Începând cu 10 iulie 2025, România a oficializat aplicarea Directivei NIS2 prin Legea nr. 124/2025 (care modifică OUG nr. 155/2024). Nu vorbim doar despre o actualizare legislativă, ci despre o schimbare strategică majoră pentru reziliența afacerii și continuitatea operațională. Adițional, pe 20 august acest an, Directoratul Național de Securitate Cibernetică a publicat două ordine esențiale: primul este cel care definește procedura de notificare și înregistrare a entităților și al doilea, cel privind criteriile și pragurile de determinare a gradului de perturbare a serviciilor, ambele cu termenul de implementare 30 de zile de la data publicării.
De ce contează pentru conducerea unei companii o lege din zona IT?
Pentru prima dată, reglementarea aduce răspunderea personală a managementului executiv în centrul arhitecturii de securitate cibernetică. Responsabilitatea nu mai aparține exclusiv echipelor tehnice – ci se extinde la nivelul de guvernanță, incluzând CEO-ul, consiliul de administrație și echipa executivă. Această schimbare este aliniată cu tendințele internaționale din domeniul securității, unde frameworkuri consacrate (precum cele derivate din standardele ISO, NIST sau bunele practici europene) cer ca deciziile privind riscul cibernetic să fie asumate și gestionate direct de top-management, nu doar delegate tehnic.
Ce presupune, concret, aplicarea NIS2?
Vorbim despre cinci pași obligatorii întru conformitate cu directiva, astfel:
- Declararea statutului: companiile vizate trebuie să își stabilească, în termen de 30 de zile, încadrarea ca entitate esențială sau importantă și să completeze un formular standardizat ce include, printre altele, desemnarea responsabilului pentru aplicarea directivei.
- Guvernanță cibernetică asumată: liderii organizației trebuie să dețină vizibilitate, control și capacitate decizională asupra politicilor de securitate. Nu este suficientă externalizarea obligațiilor – este necesară o implicare directă, structurată și documentată a conducerii.
- Cadru de securitate coerent și integrat: organizațiile trebuie să adopte și să implementeze un cadru formal de management al riscurilor cibernetice, bazat pe standarde recunoscute si care sa fie aliniat obiectivelor de business
- Raportare accelerată a incidentelor: procesul impus presupune trei etape critice, 24 de ore, 72 de ore si 30 de zile.
- Cultură organizațională de securitate: managementul nu doar autorizează bugete și aprobă politici, ci trebuie să fie parte activă în proces. Se impune formarea continuă a conducerii în securitate cibernetică, definirea clară a responsabilităților și integrarea securității în ADN-ul decizional al companiei.
Cine poate ajuta companiile să implementeze NIS2
Implementarea Directivei NIS2 nu este un exercițiu birocratic, ci un proces complex care presupune expertiză multidisciplinară în securitate cibernetică, audit, conformitate și guvernanță IT. Companiile nu sunt nevoite să navigheze singure pe acest drum, iar auditorii autorizați de către DNSC pot asigura o abordare structurată, scalabilă și conformă cu cerințele legale.
Acești auditori sunt evaluați și acreditați conform unor criterii stricte și dețin expertiză practică în analiza riscurilor cibernetice, proiectarea controalelor, evaluarea maturității sistemelor și auditarea proceselor IT. Alegerea unui auditor autorizat cu experiență în industrii critice – cum ar fi energie, producție, transport sau servicii digitale – devine un diferențiator strategic.
Din exeperineța noastră, la Decalex, am asistat companii din industrii critice, precum energie și producție, în procesul complet de aliniere la NIS2. De la evaluarea inițială a riscurilor, implementarea politicilor, procedurilor, până la auditul final – ne-am asigurat că securitatea cibernetică nu este doar un ‘checkbox’, ci o veritabilă linie de apărare integrată în strategia organizațională.
Securitatea cibernetică și impactul asupra companiilor listate la bursă
Pentru companiile listate la bursă, Directiva NIS2 introduce un nivel suplimentar de responsabilitate, cu implicații directe asupra valorii de piață și încrederii investitorilor. Securitatea cibernetică devine un indicator de guvernanță care influențează percepția publică, ratingurile ESG și deciziile investitorilor instituționali. Orice incident major neraportat la timp sau lipsa unui cadru de securitate matur poate duce la reacții negative în piață, scăderi bursiere, investigații de reglementare, afectarea reputației corporate și, implicit, a valorii brandului. Prin urmare, NIS2 obligă managementul companiilor listate să trateze securitatea cibernetică ca pe o componentă de capital reputațional și indicator strategic de performanță.
Subcontractorii mici și mijlocii – veriga slabă din lanțul de conformitate
Un aspect critic, deseori ignorat, este reprezentat de subcontractorii și furnizorii mici și mijlocii care operează în lanțurile de aprovizionare ale entităților esențiale sau importante. Directiva NIS2 extinde indirect responsabilitatea și asupra acestora: orice breșă de securitate din rândul acestor terți poate afecta serviciile esențiale și atrage consecințe legale și reputaționale pentru compania principală. De aceea toți subcontractorii relevanți trebuie evaluați și incluși în politicile de guvernanță cibernetică ale beneficiarulu fiind obligati saparcurga si el la randul lor procesul de auditare și implementare a cerințelor minime de securitate și reziliență. Neglijarea acestui aspect expune organizațiile esențiale la riscuri majore ascunse în ecosistemul lor operațional, făcându-i vulnerabili exact în zonele unde controlul direct este slab sau inexistent.
Am putea aprecia că NIS2 nu este o simplă reglementare, ci chiar un test de maturitate pentru guvernanța digitală. Pentru companiile care înțeleg implicațiile strategice, implementarea corectă a directivei poate deveni un diferențiator competitiv. Pentru cele care aleg să ignore ori să minimalizeze riscurile, costurile vor fi aspre: financiare, reputaționale și legale.
Leadershipul responsabil înseamnă vizibilitate, asumare și acțiune. Indiferent dacă de poziția vizavi de companie (decident, auditor sau partener) din lanțul operațional – toată lumea este acum parte din sistemul de apărare cibernetică al Uniunii Europene. Iar acest lucru vine cu obligații clare, dar și cu oportunitatea de a transforma conformitatea în avantaj competitiv.
Consecințele ignorării directivei
Neglijarea acestor cerințe nu mai este doar o problemă operațională sau de conformitate, ci poate atrage răspundere civilă, administrativă și penală pentru decidenți. Cu alte cuvinte, nu este vorba despre „o problemă de IT”, ci despre o chestiune strategică cu impact reputațional și financiar important. (Cristiana Deca)
