Securitatea cibernetică nu mai poate fi izolată în ”silozul” tehnic al departamentului IT, ci a fost preluată și aparține guvernanței corporative, se arată într-o analiză de specialitate, dată publicității miercuri.
”Noua frontieră a managementului executiv se numește știința guvernanței cibernetice (cyber governance). Vorbim despre un cadru strategic integrat care îmbină securitatea cibernetică, managementul riscului, reziliența operațională și responsabilitatea directă a conducerii (…) GDPR a impus disciplină prin inventarierea datelor și formalizarea proceselor, care a venit însă cu mentalitatea bifării de căsuțe (‘tick-box compliance’) bazată pe audituri periodice și tone de documente. Acum, guvernanța securității cibernetice înlătură aceast abordare birocratică. Această mutație reflectă o realitate economică neplăcută: astăzi, costul mediu al unui incident cibernetic major în Europa poate depăși lejer 4-5 milioane de euro, cifră care nu include daunele reputaționale sau exodul clienților. Într-o economie globală volatilă și profund dependentă de digital, simpla conformare nu mai este un avantaj competitiv, ci doar pragul minim pentru a rămâne în joc. Autoritățile de reglementare spun clar: securitatea cibernetică nu mai poate fi izolată în silozul tehnic al departamentului IT, ci a fost preluată și aparține (și) guvernanței corporative. Mai mult, responsabilitatea legală cade direct pe umerii consiliilor de administrație. În anumite jurisdicții europene, absența unor măsuri adecvate de protecție poate atrage acum și sancțiuni personale și de patrimoniu pentru directori”, susține Cristiana Deca, expertă în Guvernanță Cibernetică.
Potrivit sursei citate, tranziția către guvernanța cibernetică nu este doar voluntară, ci este accelerată agresiv de două acte legislative, respectiv Directiva NIS2 – care extinde obligațiile stricte de securitate către mii de companii din segmentul mid-market și către furnizorii de servicii esențiale, și DORA (Digital Operational Resilience Act) – care introduce cerințe draconice pentru sectorul financiar, cu accent pe gestionarea riscurilor asociate terților.
”Una dintre cele mai importante evoluții observate pe piață este transformarea riscului cibernetic într-un risc financiar pur. Companiile mature au abandonat jargonul tehnic și indicatorii abstracți (cum ar fi ‘numărul de atacuri respinse’) în favoarea unor metrici agreate de CFO: evaluarea impactului financiar direct per incident, Modelarea scenariilor de întrerupere a activității (de exemplu, costul exact al unui downtime de 48 de ore), Integrarea riscului cibernetic în sistemele macro de Enterprise Risk Management (ERM). Deja, din acest punct, securitatea datelor nu mai este privită ca o gaură neagră a cheltuielilor IT, ci ca o decizie investițională strategică. Această claritate financiară devine vitală în contextul în care riscul terților reprezintă noua verigă slabă. Companiile nu mai sunt entități izolate; atacurile recente arată că furnizorii SaaS, partenerii logistici și subcontractorii sunt vectorii principali prin care rețelele corporative sunt compromise. Managementul modern impune o trecere de la verificările punctuale (due diligence de bifat), la o monitorizare în timp real și la o ‘inteligență operațională permanentă’ asupra întregului ecosistem comercial”, susține Deca.
În opinia specialistei, companiile care optează pentru o guvernanță cibernetică bine pusă la punct, vor avea beneficii corporative considerabile: o mai mare încredere din partea clienților, acces mai facil pe piețele supra-reglementate și evaluări considerabil mai bune în procesele de atragere de capital sau audituri ale investitorilor.
