Skip links

Cadrul GRC transformă cerințele NIS2 în reziliență și securitate cibernetică durabilă

Author
Published on:
Published in: Noutăți din tehnologie

Cadrul GRC transformă cerințele NIS2 în reziliență și securitate cibernetică durabilă

Directiva NIS2 schimbă fundamental modul în care organizațiile abordează securitatea cibernetică, punând accent pe guvernanță, management continuu al riscurilor, raportare, responsabilizarea conducerii și controlul relației cu furnizorii.

Pentru organizațiile mari, cu mii de angajați și infrastructuri IT extinse și distribuite geografic, aceste cerințe cresc semnificativ complexitatea: ritmul accelerat de dezvoltare, dispersia operațională și fluctuația de personal fac dificilă scalarea măsurilor de securitate și construirea unei culturi solide de igienă cibernetică. La o altă scară, aceleași provocări apar și în companiile mici și medii, unde resursele limitate și lipsa expertizei interne conduc adesea la abordări reactive.

Indiferent de dimensiunea organizației, concluzia este aceeași: tehnologia, oricât de avansată, nu este suficientă pentru conformitatea cu NIS2 și pentru o protecție cibernetică solidă. O aliniere eficientă la NIS2 presupune adoptarea unui cadru GRC (Guvernanță, Managementul Riscului și Conformitate), care permite o gestionare riguroasă a riscurilor cibernetice, dezvoltarea unei culturi de securitate, aplicarea bunelor practici internaționale și implementarea unor măsuri de protecție clare, măsurabile și scalabile.

Specialiștii Safetech Innovations Gheorghe Mărăcine, Manager Audit și Evaluare Riscuri, și Veronica Răuță, Manager Servicii de Management al Securității, recomandă integrarea securității cibernetice într-un cadru GRC dedicat, aliniat cu GRC-ul corporativ. Astfel, organizațiile obțin o bază unitară și coerentă pentru decizii strategice și pentru funcționarea eficientă a întregii organizații.

GRC, cadrul unificator pentru o strategie de securitate robustă

GRC este, pe scurt, modul prin care o organizație pune ordine în felul în care ia decizii, gestionează riscurile și respectă regulile. Vorbim despre un cadru integrat care ajută echipele să lucreze după aceleași politici și proceduri, să identifice și să trateze din timp riscurile și vulnerabilitățile, și să se asigure că organizația respectă atât cerințele legale, cât și regulile interne.

GRC înseamnă, pe scurt, următoarele:

  • Guvernanța: se referă la ansamblul de activități prin care organizația este condusă, supravegheată și responsabilizată pentru atingerea obiectivelor strategice (roluri, responsabilități, politici-cadru bine definite).
  • Managementul riscurilor: constă în identificarea, evaluarea și controlul riscurilor care pot afecta deciziile și funcționarea organizației.
  • Conformitatea: activitățile prin care organizația respectă cerințele legale, reglementările, obligațiile contractuale și politicile interne.

„Prin reunirea acestor trei componente într-un model unitar, GRC oferă vizibilitate asupra riscurilor relevante, reduce fragmentarea proceselor și sprijină luarea deciziilor informate. În domeniul securității cibernetice și în contextul Directivei NIS2, GRC facilitează definirea clară a responsabilităților, alinierea controalelor de securitate la riscurile reale și demonstrarea conformității, contribuind totodată la creșterea transparenței și rezilienței operaționale în organizații.”, explică Gheorghe Maracine, Managerul Departamentului de Audit şi Evaluare Riscuri din cadrul Safetech Innovations.

GRC- fundația potrivită pentru alinierea la NIS2

Aplicarea la nivel național a Directivelor NIS și NIS2, prin Legea nr. 362/2018 și, ulterior, Legea nr. 124/2025, a marcat un moment crucial pentru consolidarea securității cibernetice în organizațiile românești. Structurarea cerințelor NIS2 pe cei trei piloni ai cadrului GRC ne ajută să înțelegem mai clar obligațiile impuse organizaţiilor din sectoarele esenţiale şi importante, și modul în care acestea se aplică.

