Obstacolele întâmpinate în aplicarea directivei NIS2 în domeniul energetic
Securitatea cibernetică a devenit esențială în sectoarele critice, în special în cel energetic. Directiva NIS 2 (Network and Information Systems Directive), care extinde cerințele de securitate cibernetică pentru sectorul energetic, inclusiv rețelele de electricitate, petrol și gaze, reprezintă o prioritate pentru România. NIS 2 a fost transpusă în legislația locală prin Ordonanța de Urgență (OUG) nr. 155, publicată la sfârșitul anului 2023, iar Legea 124/2024, publicată pe 7 iulie 2024, a validat măsurile OUG și a intensificat obligațiile de protecție cibernetică pentru entitățile care gestionează infrastructuri critice.
Organizațiile vizate de NIS 2
NIS 2 vizează o gamă largă de entități esențiale pentru funcționarea infrastructurii critice în sectorul energetic. În subsectorul electricității, sunt incluse întreprinderile care furnizează energie electrică, operatorii de distribuție și transport, precum și producătorii de energie electrică. De asemenea, sunt vizați participanții la piață, cum ar fi operatorii pieței de energie electrică și dezvoltatorii de centrale eoliene offshore.
Subsectorul încălzirii și răcirii centralizate este de asemenea important, având în vedere rolul critic al distribuției de energie termică. În sectorul petrolului, directiva se aplică operatorilor de conducte, entităților de stocare și celor implicate în producția, rafinarea și tratarea petrolului. În sectorul gazelor, NIS 2 se aplică întreprinderilor de furnizare, operatorilor de distribuție și transport, precum și celor de înmagazinare și rafinare a gazelor naturale. Subsectorul hidrogen include operatorii de producție, stocare și transport.
Provocări în implementarea directivei
Implementarea directivei NIS 2 în sectorul energetic evidențiază complexitatea și dificultățile întâmpinate de entități pentru a îndeplini cerințele de securitate cibernetică. Infrastructura energetică este diversificată, cu un mix de tehnologii vechi și noi, ceea ce complică securizarea acesteia. Obligațiile stricte impuse de NIS 2, cum ar fi raportarea incidentelor către Directoratul Național de Securitate Cibernetică și alinierea la standardul Cyber Fundamentals, sunt provocatoare pentru România, care se confruntă cu lipsa unei echipe de răspuns la incidente de securitate cibernetică (CERT) la nivel sectorial.
Centrul ISAC (Information Sharing and Analysis Center) pentru sectorul energetic nu a atins încă utilitatea scontată din cauza interesului scăzut și a numărului redus de entități înscrise. Resursele umane limitate și competențele insuficiente în securitate cibernetică constituie obstacole suplimentare, subliniind necesitatea formării și desemnării responsabililor de securitate cibernetică. Provocările financiare și logistice afectează atât companiile mici și mijlocii, cât și entitățile din sectorul de stat, care trebuie să investească considerabil în tehnologiile de securitate.
Coordonarea între entități și interoperabilitatea sunt esențiale pentru succesul directivei, deoarece NIS 2 extinde responsabilitățile asupra furnizorilor și subcontractorilor, crescând riscurile asociate cu partenerii mai puțin securizați. Implementarea NIS 2 necesită o atenție sporită asupra tehnologiei operaționale (OT), având în vedere că sistemele SCADA și infrastructurile industriale sunt critice. Testarea periodică a acestor sisteme este esențială pentru identificarea vulnerabilităților, iar lipsa unei delimitări între infrastructura OT și IT amplifică riscurile de atacuri cibernetice.
Concluzie
Provocările în implementarea directivei NIS 2 în sectorul energetic subliniază importanța unei strategii concertate pentru a întări securitatea cibernetică. Este esențial ca sectorul energetic să depășească obstacolele tehnice, financiare și organizaționale pentru a se conforma cerințelor reglementărilor europene, având în vedere importanța infrastructurilor critice pentru societatea modernă.
