How can we strengthen resilience in the face of cyber attacks? Lucian Bondoc, Managing Partner and Monica Iancu, Partner at Bondoc și Asociații, speakers at ZF Cybersecurity Trends 2025
With the introduction of new regulations, such as NIS 2 and DORA, many companies are required to adopt a more structured and rigorous approach to cybersecurity, starting from exercises similar to GDPR’s data mapping and the development of procedures and methodologies.”
This involves identification of all relevant functions and equipment, assessment of vulnerabilities, staff training, clear procedures for the management of attacks, as well as for reporting and updating.
The high costs and rapid pace of technological advancements required for regulatory compliance may lead to market consolidation, where only larger players are likely to survive, while smaller ones face the risk of exiting the market. In this context, it is crucial for the Romanian state to support local solution providers and promote integrated approaches, in order to preserve competitiveness in the second stage.
In addition, the legal perspectives are changing: cyber-attacks can no longer be easily invoked as force majeure or fortuitous events, and may be considered foreseeable events that no longer meet all the criteria currently required (the analysis remaining on a case-by-case basis), which increases the legal liability of companies. Defense against cyber-attacks is likely to be much more standardized in 10 years and to also come at a much more affordable cost, said Lucian Bondoc, Managing Partner, Bondoc & Asociaţii, at ZF Cybersecurity Trends 2025.
„The state should not be more Catholic than the Pope—meaning that it should not expand the scope of NIS 2 through additional regulations or implementation practices, because any such expansion may seem reasonable, defend national security or support the economy, but there is nothing left to reinforce in a second stage. The impact of a cybersecurity breach is immediate and significant, but when introducing new legislation, it’s important to consider the broader consequences, or else you end up not only suffering an attack, but also facing fines—and even more than that. In relation to NIS 2, we can expect around 14 secondary legislative acts, and without proper compliance, there is a risk of being presumed liable, which could open the door to legal actions from third parties affected by a cyberattack” in addition to the potentially high costs with technology and training, explained Lucian Bondoc.
In the context of NIS 2 Directive transposition into national law, many uncertainties persist, fueled by the absence of a complete and coherent legislative framework. Monica Iancu, Partner at Bondoc și Asociații, draws attention to the fact that this lack of clarity affects not only the companies concerned by the new obligations, but equally so the authorities responsible for the Directive implementation. The process is delayed, which is probably justified, but the absence of clear methodologies raises questions about the ability of economic actors to comply.
From a legal perspective, compliance has two main dimensions: notification and registration, followed by the actual implementation of the measures required by the law. NIS 2 emphasizes individual responsibility, i.e. self-assessment and risk-taking by each entity, in a logic similar to GDPR, said Monica Iancu. She also stressed out that cybersecurity is becoming an increasingly relevant criterion in M&A processes, being integrated into due diligence assessments.
„There also are real difficulties in establishing whether a company falls under the law. We have a draft order that proposes an assessment matrix, but which involves multidisciplinary teams – IT, legal, business – to analyze the impact on fundamental rights and freedoms, financial, cross-border or cross-sector risks. It is, in a way, a mathematics of risks.” “Cybersecurity is also becoming a relevant criterion in transactions, in M&A processes the IT security area is being analyzed more and more seriously. Basically, we are talking about a new evaluation standard,” said Monica Iancu at the ZF Cybersecurity Trends 2025 event.
The full articles can be accessed on the ZF website:
The event can also be accessed in video format at: https://www.youtube.com/watch?v=Lv6-IhiKwMg&t=15445s (min. 03:59:06)
Cum construim rezilienţa în faţa atacurilor cibernetice? Lucian Bondoc, Avocat asociat coordonator și Monica Iancu, Avocat asociat la Bondoc și Asociații, speakeri la ZF Cybersecurity Trends 2025
În contextul noilor reglementări precum NIS 2 și DORA, numeroase companii trebuie să adopte o abordare mult mai complexă și riguroasă în ceea ce privește securitatea cibernetică, plecând de la exerciții similare cu maparea datelor impusă de GDPR și elaborarea de proceduri și metodologii.
