Interviu cu Cristiana Deca
Expert Cybersecurity, CEO & Cofondator, Decalex Digital
Securitatea nu este un cost tehnic, ci un exercițiu de guvernanță și maturitate organizațională
Decalex Digital este recunoscută și apreciată pentru calitatea serviciilor de protecția datelor și securitatea informațiilor. În ce context ați decis să vă construiți o carieră în aceste domenii?
Interesul meu pentru protecția datelor și securitatea informațiilor a apărut dintr-o preocupare mai largă legată de ingerința tehnologiei în viața oamenilor și implicit în activitatea companiilor precum și de responsabilitatea decizională în organizații. Am observat devreme că tehnologia avansează mult mai rapid decât capacitatea managementului de a înțelege și controla riscurile asociate informației.
Protecția datelor, în special prin GDPR, a fost primul cadru care a forțat companiile să își pună întrebări esențiale despre ce date folosesc, de ce, cine răspunde și ce se întâmplă când lucrurile merg prost. De acolo, parcursul a fost unul natural către guvernanța riscului informațional și, ulterior, către cybersecurity și AI governance.
Evenimente 2026 - Club Antreprenor:
19 februarie 2026: Impactul fiscalității asupra antreprenorilor, Ediția a IV-a
19 februarie 2026: Gala Club Antreprenor, Ediția Nr. 27
24 februarie 2026: Forumul antreprenorilor din turism și HoReCa, ediția a III-a și lansarea unui site axat pe turism și HoReCa
27 februarie 2026: Pilonii de dezvoltare ai județului Timiș – mediul de afaceri, autoritățile locale, sistemul universitar și învățământul profesional dual
Vezi Calendarul Evenimentelor 2026
Participă la evenimente!
Pentru mine, aceste domenii nu sunt despre tehnologie în sine, ci despre leadership, asumare și control într-o economie digitală din ce în ce mai complexă.
Ați implementat cu succes programe de conformare GDPR în peste 1.000 de firme locale din diverse industrii. Din informațiile dumneavoastră, ce procent din companiile, instituțiile și ONG-urile din România respectă pe deplin Regulamentul GDPR?
Dacă vorbim despre conformare deplină și sustenabilă, procentul este, realist vorbind, redus. Estimarea mea este că sub 30% dintre organizații pot demonstra un nivel solid și continuu de conformitate GDPR.
Majoritatea au făcut pași importanți – documentație inițială, politici, uneori training – însă provocarea reală apare în menținerea conformității, integrarea GDPR în procesele zilnice și adaptarea la schimbările tehnologice, cum ar fi utilizarea AI sau migrarea în cloud.
GDPR nu este un proiect „one-off”, ci un program de guvernanță continuă, iar aici încă există un decalaj major între cerințe și realitatea operațională din piață.
Acum un an ați deschis un birou la Londra. Ce ne puteți spune despre activitatea acestuia?
Biroul din Londra este un pas strategic, nu unul de volum. Ne-am dorit să fim mai aproape de o piață mult mai matură în ceea ce privește guvernanța, riscul și conformitatea, dar și de un ecosistem internațional de reglementare, consultanță și parteneriate.
Activitatea de acolo este concentrată pe proiecte cu componentă transfrontalieră, pe clienți care operează în mai multe jurisdicții și pe alinierea între cerințele europene (GDPR, NIS2, DORA, AI Act) și practicile globale. Londra ne oferă expunere, perspectivă și un benchmark foarte util pentru ceea ce construim în România și în regiune.
Cum apreciați activitatea ANSPDCP (Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal) în perioada 2018–2025?
ANSPDCP a avut un rol extrem de dificil într-o perioadă de schimbare accelerată. În primii ani după intrarea în vigoare a GDPR, accentul a fost, pe bună dreptate, pe clarificare și educare. Ulterior, vedem o maturizare a practicii de control și sancționare.
Cred că provocarea majoră rămâne capacitatea instituțională, raportată la complexitatea cazurilor și la volumul de prelucrări de date din economie. Totuși, semnalul transmis pieței este clar: protecția datelor nu mai este opțională, iar lipsa guvernanței se plătește – nu doar financiar, ci și reputațional.
Din ianuarie 2025, mediul de business european a intrat într-o nouă etapă de maturitate digitală. Regulamentul DORA și Directiva NIS2. Ce trebuie să facă firmele din România pentru a respecta aceste noi acte normative?
Primul lucru este să înțeleagă că NIS2 și DORA nu sunt extensii tehnice ale IT-ului, ci reglementări care mută responsabilitatea direct la nivel de management.
