul lor operaţional, făcându-i vulnerabili exact în zonele unde controlul direct este slab sau inexistent.
Am putea aprecia că NIS2 nu este o simplă reglementare, ci chiar un test de maturitate pentru guvernanţa digitală. Pentru companiile care înţeleg implicaţiile strategice, implementarea corectă a directivei poate deveni un diferenţiator competitiv. Pentru cele care aleg să ignore ori să minimalizeze riscurile, costurile vor fi aspre: financiare, reputaţionale şi legale.
Leadershipul responsabil înseamnă vizibilitate, asumare şi acţiune. Indiferent dacă de poziţia vizavi de companie (decident, auditor sau partener) din lanţul operaţional - toată lumea este acum parte din sistemul de apărare cibernetică al Uniunii Europene. Iar acest lucru vine cu obligaţii clare, dar şi cu oportunitatea de a transforma conformitatea în avantaj competitiv.
Consecinţele ignorării directivei
Neglijarea acestor cerinţe nu mai este doar o problemă operaţională sau de conformitate, ci poate atrage răspundere civilă, administrativă şi penală pentru decidenţi. Cu alte cuvinte, nu este vorba despre „o problemă de IT”, ci despre o chestiune strategică cu impact reputaţional şi financiar important”.
Euro
Dolar SUA
Franc elveţian
Liră sterlină
Gram de aur
