Adoptarea directivei NIS 2 și transpunerea sa în legislația națională prin OUG 155/2024 și Legea 124/2025 marchează una dintre cele mai importante schimbări de reglementare din ultimul deceniu pentru sectorul energetic din România. Într-un context caracterizat de digitalizare accelerată, integrarea surselor regenerabile, interconectare IT-OT și expunere crescută la atacuri cibernetice, reglementările NIS 2 nu sunt doar un set de cerințe tehnice, ci un mecanism strategic menit să consolideze reziliența națională.
Sectorul energetic, prin infrastructura sa esențială – rețele electrice, sisteme de transport petrolier și gaze, infrastructuri de stocare, producție și distribuție – devine prima linie de apărare în fața riscurilor cibernetice. Iar acest lucru reclamă o maturitate operațională nouă, standardizată și verificabilă.
Un spectru larg de entități incluse: de la electricitate la hidrogen
Conform analizei Deloitte, directiva extinde responsabilitățile asupra unei arii largi de operatori din energie:
- furnizori, distribuitori și transportatori de energie electrică,
- participanți la piață și operatori de puncte de reîncărcare,
- operatori din petrol – de la conducte la rafinare,
- operatori de gaze naturale, GNL și înmagazinare,
- entități din lanțul hidrogenului.
Această includere extinsă recunoaște caracterul interdependent al sistemului energetic și subliniază că o vulnerabilitate într-un punct al lanțului poate afecta întregul ecosistem.
Provocări structurale pentru companii: între complexitate tehnică și presiune investițională
Analiza Deloitte evidențiază un set amplu de provocări pe care companiile din energie trebuie să le gestioneze:
1. Complexitatea infrastructurii industriale (OT)
Sectorul energetic depinde în mod critic de sisteme SCADA, PLC-uri și rețele industriale conectate, adesea vechi, greu de actualizat și sensibile la intervenții brute.
Lipsa unei segmentări clare între infrastructura OT și zona IT expune companiile la riscul ca un atac cibernetic obișnuit să se propague către procese fizice, generând consecințe economice și operaționale majore.
2. Standarde stricte de raportare și conformare
NIS 2 introduce un regim de responsabilitate ridicată:
- raportarea rapidă a incidentelor către DNSC,
- audituri,
- obligativitatea adoptării standardului Cyber Fundamentals,
- evaluarea lanțului de furnizori și subcontractori – pentru a preveni vulnerabilitățile de tip „third-party risk”.
3. Lipsa unor structuri sectoriale mature
Un element critic menționat în document este absența unui CERT sectorial pentru energie, un instrument obligatoriu într-o industrie cu risc ridicat.
La fel, ISAC-ul dedicat energiei nu și-a atins potențialul din cauza participării reduse, ceea ce limitează schimbul de informații vitale despre atacuri și vulnerabilități.
4. Deficit de specialiști și presiune financiară
Atât companiile private, cât și entitățile de stat resimt presiunea investițională în securitate cibernetică. Lipsa resurselor umane specializate, competiția pentru talente și nevoia de training permanent amplifică dificultatea implementării directivei.
Maturizarea securității OT – punctul nevralgic al conformării
Un mesaj central al analizei Deloitte este caracterul critic al securității operaționale (OT).
Sectorul energetic nu își mai poate permite să trateze sistemele industriale ca pe „insule” separate. NIS 2 transformă aceste zone în obiective strategice obligatorii:
- testare periodică în medii controlate,
- identificarea vulnerabilităților înainte de exploatarea lor,
- arhitecturi avansate de segmentare IT-OT,
- monitorizare continuă și scenarii de răspuns.
Această schimbare de paradigmă împinge companiile către un model matur de securitate industrială, aliniat practicilor internaționale.
NIS 2 accelerează transformarea sectorului energetic în România
Directiva NIS 2 funcționează ca un catalizator al profesionalizării și maturizării securității cibernetice în energie. În realitate, implementarea ei nu este doar o obligație legală, ci o oportunitate pentru companiile românești de a:
- reduce riscurile operaționale,
- crește încrederea investitorilor și a partenerilor internaționali,
- moderniza infrastructura industrială,
- alinia sectorul energetic la standardele europene de reziliență.
Pentru un domeniu în care incidentele cibernetice pot produce efecte sistemice — de la oprirea alimentării cu energie la afectarea siguranței populației — maturizarea securității cibernetice devine un obiectiv de business și un pilon al competitivității.
