O breșă de securitate nu este doar o problemă tehnică pe care antreprenorul o poate lăsa exclusiv în sarcina departamentului IT. Compromiterea datelor poate declanșa simultan obligații față de Directoratul Național de Securitate Cibernetică, autoritatea pentru protecția datelor, clienți, parteneri contractuali, asigurători sau organele de cercetare penală.
Directoratul Național de Securitate Cibernetică (DNSC) a publicat, în iulie 2026, un ghid pentru elaborarea unei politici de răspuns la încălcarea securității datelor. Documentul arată ce ar trebui să facă o organizație din momentul în care descoperă sau suspectează o breșă și până la închiderea incidentului.
Ghidul nu vizează numai datele personale protejate prin GDPR. Sunt incluse și informațiile confidențiale din contracte, datele financiare nepublicate, secretele comerciale, proprietatea intelectuală, secretul profesional și, după caz, informațiile clasificate.
Primul risc: firma începe să repare și distruge probele
În cazul unui atac informatic, reacția firească a unei firme poate fi să oprească rapid sistemele, să reinstaleze programele compromise și să restaureze datele din copiile de siguranță.
DNSC avertizează însă că, înainte de ștergerea, reinstalarea sau repunerea în funcțiune a echipamentelor afectate, firma trebuie să conserve probele necesare investigației.
Pot fi necesare imagini forensice ale sistemelor, jurnale de activitate, copii ale mesajelor sau documentelor implicate. De asemenea, trebuie documentat cine a colectat, transferat și accesat probele, astfel încât acestea să poată fi folosite în relația cu autoritățile sau în instanță.
Dacă există indicii privind săvârșirea unei infracțiuni, măsurile de remediere ar trebui coordonate, pe cât posibil, cu organele de urmărire penală, pentru ca investigația să nu fie compromisă.
Firma trebuie să știe cine ia decizia de oprire a sistemelor
Una dintre principalele recomandări ale DNSC este ca responsabilitățile să fie stabilite înainte de producerea incidentului.
Conducerea firmei trebuie să aprobe politica de răspuns, să asigure resursele necesare și să ia deciziile critice privind oprirea unor sisteme, comunicarea externă și sesizarea autorităților.
Responsabilul pentru securitatea informațiilor (DPO) sau persoana care îndeplinește acest rol coordonează răspunsul tehnic. DPO-ul gestionează componenta privind datele personale, iar departamentul juridic verifică obligațiile legate de contracte, acorduri de confidențialitate, secrete comerciale sau secret profesional.
Angajații și colaboratorii trebuie, la rândul lor, să știe prin ce canal raportează un incident și ce informații trebuie să transmită imediat.
Practic, politica trebuie să răspundă înainte de atac la câteva întrebări simple: cine decide, cine investighează, cine notifică autoritățile, cine vorbește cu partenerii și cine comunică public.
Ce trebuie făcut imediat după descoperirea breșei
Un incident poate fi descoperit direct de un angajat, printr-o alertă informatică, din jurnalele sistemelor sau în urma unei sesizări venite de la un client ori partener.
La raportarea internă ar trebui comunicate cel puțin data și ora aproximativă a descoperirii, descrierea situației, categoriile de date posibil afectate, sistemele implicate și măsurile deja luate.
DNSC recomandă ca, fără a se aștepta finalizarea investigației, firma să oprească acțiunile neautorizate, să suspende accesul conturilor suspecte, să izoleze sistemele afectate și să încerce recuperarea documentelor trimise accidental, acolo unde acest lucru este posibil.
Incidentul trebuie apoi clasificat rapid în funcție de tipul informațiilor afectate și de gravitatea estimată, astfel încât resursele să fie alocate corect încă din primele momente.
Evaluarea inițială, înainte să expire termenele legale
După identificarea breșei, firma trebuie să stabilească natura și amploarea incidentului, persoanele sau organizațiile afectate și probabilitatea ca datele compromise să fie utilizate abuziv.
Ghidul arată că termenul intern stabilit de organizație pentru evaluarea inițială este, de regulă, de aproximativ 26 de ore.
