NIS2 – Cadrul de guvernanță, management riscuri operaționale și organizare

DESCRIERE:

 Seminarul prezintă un mod practic de implementare a cerințelor Directivei  (EU) 2022/2555 – NIS 2 privind  instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil transpusă în legilsația din România prin OUG 155/2024. Aceasta se aplică entităților care activează în domenii considerate esențiale sau importante pentru funcționarea societății (energie, transporturi, sănătate, apă potabilă, infrastructură digitală, cloud computing, centre de date, servicii poștale și de curierat, administrație publică, furnizori de servicii IT) care pot avea un impact semnificativ în caz de incident cibernetic.  Pentru ca o societate să fie obligată să respecte OUG 155/2024 firme trebuie să activeze într-unul dintre domeniile reglementate, sau sunt firme mijlocii și mari.

În cadrul seminarului se va face referire la sistemul de guvernanță, management riscuri, transparență, managementul incidentelor, a continuității si a testării rezilienței, a schimbului de informații, a modului de interacțiune externă prin relația/contractarea cu furnizorii, cu ceilalți stakeholderi, în vederea aplicării NIS2. Datele, rețelele sau programele informatice sustin funcțiile importante sau critice dintr-o compania care trebuie să fie gestionate corespunzător. Dacă o parte, sau tot procesul IT, este externalizat pentru un proces de business esențial, atunci furnizorii trebuie să fie tratați la fel ca și când ar fi în interiorul organizației, compania rămâne complet responsabilă.

Într-o lume din ce în ce mai digitalizată, dematerializată, riscurile operaționale trebuie să aibă un tratament special, dincolo de abordarea prudențială, financiară. Seminarul va detalia aceste aspecte.

 Riscurile operaționale sunt cele generate de procese necorespunzătoare (procese nestructurate sau implementate eronat, fără puncte de control, fără indicatori de performanță de proces, fără indicatori de risc extrași din indicatorii de performanță, absența monitorizării), oameni (erori, nemulțumiri, fraude interne, lipsă de instruire etc), sisteme (implementarea si gestionare necorespunzătoare a sistemelor tehnice, lipsa monitorizării, lipsa evidențelor și a managementul activelor și serviciilor, și neindentificare/neplasarea/nemonitorizarea acestora pe procese care susțin o activitate de business, lipsă patchuri, logurilor etc) și mediul extern (în care criminalitatea informatică, fraudele externe necesită o atenție sporită, alături de furnizori necorespunzători sau tehnologii emergente (AI, DLT, IoT, etc) neadaptate corespunzător).

Nevoia unui nivel de disponibilitate a serviciilor, calitatea datelor/informațiilor, continuitatea afacerii în caz de incident operațional (catastrofic sau nu) sunt toate prevăzute de NIS2 și de seminarul propus. Pentru a asigura un nivel de servicii contractat trebuie să se asigure managementul detaliat ala acestora (pentru respectarea SLA către client, si zona de IT OLA (Operational level agreement) intern in entitate). În caz de incident cibernetic trebuie să se asigure o comunicare corespunzătoare, să fie pus la punct un sistem de schimb de informații și informare.

Din acest motiv NIS2 și seminarul propus susțin în primul rând asigurarea unei guvernanțe și a unui management al riscurilor profesionist si solicită soluții tehnice specializate. Sunt definiți responsabilii, persoanele responsabile pe toate nivelurile, inclusiv in boardul entității, aplicarea NIS2 nefiind doar o problemă de IT, ci de management. Este necesar un cadru formal destul de complex, dar cu o abordare pragmatică, cu soluții eficiente. Trebuie dezvoltate strategii, politici si proceduri care vor fi subliniate în seminar. NIS2 susține un management al riscurilor operaționale, un management IT profesionist. Seminarul prezintă cerințele de igienă a bunei administrări a  funcțiilor și proceselor de IT care susțin funcțiile de business.

Seminarul va face referire practică la ce reprezintă NIS2, la colecția a celor mai bune practici, extrase din diferite standarde, principalele fiind cele din seria ISO 27.000 referitoare la managementul securității informației, ISO 20.000 (fostul ITIL) standardele aferente proceselor necesare în IT pe care seminarul le va detalia (managementul utilizatorilor, al configurației/asset management, managementul schimbării (inclusiv al proiectelor, al testării etc), managementul disponibilității, al capacității, al incidentelor, al serviciilor etc), frameworkul COBIT privind obiectivele și punctele de control pentru guvernanța IT, standardele de securitate tehnică ale NIST (de exemplu pentru managementul vulnerabilităților, a securității cibernetice în general) etc.

GRUPUL ŢINTĂ:

Conducere, management și specialiști din companiile care trebuie să respect NIS2, terțe părți/furnizori ai acetora. Top management responsabili cu reziliența digitală operațională, auditori, manageri de risc, specialişti riscuri IT, manageri specialiști organizare și management procese de afaceri și de IT, manageri departamente audit/conformitate, CIO/manageri IT, CISO/specialiști securitate cibernetică, specialiști IT, specialiști managementul continuității, specialiști achiziții/outsourcing și management furnizori, consilieri juridici, ofițeri GDPR, manageri și angajați ai furnizorilor de servicii şi produse IT dedicte entităților financiare etc.

