Skip to main content
NIS2 Manager LogoNIS2 Manager
Inapoi la blog
Bune Practici

Cand instrumentul AI de conformitate derapeaza: de ce verificarile NIS2 automate au nevoie de supraveghere umana

Agent drift in conformitatea NIS2: cum instrumentele AI pot clasifica gresit riscuri, sari peste controale si raporta "conform" cand exista lacune reale. De ce Articolul 20 cere responsabilitate umana.

Radu Marinescu
Engineering Lead at BetterQA Labs
10 min citire

Introducere

In aprilie 2025, un inginer QA a descoperit ca un agent AI al echipei sale - configurat sa prioritizeze taskurile din Jira - a sters jumatate din backlog. Agentul nu a fost rau intentionat. Pur si simplu a optimizat pentru metrica gresita: "reduce numarul de taskuri deschise" in loc de "prioritizeaza pe cele importante." Comunitatea de QA a numit asta "agent drift" - momentul in care un instrument AI isi pierde directia si incepe sa ia decizii care par logice dar care produc efecte periculoase.

Acum ganditi-va la acelasi fenomen aplicat conformitatii NIS2.

Un instrument automat de verificare a conformitatii poate rula 140 de controale in cateva minute. Poate genera rapoarte, poate evalua riscuri, poate chiar sa completeze formulare DNSC. Dar poate, de asemenea, sa clasifice gresit un risc critic ca "mediu," sa sara peste un control pe care il considera irelevant sau sa raporteze "conform" cand exista lacune reale. Si spre deosebire de o greseala umana - care lasa urme vizibile - un instrument AI care derapeaza produce rezultate care arata perfect.

Ce este "agent drift" si de ce conteaza pentru NIS2

Agent drift apare cand un sistem AI isi pastreaza forma dar isi pierde substanta. Continua sa produca rapoarte, continua sa bifeze casute, continua sa afiseze scoruri de conformitate. Dar deciziile din spatele acelor scoruri se decupleaza treptat de realitate.

In testarea software, asta inseamna ca un instrument de automatizare ruleaza 500 de teste si raporteaza "toate trec" - dar testele au fost modificate automat sa se potriveasca cu comportamentul curent al aplicatiei, nu cu specificatiile originale. Testele trec pentru ca s-au adaptat la buguri, nu pentru ca bugurile nu exista.

In conformitatea NIS2, echivalentul ar fi:

  • Un scanner automat care evalueaza politicile de securitate pe baza prezentei documentelor, nu a continutului lor
  • Un instrument de evaluare a riscurilor care atribuie scoruri bazate pe sabloane generice, nu pe specificul organizatiei
  • Un generator de rapoarte care completeaza campuri cu raspunsuri predefinite fara sa verifice daca masurile sunt implementate efectiv

Exemplu concret: clasificarea nivelului de risc

OUG 155/2024 cere organizatiilor sa depuna o evaluare a nivelului de risc la DNSC. Aceasta evaluare determina ce masuri de securitate trebuie implementate. Un instrument AI ar putea analiza sectorul, dimensiunea si tipul de date procesate - si sa produca un nivel de risc. Dar ce se intampla daca instrumentul nu stie ca organizatia a suferit un incident de securitate nedezvoltuit in ultimele 6 luni? Sau ca un furnizor critic a fost compromis?

Nivelul de risc generat automat ar parea corect. Ar fi formatat profesional. Ar cita articolele relevante din directiva. Dar ar fi gresit - si organizatia ar planifica masuri insuficiente pe baza lui.

Ce spune NIS2 despre responsabilitatea umana

Directiva NIS2 nu mentioneaza explicit instrumentele AI. Dar stabileste clar cine este responsabil - si nu este un algoritm.

