Guvernul va discuta pe 3 septembrie 2025 proiectul de hotărâre privind modul de realizare a obligațiilor de securitate cibernetică de către furnizorii de servicii din sectoarele critice (nr. unic 49/MDED/2025). Documentul transpune la nivel operațional Legea 48/2023 și Regulamentul de punere în aplicare (UE) 2024/2690, relevând metodologia europeană și marja de adaptare națională pentru entități esențiale și importante. Textul subliniază că NIS2 reprezintă minimul comun, iar implementarea la nivel național acoperă întreg spectrul de subiecți ai legii, nu doar subsetul îngust de entități enumerat de directivă, motiv pentru care sunt invocate explicit standarde europene și internaționale din familia ISO/IEC 27000 și ETSI.
Proiectul precizează că termenele de implementare diferă între furnizorii esențiali și cei importanți, iar intrarea în vigoare a hotărârii urmează regula generală din Legea 100/2017 (la o lună de la publicare). În arhitectură, partea dispozitivă stabilește obligațiile și calendarul primei iterații de evaluare, iar anexa detaliază cerințele tehnice și procedurale.
Domeniul de aplicare urmărește identificarea furnizorilor conform HG 860/2024; evaluarea echivalenței cu reglementări sectoriale are loc în etapa de identificare, iar Guvernul este obligat, prin Legea 48/2023, să adopte actele de aplicare. Prin această optică, regulile orizontale din proiect coexistă cu regimurile „lex specialis” din sectoare, inclusiv energie, cu condiția menținerii unui nivel de securitate comparabil.
Cum se raportează incidentele
Procedura este etapizată: mai întâi se transmite notificarea inițială, care include și suspiciunile de ilegalitate sau potențialul impact transfrontalier; urmează actualizarea cu o evaluare inițială a gravității și impactului, precum și indicatorii de compromitere dacă există; în final se remite raportul final, cu descrierea incidentului, cauze, impact și măsurile luate. Toate aceste obligații rezultă din articularea proiectului cu articolele 12 și 13 din Legea 48/2023.
Pentru a funcționa în practică, ASC trebuie să asigure mijloace automate de schimb direct și imediat de informații, tocmai pentru a evita sincopele operaționale în cazurile cu potențial domino.
Furnizorii esențiali trebuie să aplice hotărârea în 12 luni de la intrarea în vigoare, să finalizeze analiza de risc și planul de tratare în 6 luni și să transmită aceste documente către ASC în 10 zile de la aprobare, iar în 18 luni să prezinte primul raport de evaluare a conformității realizat de persoane cu certificări în auditul securității informațiilor. Furnizorii importanți au un termen general de 18 luni pentru implementare, cu 9 luni pentru analiză de risc și plan de tratare și 24 de luni pentru prima evaluare a conformității.
ASC trebuie, în 6 luni de la publicare, să pună în funcțiune mecanismele tehnice de schimb de date; în 12 luni după termenul esențialilor să evalueze nivelul de conformitate al furnizorilor esențiali, inclusiv al operatorilor de infrastructură critică, iar în 18 luni după termenul importanților să evalueze și furnizorii importanți.
Regimul de audit prevede cel puțin o evaluare la trei ani; în urma consultărilor, calificativul „extern” a fost exclus pentru a nu supraîncărca piața și pentru a permite folosirea eficientă a resurselor certificate, păstrând însă independența față de domeniul auditat.
Deși actul este unul orizontal, el pune pe masă obligații cu efect direct asupra rezilienței infrastructurii de energie electrică, gaze și termoficare. Textul impune protejarea utilităților de sprijin și evaluarea redundanței: alimentarea cu energie electrică, telecomunicațiile, apa, gazele, ventilația și climatizarea trebuie să fie proiectate și menținute astfel încât defectarea lor să nu întrerupă funcționarea sistemelor IT și OT; acolo unde este cazul, se solicită contracte pentru aprovizionare de urgență, inclusiv combustibil pentru producția de energie în regim de backup, monitorizarea permanentă a acestor utilități și alarme când parametrii sar peste pragurile admise, precum și testarea periodică a alimentării, a controlului temperaturii și umidității și a conexiunii la internet. În termeni practici pentru sistemul electroenergetic, asta înseamnă stații și centre de dispecer bine segmentate, cu UPS-uri corect dimensionate, generatoare cu stoc tampon de combustibil și circuite de telecomunicații redundante până la echipamentele din primare.
Definiția serviciilor de centre de date, așa cum este preluată în proiect prin trimitere la HG 860/2024, include în mod explicit instalațiile și infrastructura de distribuție a energiei electrice și de control al mediului. Această includere consfințește interdependența IT–energie și obligă operatorii care își găzduiesc aplicațiile critice în data-centere proprii sau terțe să trateze partea electrică și climatică în aceeași logică de securitate ca pe sistemele informatice însele.
