Acum suntem într-o fază de tranziţie în care este mult mai ieftin să ataci decât să te aperi. Este posibil ca peste 10 ani apărarea să fie mai standardizată şi să vină şi cu un cost mult mai accesibil, a spus Lucian Bondoc, Managing Partner, Bondoc & Asociaţii, în cadrul ZF Cybersecurity Trends 2025.
El a explicat în cadrul conferinţei că legea NIS 2, deşi are o direcţie şi cerinţe rezonabile din punct de vedere al protecţiei şi securităţii, statul ar trebui să vină cu anumite completări pentru a nu se produce un efect de consolidare pe piaţă, iar câţiva jucători mari să rămână, în timp ce zeci de mii de alţi jucători să dispără pentru că nu se pot conforma.
„Statul nu ar trebui să fie mai catolic decât Papa, adică nu ar trebui să extindă prin aceste norme sau prin modul de implementare cadrul faţă de ce este explicit în NIS 2 pentru că orice extindere pare rezonabilă, apăr securitatea naţională, întăresc economia, dar nu mai ai ce să întăreşti. Este ca la steroizi, o întăreşti prea tare şi o să moară, iar în pasul doi nu mai ai pe cine să aperi. Impactul unei încălcări pe securitate cibernetică duce la efecte imediate şi rapide, dar când mai vii cu legislaţie trebuie să te gândeşti care sunt consecinţele pentru că după ce că iei bătaie, iei şi o amendă, dar mai mult decât atât. Pe NIS 2 sunt 14 acte normative secundare pentru a fi în regulă, iar dacă nu le ai vei fi prezumat în culpă şi atunci vei facilita foarte multe atacuri juridice din partea celor păgubiţi de un atac cibernetic”, a explicat Lucian Bondoc.
Ce a mai spus Lucian Bondoc, Managing Partner, Bondoc & Asociaţii, în cadrul ZF Cybersecurity Trends 2025:
♦ În România, în prezent sunt în clasificarea ocupaţiilor peste 4.400 meserii şi sunt etalate pe 5 revoluţii industriale. Trecem o parte din modul de viaţă în digital. Devine un fel de democratizare, un fenomen de masă. Acest lucru se întâmplă într-un context complex pentru că populaţia României, aşa cum este împrăştiată pe 4.400 de meserii şi pe 5 revoluţii industriale, ajung toţi gradual sau îi forţăm cumva pe toţi sau ajung într-un punct în care pot folosi servicii din zona digitală. Pot să angajez la o companie pe cineva care nu ştie nimic, deschide un filmuleţ şi a dat acces unui virus. Ideea este că acum când se construieşte se face totul accelerat.
♦ Aşa cum avem codurile penale, civile, avem GDPR, NIS1, NIS2, iar lucrurile se întâmplă foarte dens şi într-un mod în care statul, într-o revoluţie industrială transferă un atribut care până acum care era suveran, partea de apărare, către sectorul privat. Până acum 50 de ani dacă te ataca cineva pe drum, în avion sau pe mare răspundea doar cel care te ataca.
♦ Acum avem NIS 1 şi NIS 2 care spun în esenţă că trebuie să îţi faci tu propiul avion, tanc şi avem o trecere care este foarte abruptă. Până acum, obligaţia de a te apăra singur era limitată doar la câteva sectoare şi era foarte light. În farmacii, când intri vezi câte un pensionar sau pensionară care „are grijă de farmacie”. Când vorbim de siguranţă cibernetică, NIS 2, toată lumea ar trebui să devină comandouri. Practic aici se ajunge la NIS 2 care sunt lucruri foarte logice, dar sunt mai complexe decât par. De exemplu, la depozit fizic, mai pui pe cineva la uşă şi mai dă câte un rond din când în când.
♦ În zona digitală, aşa cum am avut la GDPR obligaţia de mapare de date, acum este obligaţia de mapare a tuturor funcţiilor şi a tuturor echipamentelor care au legătură cu funcţiile şi modul în care se operează, care sunt vulnerabilităţile cibernetice pentru fiecare, trebuie să faci training, să fii atent la partea de furnizor de lanţuri logistice, trebuie să fii atent la orice vulnerabilitate, trebuie să ai plan de back-up, proceduri pentru raportare, proceduri pentru actualizare şi aşa mai departe.
♦ S-a menţionat indecizia managementului şi este de înţeles. De exemplu, am o persoană care se ocupă de siguranţa cibernetică şi trebuie să facă propuneri şefilor în legătură de cum se te protejezi. Evident că vor face propuneri la state of the art şi vor avea o presiune personală de a ţine drumul când se va întâmpla aşa ceva şi care pot fi deconectate economic de ce poate să-şi permită compania. Adică, riscul este de a merge într-o zonă de consolidare, să reziste doar cei mai puternici şi e cumva normal, dar dacă o să avem doar câţiva actori care câştigă şi câţiva zeci de mii care dispar, s-ar putea economic să fie o mare problemă în pasul doi.
♦ Când ai standarde foarte ridicate şi foarte rapid şi un cost foarte ridicat să devii compliant este o consecinţă şi consolidarea se va întâmpla. De aceea, statul român ar trebui să sprijine ţesutul românesc pentru a putea să furnizeze soluţii 360 de grade pentru că altfel gradual vor pierde această luptă. Aşa cum o parte din sectoarele economice care sunt supuse NIS 2 şi DORA sunt în curs de consolidare tocmai că nu mai poţi să faci faţă economic şi o să avem mari portavioane şi deşert în jurul lor.
♦ Nu doar că eşti lovit în primă fază, dar toţi ceilalţi vor putea să te atace mult mai uşor din punct de vedere juridic. De exemplu, în cazurile clasice de limitare de răspundere sau eliminarea ei presupun impreviziunea. Acum toată lumea spune că trebuie să te aştepţi la atacuri cibernetice şi sunt multe discuţii privind în ce măsură mai poţi să aplici partea de atac cibernetic ca fiind un caz de forţă majoră dacă toată lumea spune că trebuie să te aştepţi.
♦ Observăm această diferenţiere din ce în ce mai netă dintre jucătorii mai mari şi jucătorii mai mici. Jucătorii mari sunt mai obişnuiţi şi au şi resursele să o facă, înţeleg problema în dinamică, iar cei mici abandonează.
♦ Noi credem că o parte din prestatorii din piaţă sunt atraşi de ideea efectului de masă pentru că implementarea NIS 2 va aduce la un efect de comenzi foarte mari, dar acest lucru ar putea să ascundă problema din pasul doi pentru că doar câţiva vor câştiga în final şi vom ajunge la o concentrare foarte mare. Presiunea pe standard şi pentru încredere care va fi şi pe lanţ va exclude gradual mulţi jucători mai mici care ar fi avut potenţial, dar au avut alt start, altă metodologie, nu au fost atenţi şi aşa mai departe.
♦ Acum suntem într-o fază de tranziţie în care este mult mai ieftin să ataci decât să te aperi. Este posibil ca peste 10 ani apărarea să fie mai standardizată şi să vin şi cu un cost mult mai accesibil.
♦ Problema cu amenzile este foarte utilă, dar este cumva secundară pe plan juridic.
♦ Sunt proiecte de modificare în parlament pentru a se extinde explicit şi la distribuitorii de medicamente. În momentul în care extinzi, prima impresie este că faci cumva bine, este un domeniu important.