CONŢINUT:

1. Cadrul de guvernanță pentru implementarea NIS2
2. Ciclul de viață al managementului riscurilor IT&C și raportarea acestora, managementul riscurilor terțelor părți/furnizorilor
3. Managementul riscurilor operaționale aferente sistemelor TIC, puncte de control, studii de caz
4. Metodologia de evaluare a riscurilor operaționale generate de IT
5. Documentele solicitate de NIS2 – strategii, politici, proceduri, instrucțiuni, formulare
6. Corelarea cu reglementări sau standardele din domeniu – ISO 27.001, ISO 20.000/ITIL, COBIT etc., managementul riscurilor/registrul riscurilor IT, aplicarea principiului proporționalității, cerințe de conformare pentru furnizori și terți
7. Organizarea pe procese și servicii IT&C ca suport al proceselor critice/importante de afaceri – managementul schimbării/al proiectelor, managementul incidentelor/ managementul activelor/managementul configurațiilor/ managementul capacității, managementul nivelelor de servicii cu furnizorii/SLA, managementul disponibilității, managementul continuității, managementul lansărilor/patchurilor
8. Analiza de impact şi planurile de management a continuității afacerii
9. Managementul securității

• Instrumente, tehnologii și soluții pentru cerințele NIS2
• Arhitecturi de sistem
• Testarea rezilienței, gestionarea vulnerabilităților și testarea periodică
• Monitorizarea conformității
• Cooperarea şi comunicarea

10. Mod de pregătire și implementare a conformității cu NIS2, gap analyse

LECTOR:

Lect. univ. dr. ing. ec., MBA Călin Mihai RANGU, are o experiență de 30 de ani în domeniul financiar-bancar, în domeniul managementului guvernanței, a managementului IT și al riscurilor operaționale, a tehnologiilor financiar-bancare, a supravegherii piețelor financiare, din care peste 20 ani de management strategic și operațional, activând:

• 12 ani ca director de direcție în cadrul autorităților de reglementare și supraveghere financiară– bancară (ASF, BNR) si al Fondului de Garantare a

Asiguraților, coordonând elaborarea Normei 4/2015 a ASF referitoare la riscurilor operaționale generate de IT și activitățile aferente managementului riscurilor la nivelul FGA

• 8 ani director IT/CIO în cadrul Raiffeisen Bank România și doi ani CEO al subsidiarei Raiffesien Informatik în România
• 5 ani ca președinte al Institutului de Studii Financiare și membru în boardul EFICERT (European Financial Certification Organisation)
• 4 ani vicepreședinte al Comitetului InsurTech și 7 ani membru al Comitetului pentru Inovații Financiare și Protecția Consumatorilor din cadrul Autorității Europene de Asigurări și Pensii Ocupaționale/Frankfurt, membru al European Financial Innovation Forum la nivelul UE
• decan si lector universitar al Facultății de Științe Economice si Administrarea Afacerilor din cadrul Universității
• expert în economie digitală, înregistrat în registrul REXCD al Ministerului Cercetării, Invocării și Digitalizării

Călin Rangu a primit o serie de premii în domeniul managementului, a publicat două cărți, capitole de carte, două manuale de curs, o serie de articole științifice, peste 100 de articole de specialitate în domeniul financiar-bancar, IT, Fintech, al tehnologiilor bancare, al securității sistemelor informatice si multe altele.

DURATA CURSULUI:

Cursul se desfășoară pe durata a 8 ore (o zi).

PERIOADA DE DESFĂŞURARE:

25 – 26 noiembrie 2025, orele 16:00 – 20:00

Înscrierea la curs se face prin completarea fişei de înscriere. O puteţi descărca de aici şi, după ce o completaţi, o puteţi transmite responsabilului de curs, pe e-mail.

Cursul se va organiza ONLINE, pe platforma ZOOM. 

La finalul cursului participanţii vor primi, pe email, suportul de curs în format pdf şi linkul pentru evaluarea cursului. În termen de max. 2 săptămâni de la data cursului, tot pe email, vor primi şi un certificat, emis de IBR (sub egida membrilor fondatori: BNR şi ARB), cu 7 credite de dezvoltare profesională continuă (CPDs). Certificatul în format fizic poate să fie ridicat de la sediul IBR, str. Negru Vodă nr. 3, Bucureşti, sector 3.

Pentru tariful cursului şi alte detalii vă rugăm să ne contactaţi telefonic sau prin e-mail.

PERSOANĂ DE CONTACT:

Nona Pârvulescu, Training Specialist – nona.parvulescu@ibr-rbi.ro,  Tel. 0722 52 88 68