Aceasta implică identificarea tuturor funcțiilor și echipamentelor relevante, evaluarea vulnerabilităților, instruirea personalului, proceduri clare pentru gestionarea atacurilor, precum și pentru raportare și actualizare.
Costurile ridicate și ritmul alert al evoluțiilor tehnologice relevante pentru conformare pot duce la consolidarea pieței, unde doar actorii mai mari vor supraviețui, iar cei mici riscă să dispară. În acest context, este important ca statul român să susțină furnizorii locali de soluții și abordările integrate, pentru a nu pierde competitivitate în pasul doi.
În plus, perspectivele juridice se schimbă: atacurile cibernetice nu mai pot fi invocate cu ușurință ca forță majoră sau caz fortuit, fiind posibil să fie considerate evenimente previzibile care nu mai îndeplinesc toate criteriile necesare în prezent (analiza rămânând de la caz la caz), ceea ce sporește responsabilitatea juridică a companiilor. Este posibil ca peste 10 ani apărarea față de atacuri cibernetice să fie mult mai standardizată şi să vină şi cu un cost mult mai accesibil, a spus Lucian Bondoc, Managing Partner, Bondoc & Asociaţii, în cadrul ZF Cybersecurity Trends 2025.
„Statul nu ar trebui să fie mai catolic decât Papa, adică nu ar trebui să extindă prin norme sau prin modul de implementare cadrul faţă de ce este explicit în NIS 2 pentru că orice extindere pare rezonabilă, apăr securitatea naţională, întăresc economia, dar nu mai ai ce să întăreşti în pasul doi. Impactul unei încălcări pe securitate cibernetică duce la efecte imediate şi rapide, dar când mai vii cu legislaţie trebuie să te gândeşti care sunt consecinţele pentru că după ce că iei bătaie, iei şi o amendă, dar și mai mult decât atât. Legat de NIS 2 vor fi cam 14 acte normative secundare, iar dacă nu ai o conformare bună, riști să fii prezumat în culpă şi atunci vei facilita atacurile juridice din partea terților păgubiţi de un atac cibernetic”, dincolo de costurile potențial mari cu tehnologia și pregătirea, a explicat Lucian Bondoc.
În contextul transpunerii Directivei NIS 2 în legislația națională, persistă numeroase incertitudini, alimentate de absența unui cadru legislativ complet și coerent. Monica Iancu, Partener în cadrul Bondoc și Asociații, atrage atenția asupra faptului că această lipsă de claritate afectează nu doar companiile vizate de noile obligații, ci și autoritățile responsabile cu implementarea directivei. Procesul este într-o întârziere, probabil justificată, însă absența unor metodologii clare ridică semne de întrebare cu privire la capacitatea actorilor economici de a se conforma.
Din perspectivă juridică, conformarea presupune două mari dimensiuni: notificarea şi înregistrarea, urmate de implementarea efectivă a măsurilor impuse de lege. NIS 2 pune accent pe responsabilitate individuală, adică pe autoevaluare şi asumarea riscurilor de către fiecare entitate, într-o logică similară cu cea a GDPR, a mai spus Monica Iancu. Totodată, ea a subliniat că securitatea cibernetică devine un criteriu tot mai relevant în procesele de fuziuni și achiziții, fiind integrată în evaluările de tip due diligence.
„Există si dificultăţi reale în a determina dacă o companie intră sau nu sub incidenţa legii. Avem un proiect de ordin care propune o matrice de evaluare, dar care presupune implicarea unor echipe multidisciplinare – IT, legal, business – pentru a analiza impactul asupra drepturilor și libertăților fundamentale, riscurile financiare, transfrontaliere sau trans-sectoriale. Este, într-un fel, o matematică a riscurilor.” „Cybersecurity devine un criteriu relevant şi în tranzacţii, în procesele de fuziuni şi achiziţii, zona de securitate IT este analizată din ce în ce mai serios. Practic, vorbim de un nou standard de evaluare” a precizat Monica Iancu în cadrul evenimentului ZF Cybersecurity Trends 2025.
Articolele complete pot fi accesate pe site-ul ZF:
Evenimentul poate fi accesat și în format video la: https://www.youtube.com/watch?v=Lv6-IhiKwMg&t=15445s (min. 03:59:06)