Piaţa de cybersecurity din România se confruntă în prezent cu două tipuri majore de ameninţări: atacurile lansate de grupări de criminalitate informatică motivate financiar, care generează aproximativ 80% dintre incidente, şi atacurile derulate de actori statali sau de entităţi afiliate acestora. În acest context, specialiştii din domeniu spun că organizaţiile trebuie să îşi schimbe abordarea şi să treacă de la un model orientat exclusiv pe securitate la unul axat pe rezilienţă cibernetică, a fost una dintre concluziile conferinţei ZF Cybersecurity Trends 2026. Cât costă să nu fii pregătit? NIS2, atacuri AI, fraudă digitală - preţul vulnerabilităţii.
Din păcate, în continuare, multe organizaţii tratează securitatea cibernetică mai degrabă ca pe un cost decât ca pe o investiţie, ceea ce face ca numeroase companii să rămână vulnerabile şi insuficient pregătite în faţa atacurilor informatice.
„Principala sursă a succesului acestor atacuri a fost de cele mai multe ori simpla ignorare a unor principii elementare de IT: backup, batching, segregare corespunzătoare a reţelelor, vizibilitate asupra ce se întâmplă în reţea, inventarul asseturilor. Câte servere, câte dispozitive, câte staţii de lucru, unde sunt, ce are fiecare instalat pe el? Efectiv trebuie să ne ţinem casa în ordine“, a declarat Dan Cîmpean, director al Directoratului Naţional de Securitate Cibernetică (DNSC).
Din analizele instituţiei, piaţa locală se va confrunta probabil cu un incident major o dată la câteva luni. Acesta este noul normal şi cea mai bună ilustrare a schimbării de paradigmă de la securitate informatică spre rezilienţă cibernetică, a mai spus Dan Cîmpean. „Oricât de bine pregătiţi am fi, incidentele se vor întâmpla. Este foarte important să fim capabili să restaurăm infrastructuri, servicii, să avem business continuity“.
Din punct de vedere al sectoarelor, cel mai matur, mai avansat pe zona de cybersecurity este cel financiar-bancar, dar o situaţie bună se regăseşte şi pe zona de energie, cu excepţia segmentului prosumatorilor. În schimb, reprezentantul DNSC atrage atenţia că în sănătate, educaţie şi IMM-uri, lucrurile nu stau la fel de bine, iar resursele sunt limitate.
Un subiect sensibil în acest domeniu rămâne adoptarea Directivei europene NIS2, care impune o serie de cerinţe de securitate companiilor din anumite sectoare cheie. Deşi perioada limită pentru companiile locale de a se înscrie în Registrul Entităţilor NIS2 era octombrie 2025, până în prezent doar 4.000 de organizaţii sunt pe lista DNSC.
De partea cealaltă, companiile adoptă două atitudini diferite când vine vorba de respectarea noilor reglementări: unele aleg să facă minimul necesar, iar altele văd momentu ca pe o oportunitate de a-şi întări poziţia de securitate. „Când o organizaţie înţelege că reglementarea este doar punctul de plecare, nu scopul, reduce suprafaţa de atac“, a explicat Paul Butnaru, director of product management, Bitdefender.
La rândul lui, Ion Georgescu, country manager România & Moldova la Bitdefender spune că această accelerare a cadrului legislativ nu trebuie văzută de companii ca o corvoadă, ca o presiune de a bifa, ci mai degrabă ca pe o maturizare.
„Responsabilitatea nu trebuie să se ducă doar la nivel de lider, ci la fiecare angajat“, iar ceea ce încearcă autorităţile, consultanţii, companiile prin acest cadru legislativ este de fapt întărirea zonei de prevenţie. „Ce putem să facem mai bine ca să nu ajungem la incidente“.
În acest context dificil, în care ameninţările devin tot mai sofisticate, odată cu dezvoltarea noilor tehnologii, inclusiv AI, companiile trebuie să regândească abordarea faţă de securitatea cibernetică, să depăşească mentalitatea că aceasta este un cost şi să o vadă ca pe o investiţie. În final, bugetul pe care îl vor cheltui pentru a se proteja va fi întotdeauna inferior sumelor pe care le-ar cheltui în cazul unui incident de securitate, spun specialiştii în domeniu.
