Salut tuturor,
Tocmai am început partea de documentare pentru lucrarea de master pe tema securității cibernetice în contextul UE și sincer, mă lovesc de o oarecare complexitate. Dincolo de reglementările generale gen GDPR, care evident sunt fundamentale, parcă îmi scapă stratul mai fin de strategie și implementare la nivel european. Mă tot gândesc la inițiativele astea mai noi, cum ar fi NIS2, Cyber Resilience Act... Simt că există un efort considerabil din partea UE să standardizeze și să întărească postura în fața amenințărilor, dar sunt curios dacă cineva de aici a aprofundat subiectul în mod similar sau are vreo perspectivă concretă despre cum se traduce asta practic pe teren, nu doar în documente.
Ce părere aveți, e un domeniu în care UE chiar reușește să aducă o valoare adăugată semnificativă, sau rămâne mai mult la nivel declarativ, cu ineficiențe majore la nivel de implementare? Poate cineva care lucrează/a lucrat în domeniu sau a analizat mai atent legislația UE pe cybersecurity are ceva insights de împărtășit?
Mersi anticipat oricui își ia din timp să răspundă.
Salut Ryan,
Te înțeleg perfect! Și eu m-am confruntat cu aceeași senzație de "mister" atunci când am început să sap mai adânc în partea asta de strategie cyber la nivel UE. E ușor să te pierzi în mulțimea de acronime și propuneri legislative, dar esența e chiar acolo, în efortul ăsta susținut de standardizare și consolidare.
NIS2 și Cyber Resilience Act sunt, într-adevăr, niște piloni foarte importanți. Cred că unde UE aduce o valoare adăugată semnificativă este tocmai în armonizare. Până acum, fiecare țară avea propriile abordări, propriile legi, ceea ce crea o fragmentare enormă și, implicit, vulnerabilități. Prin directive ca NIS2, se încearcă aducerea tuturor pe aceeași lungime de undă, impunând cerințe minime de securitate pentru o gamă mult mai largă de sectoare critice și chiar și pentru entități considerate "esențiale". Asta înseamnă că o companie care operează în mai multe state membre nu mai trebuie să navigheze prin 27 de seturi complet diferite de reguli - e un pas enorm spre o piață digitală unică, dar securizată.
Cât despre "traducerea practică pe teren", aici e marea provocare, nu-i așa? Nu suntem încă în punctul în care pot spune cu mâna pe inimă că e totul perfect implementat și funcțional la nivel maxim. Ineficiențele majore probabil încă există, mai ales la nivelul statelor membre mai mici sau cu resurse mai limitate. Punerea în practică a cerințelor NIS2, de exemplu, necesită investiții considerabile în securitate, în personal calificat și în procese interne, iar nu toată lumea e pregătită să facă asta peste noapte. Am văzut și eu situații unde implementarea e mai mult pe hârtie, decât în realitate.
Totuși, nu cred că rămâne doar la nivel declarativ. Până la urmă, directiva impune obligații clare și amenzi substanțiale pentru neconformitate. Asta forțează companiile să ia în serios securitatea, chiar dacă inițial e doar din teama amenzilor. Iar prin Cyber Resilience Act, UE mișcă lucrurile și spre partea de responsabilitate pentru producătorii de hardware și software. Asta e o schimbare de paradigmă: nu mai e doar grija utilizatorului, ci și a celor care creează tehnologia.
Sunt curioasă și eu să aud de la alții care au experiențe mai directe. Poate cineva lucrează la o instituție națională responsabilă cu implementarea sau la o companie care se vede direct afectată de aceste noi prevederi.
Oricum, felicitări pentru alegerea temei, e super relevantă și în continuă evoluție! Spor la documentare!
Salut Adina,
Mersi enorm pentru răspunsul detaliat și pentru perspectiva constructivă! Exact senzația asta de imersiune în "ceață legislativă" o aveam, și e reconfortant să știu că nu sunt singurul care explorează aceste ape aparent tulburi.
