Robert Gîrdoc, Director Auditul Riscului, PwC România
Securitatea cibernetică se află an de an în top cinci amenințări la adresa evoluției companiilor, semnalate de directorii executivi atât de la nivel global, cât și din România în cadrul sondajelor CEO Survey realizate de PwC. Însă, în pofida conștientizării riscurilor, persistă încă deficiențe semnificative în creșterea rezilienței cibernetice.
Având în vedere extinderea țintelor pentru atacuri cibernetice, o dată cu progresul inteligenței artificiale generative, a dispozitivelor conectate și tehnologiei cloud, investițiile în prevenirea incidentelor de securitate și răspunsul rapid la potențiale atacuri au devenit esențiale. Potrivit unui raport efectuat de ENISA (Agenția Uniunii Europene pentru Securitate Cibernetică), în ultima parte a anului 2023 și în prima jumătate a anului 2024, a avut loc o escaladare notabilă a atacurilor de securitate cibernetică. Conflictele regionale în curs de desfășurare rămân în continuare un factor semnificativ care modelează peisajul securității cibernetice, dar și rundele de alegeri care au avut loc sau sunt programate în acest an. De asemenea, s-a observat un număr mare de evenimente care vizează organizații din sectoarele administrației publice (19%), transporturilor (11%) și financiar (9%).
Reglementările de securitate cibernetică accelerează investițiile și determină schimbări pozitive la nivelul organizațiilor
Reglementările cibernetice se dovedesc a fi un motor important pentru investițiile în securitatea cibernetică, 96% dintre directorii executivi de la nivel global care au răspuns la cel mai recent sondaj PwC Digital Trust Insights 2025 recunoscând că cerințele de reglementare i-au determinat să își îmbunătățească măsurile de securitate cibernetică.
În plus, 78% consideră că reglementările au contribuit la testarea, îmbunătățirea sau creșterea poziției lor de securitate cibernetică. Acest lucru indică faptul că, în ciuda dificultăților generate de conformitate, reglementările contribuie la maturizarea capacităților de securitate cibernetică în toate industriile.
Noul val de reglementări ale Uniunii Europene – NIS 2, DORA, Cyber Resilience Act, AI Act – subliniază urgența cu care organizațiile trebuie să-și alinieze practicile la aceste cerințe. Organizațiile vizate și care acceptă cerințele de reglementare vor beneficia de cadre de securitate mai puternice și de o poziție mai solidă împotriva amenințărilor emergente.
Anul 2025 este anul intrării în vigoare a Directivei NIS 2 care impune o serie de măsuri de gestionare a riscurilor de securitate cibernetică pentru entitățile din sectoarele critice, precum continuitatea activității, gestionarea incidentelor sau securitatea lanțului de aprovizionare. Aceasta impune, de asemenea, acestor entități să raporteze autorităților competente incidentele care au un impact semnificativ asupra activității lor.
Ce mai presupune NIS2?
Statele membre ale UE sunt obligate să transpună NIS2 în legislația lor națională și să înceapă să o pună în aplicare începând cu 18 octombrie 2024. În România, intrarea în vigoare a NIS-2 este programată pentru anul 2025. Cu toate acestea, cerințele care decurg din actul de punere în aplicare pe care Comisia Europeană îl va adopta se vor aplica entităților relevante direct de la 18 octombrie, fără a fi nevoie ca statele membre să le transpună în legislația națională. Entitățile care fac obiectul NIS2 ar trebui să aibă în vedere îmbunătățirea atât a măsurilor lor de gestionare a riscurilor de securitate cibernetică, cât și a programelor de raportare a incidentelor, pentru a se conforma cerințelor impuse. Nerespectarea NIS2 poate conduce la amenzi semnificative din partea autorităților, dar și la costuri semnificative din partea organizațiilor. Spre exemplu, în cazul unui atac cibernetic care afectează operațiunile din cauza unui proces de gestionare a riscurilor insuficient monitorizat la o entitate extrem de critică, printre consecințe se regăsesc cheltuieli precum plăți de răscumpărare, costuri pentru furnizorii externi de servicii, amenzi pentru încălcarea GDPR și a cerințelor DNSC, dar si răspunderea directorilor generali și executivi pentru prejudiciile suferite ca urmare a încălcării obligațiilor de monitorizare (cu excepția sectorului administrației publice).
Pentru a se pregăti, entitățile vizate de NIS 2 ar trebui să ia în considerare: stabilirea unor politici cuprinzătoare de securitate cibernetică care să acopere toate aspectele gestionării riscurilor, actualizarea periodică a acestor politici, implementarea unor controale stricte referitoare la accesul la date, microsegmentarea, adoptarea unor tehnologii (avansate) de detecție și răspuns aliniate la obiectivele și principalele zone de risc ale business-ului, proceduri clare de raportare a incidentelor, detectare și monitorizare automatizată în timp real sau periodic, formarea continuă a personalului, înregistrarea detaliată a incidentelor de securitate cibernetică, evaluări regulate ale riscurilor și audituri. Implementarea acestor măsuri va sprijini un management integrat al riscurilor la nivelul companiei.
Măsurarea riscului cibernetic este esențială, dar puțin aplicată
Pe măsură ce amenințările cibernetice evoluează rapid ca amploare și grad de sofisticare, cuantificarea riscurilor cibernetice a devenit un instrument esențial pe care organizațiile nu își pot permite să îl ignore. Cu toate acestea, în ciuda beneficiilor sale recunoscute pe scară largă, mai multe provocări (probleme legate de calitatea datelor, fiabilitatea rezultatelor etc.) au împiedicat adoptarea pe scară largă.
Deși directorii sunt în mare măsură de acord că măsurarea riscului cibernetic este esențială pentru prioritizarea investițiilor în domeniul riscului cibernetic (88%) și alocarea resurselor către zonele cu cel mai mare risc (87%), doar 15% dintre organizații fac acest lucru într-o măsură semnificativă (de exemplu, cuantificarea extinsă a riscului cibernetic cu automatizare și raportare extinsă).
Pe măsură ce securitatea cibernetică continuă să evolueze către o prioritate critică de afaceri, organizațiile încep să vadă potențialul acesteia ca un diferențiator cheie și o modalitate de a-și îmbunătăți reputația și fiabilitatea. În următoarele 12 luni, organizațiile acordă prioritate protecției/încrederii datelor și securității în cloud față de alte investiții cibernetice, arată raportul PwC Digital Trust Insights 2025. Ele înțeleg că securizarea informațiilor sensibile este vitală pentru menținerea încrederii părților interesate și a integrității mărcii.
