Pe fondul dezvoltării accelerate a tehnologiilor digitale şi al interconectării socio-economice globale, securitatea cibernetică a devenit esenţială, mai ales în sectoarele critice, cum este cel energetic. Această transformare este ilustrată printr-o serie de iniţiative şi legislaţii emise la nivelul Uniunii Europene (UE), menite să consolideze măsurile de protecţie cibernetică pentru infrastructurile critice.
Un exemplu relevant în acest sens este directiva NIS 2 (NIS 2), care extinde cerinţele de securitate cibernetică pentru sectorul energetic, incluzând reţelele de electricitate, petrol şi gaze. Această reglementare reprezintă o prioritate şi pentru România care a transpus NIS 2 în legislaţia locală prin Ordonanţa de Urgenţă (OUG) nr. 155, publicată în Monitorul Oficial la sfârşitul anului 2024. Pe 7 iulie 2025, Legea 124/2025 a fost publicată în Monitorul Oficial, marcând validarea legislativă a măsurilor prevăzute de OUG şi aducând în prim-plan intensificarea obligaţiilor în materie de protecţie cibernetică destinate entităţilor ce gestionează infrastructuri critice.
Care sunt organizaţiile vizate de NIS 2?
NIS 2 vizează o gamă largă de entităţi din sectorul energiei cu un rol crucial în asigurarea funcţionării eficiente şi sigure a infrastructurii critice. O primă zonă de interes ce intră în scopul acestei directive este reprezentat de subsectorul electricitate, unde întreprinderile ce furnizează energie electrică sunt incluse conform definiţiilor stipulate de Legea nr. 123/2012. Operatorii de distribuţie şi de transport sunt responsabili de exploatarea, întreţinerea şi dezvoltarea reţelelor de energie, iar producătorii de energie electrică sunt definiţi prin activitatea lor specifică de producere, inclusiv în cogenerare. Participanţii la piaţă, inclusiv operatorii desemnaţi ai pieţei de energie electrică şi operatorii de puncte de reîncărcare, precum concesionarii şi dezvoltatorii de centrale eoliene offshore, sunt vizaţi de directivă prin prisma rolului lor esenţial în stabilitatea şi funcţionarea pieţei energetice.
Subsectorul încălzire şi răcire centralizată este alt domeniu de interes în care distribuţia de energie termică este o componentă critică. Directiva mai cuprinde şi subsectorul petrol, fiind vizaţi operatorii de conducte de transport al petrolului şi entităţile centrale de stocare, precum şi operatorii de instalaţii de producţie, rafinare şi tratare a petrolului. În sectorul gazelor, NIS 2 se aplică întreprinderilor de furnizare, operatorilor de distribuţie şi de transport, precum şi operatorilor de înmagazinare şi rafinare şi tratare a gazelor naturale, alături de cei implicaţi în manipularea gazului natural lichefiat (GNL).
Nu în ultimul rând, subsectorul hidrogen vizează operatorii de producţie, stocare şi transport, alături de beneficiari ai fondului de modernizare în acord cu legislaţia naţională. Aceste sectoare şi entităţi sunt primordiale pentru buna funcţionare, rezilienţa şi sustenabilitatea sistemului energetic naţional, toate fiind sub incidenţa directivei pentru a îmbunătăţi securitatea cibernetică şi a proteja infrastructurile critice împotriva ameninţărilor cibernetice.
Provocări în implementarea directivei
Implementarea directivei NIS 2 în sectorul energetic scoate în evidenţă complexitatea şi dificultăţile pe care entităţile trebuie să le depăşească pentru a atinge nivelul de securitatea cibernetică cerut de legislaţie.
Infrastructura din domeniul energetic este una extrem de complexă, unică prin diversitatea echipamentelor integrate şi folosite, de la sisteme SCADA (Supervisory Control and Data Acquisition) şi reţele inteligente, până la un mix de tehnologii vechi alături de soluţii moderne, ceea ce o face extrem de dificil de securizat, o eventuală breşă la nivelul acestor sisteme fiind de natură a opri distribuţia energiei sau a afecta stabilitatea naţională.
Transpunerea directivei NIS 2 în legislaţia naţională impune obligaţii stricte asupra operatorilor din energie, cum ar fi raportarea rapidă a incidentelor către Directoratul Naţional de Securitate Cibernetică sau alinierea la cerinţele impuse de standardul Cyber Fundamentals. Cu toate acestea, România încă se confruntă cu provocări specifice, cum ar fi lipsa unei echipe de răspuns la incidente de securitate cibernetică (CERT) la nivel sectorial, esenţială pentru un domeniu critic, precum cel al energiei.
De asemenea, centrul de tip ISAC (Information Sharing and Analysis Center) din ţară, deschis tocmai pentru sectorul energie, nu şi-a atins încă utilitatea scontată ca urmare a interesului scăzut şi a numărului redus de entităţi înscrise, în vreme ce cooperarea intersectorială, dar şi în interiorul acestora, rămâne sub nivelul aşteptat. Resursele umane limitate şi competenţele în securitate cibernetică reprezintă un alt obstacol, existând o nevoie clară de formare şi desemnare a responsabililor de securitate cibernetică.
Provocările financiare şi logistice aduc o presiune suplimentară asupra companiilor, atât la nivelul celor mici şi mijlocii, cât şi la nivelul celor din zona de stat pe fondul economic actual, care ar trebui să investească semnificativ în tehnologii de securitate şi răspuns la incidente. Coordonarea între entităţi şi interoperabilitatea sunt esenţiale pentru succesul directivei, necesitând colaborarea strânsă între operatorii de energie, autorităţile de reglementare şi furnizori, în contextul în care NIS 2 extinde responsabilităţi şi asupra furnizorilor şi subcontractorilor, crescând riscul ca partenerii mai puţin securizaţi să devină vulnerabili la atacuri.
În acelaşi timp, implementarea NIS 2 necesită o atenţie mai mare pe zona de tehnologie operaţională (OT), întrucât în sectorul energetic sistemele SCADA şi infrastructurile industriale reprezintă nucleul proceselor fizice critice. Testarea periodică şi riguroasă a acestor sisteme, realizată în condiţii controlate şi prin metodologii specializate pentru mediile industriale, devine esenţială pentru identificarea vulnerabilităţilor care, dacă ar fi exploatate, ar putea genera perturbări majore în producţia, transportul sau distribuţia energiei. În plus, lipsa unei delimitări stricte între infrastructura OT şi IT creşte semnificativ riscul ca atacurile care compromit zona IT să se propage în mediul operaţional, unde consecinţele pot avea impact fizic, economic şi chiar asupra siguranţei populaţiei. Astfel, maturizarea mecanismelor de securitate în zona OT, asociată unei arhitecturi robuste de segmentare IT-OT, devine o prioritate strategică pentru toate entităţile din domeniul energiei vizate de directivă.
Concluzie
Provocările în implementarea directivei NIS 2 în sectorul energetic subliniază importanţa unei strategii concertate şi de lungă durată pentru a întări securitatea cibernetică în faţa ameninţărilor tot mai sofisticate. Având în vedere importanţa infrastructurilor interconectate şi critice pentru funcţionarea societăţii moderne, este esenţial ca sectorul energetic să depăşească obstacolele tehnice, financiare şi organizaţionale pentru a se alinia cerinţelor impuse de reglementările europene.
Articol de opinie de Dragoş Ionica, Cyber Attack Senior Manager, şi Octavian Popa, Cyber Strategy Manager, Deloitte România
