Atacurile cibernetice nu mai reprezintă un risc teoretic sau o problemă exclusiv tehnică. Ele au devenit un factor real de întrerupere a activității economice, cu impact direct asupra veniturilor, reputației și continuității operaționale.
În acest context, Directiva NIS2 marchează o schimbare fundamentală: securitatea cibernetică devine o obligație legală și o responsabilitate explicită a managementului de top.
Față de vechea Directivă NIS, NIS2 extinde semnificativ aria de aplicare și introduce cerințe mult mai clare și mai stricte. Sunt vizate atât entitățile esențiale, cât și entitățile importante, din domenii-cheie ale economiei. Printre acestea se numără:
• energie, petrol și gaze, apă și apă uzată, transport (aerian, feroviar, rutier, maritim), sănătate, infrastructuri digitale, IT și telecomunicații, furnizori de servicii cloud și centre de date, servicii digitale, industrie și producție, logistică, servicii poștale și de curierat, managementul deșeurilor, agricultură, industria alimentară, furnizori de echipamente critice și anumite servicii financiare non-bancare. În practică, multe companii medii și mari din România intră deja sub incidența directivei, chiar dacă nu se consideră infrastructuri critice.
Un pilon central al NIS2 este obligația de a implementa măsuri tehnice și organizatorice adecvate, documentate într-un Plan de Securitate Cibernetică. Acesta trebuie să includă evaluarea și managementul riscurilor, politici de securitate IT, proceduri de prevenire și răspuns la incidente, continuitatea activității, protecția lanțului de aprovizionare și instruirea angajaților. Mai important, planul nu poate rămâne un document formal: el trebuie aplicat, testat și actualizat constant.
Cea mai importantă schimbare adusă de NIS2 este, însă, mutarea responsabilității la nivel de Board și CEO. Conducerea aprobă măsurile de securitate, supraveghează implementarea lor și poate fi trasă la răspundere în caz de neconformitate. Securitatea cibernetică devine parte integrantă a guvernanței corporative și a managementului riscului, la fel ca riscul financiar sau cel operațional.
Din experiența noastră în consultanță, pot afirma clar: NIS2 este momentul în care cyber risk-ul este recunoscut oficial ca business risk. Un Plan de Securitate Cibernetică bine construit nu este doar o cerință de conformare, ci un instrument strategic care protejează valoarea companiei și capacitatea ei de a funcționa pe termen lung.
Sancțiunile pentru nerespectarea directivei sunt semnificative – amenzi de până la 10 milioane de euro sau 2% din cifra de afaceri globală, la care se adaugă riscuri reputaționale și operaționale majore. Într-o economie digitalizată, un singur incident cibernetic poate bloca lanțuri de aprovizionare și relații comerciale construite în ani.
Privită strategic, NIS2 nu este doar o constrângere, ci o oportunitate. Companiile care investesc din timp în securitate cibernetică își cresc reziliența, credibilitatea și încrederea partenerilor. Securitatea cibernetică devine astfel o investiție în sustenabilitatea afacerii, nu un cost inevitabil.
Paul Tomotaş
