Noi exigențe de securitate cibernetică pentru companiile din România. Cristiana Deca, CEO Decalex: „Nu vorbim doar despre o actualizare legislativă, ci despre o schimbare strategică majoră”

Companiile din România mai au două săptămâni pentru a face primul pas către standardele de securitate cibernetică stabilite prin directiva europeană NIS2 (Network and Information Security). Termenul-limită de conformare, 20 septembrie 2025, pune presiune pe organizații să își declare statutul și să desemneze un responsabil NIS. În acest context, Cristiana Deca, CEO și cofondator al Decalex, explică de ce NIS2 nu este doar o simplă reglementare IT, ci un test de maturitate pentru guvernanța corporativă și un factor care poate influența direct valoarea de piață și încrederea investitorilor.

NIS2 este noul cadru legislativ prin care Uniunea Europeană își propune să ridice standardele de securitate cibernetică în toate statele membre. În România, aceasta a devenit obligatorie începând cu iulie 2025, prin Legea nr. 124/2025, și impune companiilor – fie ele din energie, transport, producție, servicii digitale sau alte domenii critice – reguli stricte privind prevenirea și gestionarea atacurilor cibernetice. Spre deosebire de reglementările anterioare, NIS2 mută responsabilitatea din zona exclusiv tehnică în cea de guvernanță corporativă: CEO-ul, consiliul de administrație și echipa executivă devin direct răspunzători pentru măsurile de securitate și pentru modul în care gestionează riscurile.

De ce este importantă această schimbare?

Pentru că un incident cibernetic nu mai afectează doar sistemele IT, ci poate bloca operațiuni esențiale, poate genera pierderi financiare semnificative și chiar prăbușiri de reputație sau de valoare bursieră. În acest context, conformarea la NIS2 nu reprezintă un exercițiu birocratic, ci un test real de maturitate pentru companii și o oportunitate de a transforma securitatea digitală într-un avantaj competitiv, spune Cristiana Deca, CEO Decalex  .

Stațiunea din Europa unde poți schia gratuit patru luni pe an

18:34

Remiterile personale către România, dublare în mai puțin de un deceniu. De ce nu ajung

16:43

„Nu vorbim doar despre o actualizare legislativă, ci despre o schimbare strategică majoră pentru reziliența afacerii și continuitatea operațională. Adițional, pe 20 august acest an, Directoratul Național de Securitate Cibernetică a publicat două ordine esențiale: primul este cel care definește procedura de notificare și înregistrare a entităților și al doilea, cel privind criteriile și pragurile de determinare a gradului de perturbare a serviciilor, ambele cu termenul de implementare 30 de zile de la data publicării”, a explicat Cristiana Deca.

Un punct major al noii legi este legat de responsabilitatea și responsabilizarea managementului. Membrii organelor de conducere nu mai pot rămâne în postura de „simpli beneficiari” ai serviciilor IT. Legea îi obligă să urmeze cursuri de formare acreditate, să înțeleagă riscurile cibernetice și să asigure resursele necesare pentru securizarea rețelelor.

De ce contează pentru conducerea unei companii o lege din zona IT?

Pentru prima dată, reglementarea aduce răspunderea personală a managementului executiv în centrul arhitecturii de securitate cibernetică. Responsabilitatea nu mai aparține exclusiv echipelor tehnice – ci se extinde la nivelul de guvernanță, incluzând CEO-ul, consiliul de administrație și echipa executivă, adaugă CEO Decalex.

„Această schimbare este aliniată cu tendințele internaționale din domeniul securității, unde frameworkuri consacrate (precum cele derivate din standardele ISO, NIST sau bunele practici europene) cer ca deciziile privind riscul cibernetic să fie asumate și gestionate direct de top-management, nu doar delegate tehnic”, precizează Cristiana Deca.

Ce presupune, concret, aplicarea NIS2?

Specialistul explică, mai departe, că vorbim despre cinci pași obligatorii întru conformitate cu directiva, astfel:

1. Declararea statutului: companiile vizate trebuie să își stabilească, în termen de 30 de zile, încadrarea ca entitate esențială sau importantă și să completeze un formular standardizat ce include, printre altele, desemnarea responsabilului pentru aplicarea directivei.

