Companiile locale vor fi nevoite să investească sume de ordinul zecilor sau sutelor de mii de euro, în funcţie de gradul de risc pe care vor să şi-l asume, pentru a-şi asigura protecţia datelor, în condiţile în care de anul viitor intră un nou Regulament UE privind Protecţia Datelor (GDPR). Acesta are implicaţii atât la nivel juridic şi de conformare, cât şi la nivel de securitate cibernetică. Astfel, în cadrul companiilor se va înfiinţa, pe lângă postul de chief information security officer (CISO), şi o nouă poziţie numită data protection officer (DPO), persoana desemnată în această funcţie trebuind să aibă atât cunoştinţe juridice cât şi tehnice.
Companiile trebuie să îşi facă o analiză internă prin care să identifice lacunele existente şi să stabilească cadrul de reguli şi norme necesare, iar în caz de incidente, acestea au la dispoziţie au 72 de ore pentru notificarea autorităţii din momentul în care au aflat de un posibil caz de încălcare a securităţii.
De asemenea, companiile trebuie să respecte o serie de reguli de securitate cibernetică, cum ar fi pseudonimizarea şi criptarea datelor, şi trebuie să fie capabile să asigure confidenţialitatea, integritatea, disponibilitatea şi rezistenţa continue ale sistemelor şi serviciilor de prelucrare, precum şi să restabilească disponibilitatea datelor cu caracter personal şi accesul la acestea în timp util, în cazul în care are loc un incident de natură fizică sau tehnică.
În plus, firmele vor fi nevoite să aibă un proces anume pentru testarea, evaluarea şi aprecierea periodice ale eficacităţii măsurilor tehnice şi organizatorice pentru a garanta securitatea prelucrării. În cazul în care acestea nu vor respecta una dintre condiţiile regulamentului privind protecţia datelor, vor fi sancţionate cu amenzi care pot ajunge până la 20 milioane de euro sau până la 4% din cifra de afaceri mondială totală anuală.
