(1)   Statele membre se asigură că organele de conducere ale entităților esențiale și ale entităților importante aprobă măsurile de gestionare a riscurilor în materie de securitate cibernetică luate de entitățile respective pentru a se conforma articolului 21, supraveghează punerea în aplicare a acestuia și pot fi trase la răspundere pentru încălcarea de către entități a respectivului articol.
Aplicarea prezentului alineat nu aduce atingere dreptului intern în ceea ce privește normele referitoare la răspundere aplicabile instituțiilor publice, precum și răspunderea funcționarilor publici și a funcționarilor aleși sau numiți.
(2)   Statele membre se asigură că membrii organelor de conducere din cadrul entităților esențiale și al entităților importante au obligația de a urma o formare pentru a dobândi suficiente cunoștințe și competențe pentru a putea identifica riscurile și a evalua practicile de gestionare a riscurilor în materie de securitate cibernetică și impactul acestora asupra serviciilor pe care le furnizează entitatea, și încurajează entitățile esențiale și entitățile importante să ofere o formare similară tuturor angajaților în mod regulat. – Art. 20 – Guvernanța, NIS 2

Una dintre cele mai mari provocări când avem în vedere „riscul de securitate IT(cibernetică)” este să se accepte și apoi să se aplice ideea că ”securitatea cibernetică” nu este un „risc IT”! Nu. De fapt ”IT-ul” nu are nici un fel de riscuri! ”Securitatea IT/cibernetică” este în primul rînd un risc economic/operațional/al afacerii. Îmi este ușor să afirm asta și o fac ori de cîte ori am ocazia: problema nu este la teorie ci la modul cum aplicăm teoria in practică. Teoria spune de mult timp că securitatea IT/cibernetică trebuie privită în contextul întregii organizații și nu în cazul particular al tehnologiei/tehnologiilor pe care o organizație le folosește.

Nimeni nu pornește o afacere pentru a plăti salarii sau a livra produsul X sau serviciul Y ci pentru a obține profit și bunăstare pentru acționarii săi. Acesta-i obiectivul primordial iar pentru asta trebuie atinse alte obiective. În atingerea acelor obiective se acceptă/asumă riscuri, se stabilesc ”controale” și se folosesc diferite tehnologii (inclusiv IT).

Dacă vrem să evaluăm deci ”riscul (economic) securității cibernetice” ar trebui să răspundem la următoarea întrebare: care este impactul potențial al nefuncționării unui ”control (IT)” (măsură de securitate) asupra atingerii obiectivelor economice?

Ori răspunsul la această întrebare nu îl poate oferi doar un angajat ”economic” sau unul ”tehnic”. Încercarea de a evalua ”riscul de securitate IT” doar cu personal tehnic este foarte puțin probabil să conducă la obținerea răspunsului corect. De ce și de unde ar trebui să știe administratorul ”serviciului email” cîți bani pierde organizația dacă acest serviciu nu funcționează X ore?

În NIS 2 se transferă această responsabilitate de la IT către ”organul de conducere”. Din perspectiva unui auditor acest lucru se traduce prin a obține din partea conducerii răspunsul la întrebarea de mai sus. Dacă ”organul de conducere” nu a realizat și nu menține actualizată o evaluare a riscurilor orientată către riscul economic ca parte integrată a managementului riscului întreprinderii (ERM) auditorul ar trebui……să ia în considerare oprirea auditului. Dacă conducerea nu știe care și unde sunt riscurile, ce asigurări are și ce dovezi poate oferi auditorului că există controalele și securitatea IT adecvate? (nu mă refer la ”hîrtii”…)

Dar să presupunem că ”organele de conducere” și-au asumat o evaluare a riscurilor reală…Următorul pas este să determinăm dacă echipa de securitate a informațiilor are capacitățile (tehnice și financiare), poziția și autoritatea necesare pentru a aborda aceste riscuri. Abia atunci aș lua în considerare să evaluez dacă ”măsurile de securitate” în vigoare sunt suficiente (ToD) și eficiente (ToE).

Haideți să privim concret ce se întîmplă în cazul unui ”incident de securitate”, să spunem un ransomware. Ce tipuri de riscuri apar? De conformitate? Operațional/IT? Financiar? Imagine/Reputație? Altfel de risc? Dacă ”evaluarea și tratarea riscurilor de securitate cibernetică” nu este parte integrantă a programului de management al riscului organizației (ERM) și a procesului decizional atunci trebuie să fim sinceri și să spunem că ne furăm singuri căciula și că tot efortul este doar ”o bifă”.

Punctul de început nu ar trebuie să fie ”tool”-ul/metoda/metodologia/standardul (scrise de cele mai multe ori de oameni tehnici pentru tehnici ) ci BIA- Analiza de Impact asupra Activității pentru că BIA are la bază toate procesele iar procesele au ”în spate” active, oameni și tehnologii (inclusiv IT). Asta de fapt facem și în viața de zi cu zi: funcționăm la nivele de risc acceptabile! Deși probabilitatea să suferim un accident de circulație este mai mare (și uneori cu impact maxim) decît a unui eveniment nuclear la Nuclear Electrica….acceptăm și ”ne păzim”.

Care este rolul auditorului, deci? Să revizuiască procesele ECONOMICE ale organizației pentru a evalua ulterior ”riscul cibernetic” ca parte integrantă a riscului organizației. Putem face și altfel? Cu siguranță, dar nu înseamnă și că facem ”audit bazat pe riscuri”.