Atacurile cibernetice înregistrează o creștere alarmantă, atât ca frecvență, cât și ca nivel de complexitate, afectând infrastructuri și sectoare critice din întreaga lume. Pentru a combate aceste amenințări și a îmbunătăți securitatea cibernetică, Uniunea Europeană a introdus Directiva NIS2, un cadru legislativ unitar menit să protejeze rețelele și sistemele informatice din toate statele membre. În România, implementarea NIS2 este o prioritate, mai ales pentru companiile din domenii esențiale, iar nerespectarea cerințelor poate aduce sancțiuni severe.
Conform datelor ENISA (Agenția UE pentru Securitate Cibernetică), în 2024, peste 60% dintre incidentele raportate au vizat infrastructuri critice, generând pierderi medii de 1,7 milioane de euro per atac. Termenul limită de transpunere a directivei în legislația românească a fost 17 octombrie 2024, însă multe organizații fie sunt în întârziere, fie nu știu încă dacă intră sub incidența NIS2, expunându-se unor riscuri cibernetice majore.
Ce este Directiva NIS2 și ce urmărește?
Directiva NIS2 (Network and Information Systems Directive 2) reprezintă actualizarea normativului european privind securitatea cibernetică. Printre cerințele-cheie se numără:
- implementarea de măsuri minime obligatorii de securitate
- raportarea incidentelor majore în maximum 24 de ore
- responsabilizarea managementului în gestionarea riscurilor IT
- reducerea impactului atacurilor asupra serviciilor critice pentru populație și economie
Rolul HR în alinierea companiei la NIS2
Directiva NIS2 nu este doar o provocare tehnică pentru departamentele IT — ea implică o responsabilitate majoră și pentru HR și managerii de resurse umane.
De ce? Pentru că securitatea cibernetică începe cu oamenii. Fiecare angajat este o verigă în lanțul de apărare. HR-ul are un rol esențial în:
- selectarea și recrutarea specialiștilor în securitate IT
- organizarea de sesiuni de training și conștientizare a riscurilor cibernetice
- implementarea unei culturi organizaționale în care securitatea este prioritară
- colaborarea cu managementul pentru a integra politicile de securitate în regulamentele interne
Cine trebuie să respecte NIS2?
Directiva nu se aplică tuturor companiilor, ci doar celor care îndeplinesc anumite criterii. În general, intră sub incidența NIS2:
Domenii vizate:
- Energie: furnizori de gaze, electricitate, petrol, carburanți
- Sănătate: spitale publice și private, clinici cu infrastructură critică
- Transport: operatori feroviari, aeroporturi, transport rutier de persoane
- Financiar: bănci, Inclusiv sistemele de plăți și infrastructura financiară, burse
- Apă potabilă și uzată: Furnizori, operatori și rețele de infrastructură
- IT și telecomunicații: Furnizori cloud, centre de date, operatori de rețele
- Administrație publică: Instituții centrale și locale (cu excepții pentru unele autorități regionale mici)
Dimensiunea companiei:
- Medii și mari: peste 50 de angajați sau cifră de afaceri >10 milioane €
- IMM-uri esențiale: chiar dacă sunt sub acest prag, dacă furnizează servicii critice în domeniile de mai sus, pot fi incluse.
Cum afli dacă trebuie să te conformezi?
Dacă nu ești sigur că intri în sfera NIS2, iată pașii recomandați:
- Verifică dacă faci parte dintr-un sector critic listat în directivă
- Evaluează dimensiunea companiei (angajați / cifră de afaceri)
- Analizează dependența lanțului de aprovizionare: chiar și o companie mică poate fi vizată dacă serviciile sale susțin infrastructuri critice
- Consultă autoritatea națională competentă (CERT-RO / DNSC) pentru clarificări oficiale
- Solicită o evaluare GRATUITĂ a conformității cu NIS 2 pentru a determina nivelul actual de conformitate și măsurile necesare – link
Potrivit unui raport global recent, costul mediu al unui atac cibernetic pentru o companie din sectorul critic depășește 4 milioane de euro, iar timpul mediu de recuperare a sistemelor este de peste 3 săptămâni.
