fbpx Directiva NIS2 – Noul standard de securitate cibernetică pe care companiile nu-l pot ignora | Learning Network

Directiva NIS2 – Noul standard de securitate cibernetică pe care companiile nu-l pot ignora

Directiva NIS2 – Noul standard de securitate cibernetică pe care companiile nu-l pot ignora

15 Aug 2025 -

Atacurile cibernetice continuă să crească în frecvență și complexitate, afectând sectoare critice din întreaga lume. Uniunea Europeană a răspuns acestei provocări prin Directiva NIS2, un cadru legislativ menit să ridice nivelul de securitate al rețelelor și sistemelor informatice din toate statele membre.

Conform datelor ENISA (Agenția UE pentru Securitate Cibernetică), în 2024, peste 60% dintre incidentele raportate au vizat infrastructuri critice, cu un impact mediu estimat de 1,7 milioane de euro per incident.

În România, termenul limită de transpunere a directivei a fost 17 octombrie 2024, iar în prezent, companiile vizate ar trebui să fie deja conforme cu noile cerințe. Realitatea arată însă că multe organizații fie se află încă în proces de aliniere, fie au amânat măsurile necesare, expunându-se unor riscuri semnificative.

 

Ce este Directiva NIS2 și ce urmărește?

Directiva NIS2 (Network and Information Systems Directive 2) reprezintă actualizarea normativului european privind securitatea cibernetică. Printre cerințele-cheie se numără:

  • implementarea de măsuri minime obligatorii de securitate

  • raportarea incidentelor majore în maximum 24 de ore

  • responsabilizarea managementului în gestionarea riscurilor IT

  • reducerea impactului atacurilor asupra serviciilor critice pentru populație și economie

     

Rolul HR în alinierea companiei la NIS2

Directiva NIS2 nu este doar o provocare tehnică pentru departamentele IT — ea implică o responsabilitate majoră și pentru HR și managerii de resurse umane.

De ce? Pentru că securitatea cibernetică începe cu oamenii. Fiecare angajat este o verigă în lanțul de apărare. HR-ul are un rol esențial în:

  • selectarea și recrutarea specialiștilor în securitate IT

  • organizarea de sesiuni de training și conștientizare a riscurilor cibernetice

  • implementarea unei culturi organizaționale în care securitatea este prioritară

  • colaborarea cu managementul pentru a integra politicile de securitate în regulamentele interne

     

Astfel, decidenții HR contribuie decisiv la reducerea vulnerabilităților generate de factorul uman — unul dintre cei mai importanți vectori ai riscurilor cibernetice.

 

Cine trebuie să respecte NIS2?

Directiva nu se aplică tuturor companiilor, ci doar celor care îndeplinesc anumite criterii. În general, intră sub incidența NIS2:

Domenii vizate:

  • Energie: furnizori de gaze, electricitate, petrol, carburanți

  • Sănătate: spitale publice și private, clinici cu infrastructură critică

  • Transport: operatori feroviari, aeroporturi, transport rutier de persoane

  • Financiar: bănci, Inclusiv sistemele de plăți și infrastructura financiară, burse

  • Apă potabilă și uzată: Furnizori, operatori și rețele de infrastructură

  • IT și telecomunicații: Furnizori cloud, centre de date, operatori de rețele

  • Administrație publică: Instituții centrale și locale (cu excepții pentru unele autorități regionale mici)

 

Dimensiunea companiei:

  • Medii și mari: peste 50 de angajați sau cifră de afaceri >10 milioane €

  • IMM-uri esențiale: chiar dacă sunt sub acest prag, dacă furnizează servicii critice în domeniile de mai sus, pot fi incluse.

 

Cum afli dacă trebuie să te conformezi?

Dacă nu ești sigur că intri în sfera NIS2, iată pașii recomandați:

  • Verifică dacă faci parte dintr-un sector critic listat în directivă

  • Evaluează dimensiunea companiei (angajați / cifră de afaceri)

  • Analizează dependența lanțului de aprovizionare: chiar și o companie mică poate fi vizată dacă serviciile sale susțin infrastructuri critice

  • Consultă autoritatea națională competentă (CERT-RO / DNSC) pentru clarificări oficiale

  • Solicită o evaluare GRATUITĂ a conformității cu NIS 2 pentru a determina nivelul actual de conformitate și măsurile necesare – link

 

Potrivit unui raport global recent, costul mediu al unui atac cibernetic pentru o companie din sectorul critic depășește 4 milioane de euro, iar timpul mediu de recuperare a sistemelor este de peste 3 săptămâni.

