Cristina Deca, CEO, Decalex: Responsabilitatea nu mai poate fi delegată complet către departamentele tehnice, iar conducerea este acum responsabilă legal pentru deciziile, supravegherea și lipsa de acțiune în cazul unui incident cibernetic

• România aplică Directiva NIS2 prin Legea nr. 124/2025.
• DNSC publică două ordine cu termen de implementare 30 de zile.
• CEO-ul și board-ul răspund direct pentru securitatea cibernetică.

Din 10 iulie , România aplică Directiva europeană NIS2 prin Legea nr. 124/2025. Noua reglementare schimbă fundamental guvernanța cibernetică: CEO-ul și board-ul companiilor răspund direct pentru securitatea IT.

În plus, companiile vizate au doar 30 de zile pentru a-și declara statutul și sunt obligate să raporteze incidentele în 24 de ore, 72 de ore și 30 de zile. Directiva se aplică inclusiv sub-contractorilor și poate influența reputația și valoarea de piață a companiilor listate.

Ce spune Cristina Deca, CEO, Decalex?

„Până la 20 septembrie, organizațiile trebuie să își evalueze statutul și să stabilească dacă se încadrează în categoriile vizate de directiva NIS, respectiv dacă sunt entități esențiale, critice sau importante. Acestea trebuie să urmeze un proces de evaluare a modului în care sunt pregătite să răspundă în cazul unui incident cibernetic, conform criteriilor emise de DNSC. După evaluare, entitățile trebuie să se declare la DNSC, indicând persoana responsabilă pentru proiectul de implementare și conformitate NIS 2, care va fi contactată în cazul unui incident cibernetic sau pentru informații legate de infrastructura tehnică a organizației.

Un aspect unic al directivei NIS 2 este articolul 20, care impune ca managementul de vârf al entităților vizate să urmeze cursuri periodice de formare în securitatea cibernetică. Această formare este necesară pentru a dobândi cunoștințele și abilitățile necesare în gestionarea riscurilor de securitate cibernetică. Responsabilitatea nu mai poate fi delegată complet către departamentele tehnice, iar conducerea este acum responsabilă legal pentru deciziile, supravegherea și lipsa de acțiune în cazul unui incident cibernetic. Dacă managementul nu respectă aceste cerințe sau dacă nu reacționează corespunzător la un incident, poate fi considerată neglijență managerială, iar conducerea poate fi trasă la răspundere”. spune ea.