(Acesta este un exemplu de exercițiu, în rezumat, care poate fi folosit pentru a testa nivelul de înțelegere al ”membrilor organului de conducere” al unei organizații cu privire la riscurile IT/Cybersec în condițiile Legii 124/2025 – ”NIS2”)
Timp de lucru: 90 minute
Scenariu
Un eveniment cibernetic semnificativ amenință operațiunile comerciale, conformitatea cu reglementările și încrederea clienților. Conducerea executivă transmite problema Consiliului de Administrație pentru îndrumare strategică și supraveghere.
Sarcinile CA
- Confirmarea gravității și a materialității incidentului.
- Alinierea cu apetitul pentru risc al organizației.
- Instrucțiuni către management privind divulgarea, recuperarea și remedierea.
- Supravegherea implicării autorităților de reglementare și a celor de aplicare a legii.
Dovezi (inclusiv pentru audit/autoritatea de supraveghere)
| Dovadă | Descriere | Funcție / Categorie Cyfun/NIST CSF 2.0 |
| Memo CA/comitet | Înregistrări care demonstrează supervizarea de către CA și deciziile strategice privind riscurile cibernetice | GV – Guvernanță |
| Declarația privind apetitul pentru riscul cibernetic | Toleranță aprobată de CA pentru riscul cibernetic și praguri de materialitate | GV.RM – Managementul riscului |
| Memo privind gravitatea și materialitatea incidentelor | Determinarea formală a impactului asupra afacerii: financiar și de reglementare | ID.RA – Evaluarea riscurilor |
| Escaladarea executivă și cronologia deciziilor | Jurnal cronologic al escaladării și deciziilor conducerii și ale CA | GV.OV – Supraveghere |
| Jurnalul de notificări de reglementare | Justificarea, momentul și conținutul notificărilor autorităților de reglementare | RS.CO – Comunicări de incidente |
| Aprobarea comunicărilor externe | Mesaje aprobate de CA către clienți, investitori și mass-media | RS.CO – Comunicări de incidente |
| Plan de acțiune pentru remediere | Acțiuni corective definite cu responsabili, termene limită și responsabilitate | RC.IM – Îmbunătățiri |
| Raport post-incident și lecții învățate | Analiza cauzelor principale revizuită de CA și îmbunătățirile controlului | RC.IM – Îmbunătățiri |
| Evaluarea impactului asupra lanțului de aprovizionare/ terți | Evaluarea expunerii furnizorilor și a riscului sistemic | GV.SC – Managementul riscului în lanțul de aprovizionare |
| Memo decizii privind continuitatea afacerii și recuperarea | Deciziile CA privind prioritățile de redresare și investițiile în reziliență | RC.RP – Planificarea recuperării |
________________________________________
(Material suport: MANAGEMENTUL RISCURILOR DE SECURITATE CIBERNETICĂ. Reziliență într-o lume digitală)
ADRIAN B. MUNTEANU 