„În momentele dificile, se ridică cel care ştie să devină mai competitiv faţă de cel de lângă el, prin adoptarea de tehnologie, integrarea de legislaţie, proceduri. Acolo trebuie să ajungem. Dacă nu vom face acest lucru, rămânem pe o linie, iar în zona de atacuri cibernetice, să fii pe aceeaşi linie cu un atacator înseamnă că ai pierdut“, a adăugat Ion Georgescu.
Se remarcă totuşi o schimbare în bine în ultimii ani 2-3 ani, iar companiile alocă mai uşor fonduri pentru această zonă, în parte şi datorită noilor reglementări la nivel european.
„Factorii de decizie, atât din mediul privat, cât şi din cel public, înţeleg tot mai bine ce înseamnă costul unui atac. Ei conştientizează mai uşor necesitatea alocării de bugete pentru cybersecurity şi importanţa acestui domeniu. Din ce în ce mai mult, securitatea nu mai este privită ca o simplă cheltuială, ci ca o investiţie esenţială pentru continuitatea businessului.
Peste 10 ani cred că va deveni o obligativitate, ca şi RCA, să ai o soluţie de securitate.“, spune Andrei Ioniţă, regional director of government affairs and strategic accounts, Bitdefender. În plus, el atrage atenţia că firmele trebuie să vadă dincolo de propria infrastructură şi să trateze securitatea cibernetică a partenerilor şi furnizorilor ca pe un risc strategic, în contextul în care atacurile asupra lanţurilor de distribuţie devin tot mai sofisticate.
Pe zona bancară, când vine vorba de riscuri, Cristian Goiceanu, CSO, BCR pune pe primul loc controlul datelor, un risc moştenit şi perpetuat în era AI. În opinia lui, AI-ul este cumva un risc transversal în taxonomia riscurilor care ţin de zona de securitate. „Este un risc care le va afecta pe toate într-o formă sau alta. Depinde doar de cum este implementat şi ce ce se doreşte cu el“.
Pentru a reduce riscurile, specialiştii din IT recomandă companiilor să îşi transfere cât mai mult din infrastructură în cloud, sistem care asigură un grad de securitate superior şi mereu la zi. Totuşi, sub 15% din companiile româneşti au făcut acest pas deocamdată, spune Mihnea Rădulescu, CEO, CloudXEdge & VP infrastructură digitală, Europa Centrală şi de Est, Liberty Global. Compania a anunţat recent dezvoltarea unui ecosistem integrat pe zona de cloud, o platformă destinată atât sectorului public, cât şi celui privat, cu investiţii în două data centere, la Ploieşti şi Braşov. „Este în spaţiu enorm de creştere în faţă. Ce fel de cybersecurity putem avea pentru 85% din companii când nu au nici basic upgrades. Cloudul este cea mai bună ca să te asiguri că ai măcar o bază de infrastructură protejată profesional. Orice client din orice domeniu ar trebui să ia in calcul mutarea în cloud“.
Cea de-a şaptea ediţie a conferinţei ZF Cybersecurity Trends a reunit factori de decizie corporate, autorităţi de reglementare, experţi în securitate cibernetică şi lideri din sectoarele reglementate.
Partenerii evenimentului organizat de Ziarul Financiar au fost Bitdefender, Bondoc & Asociaţii, Deloitte, Fort Cybersecurity, ING, Netskope şi Vodafone.
Dan Cîmpean, director, Directoratul Naţional de Securitate Cibernetică (DNSC)
► Avem două categorii de atacatori. Grupări de infracţionalitate informatică motivate eminamente financiar, undeva în jur de 80%. Şi actori statali şi proxii ai acestora.
► Pe o scară de la 1 la 10, însemnând cât de intense şi ce potenţial distructiv au aceste atacuri, ca ţară suntem la 6-7. Din fericire, avem încă un profil de risc relativ scăzut.
