English
Despre apariţia Regulamentului General privind Protecţia Datelor (GDPR), în urmă cu opt ani (2018), se poate aprecia că a declanşat o reală revoluţie legislativă într-un domeniu, acela al protecţiei datelor personale, căruia până atunci nu i se acorda o prea mare importanţă. Acesta a redefinit, practic, lista potenţialelor riscuri pentru companiile europene, obligându-le să se aplice în detaliu asupra fiecărei prevederi, conform unui comunicat de presă remis redacţiei.
A fost momentul în care datele din serverele companiilor au trecut direct din responsabilitatea exclusivă a departamentelor IT pe ordinea de zi a consiliilor de administraţie. Opt ani mai târziu, se poate afirma clar că Regulamentul GDPR nu mai reprezintă destinaţia finală, ci doar acel punct de plecare în asigurarea securităţii datelor unei companii.
Noua frontieră a managementului executiv se numeşte ştiinţa guvernanţei cibernetice (cyber governance). Vorbim despre un cadru strategic integrat care îmbină securitatea cibernetică, managementul riscului, rezilienţa operaţională şi responsabilitatea directă a conducerii. Dacă până nu demult, în board-urile marilor companii, întrebărea (uneori chiar de complezenţă) era dacă acea companie era conformă, acum lucrurile sunt mai nuanţate: există capacitatea de a funcţiona şi de a supravieţui unei crize provocate de o breşă de date?
Schimbarea de paradigmă: De la conformare birocratică la rezilienţă tactică
GDPR a impus disciplină prin inventarierea datelor şi formalizarea proceselor, care a venit însă cu mentalitatea bifării de căsuţe („tick-box compliance”) bazată pe audituri periodice şi tone de documente. Acum, guvernanţa securităţii cibernetice înlătură aceast abordare birocratică. Altfel spus, dacă perspectiva GDPR este aceea de a de a asigura protecţia datelor personale, guvernanţa cibernetică trebuie să vină cu răspunsuri foarte exacte la aceste întrebări: poate compania să îşi continue activitatea comercială în timpul unui atac masiv de tip ransomware? Înţelege board-ul riscul cibernetic tradus în indicatori financiari? Este lanţul nostru de aprovizionare o vulnerabilitate sistemică?
Această mutaţie reflectă o realitate economică neplăcută: astăzi, costul mediu al unui incident cibernetic major în Europa poate depăşi lejer 4-5 milioane de euro, cifră care nu include daunele reputaţionale sau exodul clienţilor. Într-o economie globală volatilă şi profund dependentă de digital, simpla conformare nu mai este un avantaj competitiv, ci doar pragul minim pentru a rămâne în joc.
Directorii executivi sunt buni de plată
Tranziţia nu este doar voluntară, ci este accelerată agresiv de cele două acte legislative: Directiva NIS2, care extinde obligaţiile stricte de securitate către mii de companii din segmentul mid-market şi către furnizorii de servicii esenţiale. Respectiv, DORA (Digital Operational Resilience Act), care introduce cerinţe draconice pentru sectorul financiar, cu accent pe gestionarea riscurilor asociate terţilor.
Autorităţile de reglementare spun clar: securitatea cibernetică nu mai poate fi izolată în silozul tehnic al departamentului IT, ci a fost preluată şi aparţine (şi) guvernanţei corporative. Mai mult, responsabilitatea legală cade direct pe umerii consiliilor de administraţie. În anumite jurisdicţii europene, absenţa unor măsuri adecvate de protecţie poate atrage acum şi sancţiuni personale şi de patrimoniu pentru directori.
Riscul cibernetic reprezintă şi un mare risc financiar
Una dintre cele mai importante evoluţii observate pe piaţă este transformarea riscului cibernetic într-un risc financiar pur. Companiile mature au abandonat jargonul tehnic şi indicatorii abstracţi (cum ar fi „numărul de atacuri respinse”) în favoarea unor metrici agreate de CFO: evaluarea impactului financiar direct per incident, Modelarea scenariilor de întrerupere a activităţii (de exemplu, costul exact al unui downtime de 48 de ore), Integrarea riscului cibernetic în sistemele macro de Enterprise Risk Management (ERM).
Deja, din acest punct, securitatea datelor nu mai este privită ca o gaură neagră a cheltuielilor IT, ci ca o decizie investiţională strategică. Această claritate financiară devine vitală în contextul în care riscul terţilor reprezintă noua verigă slabă. Companiile nu mai sunt entităţi izolate; atacurile recente arată că furnizorii SaaS, partenerii logistici şi subcontractorii sunt vectorii principali prin care reţelele corporative sunt compromise. Managementul modern impune o trecere de la verificările punctuale (due diligence de bifat), la o monitorizare în timp real şi la o „inteligenţă operaţională permanentă” asupra întregului ecosistem comercial.
Companiile care optează pentru o guvernanţă cibernetică bine pusă la punct, vor avea beneficii corporative considerabile: o mai mare încredere din partea clienţilor, acces mai facil pe pieţele supra-reglementate şi evaluări considerabil mai bune în procesele de atragere de capital sau audituri ale investitorilor.
Euro
Dolar SUA
Franc elveţian
Liră sterlină
Gram de aur
Opinia Cititorului