CISO „calificat” conform art. 14 — ce cere DNSC și ce nu
Scris de Adrian P. — expert cu 31+ audituri NIS la activ
Art. 14 cere entităților esențiale un responsabil cu securitatea care îndeplinește cinci condiții cumulative — inclusiv un curs acreditat DNSC. Pentru entitățile importante, regulile sunt mai relaxate. Iată diferența.
Obligația de a numi un responsabil
Sub NIS 2, conducerea nu poate delega securitatea „undeva în IT” și uita de ea. Art. 14 cere desemnarea, prin act intern, a unui responsabil cu securitatea rețelelor și sistemelor informatice (CISO), în termen de 30 de zile de la comunicarea deciziei DNSC. Rolul lui: să implementeze și să supravegheze măsurile de gestionare a riscurilor la nivelul entității.
Obligația de a desemna se aplică ambelor categorii — esențiale și importante. Diferența apare la ce condiții trebuie să îndeplinească persoana.
Cele cinci condiții cumulative — pentru entitățile esențiale
Pentru entitățile esențiale (cu excepția administrației publice centrale, a microîntreprinderilor și a întreprinderilor mici), art. 14 alin. (4) cere ca responsabilul să îndeplinească CUMULATIV cinci condiții: (a) autoritate managerială; (b) subordonare directă conducerii; (c) independență față de structurile IT și OT; (d) acces la resursele necesare; (e) un curs de specialitate acreditat și recunoscut de DNSC, obținut în 12 luni de la desemnare.
„Cumulativ” înseamnă toate cinci, nu la alegere. Independența față de IT/OT e adesea cea mai greu de asigurat: responsabilul de securitate nu poate fi, în același timp, cel care operează sistemele pe care le supraveghează.
Ce NU cere legea pentru entitățile importante
Pentru entitățile importante, desemnarea responsabilului este obligatorie, dar cele cinci condiții cumulative NU se aplică. Asta lasă mai multă flexibilitate în cine poate ocupa rolul și cum e organizat.
Un mit util de spulberat: legea nu impune o listă închisă de certificări. Ce contează este competența reală și îndeplinirea condițiilor de la art. 14, plus cursul acreditat DNSC pentru entitățile esențiale. Certificările profesionale ajută la a demonstra competența, dar nu înlocuiesc condițiile legale.
Intern, vCISO sau hibrid
Rolul poate fi acoperit intern (un angajat desemnat) sau extern, printr-un model de tip vCISO / CISO-as-a-Service, ori hibrid. Pentru firmele care nu au capacitatea internă de a asigura independența și competența cerute, un model extern poate fi calea mai rapidă și mai sigură spre conformitate — cu condiția să respecte tot setul de cerințe.
Indiferent de model, actul de desemnare, atribuțiile și mijloacele de contact trebuie documentate — sunt prima dovadă pe care o cere un control.
De ce contează pentru conducere
Miza nu e teoretică. Nerespectarea obligațiilor de guvernanță și a cerințelor pentru CISO se sancționează sever — pentru entitățile esențiale, până la 10.000.000 EUR sau 2% din cifra de afaceri mondială. Iar răspunderea apasă pe conducere, nu doar pe departamentul tehnic.
Dacă nu ești sigur ce încadrare ai și, deci, ce regim de CISO ți se aplică, cel mai practic e să pornești de la o verificare a încadrării și să construiești de acolo modelul potrivit.
Nu ești sigur dacă NIS 2 ți se aplică?
Verifică-ți încadrarea și primești un cost orientativ în câteva minute — fără obligații.