► Principala sursă a succesului atacurilor pe care le-am văzut în ultimii ani a fost simpla ignorare a unor principii elementare de IT: backup, patching, segregare corespunzătoare a reţelelor, vizibilitate asupra a ceea se întâmplă în reţea, în infrastructură. Efectiv trebuie să ne ţinem casa în ordine.
► Noi estimăm că ne vom confrunta cu un incident major de nivel naţional o dată la câteva luni. Este foarte important să fim capabili să restaurăm infrastructura, servicii, să avem business continuity.
► Există OUG 155 din 2024 care transpune Directiva NIS. Primul pas este să luăm în evidenţă aceste organizaţii. Am depăşit 4.000 de organizaţii care s-au înscris. Estimăm că o să ajungem până la 10.000 de organizaţii înscrise. Vom începe să trimitem amenzi fără discriminare, sector public şi privat. Este foarte serioasă această conformitate, să ne creăm rezilienţă cibernetică la nivel naţional.
Paul Butnaru, director of product management, Bitdefender
► Când au intrat NIS2 şi DORA în vigoare au fost două abordări. Unele organizaţii au vrut să facă minimul necesar. Dar anumiţi manageri au considerat că este o oportunitate să îşi întărească poziţia de securitate.
► Când o organizaţie înţelege că reglementarea este doar punctul de plecare, nu scopul, reduce suprafaţa de atac. Un atacator începe cu etapa de research, se uită inclusiv ce buget are firma pentru cybersecurity, targetează angajaţii.
► Acum 5-6 ani erau mult mai multe atacuri unde ajungeam să fim implicaţi iar atacatorii aveau o schemă mult mai bună a organizaţiei decât organizaţia în sine. Deci lucrurile evoluează.
►De ce ne concentrăm la a măsura cum controlăm eşecul? Pentru noi, cel mai bun incident este cel care nu se întâmplă. De aceea investim mult în prevenţie.
► Cybersecurity trebuie să facă parte din strategia core a oricărei companii. În cazul unui atac, încrederea clienţilor scade dramatic, iar impactul pentru organizaţie este foarte mare.
Andrei Ionescu, Consulting Market Leader şi liderul practicii de securitate cibernetică în Europa Centrală, Deloitte
► Se spune că există doar două tipuri de companii: cele care au avut un incident cibernetic şi cele care încă nu ştiu că au avut. Dar adevărul este că, în 2026, discuţia s-a mutat de la „dacă şi când” la „cât de repede ne revenim” şi „cât de mult ne-am descoperit şi securizat punctele vulnerabile”.
► Astăzi nu vorbim doar despre firewall-uri şi parole complexe. Vorbim despre rezilienţă într-o lume în care perimetrul clasic a dispărut, iar atacurile sunt orchestrate de AI la fel de des precum sunt de oameni.
► Suntem la un punct de inflexiune. Infrastructura cloud este coloana vertebrală a fiecărei organizaţii din sala aceasta - banking, servicii critice, IT. AI-ul a trecut de la pilot la producţie mai repede decât orice tehnologie din ultimele două decenii. Iar reglementările - DORA, NIS2, AI Act - au sosit cu impact şi termene reale. Era în care „ne ocupăm mai târziu” s-a încheiat.
Mihnea Rădulescu, CEO, CloudXEdge & VP infrastructură digitală, Europa Centrală şi de Est, Liberty Global
► CloudXEdge, este un concept puţin diferit de ce suntem obişnuiţi. Nu este doar o infrastructură fizică, nu este doar o platformă de cloud, nu este doar o echipă de oameni care aduc servicii profesionale sau consultanţă în piaţa de IT. Este vorba despre un întreg ecosistem integrat.
► Am dezvoltat propria noastră platformă de cloud bazându-ne pe tehnologii OpenStack, dar şi multe alte componente pe care le-am adăugat. Inclusiv dezvoltarea acestei platforme a fost făcută pe infrastructură distribuită. Este foarte important, pentru că vorbim de suveranitatea datelor, un trend extrem de important şi ireversibil, în special în Europa. Dacă există un mic spaţiu dedicat, suveranitatea datelor este 100% asigurată.