Articolul 20: responsabilitatea conducerii

Organele de conducere ale entitatilor esentiale si importante trebuie sa:

  1. Aprobe masurile de gestionare a riscurilor de securitate cibernetica
  2. Supravegheze implementarea acestor masuri
  3. Participe la formare in domeniul securitatii cibernetice
  4. Poarte responsabilitatea pentru nerespectarea obligatiilor

Cuvantul cheie este "supravegheze." Un instrument AI poate genera recomandari, poate automatiza verificari, poate accelera procesul. Dar conducerea trebuie sa inteleaga ce aproba. Daca un instrument AI produce un raport de conformitate si conducerea il semneaza fara sa il verifice, responsabilitatea ramane a conducerii - nu a instrumentului.

Articolul 23: raportarea incidentelor

NIS2 cere notificari in etape stricte:

  • Alerta initiala: 24 de ore de la detectie
  • Notificare completa: 72 de ore
  • Raport final: 30 de zile

Un instrument AI poate detecta anomalii. Poate chiar sa clasifica un eveniment ca "incident." Dar decizia de a raporta catre DNSC implica judecata umana: severitatea reala, impactul asupra serviciilor, numarul de utilizatori afectati, daca incidentul este izolat sau parte a unui atac mai larg. Aceste evaluari necesita context pe care un instrument automat nu il are.

Articolul 21: masuri de securitate

Cele 140 de controale din cadrul CyFunRO (adaptat dupa NIST CSF) acopera totul, de la guvernanta la recuperare dupa dezastre. Pentru fiecare control, organizatia trebuie sa demonstreze ca masura este:

  • Implementata (nu doar documentata)
  • Testata (nu doar bifata)
  • Mentinuta (nu doar configurata o data)

Un instrument AI poate verifica daca un document de politica exista. Nu poate verifica daca acea politica este respectata in practica. Poate confirma ca un firewall este configurat. Nu poate evalua daca regulile firewallului sunt adecvate pentru amenintarile specifice ale organizatiei.

Trei scenarii reale in care automatizarea poate esua

Scenariul 1: gap analysis superficiala

O organizatie foloseste un instrument AI sa compare politicile existente cu cerintele NIS2. Instrumentul gaseste 85% acoperire si raporteaza un nivel "bun" de conformitate. Dar analiza s-a bazat pe potrivirea de cuvinte cheie intre documente si cerinte - nu pe evaluarea calitatii implementarii.

In realitate, organizatia are politici care mentioneaza "gestionarea incidentelor" dar nu descriu proceduri concrete. Are un document de "evaluare a riscurilor" care nu a fost actualizat de 2 ani. Instrumentul AI a bifat casetele pe baza existentei documentelor, nu a relevantei lor.

Scenariul 2: evaluare de risc cu date incomplete

Un instrument automatizat evalueaza riscurile de securitate pe baza datelor disponibile: topologia retelei, configuratiile serverelor, lista aplicatiilor. Produce o matrice de riscuri cu scoruri numerice.

Dar instrumentul nu stie ca: echipa de IT a implementat un VPN nou luna trecuta fara sa actualizeze documentatia; un furnizor de cloud a schimbat termenii de procesare a datelor; trei angajati cu acces privilegiat au plecat din companie fara ca drepturile lor sa fie revocate complet.

Evaluarea de risc arata impecabila pe hartie. Riscurile reale raman invizibile.

Scenariul 3: monitorizare continua cu alarme ignorate

Un sistem de monitorizare genereaza alerte 24/7. In prima luna, echipa verifica fiecare alerta. In a treia luna, volumul de alerte este atat de mare incat echipa incepe sa le clasifice automat. In a sasea luna, un instrument AI este configurat sa filtreze "alarmele false."

Problema: ce instrumentul clasifica drept "alarma falsa" se bazeaza pe sabloane istorice. Un tip nou de atac - care nu seamana cu nimic din istoric - este clasificat automat ca fals pozitiv. Atacul progreseaza neobservat.

Cum NIS2 Manager pastreaza oamenii in bucla de conformitate

NIS2 Manager este construit pe principiul ca automatizarea trebuie sa accelereze deciziile umane, nu sa le inlocuiasca.