Situația în România: companii în întârziere
Conform estimărilor, doar aproximativ 40% dintre organizațiile vizate au finalizat procesul de conformare. Restul fie sunt în faze incipiente, fie nu știu exact dacă trebuie să implementeze NIS2.
Amenzile și riscurile pentru neconformare
Directiva NIS2 aduce și sancțiuni semnificative pentru companiile care nu respectă cerințele. Amenzile pot ajunge până la 10 milioane de euro sau 2% din cifra de afaceri globală, în funcție de gravitatea incidentului și de dimensiunea organizației. Pe lângă pierderile financiare directe, companiile se confruntă cu daune de reputație, pierderea încrederii clienților și blocaje operaționale costisitoare.
Principalele provocări sunt:
- lipsa specialiștilor în securitate cibernetică
- investiții insuficiente în infrastructura IT
- necunoașterea clară a cerințelor directivei
- dificultăți în aplicarea procedurilor de raportare rapidă a incidentelor
Neimplementarea măsurilor poate atrage amenzi semnificative, pierderi financiare și chiar suspendarea activității în cazul unor atacuri majore. Despre Legea NIS (Legea 362/2018) și Directiva NIS2 aici găsiți mai multe informații.
Povestea unei companii care a făcut schimbarea
În urma unei evaluări recente, o companie medie dintr-un sector vizat de NIS2 nu avea definit niciun plan de răspuns la incidente și nicio procedură de notificare. După identificarea neconformităților, am implementat politici de securitate minime, un protocol de raportare a incidentelor și sesiuni de instruire pentru angajați. În aproximativ trei luni, organizația a atins un nivel de conformitate de bază, reducând riscurile majore de expunere.” – ne precizează Cofondatorul ITAdviser, Cătălin Oancea.
Această poveste reflectă importanța implicării întregii echipe, inclusiv a departamentului de HR, în asigurarea unui mediu securizat. Implementarea procedurilor și instruirea continuă a angajaților sunt cheia succesului în reducerea riscurilor cibernetice.
De ce conformarea este mai mult decât o obligație legală
NIS2 nu este doar despre evitarea sancțiunilor. Este o măsură de protecție a afacerii, a datelor sensibile și a reputației companiei. Într-un peisaj digital din ce în ce mai periculos, alinierea la noile standarde înseamnă:
- reziliență operațională
- încrederea partenerilor și a clienților
- avantaj competitiv într-un mediu economic bazat pe securitatea informației
Pentru decidenții din HR, acest lucru înseamnă că securitatea nu mai poate fi o responsabilitate exclusivă a IT-ului. Trebuie integrată în strategia de management al talentelor și în cultura organizațională.
Cum vă pot ajuta consultanții ITAdviser?
Beneficiile implementării NIS2
Deși pentru unele organizații conformarea poate părea o sarcină complexă, avantajele pe termen lung depășesc eforturile inițiale. Un plan solid de securitate cibernetică reduce semnificativ expunerea la atacuri, crește reziliența operațională și oferă un avantaj competitiv pe o piață în care încrederea partenerilor este esențială. În plus, companiile conforme au mai multe șanse să atragă clienți și colaboratori din sectoare reglementate.
Începând cu evaluarea riscurilor și gestionarea acestora pentru alinierea la cerințele de conformitate impuse, experiența și expertiza de lucru cu organizațiile din sectoarele vizate vă pot ajuta să navigați lin pe calea spre conformitatea cu Directiva NIS.
- Obținerea conformității NIS
- Consultanță personalizată directiva NIS
- Consultanță de specialitate în domeniul securității cibernetice
Pași recomandați pentru conformare rapidă
Organizațiile care nu sunt încă pregătite pentru NIS2 ar trebui să înceapă cu o evaluare completă a riscurilor cibernetice și a vulnerabilităților interne. Implementarea unui set de măsuri minime — cum ar fi autentificarea multi-factor, planurile de răspuns la incidente și instruirea angajaților — poate asigura o tranziție mai ușoară către conformitate. Colaborarea cu firme specializate în securitate IT, precum ITAdviser, poate accelera procesul și reduce costurile pe termen lung.