Directiva (UE) 2022/2555, cunoscută sub denumirea NIS2, aduce o schimbare semnificativă în modul în care organizațiile din Uniunea Europeană trebuie să își gestioneze securitatea cibernetică. Această directivă, adoptată de Parlamentul European și Consiliu în decembrie 2022, înlocuiește Directiva NIS originală și stabilește standarde mai ridicate de protecție a rețelelor și sistemelor informatice.
În esență, NIS2 extinde domeniul de aplicare către entități considerate esențiale sau importante, inclusiv din sectoare precum energie, sănătate, transporturi, administrație publică sau infrastructură digitală,și introduce reguli clare pentru raportarea incidentelor, gestionarea riscurilor și sancțiuni mai dure pentru neconformitate.
În România, directiva este transpusă prin OUG nr. 155/2024 și Legea nr. 124/2025, ceea ce înseamnă că organizațiile vizate trebuie să înceapă implementarea măsurilor necesare pentru conformitate.
1. Guvernanță cibernetică robustă
Un prim pas indispensabil este stabilirea unei structuri solide de guvernanță a securității cibernetice. Aceasta presupune definirea și documentarea politicilor și procedurilor interne care să reflecte riscurile reale cu care se confruntă organizația și să asigure măsuri adecvate pentru protecția activelor.
Conducerea trebuie să fie implicată direct în acest proces — nu doar ca observator, ci ca actor strategic — astfel încât deciziile privind riscurile și protecția cibernetică să fie parte integrantă din managementul general al organizației. De asemenea, este crucială desemnarea unei persoane responsabile cu securitatea rețelelor și a sistemelor informatice, cu autoritate și resurse suficiente pentru coordonarea acțiunilor de conformitate.
2. Managementul riscurilor informatizat și continuu
Directiva NIS2 cere o abordare bazată pe analiză de risc, care să identifice, evalueze și trateze amenințările cibernetice specifice fiecărei organizații. Aceasta nu se referă doar la tehnologie — include și factorul uman și riscurile generate de furnizori, parteneri sau lanțul de aprovizionare.
Un management eficient al riscurilor presupune inventarierea activelor critice, evaluarea vulnerabilităților și stabilirea priorităților de protecție, în funcție de impact și probabilitate. Organizațiile pot utiliza standarde recunoscute internațional pentru a structura aceste procese, astfel încât să asigure consistență și trasabilitate în deciziile privind securitatea cibernetică.
3. Pregătirea și gestionarea incidentelor
Un alt pilon al conformității NIS2 este capacitatea de a detecta și răspunde prompt la incidentele de securitate. Având în vedere creșterea frecvenței și sofisticării atacurilor cibernetice, organizațiile trebuie să se bazeze pe proceduri clare pentru a analiza, limita și remedia impactul unui incident.
Aceasta include nu doar partea tehnică de identificare și izolare a incidentului, ci și planuri operaționale detaliate — de la roluri și responsabilități până la fluxuri eficiente de comunicare internă și externă. În situații complexe, se poate integra și un plan de continuitate a afacerii pentru a asigura reluarea cât mai rapidă a funcțiilor critice.
De ce sunt importante aceste măsuri?
Respectarea acestor trei arii — guvernanță, managementul riscurilor și răspunsul la incidente — nu este doar o cerință legală, ci și o oportunitate de a consolida încrederea clienților și partenerilor, de a diminua riscurile operaționale și de a preveni pierderile financiare sau reputaționale cauzate de breșe de securitate.