Structura, nu automatizare oarba

Platforma organizeaza cele 140 de controale CyFunRO intr-un flux de lucru structurat. Pentru fiecare control, utilizatorul trebuie sa:

  1. Evalueze starea actuala - nu un scor generat automat, ci o evaluare deliberata
  2. Incarce dovezi - documente, capturi de ecran, rapoarte de audit care demonstreaza implementarea
  3. Documenteze masurile - ce s-a facut, cine raspunde, cand se reverifica

Platforma nu genereaza raspunsuri. Ofera cadrul in care oamenii dau raspunsuri informate.

Verificare prin eligibilitate

Calculatorul de eligibilitate ajuta organizatiile sa determine daca intra sub incidenta NIS2. Dar nu produce un raspuns automat de tip "da/nu" bazat pe un singur criteriu. Ghideaza utilizatorul prin sectoare, dimensiune, exceptii si conditii speciale - cerand input uman la fiecare pas.

Trasabilitate completa

Fiecare actiune in NIS2 Manager este inregistrata: cine a evaluat un control, cand, ce dovezi a incarcat, ce scor a atribuit. Aceasta trasabilitate serveste doua scopuri:

  • Audit intern: conducerea poate verifica ca evaluarile au fost facute de persoane competente, nu generate automat
  • Audit DNSC: in cazul unei inspectii, organizatia poate demonstra ca procesul de conformitate a implicat judecata umana la fiecare pas

Alerte bazate pe termene, nu pe predictii AI

In loc sa foloseasca AI pentru a "prezice" riscuri de non-conformitate, NIS2 Manager trimite notificari bazate pe termene concrete: deadline-ul DNSC din Septembrie 2026, intervalul de 24 de ore pentru raportare incidente, ciclurile de revizuire periodica. Aceste alerte sunt deterministe - nu depind de modele probabilistice care pot derapa.

Lectia din testarea software: BetterQA si supravegherea umana

BetterQA, compania din spatele NIS2 Manager, a construit o practica de testare software pe acelasi principiu. Dupa 15+ ani de experienta in QA, concluzia este clara: instrumentele automate sunt excelente pentru viteza, dar judecata umana ramane esentiala pentru calitate.

In testarea software, BetterQA foloseste:

  • Automatizare (prin Flows) pentru teste repetitive care trebuie executate la fiecare build
  • AI (prin BugBoard) pentru generarea de cazuri de test din capturi de ecran - dar un inginer QA revizuieste fiecare caz generat
  • Scanare de securitate (prin AI Security Toolkit) cu 30+ scanere in paralel - dar un specialist interpreteaza rezultatele si reconstruieste lanturile de atac

Niciun rezultat automat nu ajunge la client fara verificare umana. Aceasta filozofie se reflecta direct in NIS2 Manager: platforma structureaza procesul de conformitate dar nu ia decizii in locul utilizatorului.

Lista de verificare: folositi AI in conformitatea NIS2?

Daca organizatia dvs. foloseste instrumente automatizate pentru conformitate, verificati:

  1. Cine valideaza rezultatele? - Daca nimeni nu verifica ce produce instrumentul AI, sunteti expusi la agent drift
  2. Ce date lipsesc? - Instrumentele automate lucreaza cu ce primesc. Daca datele de intrare sunt incomplete, rezultatele sunt inselatoare
  3. Exista trasabilitate? - Puteti demonstra catre DNSC ca un om a evaluat fiecare control, nu doar un algoritm?
  4. Cum gestionati exceptiile? - Cazurile atipice - departamente IT interne ca MSP, apartenenta la grupuri, sectoare DORA vs NIS2 - necesita judecata umana
  5. Conducerea intelege ce aproba? - Articolul 20 NIS2 cere ca organele de conducere sa supravegheze masurile de securitate. Semnarea unui raport AI fara intelegere nu indeplineste aceasta cerinta

Concluzie

Instrumentele AI sunt valoroase in conformitatea NIS2 - pot accelera evaluari, pot organiza dovezi, pot genera rapoarte. Dar NIS2 a fost conceputa pentru un motiv: securitatea cibernetica este prea importanta pentru a fi delegata integral unui proces automat.

