NIS2 în România: ce rol are training-ul de awareness în securitate
Ce cere NIS2 pentru instruirea angajaților și a conducerii și unde se opresc responsabilitățile unei platforme de training de awareness.
Directiva (UE) 2022/2555, cunoscută drept NIS2, extinde semnificativ numărul de organizații din UE care intră sub incidența unor cerințe de securitate cibernetică — de la energie și sănătate la producție, servicii digitale și administrație publică. Pentru multe echipe, prima întrebare practică nu este despre firewall-uri, ci despre oameni: ce trebuie să știe angajații și conducerea, și cum demonstrezi că instruirea chiar a avut loc.
Ce spune NIS2 despre instruire
Printre măsurile de gestionare a riscurilor, NIS2 menționează explicit practicile de igienă cibernetică de bază și instruirea în securitate cibernetică pentru personal. Separat, directiva pune accent pe responsabilizarea conducerii: membrii organelor de conducere trebuie să urmeze instruire și sunt așteptați să înțeleagă riscurile la care este expusă organizația.
Cu alte cuvinte, awareness-ul nu mai este un „nice to have” lăsat exclusiv la nivelul echipei IT. Este o obligație care atinge deopotrivă angajații de rând și nivelul de decizie — și care trebuie să fie demonstrabilă, nu doar declarată.
De la cerință la program concret
Un program de awareness care rezistă la o discuție de conformitate acoperă, de obicei, câteva elemente repetabile:
- Conținut relevant pentru rolurile din organizație — nu același modul pentru toată lumea, ci parcursuri diferite pentru angajați, manageri și echipe cu acces sensibil.
- Evaluări care confirmă înțelegerea, nu doar vizionarea unui material.
- Evidențe de finalizare — cine a parcurs ce, când, și cu ce rezultat.
- Repetabilitate — instruirea ca proces recurent, nu ca eveniment unic bifat o dată pe an.
Awarely Learning este construit în jurul acestor fluxuri: cursuri și module, evaluări cu prag de promovare, certificate de finalizare și raportare pentru administratori. Scopul este să faci vizibil și verificabil ceea ce, altfel, rămâne o afirmație greu de susținut într-un audit.
Un punct de plecare rezonabil
Dacă abia începi, un traseu pragmatic este: (1) identifică rolurile cu risc ridicat, (2) definește un set minim de module de awareness pentru toată lumea plus module dedicate pentru conducere, (3) adaugă o evaluare simplă la final și (4) asigură-te că poți extrage oricând un raport cu cine a finalizat instruirea. Din acel moment, discuția cu un auditor devine mult mai scurtă.