Planificarea BCP/DR devine o piesă de bază: operatorii trebuie să analizeze impactul întreruperilor majore asupra operațiunilor, să stabilească ordinea și țintele de recuperare, să mențină copii de rezervă și redundanțe adecvate și să testeze periodic planurile, cu integrarea lecțiilor învățate. În exploatarea energetică, asta se traduce în scenarii realiste de pierdere a SCADA și canale alternative de comandă-control, politici clare pentru revenirea la operare manuală în stații și proceduri de repornire etapizată în funcție de priorități critice.
În dezbaterea standardelor industriale, intervenienții au propus includerea explicită a IEC 62443 și NIST SP 800-82 pentru ICS/SCADA. Autoritatea a respins includerea lor în acest text tocmai pentru a păstra caracterul orizontal, precizând că, în baza art. 11 alin. (4) din Legea 48/2023, astfel de cerințe pot fi adoptate ulterior ca norme sectoriale pentru energie și subsectoare. Pentru operatorii de transport și distribuție, consecința practică este că nu pot amâna măsurile orizontale (guvernanță de risc, control al schimbărilor, jurnalizare, managementul vulnerabilităților, continuitate), dar ar trebui concomitent să-și cartografieze zonele OT, să-și calibreze politicile de acces la distanță și segmentarea de rețea după principiile IEC 62443, pregătind terenul pentru viitoarele reguli sectoriale.
Proiectul recunoaște că regimurile sectoriale pot funcționa ca lex specialis dacă asigură un nivel comparabil de securitate, iar evaluarea echivalenței are loc în chiar mecanismul de identificare reglementat de HG 860/2024. În plus, principiul proporționalității este chemat să ghideze modul în care ASC va aprecia caracterul „corespunzător” al măsurilor, în funcție de sector, tipul serviciului și riscurile specifice.
Obiecțiile privind presiunea administrativă asupra operatorilor, inclusiv din energie, au fost respinse cu trimitere la nota de fundamentare și la evaluarea Comisiei Europene. Estimările folosite de Comisie indică o medie a cheltuielilor cu securitatea TIC de circa 9,14% din cheltuielile TIC, iar cheltuielile cu securitatea TIC raportate la cifra de afaceri de aproximativ 0,52%, cu variații în funcție de maturitatea și digitalizarea sectorului. Pentru autorități, referința istorică este HG 201/2017, iar pentru privat se reiterează pragul de 0,52% din cifra de afaceri ca ordin de mărime.
Proiectul modifică HG 860/2024 pentru a stabili că actele de desemnare și notificările prealabile, precum și lista furnizorilor de servicii, constituie informații cu acces limitat, iar modul de prelucrare și accesul se stabilesc prin ordin al directorului ASC. Această opțiune a fost argumentată prin necesitatea protejării procedurilor administrative și a siguranței naționale și a fost acceptată în text, cu clarificări rezultate din consultarea cu SIS. Totodată, textul abrogă HG 201/2017 privind „cerințele minime” din 2017, pentru a evita suprapuneri. Pentru operatorii energetici, consecința practică este o transparență controlată: autoritățile știu cine e pe listă, dar publicul larg nu are acces la detalii care ar putea dezvălui puncte sensibile ale rețelei.
Proiectul 49/MDED/2025 pune în ordine mecanismele NIS2 la nivel național și propune o tranziție în ritm alert către un regim de reziliență măsurabilă. Pentru energie, cheile sunt clare: guvernanță a riscului documentată și revizuită, continuitate operațională cu redundanțe reale pe electricitate și telecom, raportare în trei trepte cu integrarea rapidă a lecțiilor învățate și o disciplină constantă de audit și conformitate. Chiar dacă standardele OT nu sunt încă normate în acest text, direcția e fixată: se aplică de pe acum cerințele orizontale, în timp ce sectorul își pregătește, pe baze deja recunoscute (IEC 62443, NIST SP 800-82), viitoarele norme dedicate.
Dicționar de abrevieri
ASC este Agenția pentru Securitate Cibernetică; MDED este Ministerul Dezvoltării Economice și Digitalizării; NIS2 este Directiva (UE) 2022/2555 privind un nivel comun ridicat de securitate cibernetică în Uniune; HG 860/2024 este hotărârea privind identificarea furnizorilor de servicii din sectoarele critice; Legea 48/2023 este legea-cadru națională a securității cibernetice; BCP/DR înseamnă plan de continuitate a activității și plan de recuperare în caz de dezastru; ICS/OT/SCADA desemnează sistemele industriale și tehnologia operațională ale infrastructurii energetice; ISO/IEC 27001, IEC 62443 și NIST SP 800-82 sunt cadre și standarde internaționale de referință pentru managementul securității informației și securitatea sistemelor industriale. Proiectul face trimitere expresă la NIS2 și actele aferente de punere în aplicare, precum și la discuția privind standardele sectoriale (inclusiv IEC 62443 și NIST 800-82).
