Autor: Cristiana Deca, Expert Guvernanta Cibernetica si CEO Decalex
Despre apariția Regulamentului General privind Protecția Datelor (GDPR), în urmă cu opt ani (2018), se poate aprecia că a declanșat o reală revoluție legislativă într-un domeniu, acela al protecției datelor personale, căruia până atunci nu i se acorda o prea mare importanță. Acesta a redefinit, practic, lista potențialelor riscuri pentru companiile europene, obligându-le să se aplice în detaliu asupra fiecărei prevederi.
A fost momentul în care datele din serverele companiilor au trecut direct din responsabilitatea exclusivă a departamentelor IT pe ordinea de zi a consiliilor de administrație. Opt ani mai târziu, se poate afirma clar că Regulamentul GDPR nu mai reprezintă destinația finală, ci doar acel punct de plecare în asigurarea securității datelor unei companii.
Noua frontieră a managementului executiv se numește știința guvernanței cibernetice (cyber governance). Vorbim despre un cadru strategic integrat care îmbină securitatea cibernetică, managementul riscului, reziliența operațională și responsabilitatea directă a conducerii. Dacă până nu demult, în board-urile marilor companii, întrebărea (uneori chiar de complezență) era dacă acea companie era conformă, acum lucrurile sunt mai nuanțate: există capacitatea de a funcționa și de a supraviețui unei crize provocate de o breșă de date?
Schimbarea de paradigmă: De la conformare birocratică la reziliență tactică
GDPR a impus disciplină prin inventarierea datelor și formalizarea proceselor, care a venit însă cu mentalitatea bifării de căsuțe („tick-box compliance”) bazată pe audituri periodice și tone de documente. Acum, guvernanța securității cibernetice înlătură aceast abordare birocratică. Altfel spus, dacă perspectiva GDPR este aceea de a de a asigura protecția datelor personale, guvernanța cibernetică trebuie să vină cu răspunsuri foarte exacte la aceste întrebări: poate compania să își continue activitatea comercială în timpul unui atac masiv de tip ransomware? Înțelege board-ul riscul cibernetic tradus în indicatori financiari? Este lanțul nostru de aprovizionare o vulnerabilitate sistemică?
Această mutație reflectă o realitate economică neplăcută: astăzi, costul mediu al unui incident cibernetic major în Europa poate depăși lejer 4–5 milioane de euro, cifră care nu include daunele reputaționale sau exodul clienților. Într-o economie globală volatilă și profund dependentă de digital, simpla conformare nu mai este un avantaj competitiv, ci doar pragul minim pentru a rămâne în joc.
Directorii executivi sunt buni de plată
Tranziția nu este doar voluntară, ci este accelerată agresiv de cele două acte legislative: Directiva NIS2, care extinde obligațiile stricte de securitate către mii de companii din segmentul mid-market și către furnizorii de servicii esențiale. Respectiv, DORA (Digital Operational Resilience Act), care introduce cerințe draconice pentru sectorul financiar, cu accent pe gestionarea riscurilor asociate terților.
Autoritățile de reglementare spun clar: securitatea cibernetică nu mai poate fi izolată în silozul tehnic al departamentului IT, ci a fost preluată și aparține (și) guvernanței corporative. Mai mult, responsabilitatea legală cade direct pe umerii consiliilor de administrație. În anumite jurisdicții europene, absența unor măsuri adecvate de protecție poate atrage acum și sancțiuni personale și de patrimoniu pentru directori.
Riscul cibernetic reprezintă și un mare risc financiar
Una dintre cele mai importante evoluții observate pe piață este transformarea riscului cibernetic într-un risc financiar pur. Companiile mature au abandonat jargonul tehnic și indicatorii abstracți (cum ar fi „numărul de atacuri respinse”) în favoarea unor metrici agreate de CFO: evaluarea impactului financiar direct per incident, Modelarea scenariilor de întrerupere a activității (de exemplu, costul exact al unui downtime de 48 de ore), Integrarea riscului cibernetic în sistemele macro de Enterprise Risk Management (ERM).
Deja, din acest punct, securitatea datelor nu mai este privită ca o gaură neagră a cheltuielilor IT, ci ca o decizie investițională strategică. Această claritate financiară devine vitală în contextul în care riscul terților reprezintă noua verigă slabă. Companiile nu mai sunt entități izolate; atacurile recente arată că furnizorii SaaS, partenerii logistici și subcontractorii sunt vectorii principali prin care rețelele corporative sunt compromise. Managementul modern impune o trecere de la verificările punctuale (due diligence de bifat), la o monitorizare în timp real și la o „inteligență operațională permanentă” asupra întregului ecosistem comercial.
Companiile care optează pentru o guvernanță cibernetică bine pusă la punct, vor avea beneficii corporative considerabile: o mai mare încredere din partea clienților, acces mai facil pe piețele supra-reglementate și evaluări considerabil mai bune în procesele de atragere de capital sau audituri ale investitorilor.
| Știri BVB