La 10 iulie 2025, România a oficializat aplicarea Directivei NIS2 prin Legea nr. 124/2025, marcând o schimbare fundamentală în modul în care companiile abordează securitatea cibernetică. Nu mai vorbim doar despre reglementări tehnice, ci despre o asumare la nivel de top management. CEO-ul, consiliul de administrație și echipa executivă devin direct responsabili pentru reziliența cibernetică a organizației.
Conform directivei, termenul-limită pentru înregistrarea și desemnarea unui responsabil NIS este 20 septembrie 2025. Întârzierea sau ignorarea acestor cerințe poate atrage sancțiuni legale, financiare și reputaționale.
De la IT la guvernanță corporativă
Cristiana Deca, CEO & Cofondator Decalex, subliniază că NIS2 este aliniată cu bunele practici internaționale (ISO, NIST, cadre europene), unde riscul cibernetic nu mai este doar o problemă tehnică, ci una de guvernanță. Managementul trebuie să aibă vizibilitate, control și capacitate decizională asupra politicilor de securitate, iar securitatea cibernetică devine parte din ADN-ul organizațional.
Concret, companiile trebuie să urmeze cinci pași:
- Declararea statutului (entitate esențială sau importantă);
- Guvernanță cibernetică asumată la nivel de conducere;
- Cadru integrat de securitate, bazat pe standarde recunoscute;
- Raportare accelerată a incidentelor (24h, 72h, 30 zile);
- Cultură organizațională de securitate, prin formare continuă și asumarea responsabilităților.
Impact asupra companiilor listate la bursă
Pentru companiile listate, NIS2 are implicații directe asupra valorii de piață și încrederii investitorilor. Securitatea cibernetică devine un indicator de guvernanță și ESG. Un incident major neraportat sau lipsa unui cadru matur de securitate poate genera reacții negative pe bursă, investigații și pierderi reputaționale. Practic, securitatea IT devine capital reputațional și indicator strategic de performanță.
Lanțul de aprovizionare – veriga vulnerabilă
Un alt aspect critic este extinderea indirectă a responsabilității către subcontractorii și furnizorii mici și mijlocii. Orice breșă din ecosistem afectează întreaga organizație. Astfel, companiile esențiale trebuie să includă partenerii în politicile lor de guvernanță cibernetică și să solicite auditarea acestora. Neglijarea lanțului de aprovizionare echivalează cu o vulnerabilitate strategică.
Transformarea conformității în avantaj competitiv
Decalex atrage atenția că implementarea directivei nu este doar un exercițiu birocratic, ci o oportunitate de a transforma conformitatea într-un avantaj competitiv. Alegerea unor auditori autorizați și cu experiență în industrii critice poate diferenția companiile pe o piață globală tot mai sensibilă la riscurile cibernetice.
Punctul de vedere Business Catalog
Din perspectiva Business Catalog, Directiva NIS2 reprezintă un moment de cotitură pentru mediul de afaceri românesc. Companiile care vor trata NIS2 ca pe o simplă obligație administrativă riscă să piardă competitivitatea. În schimb, cele care integrează directivele în strategia de business vor câștiga nu doar în siguranță operațională, ci și în credibilitate pe piețele internaționale, acces mai bun la finanțări și o relație consolidată cu investitorii.
NIS2 este noua directiva europeana care obliga companiile sa ia in serios securitatea cibernetica. Nu mai e doar treaba IT-ului, ci o responsabilitate directa a managementului. Incidentele trebuie raportate rapid, iar firmele risca amenzi si pierderi de reputatie daca nu respecta regulile!
Va multumesc, foarte clar punctat!