► Am investit deja în două data centere în două locaţii diferite, una în Ploieşti şi una în Braşov. Această infrastructură garantează practic ca datele vor rămâne întotdeauna în data centerul în care îşi doreşte clientul. Platforma ne permite să putem folosi atât pentru cloudul public, cât şi pentru cloudul privat.
Cristian Goiceanu, CISO, BCR
►AI-ul este cumva un risc transversal. În taxonomia riscurilor care ţin de zona de securitate, managementul schimbării, protecţia datelor, IT, este un risc transversal, le va afecta pe toate într-o formă sau alta. Depinde doar de cum este implementat în companie şi ce se doreşte cu el.
► Este absolut normal ca businessul să-l promoveze, să fie un instrument folositor, dar mai mult decât atât începe să aducă în zona de business partea de procese integrate de agenti AI.
► Principalul risc este cum reuşesc să controlez datele. E un risc moştenit şi e un risc căruia trebuie să-i facem toţi faţă. Există modalităţi prin care poţi cumva să containerizezi diferite tipuri de date şi accesul la ele, astfel încât instrumentele de AI să nu reuşească să dea tuturor orice fel de informaţii, dar rămâne un risc.
► Orice reglementare poate fi văzută pur şi simplu ca un cost. Avem de făcut ceva pentru conformarea cu o reglementare. Sau poate fi văzută ca o provocare, dacă luăm NIS 1, NIS2 şi, respectiv DORA. Şi să vedem ce ne-ar putea aduce bun sau ce am putea lua pozitiv din această provocare.
Andrei Ioniţă, regional director of government affairs and strategic accounts, Bitdefender
► Atacatorii nu ţin cont de reglementări, iar pentru ei acest lucru înseamnă o viteză de reacţie mult mai mare.
► Pentru cei aflaţi de cealaltă parte, fie că suntem producători de securitate, oameni de business care vrem să ne protejăm organizaţiile sau reprezentăm infrastructuri critice de interes naţional, situaţia este diferită.
► Suntem puternic reglementaţi, avem numeroase bariere, multe procese de urmat şi obligaţii de notificare către diverse instituţii.
► Factorii de decizie, atât din mediul privat, cât şi din cel public, înţeleg tot mai bine ce înseamnă costul unui atac.
► Din ce în ce mai mult, securitatea nu mai este privită ca o simplă cheltuială, ci ca o investiţie esenţială pentru continuitatea businessului.
► Bugetele sunt obţinute ceva mai uşor decât în urmă cu 2–3 ani, inclusiv datorită reglementărilor venite la nivel european sau naţional, care impun anumite măsuri şi paşi concreţi.
► Prin utilizarea AI în atacuri, atacatorii îşi multiplică atât numărul, cât şi complexitatea acestora, dar şi numărul potenţialelor victime.
► Nu m-ar surprinde ca, peste aproximativ 10 ani, să devină o obligaţie, similară cu RCA-ul, să ai implementată o soluţie de securitate la un anumit nivel.
Andrei Arimia, senior solutions engineer, Netskope
► Vedem multe organizaţii care încearcă să securizeze infrastructurile de cloud şi aplicaţiile software-as-a-service folosind arhitecturi gândite pentru mediile on-premise.
► De aici apare un decalaj important, pentru că o mare parte dintre aceste soluţii nu mai sunt adaptate cerinţelor şi tipurilor de ameninţări din prezent
► Nu mai vorbim doar despre cloud în zona de infrastructure-as-a-service, ci tot mai mult despre software-as-a-service, unde gradul de adopţie este mult mai ridicat în rândul organizaţiilor.
► Companiile trebuie să îşi adapteze strategiile şi soluţiile de securitate la noile tipuri de aplicaţii şi instrumente digitale pe care le folosesc.
► În teorie, soluţiile şi serviciile dezvoltate şi operate în cloud de furnizori specializaţi tind să ofere un nivel mai ridicat de securitate, deoarece aceste companii investesc constant în testare, monitorizare şi metodologii dedicate de protecţie.
