Potrivit unui articol de opinie semnat de Dragoș Ionica, Cyber Attack Senior Manager, și Octavian Popa, Cyber Strategy Manager în cadrul Deloitte România, securitatea cibernetică a devenit un element critic pentru funcționarea infrastructurilor energetice, în contextul digitalizării accelerate și al interconectării tot mai mari a sistemelor economice și industriale.
NIS 2, prioritate strategică pentru sectorul energetic
Directiva NIS 2 extinde cerințele de securitate cibernetică la nivelul Uniunii Europene și include explicit sectorul energetic – electricitate, petrol, gaze, încălzire și răcire centralizată, dar și hidrogen. România a transpus această directivă prin OUG nr. 155/2024, iar cadrul legal a fost consolidat ulterior prin Legea 124/2025, publicată în Monitorul Oficial în iulie 2025.
Noile reglementări aduc în prim-plan obligații sporite pentru entitățile care gestionează infrastructuri critice, inclusiv raportarea rapidă a incidentelor cibernetice către Directoratul Național de Securitate Cibernetică și alinierea la standarde precum Cyber Fundamentals.
Cine intră sub incidența directivei
Analiza Deloitte arată că NIS 2 vizează o gamă largă de actori din energie: producători, operatori de transport și distribuție, furnizori, operatori ai pieței de energie electrică, dezvoltatori de centrale eoliene offshore, operatori de conducte petroliere, facilități de stocare și rafinare, operatori din sectorul gazelor naturale și GNL, precum și entități implicate în producția și transportul hidrogenului.
Aceste organizații sunt considerate esențiale pentru stabilitatea și reziliența sistemului energetic național și, implicit, pentru securitatea economică și socială.
Infrastructură complexă și riscuri ridicate
Una dintre principalele dificultăți identificate este complexitatea infrastructurii energetice, care combină sisteme SCADA, rețele inteligente și tehnologii vechi integrate cu soluții moderne. Potrivit experților Deloitte, o breșă la nivelul acestor sisteme ar putea duce la oprirea distribuției energiei sau la afectarea stabilității naționale.
În plus, implementarea NIS 2 scoate la iveală lipsuri structurale, precum absența unei echipe sectoriale CERT dedicată energiei și funcționarea sub așteptări a centrului ISAC destinat acestui domeniu, pe fondul interesului scăzut și al numărului redus de entități implicate.
Deficit de specialiști și presiune financiară
Resursele umane limitate și deficitul de competențe în securitate cibernetică reprezintă un alt obstacol major. Companiile din energie se confruntă cu nevoia de a forma personal specializat și de a desemna responsabili de securitate cibernetică, în paralel cu investiții semnificative în tehnologii de protecție și răspuns la incidente.
Presiunile sunt amplificate în cazul companiilor mici și mijlocii, dar și al celor de stat, care trebuie să gestioneze aceste cerințe într-un context economic dificil.
Zona OT, o prioritate critică
Un accent deosebit este pus pe securitatea tehnologiei operaționale (OT). Sistemele industriale și infrastructurile SCADA reprezintă nucleul proceselor fizice critice din energie, iar testarea lor periodică, în condiții controlate și cu metodologii dedicate mediilor industriale, este esențială pentru prevenirea incidentelor majore.
Experții Deloitte avertizează că lipsa unei delimitări clare între infrastructura IT și OT crește riscul ca atacurile cibernetice să se propage rapid către zona operațională, unde consecințele pot avea impact fizic, economic și chiar asupra siguranței populației.
Nevoia unei strategii pe termen lung
Concluzia analizei este că implementarea directivei NIS 2 în sectorul energetic necesită o abordare coordonată și de durată, care să implice operatorii de energie, autoritățile de reglementare și furnizorii. Depășirea obstacolelor tehnice, financiare și organizaționale este esențială pentru alinierea la cerințele europene și pentru întărirea rezilienței cibernetice a unuia dintre cele mai sensibile sectoare ale economiei românești.
