Începând cu acest an, companiile din agribusiness și food trebuie să aibă un responsabil NIS (pentru asigurarea Securității Rețelelor și Sistemelor Informatice), care să anunțe atacurile cibernetice la Directoratului Național de Securitate Cibernetică (DNSC).
Termenul pentru înregistrarea la DNSC și nominalizarea acestui responsabil a fost data de 20 septembrie 2025. În caz contrar, există riscul unor amenzi semnificative, care pot ajunge și până la 10% din cifra de afaceri, ca să nu mai vorbim despre pericolul unui eventual atac cibernetic, care poate să pună pe butuci sectoare întregi ale economiei românești.
”Anul acesta este unul de răscruce, pentru că, pentru prima dată în zona de securitate cibernetică și de infrastructură critică, au fost incluse toate business-urile din zona de agricultură și food, adică toată producția, distribuția de carne și mezeluri sau de conserve și toți cei de pe lanțul trofic care ajută aceste firme sunt incluși, prin legislația nouă, în NIS2 în infrastructura critică și trebuie să îndeplinească noi măsuri de securitate cibernetică”, a declarat pentru FoodBiz Cristiana Deca, cofondator &CEO Decalex Digital, companie specializată în servicii cybersecurity şi conformare digitală.
Statistic vorbind, orice companie se confruntă, cel puțin o dată la trei ani, cu un incident major de securitate, care poate să fie extrem de periculos pentru tot lanțul în care activează.
„Un astfel de atac poate să se perpetueze pe tot lanțul, se duce de la o companie la alta, practic vorbim de un atac de fel de caracatiță care poate pune pe butuci o întreagă industrie, de aceea este foarte important să declari incidentul. Amenzile sunt enorme și pot să ajungă până chiar și undeva la 10% din cifra de afaceri”, arată Cristiana Deca.
NIS2 este directiva UE (2022/2555) care impune standarde unitare de securitate cibernetică. Aceasta extinde aria la„entități esențiale/importante”, cere guvernanță la vârf, managementul riscului, controale minime și raportarea incidentelor (24h/72h/30 zile), cu sancțiuni și răspundere a conducerii.
Răspundere penală
Companiile sunt obligate prin lege să se înregistreze la DNSC, care monitorizează piața, și să stabilească un Responsabil NIS (punct unic de contact). De asemenea, trebuie să demonstreze o guvernanță cibernetică activă: managementul riscului, raportarea incidentelor în 24h/72h/30 zile, politici și controale minime, inclusiv pentru lanțul de aprovizionare.
Cadrul NIS2 vizează entități esențiale și entități importante din sectoare precum energie, transport, bancar/financiar,sănătate, apă/canal, infrastructuri digitale/servicii digitale, administrație publică, poștă/deșeuri, chimic, agro-alimentar, producție, cercetare ș.a.
Responsabilul NIS este persoana desemnată de o firmă încadrată în aria Directivei NIS/NIS2 să coordoneze conformarea și să fie punctul unic de contact cu autoritatea competentă (în România: DNSC – Directoratul Național de Securitate Cibernetică). Rolul poate fi îndeplinit de CISO, IT/security manager sau un responsabil dedicat.Mai trebuie precizat și faptul că reglementarea aduce, pentru prima dată, răspunderea personală a managementului executiv în centrul arhitecturii de securitate cibernetică. Responsabilitatea nu mai aparține exclusiv echipelor tehnice – ci se extinde la nivel de guvernanță, incluzând CEO-ul, consiliul de administrație și echipa executivă.
Autor: Viorela Pitulice
Comentariile sunt închise