► Riscul poate fi mai redus din această perspectivă, însă rămâne în continuare semnificativ, pentru că organizaţiile vor utiliza aceste modele în propriile procese.
► În acest context, responsabilitatea se mută tot mai mult către modul în care sunt gestionate datele de intrare şi rezultatele generate, mai degrabă decât către modelul în sine, care aparţine furnizorului.
Ion Georgescu, country manager România & Moldova, Bitdefender
► Nu trebuie să privim această accelerare a cadrului legislativ ca o corvoadă, ca o presiune de a bifa. Este mai degrabă vorba de o maturitate într-o organizaţie care are un proces continuu de educare, în implementarea tehnologiilor, în verificarea proceselor, procedurilor, dar şi în educaţia fiecărui angajat. Responsabilitatea nu trebuie să se ducă doar la nivel de lider, ci la fiecare angajat.
► Haideţi să ne uităm cum ne pregătim să nu ajungem la zona de amenzi şi să creştem acest proces de rezilienţă. Suntem într-o piaţă în care ne maturizăm, dar ne maturizăm împreună printr-o colaborare continuă, parteneriat public-privat-industrie-client-partener.
► Problema este că investiţia într-o soluţie de securitate cibernetică sau în tehnologie care să te ajute în optimizarea proceselor sunt văzute încă ca un cost.
► Organizaţiile au început să se uite la competitivitatea din piaţă şi îşi doresc acest business continuity. Vin să-i ajutăm să integreze în acel framework toată strategia. Ceea ce încercăm noi să facem şi prin acest cadru legislativ de reglementare este de fapt zona de prevenţie.
Dragoş Ionică, cyber attack senior manager, Deloitte România
► Există încă multe organizaţii din România care folosesc modele de apărare specifice anului 2015, deşi tehnologia este undeva la nivelul anilor 2030.
► În acest moment, inteligenţa artificială nu mai poate fi privită doar ca un simplu instrument.
► Din perspectivă defensivă, ea deschide deja o nouă suprafaţă de atac, iar din perspectivă ofensivă este foarte probabil să evolueze rapid către un model de tip «as-a-service».
► În securitatea clasică, timp de mulţi ani, măsurile de protecţie au fost concentrate aproape exclusiv pe filtrarea şi securizarea datelor de intrare.
► Dacă inputul era verificat şi blocat corespunzător, organizaţiile considerau că sistemul este protejat.
► În cazul inteligenţei artificiale, această abordare nu mai este suficientă.
► Atunci când un utilizator introduce un prompt, sistemul generează un răspuns, iar acel output poate expune informaţii sensibile sau date importante ale companiei.
► Din acest motiv, organizaţiile trebuie să acorde o atenţie mult mai mare securizării şi controlului rezultatelor generate de AI.
► „For the future”, ar trebui să considerăm componenta de AI pe care o integrăm în orice ecosistem, în orice companie, dincolo de ideea că este doar un tool simplu sau o funcţionalitate care ne uşurează munca.
Monica Iancu, partner, Bondoc & Asociaţii
► Securitatea cibernetică nu mai este doar responsabilitatea departamentului IT, ci afectează întreaga activitate a unei companii.
► Organizaţiile trebuie să acorde mai multă atenţie tuturor relaţiilor şi obligaţiilor contractuale pe care le au cu parteneri, furnizori sau clienţi, atât pentru a respecta noile cerinţe de reglementare, cât şi pentru a-şi reduce propriile riscuri de securitate.
► Întregul lanţ de contracte cu furnizori şi clienţi trebuie reevaluat şi actualizat din perspectiva responsabilităţilor legate de securitatea cibernetică şi a modului în care poate fi împărţită răspunderea între părţi în cazul unui incident.
► Există şi alte zone strâns legate de securitatea cibernetică, precum protecţia datelor, care are propriul cadru legislativ, dar se intersectează direct cu cerinţele de securitate.
► Importantă este şi protejarea proprietăţii intelectuale a companiei, precum şi stabilirea măsurilor şi procedurilor care trebuie aplicate în cazul apariţiei unui incident cibernetic.
► În prezent, una dintre cele mai dinamice şi solicitante zone este cea contractuală.
