Miza trecerii responsabilului cu securitatea datelor din companii este evitarea riscului unor amenzi de zeci de milioane de euro
:format(jpg):quality(80)/https://www.economica.net/wp-content/uploads/2026/04/Cristiana-Deca-618x420.jpg)
Astăzi, o breșă de securitate costă, în medie, aproape cinci milioane USD la nivel global, conform IBM Cost of a Data Breach Report 2024, un record istoric, cu o creștere de 10% față de anul precedent. În paralel, economia europeană pierde anual peste 100 de miliarde de euro din cauza criminalității cibernetice, doar costurile directe estimate pentru principalele economii depășind constant acest prag, potrivit analizelor agregate ale industriei și autorităților europene.
În acest context, tot mai multe organizații încep să conștientizeze faptul că menținerea Chief Information Security Officer-ului (CISO) exclusiv în structura IT creează vulnerabilități structurale, atât în modelul de business, cât și în procesul decizional. Cristiana Deca, expert în guvernanța riscurilor cibernetice și CEO & cofondator Decalex, identifică trei motive principale pentru care se impune o schimbare rapidă de abordare.
Primul motiv: conflictul de interese
Chief Information Officer (CIO) este responsabil de livrarea proiectelor digitale și optimizarea costurilor, în timp ce CISOul are mandatul de a încetini sau chiar opri inițiativele care cresc expunerea la risc. Când ambele roluri raportează în același lanț ierarhic, securitatea pierde aproape întotdeauna în fața presiunilor de business.
Această tensiune nu mai este un detaliu operațional, ci un factor de risc financiar major. Întrun mediu în care aproape 70% dintre organizațiile afectate de breșe raportează perturbări semnificative ale operațiunilor, deciziile care „îngroapă” riscul pentru a respecta termene sau bugete IT pot genera pierderi de ordinul milioanelor.
Independența raportării CISO-ului este singura care asigură că Boardul primește o imagine realistă asupra riscurilor și impactului lor potențial asupra afacerii.
Al doilea motiv: schimbarea naturii riscului cibernetic
Riscul cibernetic a devenit o problemă de top management, nu una tehnică. Breșele de securitate nu mai sunt incidente izolate, ci evenimente cu impact direct asupra veniturilor, reputației și valorii de piață. La nivel european, pierderile cumulate cauzate de atacuri cibernetice, inclusiv ransomware, furt de date și sabotaj digital, sunt estimate la peste 100 de miliarde de euro anual, afectând competitivitatea și stabilitatea economică a companiilor.
Directiva NIS2 impune obligații directe organelor de conducere, care trebuie să aprobe, să supravegheze și să fie capabile să demonstreze controlul asupra măsurilor de securitate. Pentru entitățile esențiale, amenzi de până la 10 milioane de euro sau 2% din cifra de afaceri globală pot fi aplicate pentru neconformitate, iar responsabilitatea nu mai poate fi delegată integral către IT. Mai mult, Articolul 20 din NIS2 introduce răspunderea directă a membrilor Boardului, inclusiv posibilitatea unor sancțiuni personale în caz de neglijență gravă.
În acest context, rolul CISO este acela de a traduce riscul tehnic în limbaj de business, a avertiza, practic, top managementul asupra cazului în care un sistem cade ori bazele de date sunt compromise, compania pierde bune milioane de euro și de a ghida decizia strategică privind investițiile necesare pentru reducerea riscului la un nivel acceptabil.
Al treilea motiv: calitatea deciziilor strategice
Un CISO poziționat la nivel de guvernanță poate contribui decisiv la evaluarea riscurilor în fuziuni și achiziții, lansări de produse digitale sau extinderi internaționale. În lipsa acestei perspective, organizațiile riscă să subestimeze pasive latente care pot exploda financiar după o tranzacție sau un incident major.
Studiile arată că organizațiile care folosesc guvernanță matură și instrumente avansate de securitate reușesc să reducă impactul unei breșe cu milioane de dolari față de cele care tratează securitatea ca pe o funcție pur tehnică.
În timp ce CIO urmărește sisteme rapide și accesibile, CISO urmărește sisteme sigure – chiar dacă acest lucru înseamnă uneori mai puțină comoditate. Această tensiune este esențială și trebuie reflectată în structura de guvernanță, nu eliminată prin subordonarea securității intereselor IT.
Schimbarea este accelerată și de utilizarea inteligenței artificiale de către atacatori, care crește viteza, amploarea și personalizarea atacurilor. În acest context, un CISO limitat la bugete IT și procese reactive devine rapid depășit.
vCISO – o soluție pragmatică pentru organizațiile mai mici
Pentru companiile mici și mijlocii, menținerea unui CISO intern este adesea costisitoare. O alternativă viabilă este modelul de vCISO, care oferă expertiză de nivel executiv în guvernanța riscului cibernetic, fără costurile unui rol permanent.
Securitatea cibernetică nu mai este o funcțiune de suport, ci o componentă strategică a rezilienței organizaționale. Momentul pentru schimbare nu este după următorul incident major, ci înaintea lui.
În noile reglementări europene, CISOul și Boardul pot fi trași la răspundere directă pentru neglijență, iar mutarea securității în zona de guvernanță devine o ajustare inevitabilă, nu o opțiune.
Opinie de Cristiana Deca, CEO & cofondator Decalex