Securitatea cibernetică nu mai este doar treaba IT-ului, ci responsabilitatea strategică a top managementului

Diferența dintre o companie și alta nu ține de competențele tehnice, ci de asumarea responsabilității decizionale înainte, în timpul și după un incident, scrie Cristiana Deca, Expert Guvernanță Cibernetică, CEO & Cofondator Decalex.

Odată cu transpunerea Directivei NIS2 în procedurile interne, responsabilitatea se extinde explicit la nivelul conducerii executive. Consiliile de administrație și top managementul trebuie să aprobe măsuri, să monitorizeze implementarea și să răspundă pentru modul în care organizațiile gestionează riscurile cibernetice.

Articolul 20 din NIS2 precizează că liderii trebuie să valideze măsurile de securitate, să urmărească implementarea lor și să înțeleagă impactul riscurilor asupra businessului.

Lipsa experienței tehnice nu mai poate fi invocată ca scuză, directiva impune formarea continuă pentru membrii boardului

În practică, acest lucru implică și revizuirea fișelor de post ale executivilor, extinzându-le cu responsabilitatea pentru reziliența cibernetică, pe lângă obiectivele financiare și operaționale.

La nivel global, percepția asupra riscului s-a schimbat: potrivit „Global Cybersecurity Outlook 2025” al World Economic Forum, majoritatea liderilor consideră lipsa rezilienței cibernetice un risc sistemic major. Conducerea companiilor va trebui să accepte și să gestioneze responsabil aceste riscuri, pentru a nu compromite performanța și reputația organizației.

NIS2 introduce răspunderea personală: în caz de neglijență gravă, liderii pot fi sancționați sau suspendați temporar

Amenzile pentru companii pot ajunge la 2% din cifra de afaceri globală, iar conformitatea implică instruirea periodică a boardului. Necunoașterea sau lipsa de implicare nu mai sunt opțiuni.

Implementarea NIS2 presupune acțiuni clare: aprobarea și actualizarea politicilor de securitate, tratarea bugetului de cybersecurity ca investiție strategică, comunicare directă între CISO și consiliul de administrație, evaluarea riscurilor prin scenarii de impact, testarea capacității de răspuns la incidente, auditarea furnizorilor critici și instruirea continuă a echipei de conducere.

Un mecanism de raportare simplificat pentru executivi, de exemplu un dashboard lunar cu indicatori, precum: timpul de recuperare, expunerea în lanțul de aprovizionare sau nivelul de pregătire al angajaților poate transforma securitatea cibernetică dintr-o zonă opacă într-un instrument de decizie strategic.

Modelul de succes este unul de responsabilitate partajată: managementul stabilește direcția și își asumă deciziile, iar echipele tehnice asigură implementarea.

Organizațiile care adoptă rapid această abordare reduc riscurile, evită sancțiunile și câștigă un avantaj competitiv semnificativ.

Citește și: DNSC avertizează. Reutilizarea parolelor crește riscul de atacuri cibernetice