♦ Uniunea Europeană a adoptat Directiva NIS 2, care stabileşte reguli obligatorii de securitate cibernetică pentru companii. România a transpus-o în legislaţie prin OUG 155/2024. Spre deosebire de reglementările anterioare, companiile nu mai pot trece un audit doar cu documente - trebuie să demonstreze că au implementat efectiv măsuri de protecţie ♦ Bit Sentinel estimează că 90% din consultanţa livrată în 2026 este pe tema conformităţii cu noua directivă.
Companiile din România vizate de noua directivă europeană de securitate cibernetică NIS 2 nu mai pot trece un audit doar cu dosare de proceduri. Directiva - transpusă în legislaţia românească prin Ordonanţa de Urgenţă 155/2024 - cere dovezi tehnice: sisteme funcţionale de protecţie, echipe capabile să răspundă la un atac informatic în timp real, trasabilitate completă a măsurilor luate şi automatizarea proceselor de securitate.
„Nu mai merge doar să ai o politică şi o procedură care spun că faci ce trebuie - trebuie să şi demonstrezi. Iar auditorul, când va veni către tine, se va uita la aceste elemente“, a declarat Andrei Avădănei, fondator şi CEO al Bit Sentinel, companie de securitate cibernetică cu sediul în Bucureşti, în cadrul emisiunii ZF Tech Day.
Până acum, conformitatea cu standardele de securitate cibernetică însemna, în multe cazuri, un set de documente: politici interne, proceduri scrise, declaraţii în timp NIS 2 schimbă logica pentru că cerinţele sunt tehnice - nu doar de hârtie - iar companiile trebuie să arate că le aplică efectiv, spune Avădănei. „Istoric vorbind, pe alte standarde, cerinţele de cele mai multe ori erau procedurale sau la nivel de politici. Pe NIS 2 vorbim de foarte multe măsuri de securitate, de controale tehnice ce trebuie implementate şi după care eşti evaluat“, spune Avădănei.
Concret, o companie vizată de directivă trebuie să demonstreze, printre altele, că are soluţii de monitorizare a reţelei care funcţionează permanent, o echipă - internă sau externalizată - capabilă să răspundă la un incident de securitate într-un interval definit de timp, programe de formare a angajaţilor care depăşesc nivelul unui simplu curs online cu întrebări la final, şi un mod de lucru în care zona de IT, cea de securitate şi conducerea companiei sunt aliniate.
„Toate acestea reprezintă provocări individuale. Pe fiecare dintre ele ai nişte provocări extraordinar de mari, pentru că, pentru a atinge nivelul cerut de NIS 2, de cele mai multe ori trebuie să fie totul trasabil, automatizat, să nu existe excepţii“, adaugă Avădănei.
Bit Sentinel, fondată în 2015, oferă servicii de testare a vulnerabilităţilor - simulări de atacuri asupra reţelelor şi aplicaţiilor unei companii pentru a identifica punctele slabe - dar şi monitorizare permanentă şi răspuns la incidente. Avădănei estimează că 90% din consultanţa livrată de companie în 2026 este legată de NIS 2.
Întrebat ce erori vede cel mai des la companiile care încep procesul de conformitate, Avădănei identifică două. Prima: companiile sar peste analiza de risc - evaluarea proprie a vulnerabilităţilor, a proceselor interne şi a modului în care funcţionează efectiv organizaţia - şi caută direct un „pachet de conformitate la cheie“. „Nu prea poţi să vii cu ceva standard atunci când compania ta are un anumit profil de activitate, are un anumit tipar, are anumite departamente, anumite procese interne“, spune Avădănei. „Când sari peste etapa aceasta, de obicei pe parcurs se văd scăpările, care se transformă de fapt în costuri suplimentare.“
A doua: persoana desemnată intern să coordoneze procesul nu are suficientă autoritate în organizaţie.
Dacă echipa care lucrează cu consultanţii externi nu poate impune schimbări celorlalte departamente - fie pentru că nu are mandat de la conducere, fie pentru că celelalte echipe nu cooperează -, „vei eşua, sau procesul va dura foarte, foarte mult“, avertizează Avădănei.