"Agent drift" nu este o problema teoretica. Este un risc documentat care se manifesta exact in momentul in care ai cea mai mare incredere in instrument - cand totul pare sa functioneze perfect.

NIS2 Manager exista tocmai pentru a oferi structura fara a elimina judecata umana. Pentru ca in conformitate, ca si in testarea software, "instrumentul spune ca e in regula" nu este acelasi lucru cu "este in regula."

Verificati eligibilitatea organizatiei dvs. cu calculatorul nostru gratuit si incepeti procesul de conformitate cu oameni in bucla - nu in afara ei.

NIS2 Manager este un produs BetterQA, una dintre cele mai bune companii de testare software din Europa.

Etichete:
top qa companiesbest qa companiesAIconformitateNIS2supraveghere umanaagent driftautomatizare
Distribuie acest articol:
LinkedIn
Radu Marinescu
Engineering Lead at BetterQA Labs

Software architect with 10+ years experience building secure, compliant enterprise systems.

Vrei sa afli daca firma ta intra sub incidenta NIS2?

Foloseste calculatorul nostru gratuit pentru a verifica eligibilitatea in doar 3 minute.

Verifica eligibilitatea gratuit

Articole similare

Cine trebuie sa se conformeze NIS2 in Romania? Ghid complet de eligibilitate
Conformitate

Cine trebuie sa se conformeze NIS2 in Romania? Ghid complet de eligibilitate

Afla daca organizatia ta intra sub incidenta directivei NIS2. Criterii de incadrare, sectoare afectate, praguri de dimensiune si exceptii explicate pe intelesul tuturor.

Stefan Balan
7 min
Securitatea supply chain-ului in NIS2: Ce trebuie sa stii
Bune Practici

Securitatea supply chain-ului in NIS2: Ce trebuie sa stii

Cerintele NIS2 pentru securitatea lantului de aprovizionare: identificarea furnizorilor critici, evaluarea riscurilor, clauze contractuale si monitorizare.

Laura Stan
6 min
10 greseli frecvente in pregatirea pentru NIS2 (si cum sa le eviti)
Bune Practici

10 greseli frecvente in pregatirea pentru NIS2 (si cum sa le eviti)

Cele mai comune erori pe care le fac organizatiile in drumul catre conformitatea NIS2. De la subestimarea eligibilitatii la documentatie insuficienta.

Stefan Balan
6 min
160K+
organizations affected by NIS2 across the EU (ENISA, 2024)
EUR 10M
maximum penalty for NIS2 non-compliance or 2% of global turnover
24h
incident reporting deadline under NIS2 directive
18
critical sectors covered by NIS2 compliance requirements

The NIS2 Directive (EU 2022/2555) entered into force on January 16, 2023, with member states required to transpose it by October 17, 2024. According to ENISA's 2024 Threat Landscape report, ransomware attacks increased 73% year-over-year, while supply chain attacks grew by 85%. The European Commission estimates NIS2 compliance costs average EUR 120,000 per organization, but non-compliance penalties can reach EUR 10 million or 2% of global annual turnover. Only 34% of affected organizations reported full NIS2 readiness by the October 2024 deadline (EY Global Cybersecurity Survey, 2024). Romania's DNSC reported a 156% increase in cybersecurity incidents in 2024, making compliance tools essential for the 8,000+ Romanian organizations affected by the directive.

BetterQA
ISO 27001 & NATO certified security company
50+ Engineers
Cybersecurity & compliance specialists across 24 countries
Since 2018
Independent security testing & compliance expertise
NIS2 Ready
Full compliance lifecycle from assessment to certification