Articol de opinie de Dragoș Ionica, Cyber Attack Senior Manager, și Octavian Popa, CyberStrategyManager, Deloitte România
Pe fondul dezvoltării accelerate a tehnologiilor digitale și al interconectării socio-economice globale, securitatea cibernetică a devenit esențială, mai ales în sectoarele critice, cum este cel energetic. Această transformare este ilustrată printr-o serie de inițiative și legislații emise la nivelul Uniunii Europene (UE), menite să consolideze măsurile de protecție cibernetică pentru infrastructurile critice.
Un exemplu relevant în acest sens este directiva NIS 2 (NIS 2), care extinde cerințele de securitate cibernetică pentru sectorul energetic, incluzând rețelele de electricitate, petrol și gaze. Această reglementare reprezintă o prioritate și pentru România care a transpus NIS 2 în legislația locală prin Ordonanța de Urgență (OUG) nr. 155, publicată în Monitorul Oficial la sfârșitul anului 2024. Pe 7 iulie 2025, Legea 124/2025 a fost publicată în Monitorul Oficial, marcând validarea legislativă a măsurilor prevăzute de OUG și aducând în prim-plan intensificarea obligațiilor în materie de protecție cibernetică destinate entităților ce gestionează infrastructuri critice.
Care sunt organizațiile vizate de NIS 2?
NIS 2 vizează o gamă largă de entități din sectorul energiei cu un rol crucial în asigurarea funcționării eficiente și sigure a infrastructurii critice. O primă zonă de interes ce intră în scopul acestei directive este reprezentat de subsectorul electricitate, unde întreprinderile ce furnizează energie electrică sunt incluse conform definițiilor stipulate de Legea nr. 123/2012. Operatorii de distribuție și de transport sunt responsabili de exploatarea, întreținerea și dezvoltarea rețelelor de energie, iar producătorii de energie electrică sunt definiți prin activitatea lor specifică de producere, inclusiv în cogenerare. Participanții la piață, inclusiv operatorii desemnați ai pieței de energie electrică și operatorii de puncte de reîncărcare, precum concesionarii și dezvoltatorii de centrale eoliene offshore, sunt vizați de directivă prin prisma rolului lor esențial în stabilitatea și funcționarea pieței energetice.
Subsectorul încălzire și răcire centralizată este alt domeniu de interes în care distribuția de energie termică este o componentă critică. Directiva mai cuprinde și subsectorul petrol, fiind vizați operatorii de conducte de transport al petrolului și entitățile centrale de stocare, precum și operatorii de instalații de producție, rafinare și tratare a petrolului. În sectorul gazelor, NIS 2 se aplică întreprinderilor de furnizare, operatorilor de distribuție și de transport, precum și operatorilor de înmagazinare și rafinare și tratare a gazelor naturale, alături de cei implicați în manipularea gazului natural lichefiat (GNL).
Nu în ultimul rând, subsectorul hidrogen vizează operatorii de producție, stocare și transport, alături de beneficiari ai fondului de modernizare în acord cu legislația națională. Aceste sectoare și entități sunt primordiale pentru buna funcționare, reziliența și sustenabilitatea sistemului energetic național, toate fiind sub incidența directivei pentru a îmbunătăți securitatea cibernetică și a proteja infrastructurile critice împotriva amenințărilor cibernetice.
Provocări în implementarea directivei
Implementarea directivei NIS 2 în sectorul energetic scoate în evidență complexitatea și dificultățile pe care entitățile trebuie să le depășească pentru a atinge nivelul de securitatea cibernetică cerut de legislație.
Infrastructura din domeniul energetic este una extrem de complexă, unică prin diversitatea echipamentelor integrate și folosite, de la sisteme SCADA (Supervisory Control and Data Acquisition) și rețele inteligente, până la un mix de tehnologii vechi alături de soluții moderne, ceea ce o face extrem de dificil de securizat, o eventuală breșă la nivelul acestor sisteme fiind de natură a opri distribuția energiei sau a afecta stabilitatea națională.
Transpunerea directivei NIS 2 în legislația națională impune obligații stricte asupra operatorilor din energie, cum ar fi raportarea rapidă a incidentelor către Directoratul Național de Securitate Cibernetică sau alinierea la cerințele impuse de standardul Cyber Fundamentals. Cu toate acestea, România încă se confruntă cu provocări specifice, cum ar fi lipsa unei echipe de răspuns la incidente de securitate cibernetică (CERT) la nivel sectorial, esențială pentru un domeniu critic, precum cel al energiei.
De asemenea, centrul de tip ISAC (Information Sharing and Analysis Center) din țară, deschis tocmai pentru sectorul energie, nu și-a atins încă utilitatea scontată ca urmare a interesului scăzut și a numărului redus de entități înscrise, în vreme ce cooperarea intersectorială, dar și în interiorul acestora, rămâne sub nivelul așteptat. Resursele umane limitate și competențele în securitate cibernetică reprezintă un alt obstacol, existând o nevoie clară de formare și desemnare a responsabililor de securitate cibernetică.
Provocările financiare și logistice aduc o presiune suplimentară asupra companiilor, atât la nivelul celor mici și mijlocii, cât și la nivelul celor din zona de stat pe fondul economic actual, care ar trebui să investească semnificativ în tehnologii de securitate și răspuns la incidente. Coordonarea între entități și interoperabilitatea sunt esențiale pentru succesul directivei, necesitând colaborarea strânsă între operatorii de energie, autoritățile de reglementare și furnizori, în contextul în care NIS 2 extinde responsabilități și asupra furnizorilor și subcontractorilor, crescând riscul ca partenerii mai puțin securizați să devină vulnerabili la atacuri.
În același timp, implementarea NIS 2 necesită o atenție mai mare pe zona de tehnologie operațională (OT), întrucât în sectorul energetic sistemele SCADA și infrastructurile industriale reprezintă nucleul proceselor fizice critice. Testarea periodică și riguroasă a acestor sisteme, realizată în condiții controlateși prin metodologii specializate pentru mediile industriale, devine esențială pentru identificarea vulnerabilităților care, dacă ar fi exploatate, ar putea genera perturbări majore în producția, transportul sau distribuția energiei. În plus, lipsa unei delimitări stricte între infrastructura OT și IT crește semnificativ riscul ca atacurile care compromit zona IT să se propage în mediul operațional, unde consecințele pot avea impact fizic, economic și chiar asupra siguranței populației. Astfel, maturizarea mecanismelor de securitate în zona OT, asociată unei arhitecturi robuste de segmentare IT-OT, devine o prioritate strategică pentru toate entitățile din domeniul energiei vizate de directivă.
Concluzie
Provocările în implementarea directivei NIS 2 în sectorul energetic subliniază importanța unei strategii concertate și de lungă durată pentru a întări securitatea cibernetică în fața amenințărilor tot mai sofisticate. Având în vedere importanța infrastructurilor interconectate și critice pentru funcționarea societății moderne, este esențial ca sectorul energetic să depășească obstacolele tehnice, financiare și organizaționale pentru a se alinia cerințelor impuse de reglementările europene.
