Securitatea Cibernetică: Conducerea Companiilor, Chemate la Raport
București – Investițiile în securitatea cibernetică au crescut, dar principala barieră în calea rezilienței rămâne „deconectarea leadership-ului” de realitățile tehnice, conform raportului ENISA „NIS Investments 2025”. Studiul arată clar că responsabilitatea pentru securitatea cibernetică se mută, în mod explicit, la nivelul conducerii executive, odată cu implementarea Directivei NIS2.
Organizațiile care au integrat riscul cibernetic în indicatorii de performanță (KPI) ai top managementului recuperează mai rapid după un atac, cu 40% față de cele care tratează securitatea ca pe un aspect strict IT. Această schimbare de paradigmă subliniază importanța ca deciziile și reacțiile unei companii, înaintea, în timpul și după un potențial atac, să fie gestionate de la cel mai înalt nivel.
De la Delegare la Responsabilitate Directă
Delegarea integrală a securității cibernetice către departamentele IT nu mai este compatibilă cu realitatea actuală. Articolul 20 din NIS2 este clar: conducerea organizațiilor trebuie să valideze măsurile de securitate, să monitorizeze implementarea lor și să înțeleagă riscurile cibernetice. Membrii consiliilor de administrație trebuie să parcurgă cursuri de formare continuă pentru a lua decizii informate.
Companiile trebuie să adapteze fișele de post, extinzând atribuțiile top executivilor. Pe lângă obiectivele financiare și operaționale, aceștia devin responsabili și de reziliența cibernetică a organizației. Potrivit „Global Cybersecurity Outlook 2025” al World Economic Forum, majoritatea liderilor de afaceri consideră reziliența cibernetică un risc major.
Consecințe concrete: Sancțiuni și schimbări
NIS2 introduce răspunderea personală. Conducerea poate fi sancționată în caz de neglijență gravă, inclusiv prin suspendare temporară din funcție. Amenzile pentru organizații pot ajunge până la 2% din cifra de afaceri globală. Lipsa de implicare nu mai este o opțiune, iar necunoașterea nu poate fi invocată ca justificare.
Provocarea pentru top management nu este doar respectarea cerințelor legale, ci construirea unei capacități reale de răspuns la incidente. Securitatea cibernetică devine parte integrantă a strategiei de business. Implică vizibilitate asupra întregului lanț de business al companiei.
Pași concreti pentru management
Aplicarea cerințelor NIS2 implică acțiuni clare: aprobarea și actualizarea politicilor de securitate, tratarea bugetului de securitate ca investiție strategică, comunicare directă între CISO și consiliul de administrație, evaluarea riscurilor prin scenarii de impact asupra businessului, testarea capacității de răspuns la incidente, auditarea furnizorilor critici și instruirea continuă a echipei de conducere. Un dashboard lunar, cu indicatori precum timpul de recuperare, poate transforma securitatea dintr-o zonă opacă într-un instrument de decizie.
Modelul care se conturează este de responsabilitate partajată. Managementul stabilește direcția și își asumă decizia, iar echipele tehnice asigură implementarea.
Cristiana Deca, expert Guvernanță Cibernetică, subliniază: „Organizațiile care înțeleg rapid această schimbare reduc riscurile și evită sancțiunile, dar, înainte de toate, vor dobândi un mare avantaj competitiv.”