 

Situația în România: companii în întârziere

Conform estimărilor, doar aproximativ 40% dintre organizațiile vizate au finalizat procesul de conformare. Restul fie sunt în faze incipiente, fie nu știu exact dacă trebuie să implementeze NIS2.


 

Principalele provocări sunt:

  • lipsa specialiștilor în securitate cibernetică

  • investiții insuficiente în infrastructura IT

  • necunoașterea clară a cerințelor directivei

  • dificultăți în aplicarea procedurilor de raportare rapidă a incidentelor

     

Neimplementarea măsurilor poate atrage amenzi semnificative, pierderi financiare și chiar suspendarea activității în cazul unor atacuri majore. Despre Legea NIS (Legea 362/2018) și Directiva NIS2 aici găsiți mai multe informații.

 

Povestea unei companii care a făcut schimbarea

”În urma unei evaluări recente, o companie medie dintr-un sector vizat de NIS2 nu avea definit niciun plan de răspuns la incidente și nicio procedură de notificare. După identificarea neconformităților, am implementat politici de securitate minime, un protocol de raportare a incidentelor și sesiuni de instruire pentru angajați. În aproximativ trei luni, organizația a atins un nivel de conformitate de bază, reducând riscurile majore de expunere.” – ne precizează Cofondatorul ITAdviser, Cătălin Oancea.

Această poveste reflectă importanța implicării întregii echipe, inclusiv a departamentului de HR, în asigurarea unui mediu securizat. Implementarea procedurilor și instruirea continuă a angajaților sunt cheia succesului în reducerea riscurilor cibernetice.

De ce conformarea este mai mult decât o obligație legală

NIS2 nu este doar despre evitarea sancțiunilor. Este o măsură de protecție a afacerii, a datelor sensibile și a reputației companiei. Într-un peisaj digital din ce în ce mai periculos, alinierea la noile standarde înseamnă:

  • reziliență operațională

  • încrederea partenerilor și a clienților

  • avantaj competitiv într-un mediu economic bazat pe securitatea informației

     

Pentru decidenții din HR, acest lucru înseamnă că securitatea nu mai poate fi o responsabilitate exclusivă a IT-ului. Trebuie integrată în strategia de management al talentelor și în cultura organizațională.

 

Cum vă pot ajuta consultanții ITAdviser?

Începând cu evaluarea riscurilor și gestionarea acestora pentru alinierea la cerințele de conformitate impuse, experiența și expertiza de lucru cu organizațiile din sectoarele vizate vă pot ajuta să navigați lin pe calea spre conformitatea cu Directiva NIS.

 

 

***

ITAdviser

20 ani activitate | 300 proiecte software | 24.000 cursanți | 90.000 ore consultanță IT

Contactează-ne pentru o discuție despre cum putem susține creșterea digitală a organizației:  0728 ADVICE

 

Companie
IT Adviser
Categorie
Echipa Learning Network
Echipa LearningNetwork.ro

Learning Network este terenul de joacă al celor care cred în puterea învățării, sunt curioși să își descopere limitele și își doresc să obțină... vezi profilul complet

Adaugă comentariu nou

Despre formatele de text

Text simplu

  • Etichetele HTML nu sunt permise.
  • Liniile şi paragrafele sunt rupte automat.
  • Adresele Web și E-mail sunt transformate automat în legături.

Cursuri

Promo

Learning & Development Community
Learning & Development Community
Alătură-te celei mai puternice comunități de Learning & Development din România. Learning Network este terenul de joacă al celor care cred că învățarea este un fel de a fi, sunt curioși să își descopere limitele și își doresc rezultate remarcabile în viața lor. Cine suntem? 14.000 de membri înregistrați pe site, peste 3000 de follower-i în social media, peste 200 de contributori și furnizori! Înscrie-te la newsletter și află în timp real cele mai importante informații din industrie.
Înscrie-te!

Promo

L&D Industry Survey 2019