Într-un context în care vulnerabilitățile digitale cresc constant, înțelegerea nivelului real de pregătire al companiilor din România a devenit esențială. Pentru a măsura percepțiile, nevoile și maturitatea pieței locale, GrECo România, în parteneriat cu BCR, a realizat un studiu dedicat securității cibernetice și evoluției conformității în raport cu Directiva Europeană NIS2.
Studiul a inclus 100 de companii cu cifra de afaceri mai mare de 3 milioane EUR, acoperind industrii considerate relevante pentru economia locală. În cele ce urmează, sintetizăm cele mai importante concluzii – dacă le considerați îngrijorătoare sau revelatoare…ne spuneți voi.
Nivelul de pregătire în materie de securitate cibernetică rămâne scăzut
Încă de la primele întrebări, studiul arată o realitate clară: majoritatea companiilor alocă mai puțin de 1% din cifra de afaceri pentru securitate cibernetică.
Această investiție limitată este insuficientă în raport cu scenariile actuale de risc.
Companiile mari tind să stea ceva mai bine, iar 46% dintre ele au efectuat un audit de risc cibernetic – un pas important în evaluarea vulnerabilităților interne și construirea unui plan prioritar de acțiune.
Interesant este și faptul că firmele cu suport IT externalizat bugetează chiar mai puțin pentru securitate, probabil deoarece responsabilitatea este (aparent) delegată către furnizorii IT. În practică, însă, acest lucru poate duce la goluri critice în controlul intern
Aproape un sfert dintre companii au fost deja victime ale unui atac
23% dintre respondenți au declarat că au experimentat cel puțin un atac cibernetic în trecut.
Cele mai frecvente tipuri de atac raportate în piață, confirmate și de alte studii internaționale, sunt:
- phishing
- ransomware
- hacking
Companiile mari par mai puțin expuse — nu pentru că ar fi „invizibile”, ci pentru că au măsuri de protecție mai mature și echipe dedicate.
Percepția riscului diferă în funcție de experiențe și dimensiunea companiei
Companiile care au fost deja victimele unui atac au o percepție mai realistă asupra riscurilor cibernetice. Această categorie acordă atenție sporită impactului financiar, reputațional și operațional.
În segmentul companiilor cu cifră de afaceri de 3–10 milioane EUR, îngrijorările majore sunt legate de:
– încălcări GDPR
– atacuri de tip hacking
Această zonă de mijloc a pieței este una dintre cele mai expuse, pentru că volumul datelor procesate este mare, dar bugetele și resursele interne sunt limitate.
Consecințele unui atac: de ce se tem companiile cel mai mult?
Percepțiile diferă în funcție de mărimea companiei:
– Companiile mai mici se tem în primul rând de costurile remedierii incidentului
– Companiile mari sunt mai preocupate de întârzierile în proiecte, impact asupra clienților și costuri legale
Un indicator critic: toleranța medie la nefuncționarea sistemelor IT este considerată de respondenți de 17 ore — o perioadă foarte mare raportat la standardele de reziliență operațională internaționale.
În mod surprinzător, companiile care nu au experimentat incidente tind să se teamă cel mai mult de impactul reputațional.
Asigurarea cibernetică și NIS2 – două instrumente critice, dar încă puțin cunoscute
Când vine vorba de transferul de risc, rezultatele studiului sunt îngrijorătoare:
– 61% dintre companii nu sunt conștiente de rolul asigurării cibernetice
– 89% nu utilizează o astfel de poliță
Lipsa de informare este vizibilă în special în rândul companiilor medii și al celor care externalizează serviciile IT.
În paralel, notorietatea Directivei NIS2 este scăzută la nivel general. Doar companiile mari și cele cu o expunere semnificativă în infrastructură par familiarizate cu cerințele directivei.
Un aspect interesant: firmele care cunosc conceptul de asigurare cibernetică sunt și cele mai bine informate despre NIS2, ceea ce indică o maturitate crescută în zona de risk management.
Concluziile studiului: unde se află astăzi România?
Analizând datele colectate, câteva idei sunt esențiale:
Directiva NIS2 este insuficient cunoscută, deși va influența direct modul în care companiile își vor gestiona securitatea cibernetică.
Pregătirea este scăzută:
70% dintre companii nu au efectuat niciodată un audit de risc cibernetic
73% alocă sub 1% din cifra de afaceri pentru securitate
Aproape un sfert au experimentat deja un atac, iar principalele consecințe sunt:
întreruperea activității (40%)
costurile de remediere
Toleranța medie la downtime – 17 ore – este foarte mare și poate ascunde riscuri contractuale și operaționale semnificative.
Asigurarea cibernetică este puțin cunoscută, iar gradul de utilizare este foarte redus (4%).
Ce urmează? Cum pot companiile din România să crească nivelul de reziliență?
Experiența noastră arată că organizațiile care își cresc maturitatea cibernetică parcurg în mod tipic trei etape:
Conștientizare și evaluare
Audit de risc cibernetic
Evaluarea conformității cu NIS2
Măsurarea toleranței la downtime și analiza impactului
Implementarea de măsuri
Consolidarea politicilor și proceselor interne
Soluții tehnice de bază + avansate
Instruirea periodică a angajaților
Transferul de risc
Asigurare cibernetică adaptată industriei și dimensiunii afacerii
Planuri de răspuns la incidente și scenarii de continuitate testate regulat
Concluzie: Studiul realizat de GrECo România și BCR evidențiază un adevăr important: deși riscurile cresc și transformarea digitală accelerează, zona de securitate cibernetică rămâne subfinanțată și insuficient înțeleasă.
Oana Radu
PR Coordinator GrECo Romania
T +40 721 369 845