Companiile trebuie să își definească clar modelul de guvernanță a riscului cibernetic,
să identifice și să prioritizeze riscurile reale, să stabilească roluri clare de responsabilitate (intern sau externalizat), și să treacă de la audituri punctuale la monitorizare continuă.
În esență, vorbim despre o tranziție de la „compliance pe hârtie” la reziliență operațională reală.
Bucureștiul găzduiește Centrul european de competențe în domeniul securității cibernetice (ECCC). Cum vedeți evoluția acestei instituții?
Prezența ECCC la București este o oportunitate strategică majoră pentru România. Este un semnal de încredere la nivel european și o șansă reală de a dezvolta competențe, proiecte de cercetare și parteneriate public–private în cybersecurity.
Succesul va depinde însă de capacitatea ecosistemului local – autorități, companii, universități, sector financiar – de a colabora și de a investi inteligent. Cybersecurity-ul nu este doar o problemă de apărare, ci un factor de competitivitate economică.
Conduceți business-ul alături de soțul dumneavoastră, Cristian Deca. Cum apreciați dezvoltarea afacerilor de familie în România și potențialul acestora de creștere?
Afacerile de familie au un potențial enorm, mai ales atunci când există roluri clare, valori comune și o viziune pe termen lung. În cazul nostru, complementaritatea a fost un avantaj: decizii asumate, continuitate și capacitatea de a construi strategic, nu oportunistic.
În România, vedem din ce în ce mai multe business-uri de familie care trec la următorul nivel, inclusiv prin profesionalizare, internaționalizare și guvernanță internă. Cred că acesta este un semn de maturizare a mediului antreprenorial.
Într-o piață în care investițiile în tehnologie de securitate cresc constant, susțineți că viitorul nu este „mai multă tehnologie”, ci mai multă guvernanță. De ce?
Pentru că, în practică, vedem că acumularea de tehnologie nu echivalează cu securitate. Multe organizații au achiziționat, în ultimii ani, soluții sofisticate – de la tool-uri de securitate cibernetică, la platforme de monitorizare, automatizare sau inteligență artificială – fără să aibă un cadru clar de guvernanță care să le lege între ele și să le facă eficiente.
Problema reală nu este lipsa tehnologiei, ci lipsa clarității decizionale: cine decide ce risc este acceptabil, cine răspunde când apare un incident, ce informație ajunge la management și în ce formă, ce controale sunt cu adevărat critice pentru continuitatea afacerii. Fără aceste răspunsuri, tehnologia devine fragmentată, costisitoare și, paradoxal, uneori crește riscul în loc să îl reducă.
Experiența noastră arată că securitatea durabilă se construiește pe procese bine guvernate, responsabilitate clar alocată și capacitatea leadershipului de a prioritiza riscurile, nu pe numărul de soluții implementate. Reglementări precum GDPR, NIS2, DORA sau, mai recent, AI Act, nu cer „mai mult software”, ci mai mult control, transparență și asumare la nivel de management.
În acest context, guvernanța devine liantul dintre tehnologie și business. Ea asigură că investițiile sunt făcute cu un scop clar, că riscurile sunt înțelese și monitorizate continuu și că organizația poate reacționa coerent atunci când lucrurile nu decurg conform planului. Viitorul securității nu aparține companiilor care cumpără cele mai multe soluții, ci celor care știu să guverneze inteligent riscul informațional.
În acest peisaj, poziționarea Decalex este una deliberat diferită. Nu ne propunem să fim o companie care vinde tehnologie sau care concurează pe promisiuni de tip „all-in-one solution”. Ne-am construit expertiza exact în zona în care organizațiile au cele mai mari dificultăți: traducerea riscului tehnologic în decizie de business.
Lucrăm la intersecția dintre reglementare, cybersecurity, inteligență artificială și leadership executiv, acolo unde se decide ce riscuri sunt acceptate, ce investiții sunt justificate și cine își asumă responsabilitatea finală.
Pentru clienții noștri, valoarea nu constă în câte controale sau instrumente implementăm, ci în claritatea pe care o câștigă în fața consiliilor de administrație, a autorităților și a propriilor echipe.
Credem că următorul deceniu va aparține organizațiilor care înțeleg că securitatea nu este un cost tehnic, ci un exercițiu de guvernanță și maturitate organizațională. Iar acesta este exact spațiul în care Decalex își asumă rolul de partener strategic – nu pentru a complica lucrurile, ci pentru a le face inteligibil guvernabile.