La nivel de Guvernanță, NIS2 include cerințe precum:

  • Responsabilizarea conducerii entităților vizate: NIS2 impune implicarea directă a managementului în securitatea cibernetică și luarea deciziilor strategice conexe, precum și sancționarea acestuia în situația nerespectării cerințelor legale.
  • Politici și procese documentate: crearea și implementarea unor proceduri clare pentru securitatea IT&C.
  • Cultură organizațională: îmbunătățirea conștientizării securității cibernetice în rândul angajaților.
  • Raportare periodică: monitorizarea și comunicarea către management a performanței în securitate cibernetică.

Managementul riscurilor:

  • Identificarea și evaluarea riscurilor: analiza riscurilor reale și prioritizarea lor în funcție de impactul asupra operațiunilor critice.
  • Măsuri tehnice și organizatorice: implementarea soluțiilor pentru prevenirea, detectarea și gestionarea incidentelor.
  • Monitorizarea vulnerabilităților: gestionarea erorilor de configurare și actualizarea permanentă a sistemelor.
  • Acces la specialiști: echipe interne sau externe pentru monitorizare 24/7 și răspuns rapid la incidente.

Conformitate:

  • Raportare etapizată către DNSC: avertisment timpuriu, notificare incident, raport intermediar și raport final.
  • Respectarea termenelor: fiecare raport și incident trebuie transmis în termenele stabilite de reglementare.
  • Audituri externe: evaluări periodice (la 1 an după înregistrare și apoi la fiecare 2 ani) și transmiterea raportului către DNSC.

SMSI, primul pas în implementarea GRC

Implementarea efectivă a cadrului GRC de securitate într-o organizație începe prin definirea clară a rolurilor și responsabilităților cheie, cum ar fi CISO (Chief Information Security Officer), CRO (Chief Risk Officer), DPO (Data Protection Officer), comitetul de audit sau responsabilul pentru conformitatea cu NIS2.

Pe lângă stabilirea acestor roluri, este esențială crearea unor procese și proceduri clare pentru guvernanță, managementul riscurilor și conformitate, respectând standarde și bune practici internaționale precum ISO 27001, COBIT, ISO 27005, NIST RMF, GDPR, PCI-DSS, DORA sau NIS2. Un alt element esențial este utilizarea indicatorilor KPI, KRI, KCI) pentru a evalua și monitoriza eficiența implementării cadrului GRC.

„Pentru a pune în practică aceste principii, recomandăm operaționalizarea GRC printr-un Sistem de Management al Securității Informației (SMSI), implementat treptat și adaptat standardelor internaționale. Acest sistem permite o abordare structurată și măsurabilă a securității cibernetice, acoperind toate etapele esențiale: identificarea, protejarea, detectarea și răspunsul la amenințările cibernetice, așa cum este detaliat în cadrul internațional NIST CSF (National Institute of Standards and Technology Cybersecurity Framework)”, a adăugat Gheorghe Mărăcine.

GRC operaționalizat prin metodologia Safetech Innovations

Metodologia Safetech Innovations transformă principiile GRC în procese operaționale și măsurabile, prin externalizarea rolurilor cheie și implicarea directă a experților în securitate cibernetică. Principalele elemente ale metodologiei includ:

Sprijin în externalizarea rolurilor esențiale de GRC/pentru conformitatea NIS2

  • Safetech Innovations pune la dispoziția organizațiilor experți din echipa sa pentru rolurile de GRC Officer, precum și pentru rolurile dedicate definirii controalelor, elaborării politicilor și analizei riscurilor – specialiști cu expertiză extinsă în diverse domenii de cybersecurity și experiență practică în rolul de CISO.
  • Externalizare CISO: Safetech poate prelua activitățile specifice unui CISO pentru organizațiile care au nevoie de expertiză suplimentară.

„Rolul de GRC Officer presupune o colaborare strânsă cu echipa organizației, de la IT și CISO până la managementul superior, pentru a gestiona eficient riscurile, a asigura conformitatea și a alinia politicile interne la obiectivele de afaceri. Această abordare necesită înțelegerea profundă a organizației și a modului său de lucru, astfel încât rezultatele să fie concrete și măsurabile”, a precizat Veronica Răuță, Manager Servicii de Management al Securității în cadrul Safetech Innovations.