► Companiile se confruntă cu tot mai multe cerinţe şi provocări legate de modul în care sunt gestionate şi protejate datele în relaţiile contractuale, iar discuţia nu se referă doar la date personale, ci la date şi informaţii în sens mai larg.
Bogdan Costea, CISO, ING Bank România
► Pe agenda anului 2026 se află şi aplicarea prevederilor Cyber Resilience Act, care aduce noi obligaţii pentru companiile ce dezvoltă sau furnizează produse şi servicii digitale.
► Asta înseamnă că instituţiile care oferă aplicaţii de internet banking, carduri sau ATM-uri trebuie să respecte noile cerinţe de securitate, iar în acelaşi timp vor trebui să le solicite şi furnizorilor lor să se conformeze acestor standarde.
► Atacurile de tip supply chain nu mai înseamnă doar riscuri legate de furnizorii clasici, ci şi vulnerabilităţi din aplicaţiile, bibliotecile software şi integrările pe care companiile le folosesc în propriile sisteme.
► Cea mai mare provocare este modul în care organizaţiile identifică şi gestionează problemele de securitate pe întregul lanţ tehnologic.
► Nu te poţi proteja împotriva unor riscuri pe care nu le cunoşti, însă principiile de bază ale securităţii cibernetice rămân esenţiale.
► Actualele reglementări europene mută foarte clar responsabilitatea pentru securitatea cibernetică la nivelul conducerii companiilor.
► Mesajul este unul fără echivoc: managementul are responsabilitatea finală pentru modul în care organizaţia îşi gestionează riscurile de cybersecurity.
Delia Necula, CEO, Fort
► Realitatea din piaţă este că, aproape în fiecare săptămână, întâlnim companii care intră sub incidenţa NIS2, dar care fie nu ştiau acest lucru, fie au informaţii limitate despre obligaţiile pe care le au sau nu au început încă procesul de conformare.
► Există însă şi exemple pozitive, companii care sunt deja avansate din punct de vedere al conformării şi care au implementat măsurile şi procesele necesare.
► În acest moment, cu cât te îndepărtezi de Bucureşti, lucrurile stau din ce în ce mai rău.
► Din ce în ce mai multe organizaţii discută cu noi despre implementări, audituri viitoare, de ISO 42001.
► Înţelegem din ce în ce mai mult, ca societate, importanţa reglementării şi a guvernanţei în tot ce este legat de implementările de AI.
► Cel mai ridicat nivel de conştientizare există în sectorul financiar, unde securitatea este strâns legată de gestionarea banilor şi de un cadru de reglementare matur, construit în timp.
► Un grad ridicat de maturitate se regăseşte şi în alte industrii reglementate. Totuşi, este dificil de tras o concluzie generală la nivelul întregii economii.
► Urmează să lansăm în câteva zile un studiu pe care invităm toate companiile din România să îl completeze.
Denisa Gîlmeanu,senior territory manager, SEE Veeam Software
► Până acum, discuţiile despre securitate cibernetică se concentrau pe ameninţări clasice, precum atacurile ransomware, incidentele din lanţul de aprovizionare sau riscurile legate de identitate.
► Odată cu dezvoltarea inteligenţei artificiale, apare însă o nouă categorie de riscuri, generate de erorile sau deciziile luate autonom de agenţii AI, fără să mai fie necesară intervenţia directă a unui atacator.
►Sistemele AI acţionează conform unui design prestabilit, însă o pot lua într-o direcţie total greşită.
► În era inteligenţei artificiale, viteza devine un factor critic, pentru că agenţii AI pot genera erori într-un ritm mult mai rapid decât procesele umane obişnuite.
► Ei operează practic la viteza datelor şi a automatizării, nu la ritmul în care oamenii pot verifica sau interveni manual.
► Din acest motiv, paradigma securităţii datelor se schimbă semnificativ: nu mai este suficientă protejarea perimetrului clasic al infrastructurii, ci devine esenţial controlul modului în care agenţii AI interacţionează cu datele şi accesează informaţiile din interiorul organizaţiei.
