Skip links

GRC (guvernanță, managementul riscului și conformitate) – fundația pentru o organizație pregătită de NIS2

Author
Published on:
Published in: Noutăți despre companie

GRC (guvernanță, managementul riscului și conformitate) – fundația pentru o organizație pregătită de NIS2

Odată cu intrarea în vigoare a directivei NIS2, organizațiile din toate domeniile de activitate se confruntă cu o provocare dublă: pe de o parte, să își asigure continuitatea proceselor critice, iar pe de altă parte, să demonstreze conformitatea cu cerințele tot mai stricte de securitate cibernetică. Din experiența echipei Safetech Innovations, am învățat că ordinea este esențială: atunci când businessul este protejat și funcțiile esențiale sunt garantate, conformitatea devine o consecință firească. În acest demers, cadrul GRC (Guvernanță, Managementul Riscului și Conformitate) nu este doar un instrument de control, ci un pilon central care oferă structură, vizibilitate și reziliență.

Principiile GRC joacă totodată un rol esențial în atingerea cerințelor directivei NIS2, deoarece implică definirea unei strategii clare de guvernanță, dezvoltarea/implementarea unui program de management al riscurilor bazat pe evaluarea lor reală, aplicarea politicilor și controalelor de securitate adecvate, precum și dezvoltarea planurilor de continuitate și de răspuns la incidente. În plus, GRC include instruirea și sprijinirea personalului, alături de o gestionare centralizată a documentației și a proceselor de audit, facilitând demonstrarea conformității și consolidarea rezilienței cibernetice.

GRC, scurt istoric

GRC este un cadru integrat care aliniază politicile, structurile și procesele organizaționale, identificarea și gestionarea amenințărilor, precum și respectarea standardelor legale și etice. Conceptul își are rădăcinile în guvernanța corporativă din prima jumătate a secolului XX, a fost consolidat prin dezvoltarea practicilor de management al riscurilor în anii ’70-’80, și a cunoscut o accelerare în urma scandalurilor financiare din anii 2000 (Enron, WorldCom), care au determinat introducerea unor reglementări mai stricte. Începând cu sfârșitul anilor 2000, organizațiile au înțeles că abordarea separată a acestor trei componente – Guvernanță, Risc și Conformitate – generează redundanțe și încetinește procesul de luare a deciziilor, motiv pentru care GRC a evoluat într-un cadru unitar, esențial astăzi pentru transparență, reziliență și conformitate.

Cadrul GRC – baza pentru conformitatea cu NIS2

În securitatea cibernetică, GRC este un cadru unificator, care integrează guvernanța, managementul riscurilor și conformitatea, oferind organizațiilor o abordare coerentă și structurată pentru protejarea activelor și a serviciilor critice. În contextul NIS2, principiile GRC capătă o relevanță deosebită, ghidând modul în care organizațiile stabilesc responsabilități, evaluează și gestionează riscurile cibernetice și respectă cerințele legale și reglementările aplicabile, construind astfel o strategie de securitate robustă.

Principiile GRC, aplicabile în conformitatea cu NIS2, funcționează astfel:

1. Guvernanța, conform ISO 37000, cuprinde ansamblul de activități prin care o organizație este direcționată, supravegheată și ținută responsabilă pentru realizarea scopului său definit. Aceasta include definirea clară a scopului, valorilor și principiilor etice, stabilirea unei structuri de guvernanță cu roluri, comitete și responsabilități bine delimitate, precum și adoptarea politicilor-cadru, cum sunt codul de conduită sau apetitul pentru risc. De asemenea, guvernanța implică supravegherea performanței prin rapoarte periodice și indicatori strategici, un dialog constant cu stakeholders – de la acționari și autorități de reglementare până la comunități – și revizuirea periodică a cadrului de guvernanță, pentru a-l adapta la schimbările interne și externe.

Pentru conformitatea cu NIS2, guvernanța devine esențială deoarece directiva impune responsabilizarea directă a conducerii, necesitatea implementării unor politici și procese documentate, raportarea periodică a performanței în materie de securitate cibernetică și crearea unei culturi organizaționale – inclusiv prin training pentru angajați – care sprijină respectarea cerințelor legale.

2. Componenta de risc/managementul riscurilor din cadrul GRC reprezintă, potrivit ISO 31000, ansamblul de activități coordonate prin care o organizație este direcționată și controlată în raport cu riscurile. Acest proces începe cu stabilirea contextului intern și extern, și definirea criteriilor de risc, urmată de identificarea riscurilor (amenințărilor și oportunităților) din procese și proiecte. Ulterior, riscurile sunt analizate în funcție de probabilitate și impact, evaluate pentru a fi prioritizate, și tratate prin strategii precum evitarea, reducerea, transferul (prin asigurare) sau acceptarea lor. Managementul riscurilor include, de asemenea, monitorizarea și raportarea indicatorilor-cheie de risc (KRI-uri), precum și revizuirea și îmbunătățirea continuă a cadrului de gestionare, pentru a asigura reziliența și adaptabilitatea organizației.

Managementul riscurilor are un rol central și în prevederile NIS2. Directiva impune implementarea de măsuri tehnice și organizatorice pentru detectarea, monitorizarea și răspunsul la incidente de securitate și gestionarea vulnerabilităților software (existente sau care pot fi induse de erorile de configurare). În plus, organizațiile trebuie să asigure accesul la echipe de specialiști, interne sau externe, cu competențe certificate, capabile să ofere monitorizare 24/7, evaluarea periodică a riscurilor și răspuns rapid la incidente, respectând normele tehnice și tehnologice prevăzute de reglementare.

