Blog
NIS2 & Conformitate13 iulie 20266 min de citit

NIS2 în România: ce rol are training-ul de awareness în securitate

Ce cere NIS2 pentru instruirea angajaților și a conducerii și unde se opresc responsabilitățile unei platforme de training de awareness.

Directiva (UE) 2022/2555, cunoscută drept NIS2, extinde semnificativ numărul de organizații din UE care intră sub incidența unor cerințe de securitate cibernetică — de la energie și sănătate la producție, servicii digitale și administrație publică. Pentru multe echipe, prima întrebare practică nu este despre firewall-uri, ci despre oameni: ce trebuie să știe angajații și conducerea, și cum demonstrezi că instruirea chiar a avut loc.

Ce spune NIS2 despre instruire

Printre măsurile de gestionare a riscurilor, NIS2 menționează explicit practicile de igienă cibernetică de bază și instruirea în securitate cibernetică pentru personal. Separat, directiva pune accent pe responsabilizarea conducerii: membrii organelor de conducere trebuie să urmeze instruire și sunt așteptați să înțeleagă riscurile la care este expusă organizația.

Cu alte cuvinte, awareness-ul nu mai este un „nice to have” lăsat exclusiv la nivelul echipei IT. Este o obligație care atinge deopotrivă angajații de rând și nivelul de decizie — și care trebuie să fie demonstrabilă, nu doar declarată.

De la cerință la program concret

Un program de awareness care rezistă la o discuție de conformitate acoperă, de obicei, câteva elemente repetabile:

  • Conținut relevant pentru rolurile din organizație — nu același modul pentru toată lumea, ci parcursuri diferite pentru angajați, manageri și echipe cu acces sensibil.
  • Evaluări care confirmă înțelegerea, nu doar vizionarea unui material.
  • Evidențe de finalizare — cine a parcurs ce, când, și cu ce rezultat.
  • Repetabilitate — instruirea ca proces recurent, nu ca eveniment unic bifat o dată pe an.

Awarely Learning este construit în jurul acestor fluxuri: cursuri și module, evaluări cu prag de promovare, certificate de finalizare și raportare pentru administratori. Scopul este să faci vizibil și verificabil ceea ce, altfel, rămâne o afirmație greu de susținut într-un audit.

Important: nicio platformă de training nu îți oferă, singură, „conformitate NIS2”. Conformitatea depinde de controalele, procesele și obligațiile fiecărei organizații. O platformă poate susține componenta de awareness și poate produce evidențe — restul rămâne responsabilitatea ta și, unde e cazul, a consultanților juridici și de securitate.

Un punct de plecare rezonabil

Dacă abia începi, un traseu pragmatic este: (1) identifică rolurile cu risc ridicat, (2) definește un set minim de module de awareness pentru toată lumea plus module dedicate pentru conducere, (3) adaugă o evaluare simplă la final și (4) asigură-te că poți extrage oricând un raport cu cine a finalizat instruirea. Din acel moment, discuția cu un auditor devine mult mai scurtă.

#NIS2#conformitate#awareness#securitate cibernetică