Analiza și definirea cadrului GRC

  • Evaluarea politicilor și proceselor existente
  • Stabilirea obiectivelor, de exemplu: reducerea pierderilor operaționale, respectarea standardelor și consolidarea securității cibernetice
  • Analize de risc pentru soluții, tehnologii și furnizori (și implementarea măsurilor de remediere pentru amenințări și neconformități)
  • Evaluarea conformității cu măsurile NIS2 și elaborarea planului de măsuri
  • Servicii GRC de analiză a impactului asupra afacerii (BIA) și elaborarea Business Continuity Plan/ Disaster Recovery Plan
  • Elaborare politici și proceduri

Implementarea proceselor GRC

  • Module pentru managementul riscurilor, incidentelor și conformității
  • Implicare directă în implementarea măsurilor de reducere a riscurilor
  • În funcție de situație, externalizarea unor elemente ale planului de Business Continuity
  • Gestionarea și operaționalizarea politicilor, standardelor și procedurilor de securitate, inclusiv revizuirea lor periodică
  • Safetech Innovations operaționalizează GRC printr-un Sistem de Management al Securității Informației (SMSI), a cărui evoluție este urmărită în timp real prin aplicația software proprie de management al securității – iSAM, inclusă opțional în serviciile de consultanță GRC.

Consolidarea culturii de cybersecurity

  • Activități de conștientizare și instruire, precum și evaluări periodice ale angajaților, realizate de specialiști Safetech Innovations.

„Serviciile GRC oferite de Safetech Innovations sprijină organizațiile în protejarea datelor, reducerea riscurilor și respectarea reglementărilor, prin dezvoltarea și gestionarea eficientă a strategiilor și sistemelor de securitate. Companiile pot apela la noi fie pentru consultanță, implementare sau externalizarea rolurilor precum CISO sau GRC Officer. Aceste servicii pot fi livrate și sub formă de pachete adaptate unor obiective concrete – de exemplu: evaluarea conformității cu NIS2, definirea și implementarea procedurilor operaționale sau elaborarea planurilor de continuitate a activității,” a completat Veronica Răuţă.

Impactul și beneficiile GRC dincolo de NIS2

GRC este mai mult decât un instrument de conformitate cu NIS2, este un pilon esențial pentru consolidarea pe termen lung a securității cibernetice și a rezilienței operaționale a organizațiilor.

Un cadru GRC dedicat de securitate cibernetică, corect implementat, ajută organizațiile să evite atât subdimensionarea, cât și supradimensionarea securității cibernetice (inclusiv tool sprawl-ul), prin adaptarea controalelor la contextul real de risc și impactul asupra afacerii. Astfel, sunt eliminate măsurile irelevante, documentația excesivă sau investițiile nejustificate, în favoarea unei abordări echilibrate și eficiente.

Prin implicarea experților externi, organizațiile beneficiază de mobilizare rapidă, fără perioade îndelungate și costisitoare de onboarding, și de independență și competență în evaluare, conform cerințelor impuse de reglementări precum NIS2, GDPR sau DORA. De exemplu, auditorii Safetech sunt acreditați de autorități precum DNSC, asigurând credibilitatea evaluărilor.

GRC contribuie la dezvoltarea unei culturi de securitate cibernetică solide, susținând adoptarea bunelor practici internaționale și implementarea unor măsuri de protecție măsurabile și scalabile. Scopul final este dezvoltarea unor automatisme comportamentale de igienă cibernetică în rândul administratorilor și utilizatorilor din organizații.

GRC asigură nu doar conformitatea cu NIS2, ci și alinierea la multiple alte cadre de conformitate (NIST CSF, ISO, PCI DSS), o redundanţă care crește gradul de securitate. Monitorizarea continuă, inclusiv prin evaluări interne periodice și scoruri trimestriale de risc, oferă vizibilitate asupra progresului și susține deciziile de management corecte, atât la nivel operațional, cât și strategic.

Pentru informații suplimentare și oferte personalizate, vă invităm să ne contactați la sales @ safetech.ro sau la 021 316 05 65.

Powered by  GDPR Cookie Compliance
Prezentare generală a confidențialității

Acest site folosește cookie-uri pentru a-ți putea oferi cea mai bună experiență în utilizare. Informațiile cookie sunt stocate în browser-ul tău și au rolul de a te recunoaște când te întorci pe site-ul nostru și de a ajuta echipa noastră să înțeleagă care sunt secțiunile sitului pe care le găsești mai interesante și mai utile.
Pentru mai multe informatii poti consulta Nota de Informare Generală privind prelucrarea datelor cu caracter personal.