3. Conformitatea reprezintă ansamblul de activități prin care o organizație asigură și menține respectarea cerințelor legale, a reglementărilor aplicabile, a obligațiilor contractuale și a politicilor interne. Aceasta include, potrivit ISO 37301, identificarea obligațiilor legale și de reglementare relevante, elaborarea și actualizarea politicilor și procedurilor de conformitate, precum și efectuarea de audituri și verificări periodice pentru a asigura respectarea acestora. De asemenea, conformitatea implică gestionarea raportărilor de neconformitate și a investigațiilor interne, monitorizarea și raportarea principalilor indicatori de conformitate (KCI-uri) și implementarea de acțiuni corective și preventive pentru a preveni și remedia orice abatere de la normele aplicabile.

La capitolul conformitate, NIS2 impune pe de o parte, raportarea etapizată către Directoratul Național de Securitate Cibernetică (DNSC): avertisment timpuriu, notificarea incidentului, raport intermediar și raport final și respectarea termenelor specifice pentru fiecare. Totodată, entitățile trebuie să realizeze periodic audituri externe privind starea de securitate cibernetică (la 1 an de la înregistrare și ulterior, la fiecare 2 ani), și să transmită raportul de audit către DNSC. Aflați mai multe detalii despre termenele și obligațiile impuse de NIS2, accesând articolul „Cadrul legislativ și normativ pentru începerea procesului de conformare cu NIS2 în România și calendarul de conformare cu prevederile legislative naționale” .

Serviciile de consultanță GRC de la Safetech Innovations pentru protecție și conformitate fără compromis

Serviciile de consultanță Safetech Innovations ajută organizațiile să-și atingă obiectivele de afaceri prin gestionarea eficientă a riscurilor și respectarea conformității. În practică, aceste servicii oferă o abordare structurată și personalizabilă, și se traduc prin următoarele activități:

  • Raportarea riscurilor și neconformităților de securitate către top management
  • Consilierea managementului privind strategia și gestionarea riscurilor de securitate
  • Gestionarea și operaționalizarea politicilor, standardelor și procedurilor de securitate, inclusiv revizuirea lor periodică
  • Elaborarea analizelor de risc și implementarea măsurilor de remediere pentru amenințări și neconformități
  • Gestionarea catalogului de riscuri de securitate
  • Implementarea programelor de conștientizare și instruire pentru angajați privind securitatea informației
  • Asigurarea de suport specializat pentru audituri externe și revizuirea politicilor/procedurilor existente
  • Monitorizarea aplicării recomandărilor din audituri și a respectării cerințelor legale
  • Urmărirea și raportarea lunară a indicatorilor cheie de securitate (KRI și KPI)
  • Managementul incidentelor de securitate și răspuns rapid la breșe
  • Evaluarea periodică a nivelului de maturitate în securitatea informației la nivel organizațional
  • Gestionarea eficientă a incidentelor și a crizelor de securitate cibernetică
  • Suport decizional și trasabilitate completă prin software-ul de management al securității, ISAM: managementul activelor/serviciilor/proceselor, vulnerabilităților, politicilor, riscurilor, evenimentelor și indicatorilor de securitate
  • Raportarea NIS2, monitorizarea și vizualizarea printr-un tablou de bord a posturii de securitate
  • Safetech Innovations poate asigura externalizarea rolului de CISO (Chief Information Security Officer) din organizație.

Serviciile de consultanță în managementul securității oferite de Safetech Innovations pot fi livrate sub formă de pachete dedicate, concepute pentru obiective specifice, cum ar fi verificarea conformității proceselor și sistemelor existente cu cerințele NIS2, definirea și implementarea procedurilor operaționale specifice sau elaborarea unui plan de continuitate a activității, asigurând astfel alinierea organizației la standardele de securitate cibernetică și pregătirea pentru situații de risc.

Serviciile garantează accesul la o echipă de specialiști cu peste 12 ani de experiență în domeniul testelor de securitate și al consultanței, și peste 600 de proiecte finalizate în industrii diverse. Abordarea Safetech combină expertiza în integrarea sistemelor de securitate și răspunsul rapid la incidente cibernetice cu tehnologia software-ului de management al securității, ISAM. Aceasta permite inventarierea proceselor și sistemelor IT, gestionarea vulnerabilităților, analizarea riscurilor, monitorizarea incidentelor și indicatorilor de securitate, oferind astfel un traseu rapid și complet de maturizare a programului de securitate cibernetică al organizațiilor la standardele NIS2.

 

Cu o experiență solidă pe piața locală și internațională, Safetech Innovations este un partener de încredere în domeniul securității cibernetice.

Pentru mai multe informații despre serviciile Safetech Innovations de consultanță în managementul securității, ne puteți contacta la adresa sales @ safetech.ro sau telefonic, la +40 21 316 0565.

Powered by  GDPR Cookie Compliance
Prezentare generală a confidențialității

Acest site folosește cookie-uri pentru a-ți putea oferi cea mai bună experiență în utilizare. Informațiile cookie sunt stocate în browser-ul tău și au rolul de a te recunoaște când te întorci pe site-ul nostru și de a ajuta echipa noastră să înțeleagă care sunt secțiunile sitului pe care le găsești mai interesante și mai utile.
Pentru mai multe informatii poti consulta Nota de Informare Generală privind prelucrarea datelor cu caracter personal.