Securitate cibernetică, conformare CRA și NIS2
Preț fix. Durată fixă. Un raport pe care îl semnează inginerul care a făcut munca, nu un template generat automat.
Cele mai multe firme află că au o problemă de securitate în ziua în care e prea târziu. Nu pentru că nu le pasă, ci pentru că securitatea e invizibilă până când nu mai e. COXSWAIN se uită înainte de ziua aceea.
Iar din 2026, nu mai e doar o chestiune de prudență. Sunt termene în lege, cu amenzi în spate.
Cyber Resilience Act: 11 septembrie 2026
Dacă puneți pe piața europeană un produs cu elemente digitale, vă privește. Aplicație mobilă, software descărcabil, firmware, echipament conectat. Regulamentul (UE) 2024/2847 nu a fost amânat, deși industria a cerut asta.
De la 11 septembrie 2026, orice vulnerabilitate exploatată activ și orice incident sever trebuie raportate: alertă în 24 de ore, notificare în 72 de ore, raport final în 14 zile. Obligația se aplică retroactiv, inclusiv produselor deja aflate pe piață, chiar și celor pe care nu le mai dezvoltați activ. De la 11 decembrie 2027 vine restul: marcaj CE, evaluare de conformitate, documentație tehnică, SBOM, perioadă de suport de minimum 5 ani.
Amenzile ajung la 15 milioane de euro sau 2,5% din cifra de afaceri mondială.
Partea pe care puțini o spun. Nu există încă niciun standard armonizat CRA publicat în Jurnalul Oficial și niciun organism notificat desemnat. Prezumția de conformitate nu există pentru nicio categorie de produs. Asta înseamnă că nu aveți la ce bifa: conformitatea trebuie argumentată direct pe cerințele esențiale din Anexa I și documentată ca atare. Nu e o unealtă automată, e muncă de inginerie. Exact asta facem.
Ce livrăm pentru CRA
- Analiză de conformitate față de cerințele esențiale (Anexa I) și clasificarea produsului
- Politică de divulgare coordonată a vulnerabilităților și proces de management al vulnerabilităților
- Procedura de raportare 24h / 72h / 14 zile, funcțională, nu pe hârtie
- SBOM citibil de mașină, generat automat în pipeline, nu o dată pe an
- Documentație tehnică (Anexa VII) și Declarație UE de conformitate
- Politică de perioadă de suport și de sfârșit de viață
Sunteți furnizor al unei entități reglementate NIS2?
Atunci obligația ajunge la dumneavoastră chiar dacă firma dumneavoastră nu intră direct în NIS2.
OUG 155/2024 obligă entitățile esențiale și importante să securizeze lanțul de aprovizionare, inclusiv relația cu furnizorii direcți (art. 13). Diligența lor ajunge explicit la securitatea proceselor voastre de dezvoltare (art. 11). Iar în România, legea merge mai departe decât directiva: entitatea trebuie să predea DNSC, la cerere, lista furnizorilor săi.
Consecința practică: clientul dumneavoastră enterprise vă va cere dovezi. Chestionare de securitate, clauze contractuale, drept de audit, plan de ieșire. Iar după OUG 155/2024, un incident cibernetic nu mai poate fi invocat drept caz fortuit sau forță majoră de o entitate care nu s-a conformat. Neconformarea devine răspundere contractuală directă. De aceea ajunge în contracte.
Pregătim răspunsul: evaluarea reală a securității, dovezile care se pot arăta, procesele care rezistă la întrebări.
Evaluare de securitate și test de penetrare
Trecem prin aplicație, infrastructură și configurări: autorizare, gestionarea secretelor, dependențe, expunere publică, backup și restaurare, logare și monitorizare. Primiți un raport cu ce am găsit, cât de grav e fiecare lucru și în ce ordine se repară. Fără listă de 300 de avertismente generate de un scanner. Doar ce contează, explicat în română.
La cerere, atacăm aplicația așa cum ar face-o cineva care vrea să intre. Găsim drumul, îl documentăm, îl închidem. Raportul arată exact ce am reușit să facem și cum, ca să nu rămână loc de interpretări.
Cod construit cu AI
Un caz aparte, tot mai frecvent. AI-ul scrie azi aplicații funcționale în câteva ore, iar diferența dintre „funcțional" și „pregătit de producție" nu se vede în demo. Secrete în cod, autorizare lipsă, dependențe vechi, erori înghițite în tăcere. Le vedem des și știm unde să ne uităm. Ce găsim de obicei →
O precizare pe care alții nu o fac. Serviciile de mai sus sunt evaluări tehnice comerciale. Nu sunt „audit de securitate cibernetică" în sensul OUG 155/2024, iar COXSWAIN nu este auditor atestat DNSC. Auditul reglementat, obligatoriu pentru entitățile esențiale și importante, poate fi făcut doar de auditori aflați pe lista DNSC. Dacă aveți nevoie de acel audit, vă spunem direct și vă îndrumăm către un auditor atestat. Dacă aveți nevoie să fiți pregătiți pentru el, asta putem face.
De ce noi
Peste 10 ani de inginerie software, nu de rapoarte. Am construit sistemele pe care alții le testează: backend, infrastructură, DevOps, aplicații în producție la clienți reali. Asta înseamnă că, atunci când găsim ceva, știm și cum se repară, nu doar cum se numește.
Standardul pe care îl vindem e aplicat public, pe acest site: politică CSP strictă, HSTS, security.txt, fonturi self-hosted, zero trackere, zero cookies. Verificabil în zece secunde: curl -I coxswain.ro. Un furnizor de securitate care nu-și securizează propriul site spune totul despre ce urmează să cumpărați.
Cum lucrăm
- Discuție de 20 de minute. Ce aveți, ce vă îngrijorează, ce obligații aveți. Gratuit, fără angajament.
- Ofertă cu preț fix și durată fixă. Scrisă, cu livrabile enumerate. Fără „depinde".
- Execuție. Fără să vă oprim producția.
- Raport și ședință de predare. Vă explicăm fiecare constatare și planul de remediere. Rămâneți cu un document pe care îl puteți arăta clienților, partenerilor sau unui evaluator.
- Reverificare. După ce reparați, confirmăm că e reparat.
Proiecte cu finanțare europeană
Dacă pregătiți un proiect de digitalizare cu fonduri europene: securitatea cibernetică este cheltuială eligibilă directă și, pe grilele de evaluare, aduce punctaj semnificativ. Acoperirea întregului perimetru punctează dublu față de o soluție parțială. Construim componenta de securitate ca să fie eligibilă, punctabilă și, mai important, reală.
Nu scriem cereri de finanțare și nu concurăm cu consultantul dumneavoastră. Facem partea tehnică.