În ritmul frenetic al vieții moderne, mersul pe autostrada soarelui poate servi drept o metaforă profundă pentru dinamica furnizorilor de servicii esențiale vieții din România, un sector ce dansează pe marginea reglementărilor, oscilând între prudență, riscuri calculate și nepăsare. În acest peisaj, Legea NIS (Network and Information Systems) poate juca un rol, de far în noapte, ghidând navele companiilor prin furtunile digitalizării și securității cibernetice. Însă e cam departe de a fi un far.
Imaginează-ți autostrada soarelui într-o zi toridă de vară.
Pe această arteră a vitezei și a deciziilor rapide, șoferii se împart în două tabere: cei care respectă cu sfințenie limita de viteză, navigând printr-un peisaj de riscuri calculate, și cei care, prin fiecare flash și manevră la limita pericolului, își asumă riscuri, sfidând în permanență siguranța și legea.
Această dualitate reflectă într-o oarecare măsură și peisajul companiilor din România, în special în sectoarele nereglementat (adică companii care nu sunt parte din multinaționale sau companii din sectorul financiar bancar - companii cu sistem de management romanesc), care furnizează servicii vitale societății.
Din perspectiva mea de auditor / consultant de securitate, am întâlnit o gamă variată de atitudini față de conformitate și securitate cibernetică.
Pe de o parte, există lideri și companii care, conștienți de importanța și responsabilitatea serviciilor pe care le oferă, aleg să investească în măsuri de securitate robuste, plătind premium pentru servicii de calitate superioară, pentru a-și proteja clienții și a se asigura că îndeplinesc toate cerințele legale, inclusiv cele stipulate de Legea NIS.
În contrast, am întâlnit și companii care, fie din ignoranță, fie dintr-un calcul riscant, aleg să navigheze pe ape tulburi, neglijând cerințele minimale de securitate și expunându-se la riscuri semnificative. Aceștia preferă să joace un joc periculos, sperând să evite consecințele unei breșe de securitate, bazându-se pe lipsa de acțiune a autorităților.
Nu vor fi niciodata clientii mei dar ii iau exemplu.
Am intalnit directori generali cat si operatori de servicii esentiale, care, nici pana acum, nu si-au facut nici macar minimul necesar, adica sa isi demonstreze odata la doi ani, faptul ca respecta o lege cum este cea NIS, prin depunerea unui raport de audit de securitate.
Acesti oameni au un apetit fata de risc foarte ridicat. Unii stiu ca incalca legea, stiu ca nu sunt ok, stiu ca au riscuri majore de securitate, ca conduc o companie catre navigheaza neprotejata in era asta digitala.
La simpla intrebare, "De ce prefera sa ramana asa?". Raspunsul lor a fost sec: "nu a fost taiata nici o amenda, autoritatea - Directoratul National de Securitate Cibernetica – nu mi-a dat nici o atentionare, nu am auzit de nici un control dupa 3 ani".
Din nasul fin pe care il am, dupa 20 ani de sales, pe acestia nu ai cum sa ii duci cu vorba buna, cum încearcă DNSC, ci trebuie sa ii faci sa respecte legea cu 5 % penalitati din Cifra de afaceri.
Este o cale de mijloc aici.
Am observat însă, o anumita tendință la unii directori din sectorul distribuției de apa potabila, care au început sa înțeleagă importanta unui sistem solid de management de securitate.
Asta o zic statistic, pentru ca am devenit un specialist i a asigura consultanta pentru unul dintre cele mai sensibile domenii ale României, companiile de distribuție de apa potabila. Distribuția de apa potabila este cel mai vitregit domeniu de activitate, datorita fondurilor limitate, dar și foarte foarte sensibil. Un incident de securitate fizica de exemplu, prin care se pot altera parametrii de clorurare a apei, sau chiar mai rău, se pot derversa agenți toxici în apa, pot baga în cimitir sau spital un oraș întreg!!!!!
La fel cu bancilor le e frica de BNR, asiguratorilor de ASF, tuturor companiilor de ANAF, soferilor de Politie, asa ar trebui si operatorilor de servicii esentiale care stiu ca incalca legea, sa le e frica de controalele si amenzile DNSC.
Situația este departe însă.
Am urmarit cu interes la inceput initiative DNSC de a evangheliza cerintele de securitate catre acest mediu de business nereglementat si personal eu cred ca aceasta abordare soft nu este sustenabila la nivel macro.
In anul de gratie 2024, dupa 4 ani de la întrarea în vigoare a legii NIS, și întrarea în vigoare a versiunii 2 a Directivei NIS, sunt încă foarte multe companii care furnizeaza servicii esentiale vietii umane si nu indeplinesc nici o cerinta minima de protectie a acestora.
Ma repet. Abordarea foarte permisiva sau tăcerea absoluta a DNSC este departe de a fi sustenabila în contextul României de azi.
Pentru ca majoritatea romanilor respectă legea de frica, nu din dragoste. În România legea trebuie respectata, nu trebuie sa convingi companiile sa o respecte. Este ca și cum Anaf ar fi veni în control ca sa te convingă sa îți plătești taxele 😂. Asa se întâmplă acum cu legea NIS.
Unde e lege nu e tocmeala e o vorba veche și autoritățile ar trebui sa și-o asume....
La fel cum pe autostradă, șoferii imprudenți sunt, până la urmă, sancționați, tot așa și în peisajul serviciilor esențiale, lipsa de conformitate și neglijarea securității cibernetice trebuie sa tragă, în cele din urmă, atenția și acțiunea autorităților.
Este vital să înțelegem că, în era digitală, securitatea și conformitatea nu sunt opționale, ci fundamentale pentru supraviețuirea și prosperitatea pe termen lung.
Prin analogia mersului pe autostradă, putem vedea cum diferite atitudini față de riscuri și reglementări se reflectă în modul în care companiile abordează provocările securității cibernetice. Este un apel la acțiune pentru toate părțile implicate - de la conducătorii de companii la autoritățile de reglementare - să adopte o abordare proactivă și responsabilă, asigurându-se că navigăm cu toții în siguranță pe autostrada digitală, protejând serviciile esențiale pentru viața de zi cu zi.
Cu cat autoritatile abilitate vor ramane inerte si nu vor actiona, NIS 1, NIS 2 vor fi uitate sau nu vor mai fi bagate in seama si vor disparea treptat din atentia societatii, la fel cum GDPR a intrat în desuet, odată cu amenzile uriașe de 2k euro.
Si vom avea in continuare spitale care sunt criptate, vom vedea scrisori de apel de ajutor pentru spitale chiar de la autoritati (cand de fapt respectarea unor clauze minimale de management al riscurilor de securitate care vin de la furnizorii de servicii se pot implementa cu niste mecanisme aproape gratuite. In cazul spitalelor criptate, parerea mea este ca nu este vorba de lipsa de fonduri financiare, ci de nepasare).
Vom vedea in continuare vieti umane in pericol si autoritatile statului care privesc tolerant cum cele mai simple reguli de securitate nu sunt respectate (si nici legea deasemenea). Cand legea nu se respecta, haosul si anarhia isi fac locul in viata noastra.