2. Guvernanță cibernetică asumată: liderii organizației trebuie să dețină vizibilitate, control și capacitate decizională asupra politicilor de securitate. Nu este suficientă externalizarea obligațiilor – este necesară o implicare directă, structurată și documentată a conducerii.

3. Cadru de securitate coerent și integrat: organizațiile trebuie să adopte și să implementeze un cadru formal de management al riscurilor cibernetice, bazat pe standarde recunoscute si care sa fie aliniat obiectivelor de business

4. Raportare accelerată a incidentelor: procesul impus presupune trei etape critice, 24 de ore, 72 de ore si 30 de zile

5. Cultură organizațională de securitate: managementul nu doar autorizează bugete și aprobă politici, ci trebuie să fie parte activă în proces. Se impune formarea continuă a conducerii în securitate cibernetică, definirea clară a responsabilităților și integrarea securității în ADN-ul decizional al companiei.

Cine poate ajuta companiile să implementeze NIS2

„Implementarea Directivei NIS2 nu este un exercițiu birocratic, ci un proces complex care presupune expertiză multidisciplinară în securitate cibernetică, audit, conformitate și guvernanță IT”, adaugă expertul.

Companiile pot apela la auditorii autorizați de către DNSC – evaluați și acreditați conform unor criterii stricte și care dețin expertiză practică în analiza riscurilor cibernetice, proiectarea controalelor, evaluarea maturității sistemelor și auditarea proceselor IT.

Securitatea cibernetică și impactul asupra companiilor listate la bursă

Pentru companiile listate la bursă, Directiva NIS2 introduce un nivel suplimentar de responsabilitate, cu implicații directe asupra valorii de piață și încrederii investitorilor. Securitatea cibernetică devine un indicator de guvernanță care influențează percepția publică, ratingurile ESG și deciziile investitorilor instituționali. Orice incident major neraportat la timp sau lipsa unui cadru de securitate matur poate duce la reacții negative în piață, scăderi bursiere, investigații de reglementare, afectarea reputației corporate și, implicit, a valorii brandului, precizează Deca.

„Un aspect critic, deseori ignorat, este reprezentat de subcontractorii și furnizorii mici și mijlocii care operează în lanțurile de aprovizionare ale entităților esențiale sau importante. Directiva NIS2 extinde indirect responsabilitatea și asupra acestora: orice breșă de securitate din rândul acestor terți poate afecta serviciile esențiale și atrage consecințe legale și reputaționale pentru compania principală. De aceea toți subcontractorii relevanți trebuie evaluați și incluși în politicile de guvernanță cibernetică ale beneficiarulu fiind obligati saparcurga si el la randul lor procesul de auditare și implementare a cerințelor minime de securitate și reziliență.
Neglijarea acestui aspect expune organizațiile esențiale la riscuri majore ascunse în ecosistemul lor operațional, făcându-i vulnerabili exact în zonele unde controlul direct este slab sau inexistent.
Am putea aprecia că NIS2 nu este o simplă reglementare, ci chiar un test de maturitate pentru guvernanța digitală. Pentru companiile care înțeleg implicațiile strategice, implementarea corectă a directivei poate deveni un diferențiator competitiv. Pentru cele care aleg să ignore ori să minimalizeze riscurile, costurile vor fi aspre: financiare, reputaționale și legale”, adaugă expertul.

DNSC a pus la dispoziția companiilor o structură standardizată

Pentru a standardiza procesul de notificare, DNSC a emis un proiect de ordin care reglementează cerințele privind procesul de înregistrare și metodele de transmitere a informațiilor. Ordinul prevede utilizarea a două instrumente digitale esențiale: Platforma ATHENA și Instrumentul NIS2@RO. Acestea facilitează procesul de evaluare și notificare, oferind o structură standardizată pentru completarea și transmiterea formularului de notificare.

Platforma ATHENA permite înregistrarea online, gestionarea notificărilor și facilitarea comunicării cu DNSC, iar în caz de indisponibilitate a platformei, entitățile pot utiliza local Instrumentul NIS2@RO. Formularul de notificare include secțiuni clare cu privire la identitatea entității, dimensiunea și serviciile furnizate, persoana responsabilă de securitate cibernetică și datele referitoare la rețelele informatice. Formularul trebuie semnat electronic și transmis către DNSC, iar în cazul în care se identifică neconcordanțe, DNSC poate solicita informații suplimentare.