Evaluarea trebuie să răspundă, printre altele, la întrebări privind tipul datelor compromise, identitatea destinatarului neautorizat, numărul persoanelor afectate și eventualele consecințe financiare, contractuale, juridice sau reputaționale.
În cazul secretelor comerciale, spre exemplu, expunerea poate produce pierderea unui avantaj competitiv. În cazul unor informații confidențiale contractuale, firma se poate confrunta cu penalități, rezilierea unor contracte sau litigii.
Concluziile trebuie documentate într-un raport intern de evaluare a impactului.
Termene de 24 și 72 de ore pentru unele firme
Pentru entitățile care desfășoară activități critice și intră sub incidența cadrului NIS2, o compromitere semnificativă a rețelelor și sistemelor informatice trebuie raportată către DNSC în termen de 24 de ore de la depistare.
Raportarea se poate face prin platforma națională PNRISC sau prin linia 1911. Ulterior, trebuie transmis un raport inițial în termen de 72 de ore.
Separat, dacă incidentul implică date personale și poate genera un risc pentru drepturile și libertățile persoanelor, organizația trebuie să notifice Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal fără întârzieri nejustificate și, dacă este posibil, în cel mult 72 de ore de la constatarea breșei.
În cazul unui risc ridicat, pot fi necesare și informarea persoanelor afectate.
DNSC subliniază că raportarea incidentului cibernetic către instituție nu înlocuiește notificarea breșei de date către autoritatea pentru protecția datelor. Cele două proceduri pot trebui desfășurate în paralel.
Contractele pot impune termene diferite
Chiar și atunci când incidentul nu trebuie raportat unei autorități, firma poate avea obligații față de clienți, furnizori sau alți parteneri.
Clauzele de confidențialitate și acordurile de nedivulgare pot prevedea termene și proceduri proprii pentru notificarea unei breșe.
Dacă documentele contractuale nu menționează un termen concret, DNSC recomandă informarea partenerilor fără întârzieri nejustificate.
În plus, firmele care dețin o poliță de asigurare cibernetică trebuie să verifice obligațiile de raportare către asigurător. O notificare făcută prea târziu ar putea afecta despăgubirea, în funcție de condițiile contractuale.
Restaurarea backupului nu înseamnă că incidentul s-a încheiat
În cazul unui atac ransomware, compania poate reuși să refacă datele din copiile de siguranță și să repornească activitatea.
Acest lucru nu elimină însă automat breșa de confidențialitate. Dacă atacatorii au copiat datele înainte de criptare, informațiile rămân compromise chiar dacă firma și-a recuperat fișierele.
Nici plata răscumpărării nu înlătură obligațiile de notificare și nu reprezintă o măsură de protecție a datelor afectate, arată ghidul DNSC.
Politica trebuie testată cel puțin o dată pe an
O procedură scrisă, dar necunoscută angajaților, poate deveni inutilă în momentul atacului.
DNSC recomandă testarea politicii cel puțin anual și după modificări importante privind personalul-cheie, infrastructura sau procesele companiei.
Exercițiile de simulare ar trebui să verifice dacă firma poate respecta termenele de notificare, dacă datele de contact sunt actualizate, dacă funcționează canalele interne de raportare și dacă persoanele responsabile știu cine trebuie să ia fiecare decizie.
După închiderea unui incident, compania ar trebui să realizeze și o analiză post-incident. Ghidul propune elaborarea unui raport final în termen de cinci zile lucrătoare de la închiderea cazului, cuprinzând cauza, cronologia, măsurile luate, notificările transmise și lecțiile învățate.
Pentru antreprenori, principala concluzie este că răspunsul la o breșă nu poate fi improvizat în ziua atacului. Firma trebuie să știe dinainte cine oprește sistemele, cine păstrează probele, cine evaluează impactul și cine urmărește termenele legale și contractuale. În lipsa unei asemenea proceduri, o problemă informatică se poate transforma rapid într-o pierdere financiară, juridică și reputațională.