Securitatea cibernetica se afla an de an in top cinci amenintari la adresa evolutiei companiilor, semnalate de directorii executivi atat de la nivel global, cat si din Romania in cadrul sondajelor CEO Survey realizate de PwC. Insa, in pofida constientizarii riscurilor, persista inca deficiente semnificative in cresterea rezilientei cibernetice.
Avand in vedere extinderea tintelor pentru atacuri cibernetice, o data cu progresul inteligentei artificiale generative, a dispozitivelor conectate si tehnologiei cloud, investitiile in prevenirea incidentelor de securitate si raspunsul rapid la potentiale atacuri au devenit esentiale. Potrivit unui raport efectuat de ENISA (Agentia Uniunii Europene pentru Securitate Cibernetica), in ultima parte a anului 2023 si in prima jumatate a anului 2024, a avut loc o escaladare notabila a atacurilor de securitate cibernetica. Conflictele regionale in curs de desfasurare raman in continuare un factor semnificativ care modeleaza peisajul securitatii cibernetice, dar si rundele de alegeri care au avut loc sau sunt programate in acest an. De asemenea, s-a observat un numar mare de evenimente care vizeaza organizatii din sectoarele administratiei publice (19%), transporturilor (11%) si financiar (9%).
Reglementarile de securitate cibernetica accelereaza investitiile si determina schimbari pozitive la nivelul organizatiilor
Reglementarile cibernetice se dovedesc a fi un motor important pentru investitiile in securitatea cibernetica, 96% dintre directorii executivi de la nivel global care au raspuns la cel mai recent sondaj PwC Digital Trust Insights 2025 recunoscand ca cerintele de reglementare i-au determinat sa isi imbunatateasca masurile de securitate cibernetica.
In plus, 78% considera ca reglementarile au contribuit la testarea, imbunatatirea sau cresterea pozitiei lor de securitate cibernetica. Acest lucru indica faptul ca, in ciuda dificultatilor generate de conformitate, reglementarile contribuie la maturizarea capacitatilor de securitate cibernetica in toate industriile.
Noul val de reglementari ale Uniunii Europene - NIS 2, DORA, Cyber Resilience Act, AI Act - subliniaza urgenta cu care organizatiile trebuie sa-si alinieze practicile la aceste cerinte. Organizatiile vizate si care accepta cerintele de reglementare vor beneficia de cadre de securitate mai puternice si de o pozitie mai solida impotriva amenintarilor emergente.
Anul 2025 este anul intrarii in vigoare a Directivei NIS 2 care impune o serie de masuri de gestionare a riscurilor de securitate cibernetica pentru entitatile din sectoarele critice, precum continuitatea activitatii, gestionarea incidentelor sau securitatea lantului de aprovizionare. Aceasta impune, de asemenea, acestor entitati sa raporteze autoritatilor competente incidentele care au un impact semnificativ asupra activitatii lor.
Ce mai presupune NIS2?
Statele membre ale UE sunt obligate sa transpuna NIS2 in legislatia lor nationala si sa inceapa sa o puna in aplicare incepand cu 18 octombrie 2024. In Romania, intrarea in vigoare a NIS-2 este programata pentru anul 2025. Cu toate acestea, cerintele care decurg din actul de punere in aplicare pe care Comisia Europeana il va adopta se vor aplica entitatilor relevante direct de la 18 octombrie, fara a fi nevoie ca statele membre sa le transpuna in legislatia nationala. Entitatile care fac obiectul NIS2 ar trebui sa aiba in vedere imbunatatirea atat a masurilor lor de gestionare a riscurilor de securitate cibernetica, cat si a programelor de raportare a incidentelor, pentru a se conforma cerintelor impuse. Nerespectarea NIS2 poate conduce la amenzi semnificative din partea autoritatilor, dar si la costuri semnificative din partea organizatiilor. Spre exemplu, in cazul unui atac cibernetic care afecteaza operatiunile din cauza unui proces de gestionare a riscurilor insuficient monitorizat la o entitate extrem de critica, printre consecinte se regasesc cheltuieli precum plati de rascumparare, costuri pentru furnizorii externi de servicii, amenzi pentru incalcarea GDPR si a cerintelor DNSC, dar si raspunderea directorilor generali si executivi pentru prejudiciile suferite ca urmare a incalcarii obligatiilor de monitorizare (cu exceptia sectorului administratiei publice).
Pentru a se pregati, entitatile vizate de NIS 2 ar trebui sa ia in considerare: stabilirea unor politici cuprinzatoare de securitate cibernetica care sa acopere toate aspectele gestionarii riscurilor, actualizarea periodica a acestor politici, implementarea unor controale stricte referitoare la accesul la date, microsegmentarea, adoptarea unor tehnologii (avansate) de detectie si raspuns aliniate la obiectivele si principalele zone de risc ale business-ului, proceduri clare de raportare a incidentelor, detectare si monitorizare automatizata in timp real sau periodic, formarea continua a personalului, inregistrarea detaliata a incidentelor de securitate cibernetica, evaluari regulate ale riscurilor si audituri. Implementarea acestor masuri va sprijini un management integrat al riscurilor la nivelul companiei.
Masurarea riscului cibernetic este esentiala, dar putin aplicata
Pe masura ce amenintarile cibernetice evolueaza rapid ca amploare si grad de sofisticare, cuantificarea riscurilor cibernetice a devenit un instrument esential pe care organizatiile nu isi pot permite sa il ignore. Cu toate acestea, in ciuda beneficiilor sale recunoscute pe scara larga, mai multe provocari (probleme legate de calitatea datelor, fiabilitatea rezultatelor etc.) au impiedicat adoptarea pe scara larga.
Desi directorii sunt in mare masura de acord ca masurarea riscului cibernetic este esentiala pentru prioritizarea investitiilor in domeniul riscului cibernetic (88%) si alocarea resurselor catre zonele cu cel mai mare risc (87%), doar 15% dintre organizatii fac acest lucru intr-o masura semnificativa (de exemplu, cuantificarea extinsa a riscului cibernetic cu automatizare si raportare extinsa).
Pe masura ce securitatea cibernetica continua sa evolueze catre o prioritate critica de afaceri, organizatiile incep sa vada potentialul acesteia ca un diferentiator cheie si o modalitate de a-si imbunatati reputatia si fiabilitatea. In urmatoarele 12 luni, organizatiile acorda prioritate protectiei/increderii datelor si securitatii in cloud fata de alte investitii cibernetice, arata raportul PwC Digital Trust Insights 2025. Ele inteleg ca securizarea informatiilor sensibile este vitala pentru mentinerea increderii partilor interesate si a integritatii marcii.
