Opinii

Pe fondul dezvoltarii accelerate a tehnologiilor digitale si al interconectarii socio-economice globale, securitatea cibernetica a devenit esentiala, mai ales in sectoarele critice, cum este cel energetic. Aceasta transformare este ilustrata printr-o serie de initiative si legislatii emise la nivelul Uniunii Europene (UE), menite sa consolideze masurile de protectie cibernetica pentru infrastructurile critice.

Un exemplu relevant in acest sens este directiva NIS 2 (NIS 2) , care extinde cerintele de securitate cibernetica pentru sectorul energetic, incluzand retelele de electricitate, petrol si gaze. Aceasta reglementare reprezinta o prioritate si pentru Romania care a transpus NIS 2 in legislatia locala prin Ordonanta de Urgenta (OUG) nr. 155, publicata in Monitorul Oficial la sfarsitul anului 2024. Pe 7 iulie 2025, Legea 124/2025 a fost publicata in Monitorul Oficial, marcand validarea legislativa a masurilor prevazute de OUG si aducand in prim-plan intensificarea obligatiilor in materie de protectie cibernetica destinate entitatilor ce gestioneaza infrastructuri critice.

Care sunt organizatiile vizate de NIS 2?

NIS 2 vizeaza o gama larga de entitati din sectorul energiei cu un rol crucial in asigurarea functionarii eficiente si sigure a infrastructurii critice. O prima zona de interes ce intra in scopul acestei directive este reprezentat de subsectorul electricitate, unde intreprinderile ce furnizeaza energie electrica sunt incluse conform definitiilor stipulate de Legea nr. 123/2012. Operatorii de distributie si de transport sunt responsabili de exploatarea, intretinerea si dezvoltarea retelelor de energie, iar producatorii de energie electrica sunt definiti prin activitatea lor specifica de producere, inclusiv in cogenerare. Participantii la piata, inclusiv operatorii desemnati ai pietei de energie electrica si operatorii de puncte de reincarcare , precum concesionarii si dezvoltatorii de centrale eoliene offshore , sunt vizati de directiva prin prisma rolului lor esential in stabilitatea si functionarea pietei energetice.

Subsectorul incalzire si racire centralizata este alt domeniu de interes in care distributia de energie termica este o componenta critica. Directiva mai cuprinde si subsectorul petrol, fiind vizati operatorii de conducte de transport al petrolului si entitatile centrale de stocare , precum si operatorii de instalatii de productie, rafinare si tratare a petrolului . In sectorul gazelor, NIS 2 se aplica intreprinderilor de furnizare , operatorilor de distributie si de transport , precum si operatorilor de inmagazinare si rafinare si tratare a gazelor naturale , alaturi de cei implicati in manipularea gazului natural lichefiat (GNL).

Nu in ultimul rand, subsectorul hidrogen vizeaza operatorii de productie, stocare si transport , alaturi de beneficiari ai fondului de modernizare in acord cu legislatia nationala. Aceste sectoare si entitati sunt primordiale pentru buna functionare, rezilienta si sustenabilitatea sistemului energetic national, toate fiind sub incidenta directivei pentru a imbunatati securitatea cibernetica si a proteja infrastructurile critice impotriva amenintarilor cibernetice.

Provocari in implementarea directivei

Implementarea directivei NIS 2 in sectorul energetic scoate in evidenta complexitatea si dificultatile pe care entitatile trebuie sa le depaseasca pentru a atinge nivelul de securitatea cibernetica cerut de legislatie.

Infrastructura din domeniul energetic este una extrem de complexa, unica prin diversitatea echipamentelor integrate si folosite, de la sisteme SCADA ( Supervisory Control and Data Acquisition ) si retele inteligente, pana la un mix de tehnologii vechi alaturi de solutii moderne, ceea ce o face extrem de dificil de securizat, o eventuala bresa la nivelul acestor sisteme fiind de natura a opri distributia energiei sau a afecta stabilitatea nationala.

Transpunerea directivei NIS 2 in legislatia nationala impune obligatii stricte asupra operatorilor din energie, cum ar fi raportarea rapida a incidentelor catre Directoratul National de Securitate Cibernetica sau alinierea la cerintele impuse de standardul Cyber Fundamentals . Cu toate acestea, Romania inca se confrunta cu provocari specifice, cum ar fi lipsa unei echipe de raspuns la incidente de securitate cibernetica (CERT) la nivel sectorial, esentiala pentru un domeniu critic, precum cel al energiei.

De asemenea, centrul de tip ISAC ( Information Sharing and Analysis Center ) din tara, deschis tocmai pentru sectorul energie, nu si-a atins inca utilitatea scontata ca urmare a interesului scazut si a numarului redus de entitati inscrise, in vreme ce cooperarea intersectoriala, dar si in interiorul acestora, ramane sub nivelul asteptat. Resursele umane limitate si competentele in securitate cibernetica reprezinta un alt obstacol, existand o nevoie clara de formare si desemnare a responsabililor de securitate cibernetica.

Provocarile financiare si logistice aduc o presiune suplimentara asupra companiilor, atat la nivelul celor mici si mijlocii, cat si la nivelul celor din zona de stat pe fondul economic actual, care ar trebui sa investeasca semnificativ in tehnologii de securitate si raspuns la incidente. Coordonarea intre entitati si interoperabilitatea sunt esentiale pentru succesul directivei, necesitand colaborarea stransa intre operatorii de energie, autoritatile de reglementare si furnizori, in contextul in care NIS 2 extinde responsabilitati si asupra furnizorilor si subcontractorilor, crescand riscul ca partenerii mai putin securizati sa devina vulnerabili la atacuri.

In acelasi timp, implementarea NIS 2 necesita o atentie mai mare pe zona de tehnologie operationala (OT) , intrucat in sectorul energetic sistemele SCADA si infrastructurile industriale reprezinta nucleul proceselor fizice critice. Testarea periodica si riguroasa a acestor sisteme, realizata in conditii controlate si prin metodologii specializate pentru mediile industriale , devine esentiala pentru identificarea vulnerabilitatilor care, daca ar fi exploatate, ar putea genera perturbari majore in productia, transportul sau distributia energiei. In plus, lipsa unei delimitari stricte intre infrastructura OT si IT creste semnificativ riscul ca atacurile care compromit zona IT sa se propage in mediul operational, unde consecintele pot avea impact fizic, economic si chiar asupra sigurantei populatiei. Astfel, maturizarea mecanismelor de securitate in zona OT, asociata unei arhitecturi robuste de segmentare IT-OT, devine o prioritate strategica pentru toate entitatile din domeniul energiei vizate de directiva.

Concluzie

Provocarile in implementarea directivei NIS 2 in sectorul energetic subliniaza importanta unei strategii concertate si de lunga durata pentru a intari securitatea cibernetica in fata amenintarilor tot mai sofisticate. Avand in vedere importanta infrastructurilor interconectate si critice pentru functionarea societatii moderne, este esential ca sectorul energetic sa depaseasca obstacolele tehnice, financiare si organizationale pentru a se alinia cerintelor impuse de reglementarile europene.

Articol de opinie de Dragos Ionica, Cyber Attack Senior Manager, si Octavian Popa, Cyber Strategy Manager, Deloitte Romania