Delegarea răspunderii cybersecurity s-a încheiat: NIS2 devine testul de foc al executivilor din companii

(Cristiana Deca, Expert Guvernanță Cibernetică, CEO&Cofondator Decalex) 

Conform raportului ENISA „NIS Investments 2025”, deși investițiile în securitate au crescut, principala barieră în calea rezilienței rămâne „deconectarea leadership-ului” de realitățile tehnice. Raportul relevă faptul că organizațiile care au integrat riscul cibernetic în lista indicatorilor de performanță (KPI) ai top managementului denotă o capacitate de recuperare după un atac cu 40% mai rapidă decât cele care tratează subiectul ca pe un aspect ce intră strict în zona departamentului IT a companiei. Aici nu este vorba despre competența pe o arie profesională (IT în cazul nostru), ci despre responsabilitatea deciziilor și a reacției companiei, înaintea, în timpul dar și după un (potential) atac cibernetic.

Iată că delegarea integrală a securității cibernetice către departamentele IT nu mai este compatibilă cu realitatea actuală, pentru că, odată cu transpunerea Directivei NIS2 în procedurile curente ale companiilor, responsabilitatea se mută, în mod explicit, (și) la nivelul conducerii executive. Evident, fără să dispară din zona tehnică (diviziile de suport IT), nici ca responsabilitate, cu-atât mai puțin ca proceduri de mentenanță a sistemelor, respectiv intervenție.

Acumnu  mai vorbim despre un subiect strict operațional, ci despre unul de guvernanță corporativă. Consiliile de administrație și top managementul sunt chemate să aprobe, să supravegheze și, în anumite situații, să răspundă direct pentru modul în care organizațiile gestionează riscurile cibernetice.

O schimbare de paradigmă: de la IT la conducerea companiei

Articolul 20 din NIS2 este foarte explicit în acest sens: conducerea organizațiilor trebuie să valideze măsurile de securitate, să urmărească implementarea lor și să înțeleagă implicațiile reale ale riscurilor cibernetice asupra businessului. Mai mult, membrii board-ului nu mai pot invoca lipsa expertizei tehnice, pentru că directiva introduce obligația de formare continuă, tocmai pentru a permite decidenților să evalueze corect riscurile și să ia decizii informate.

Cu ocazia NIS 2, în treacăt fie spus, departamentele de HR ale organizațiilor sunt nevoite, în acest context, să revizuiască și fișele de post (a se citi atribuțiile top executivilor), pentru că în practică, implementarea NIS2 înseamnă o extindere clară a rolului lor: pe lângă obiectivele financiare și operaționale, aceștia devin responsabili și de reziliența cibernetică a organizației.

Încet dar sigur, la nivel global, percepția riscului s-a schimbat însă. Conform „Global Cybersecurity Outlook 2025” al World Economic Forum, majoritatea liderilor de business consideră reziliența cibernetică un risc sistemic major pentru continuitatea activității. Astfel că, volens – nolens, mai devreme sau mai târziu, corpul de conducere al companiilor (sau mai bine zis capii) vor trebui să accepte, să se conformeze, astfel încât să nu pună ei înșiși în pericol performanțele și reputația companiilor lor.

Responsabilitate directă și consecințele dureroase

NIS2 introduce și un element cu impact direct: răspunderea personală. În cazuri de neglijență gravă, conducerea poate fi sancționată, inclusiv prin suspendarea temporară din funcție. Pentru organizații, amenzile pot ajunge până la 2% din cifra de afaceri globală, iar obligațiile de conformitate includ și instruirea periodică a board-ului.

Mesajul este clar: lipsa de implicare nu mai este o opțiune, iar necunoașterea nu mai poate fi invocată ca justificare. Dacă o organizație eșuează în a implementa măsuri adecvate, autoritățile de supraveghere pot impune sancțiuni nu doar companiei, ci și persoanelor cu funcții de conducere.

Pentru top management, provocarea nu mai este doar respectarea unor cerințe legale, ci construirea unei capacități reale de răspuns la incidente. Ceea ce presupune vizibilitate asupra lanț de business din care face parte compania. Cu alte cuvinte, securitatea cibernetică devine parte integrantă a strategiei de business, nu un cost secundar al funcției IT.

Ce trebuie să urmărească managementul

Aplicarea cerințelor NIS2 se traduce, în practică, printr-o serie de acțiuni clare la nivel de conducere: aprobarea și actualizarea periodică a politicilor de securitate, tratarea bugetului de securitate ca investiție strategică, comunicare directă și constantă între CISO și consiliul de administrație, evaluarea riscurilor prin scenarii de impact asupra businessului, testarea capacității de răspuns la incidente, auditarea furnizorilor critici, dar și instruirea continuă a echipei de conducere

Totodată, devine esențial un mecanism de raportare simplificat, adaptat nivelului executiv. Un dashboard lunar, orientat pe indicatori precum timpul de recuperare, expunerea în lanțul de aprovizionare sau nivelul de pregătire al angajaților, poate transforma securitatea dintr-o zonă opacă într-un instrument real de decizie.

În concluzie, pe fondul nou, reglementat de NIS2, securitatea cibernetică nu mai poate fi tratată ca o responsabilitate exclusiv tehnică. Este, în același timp, prea importantă pentru a fi delegată complet și prea complexă pentru a fi gestionată fără expertiză IT.

Modelul care se conturează este unul de responsabilitate partajată, în care managementul stabilește direcția și își asumă decizia, iar echipele tehnice asigură implementarea. Organizațiile care înțeleg rapid această schimbare reduc riscurile și evită sancțiunile, dar, înainte de toate, vor dobândi un mare avantaj competitiv.