Reprezentantul Bit Sentinel spune că procesul de conformitate presupune investiţii - soluţii noi de securitate, consultanţă, schimbări de procese, formare de personal - într-un an care nu este unul de creştere economică la putere maximă. Dar argumentul său este că alternativa e mai scumpă.
„Costurile cu maturizarea ajung să fie semnificativ mai mici decât costurile cu un incident de securitate - cu impactul asupra reputaţiei, cu pierderea clienţilor şi indisponibilitatea“, spune Avădănei. „În nouă din zece cazuri, poate mai bine de atât, a fost mai rău când ai avut un incident de securitate şi ar fi fost mult mai bine dacă făceai nişte lucruri de bun-simţ.“
Iar problema auditului formal - în care totul arată bine cât timp auditorul e prezent, dar revine la starea iniţială după ce pleacă - este, în opinia lui Avădănei, un risc real. Diferenţa pe care o aduce NIS 2 este că cerinţele tehnice sunt mai greu de simulat decât cele de hârtie.
Chiar dacă unele detalii tehnice sunt încă aşteptate de la Directoratul Naţional de Securitate Cibernetică (DNSC) - autoritatea responsabilă de implementarea directivei în România -, Avădănei recomandă companiilor să nu amâne. „Există suficiente indicii din partea autorităţii cu privire la ce se va întâmpla mai departe“, spune Avădănei. Acesta menţionează un standard european numit CyFUN (Cyber Fundamentals), recunoscut de mai multe ţări pe zona NIS 2, care se poate consulta gratuit online şi are deja o traducere preliminară pe site-ul DNSC.
„90% din lucruri le poţi face de astăzi. Iar recomandarea mea este să începi cât mai devreme, tocmai pentru că procesul durează enorm de mult. Vorbim de oameni, vorbim de procese, vorbim de tehnologie - lucruri care nu se schimbă de pe o zi pe alta“, adaugă Avădănei.
Pe lângă presiunea reglementărilor, Avădănei semnalează şi un risc nou, legat de adoptarea masivă a inteligenţei artificiale în companii. Angajaţii folosesc instrumente precum ChatGPT sau alte aplicaţii similare - uneori prin conturi personale, fără ştirea şi fără controlul departamentului de securitate - pentru a-şi eficientiza munca. Fenomenul este cunoscut în industrie drept „shadow AI“ - o utilizare a inteligenţei artificiale care scapă supravegherii organizaţiei.
„Dăm acces la tot felul de aplicaţii, la tot felul de sisteme din companie ca să ne ajute mai mult, dar în acelaşi timp se transformă într-un risc - riscuri pe care încă nu le înţelegem“, spune Avădănei. Problema principală: datele sensibile ale companiei pot ajunge în afara organizaţiei prin intermediul acestor instrumente, fără ca nimeni să monitorizeze ce informaţii pleacă şi unde.
„Momentan nu înţelegem riscurile la care ne supunem, dar nici modul în care ar trebui să folosim această tehnologie într-un mod sigur“, adaugă Avădănei.
Compania a avut cel mai bun an din istorie în 2025, atât pe serviciile de testare a securităţii - simulări de atacuri informatice asupra companiilor, pentru a le identifica vulnerabilităţile - cât şi pe cele de monitorizare şi răspuns la incidente. „Bit Sentinel a avut în 2025 cel mai bun an de până acum atunci când vine vorba de servicii de securitate cibernetică, cum ar fi serviciile din zona de red teaming, dar şi zona de blue teaming - adică monitorizare şi răspuns la incidente de securitate cibernetică. De asemenea, a fost unul record şi pe partea de educaţie în securitate cibernetică“, a declarat el. Pentru 2026, Bit Sentinel pune accentul pe piaţa internaţională. „Urmărim tot mai mult să aplicăm la proiecte complexe, în care este necesară o expertiză de top. Ne aşteptăm la un nou an record“, spune Avădănei.
cu susţinerea
Preluarea fără cost a materialelor de presă (text, foto si/sau video), purtătoare de drepturi de proprietate intelectuală, este aprobată de către www.zf.ro doar în limita a 250 de semne. Spaţiile şi URL-ul/hyperlink-ul nu sunt luate în considerare în numerotarea semnelor. Preluarea de informaţii poate fi făcută numai în acord cu termenii agreaţi şi menţionaţi in această pagină.
ABONEAZĂ-TE