Observația ta despre armonizare e genială și cred că aici e punctul nevralgic pe care UE încearcă să îl rezolve. E clar că fragmentarea anterioară era o invitație deschisă la probleme de securitate. Ideea că o companie nu mai trebuie să jongleze cu 27 de seturi de reguli este, într-adevăr, un progres semnificativ spre o Europă digitală mai cohesionată și, implicit, mai sigură.
Ce mă frământă cel mai mult, însă, este exact partea asta de "traducere practică". Ești perfectă în a puncta că nu e un proces instantaneu și că presupune resurse considerabile. Mă întreb cum se face, concret, controlul și verificarea respectării acestor noi cerințe. Există mecanisme transfrontaliere eficiente pentru asta, sau rămânem tot la nivel național, unde resursele și determinarea pot varia enorm?
Și partea cu Cyber Resilience Act e fascinantă. Presupune o schimbare mentală și tehnologică majoră pentru producători. Mă întreb cum sunt antrenați să adopte aceste noi standarde de securitate încă din faza de design (security by design, security by default). E mai mult o presiune venită din partea consumatorilor (instituționali sau individuali) sau există deja niște
Că totul e perfect aliniat și implementat fără fricțiuni. Totuși, cred că vedem deja schimbări. De exemplu, la nivelul companiilor mai mari, cele care oricum erau deja supuse unor standarde mai ridicate, adoptarea unor măsuri suplimentare impuse de NIS2 nu e chiar o sarcină imposibilă. Provocarea majoră, după părerea mea, o reprezintă PME-urile (întreprinderile mici și mijlocii). Pentru ele, cerințele sporite pot fi dificil de implementat, atât din punct de vedere tehnic, cât și financiar. Aici cred că este vitală o tranziție cât mai bine gestionată, cu resurse și ghiduri dedicate.
Pe de altă parte, Cyber Resilience Act vine să acopere un gol diferit, dar la fel de important: securitatea de-a lungul ciclului de viață al produselor digitale. Până acum, focusul era mai mult pe procese operaționale. Acum, se pune presiune pe producători să dezvolte produse sigure "by design" și "by default", să ofere suport de securitate pe toată durata de viață și să notifice promp vulnerabilitățile. Asta va forța o schimbare de paradigmă în industria tech, iar pe termen lung, cred că ne va aduce produse mai sigure și mai rezistente.
Deci, rezumând, cred că UE aduce o valoare adăugată reală prin aceste eforturi de armonizare și creare de standarde comune. Ineficiențele la nivel de implementare vor exista, mai ales la început și în cazul entităților mai mici, dar tocmai de aceea e important să privim aceste inițiative ca pe un proces continuu de adaptare și îmbunătățire. Nu e un "set and forget", ci un "adapt and evolve".
Sunt curioasă să aud și alte păreri, mai ales de la cei implicați direct în implementarea acestor reglementări. Cum se vede de pe teren transpunerea lor în practică?
Ryan: Exact! Foarte bună observația asta legată de armonizare. Cred că subestimez uneori cât de mult contează să ai un cadru comun, chiar dacă e imperfect la început. Fiecărei țări îi revine sarcina de a transpune directivele în legislația națională și de a asigura controlul, iar aici cred că apar și divergențele.
Ceea ce mă intrigă cel mai mult e "traducerea practică pe teren" pe care o menționezi. Ai văzut personal, în proiecte sau analize, cum arată această implementare? Adică, companiile chiar își schimbă arhitecturile de securitate, investesc în traininguri dedicate pentru toată lumea nu doar pentru IT, sau e mai mult un exercițiu de compliance generat de frică, cu un strat subțire de politici pe hârtie?
Și legat de Cyber Resilience Act, sunt curios cum vezi tu integrarea lui cu NIS2. Pare că NIS2 se concentrează pe operatori și entități digitale, în timp ce Cyber Resilience Act vizează mai mult produsele cu elemente digitale, de la senzori IoT la sisteme complexe. E o abordare complementară sau creează un soi de suprapunere legislativă care ar putea complica lucrurile? Mi-ar plăcea să aflu dacă există deja discuții sau ghiduri despre cum se aliniază aceste eforturi.
Încă o dată, mersi mult pentru perspective, Adina. E foarte util să am un punct de vedere mai nuanțat.