CAI Technology
Programează demo
Menu ☰
Anexa I — Entități esențiale · Energie

NIS2 pentru Energie electrică — termene, obligații, amenzi

Energie electrică cad sub NIS2 (Directiva UE 2022/2555 + OUG 155/2024). Vezi obligații Art.21, termene, amenzi maxime și plan de conformitate pentru Anexa I.

Ultima revizuire: · CAI Technology · echipa Lexnomia + AEGIS

🎯 Cine intră sub regulă

Sectorul electricitate (producere, transport, distributie, furnizare, stocare, operatori de piata, agregatori si demand response, puncte de incarcare semnificative) este listat in Anexa I la Directiva (UE) 2022/2555 (NIS2) ca sector de criticitate ridicata [C2]. In Romania, regulile NIS2 sunt transpuse prin OUG 155/2024, aprobata si completata de Legea 124/2025; DNSC este autoritatea competenta nationala, iar ANRE colaboreaza pe partea sectoriala [C6][C13]. Pe langa NIS2, operatorii electricitate cad sub Reg. (UE) 2024/1366 (Network Code on Cybersecurity - NCCS), care a devenit efectiv din 13 iunie 2024 si suprapune cerinte tehnice specifice pentru fluxurile transfrontaliere [C7][C12]. Practic, pentru un TSO sau un DSO mare din Romania, conformitatea inseamna stack NIS2 + NCCS + Directiva 2019/944 + Reg. 2017/1485 (SOGL) + Reg. 2019/941 (risk-preparedness), nu unul sau celalalt.

Exemple de entități acoperite în România

Transelectrica (TSO national)Distributie Energie Electrica Romania (DEER, grupul Electrica)E-Distributie Banat / Dobrogea / Muntenia (PPC Romania)Delgaz Grid (grupul E.ON Romania, distributie zonele Moldova)Distributie Energie OlteniaHidroelectricaNuclearelectricaOMV Petrom (componenta electricitate / cogenerare)OPCOM (operator desemnat al pietei de energie electrica)CET Bucuresti / ELCEN

Praguri de aplicabilitate

Anexa I NIS2 acopera in subsectorul electricitate: intreprinderile electrice (definite prin Directiva 2019/944 Art. 2), operatorii de transport (TSO), operatorii de distributie (DSO), producatorii, operatorii desemnati de piata (NEMO), participantii la piata care presteaza agregare / demand response / stocare de energie si operatorii de puncte de reincarcare cu impact semnificativ [C2][C9]. Pragul implicit NIS2: entitati medii si mari (>= 50 angajati sau cifra de afaceri / total bilantier >= 10 mil. EUR) intra ca esentiale; entitatile sub prag, daca DNSC le identifica avand rol critic, pot fi notificate individual [C2][C6]. NCCS adauga o stratificare suplimentara: high-impact entity vs. critical-impact entity, identificate de autoritatile competente conform Art. 24 NCCS, pe baza unei metodologii UE-wide actualizate la fiecare 3 ani [C7][C8].

📅 Timeline regulatoriu

  1. Adoptarea Reg. (UE) 2017/1485 (SOGL) - guideline pe operarea sistemului de transport electricitate [C9]

  2. Intrarea in vigoare Reg. (UE) 2017/1485 (SOGL) [C9]

  3. Adoptarea Directivei (UE) 2019/944 (Internal Market for Electricity, recast) si a Reg. (UE) 2019/943 [C9]

  4. Aplicabilitate Reg. (UE) 2019/941 - risk-preparedness in sectorul electricitate [C9]

  5. Termen transpunere nationala Directiva (UE) 2019/944 [C9]

  6. Adoptarea Directivei (UE) 2022/2555 (NIS2) [C1]

  7. Publicarea NIS2 in Jurnalul Oficial UE [C1]

  8. Adoptarea Reg. (UE) 2024/1366 - Network Code on Cybersecurity (NCCS) pentru sectorul electricitate [C7]

  9. Publicarea Reg. (UE) 2024/1366 in JO UE [C7]

  10. Intrarea in vigoare NCCS - cadrul sectorial cybersecurity pentru fluxurile transfrontaliere [C7][C12]

  11. Termen UE pentru transpunere NIS2 in legislatiile nationale (NIS2 Art. 41) [C1]

  12. NIS1 (Directiva 2016/1148) abrogata; NIS2 produce efecte [C1]

  13. Cyber Resilience Act (Reg. (UE) 2024/2847) intra in vigoare [C10]

  14. Romania publica OUG 155/2024 - transpunere NIS2; DNSC = autoritate competenta nationala [C6]

  15. Deadline NCCS Art. 18 - metodologia de evaluare a riscului cibernetic la nivelul Uniunii (ENTSO-E + EU DSO Entity) [C7][C8]

  16. Publicarea Legii 124/2025 in M.Of. - aprobarea si completarea OUG 155/2024 [C6]

  17. Intrarea in vigoare a Legii 124/2025 [C6]

  18. CRA - obligatii de raportare a vulnerabilitatilor exploatate activ si incidentelor severe intra in aplicare [C10]

  19. CRA - obligatiile principale (securitate by-design pentru produsele cu elemente digitale) intra in aplicare [C10]

📋 Obligații cheie

Cadru de risc-management ICT si OT pentru sistemele de putere (NIS2 Art. 21(2) + NCCS Art. 18-22)

efort: high

Cadru documentat care acopera politici de risc, segregare IT/OT, gestionarea identitatilor pe SCADA si EMS/DMS, controale criptografice pe protocoalele de automatizare, training, evaluare a eficacitatii. NIS2 Art. 21(2) impune cele zece masuri minime (a-j), abordare all-hazard, aliniate pe standarde europene si internationale, incluzand ISO/IEC 27001:2022 si seriile IEC 62443 (IACS) si IEC 62351 (securitate pentru protocoalele IEC 61850 si IEC 60870-5-101/-104) [C3][C11]. NCCS suprapune un strat sectorial: metodologie de evaluare a riscului cibernetic la nivelul Uniunii adoptata de ENTSO-E si EU DSO Entity (deadline 13 martie 2025), evaluare UE-wide la fiecare 3 ani, planuri regionale de atenuare (deadline 13 iunie 2031), controale minime si avansate diferentiate pentru high-impact vs. critical-impact entities [C7][C8]. Organul de conducere aproba si supravegheaza implementarea (NIS2 Art. 20); membrii sunt obligati sa urmeze training, raspund personal pentru incalcari [C3].

Controale recomandate: NIS2 Art. 21(2)(a-j)NIS2 Art. 20Reg. 2024/1366 (NCCS) Art. 18-22, 29ISO/IEC 27001:2022IEC 62443 (IACS)IEC 62351 (power-system communications)IEC 61850 / IEC 60870-5-104

Raportarea incidentelor pe doua paliere paralele (NIS2 Art. 23 + NCCS Art. 27, 39)

efort: high

Pentru un TSO sau DSO mare cazut sub NIS2 + NCCS, acelasi eveniment cibernetic poate declansa doua fluxuri paralele de raportare. NIS2 Art. 23 catre CSIRT/DNSC: early warning in maxim 24h de la constientizare, notificare incident in 72h, raport final in maxim o luna [C4]. NCCS adauga un canal sectorial: raportare a incidentelor cu impact pe fluxurile transfrontaliere catre autoritatile competente nationale si ACER, cu rute de escaladare regionala prin ENTSO-E si EU DSO Entity [C7][C8]. Sub OUG 155/2024 + Legea 124/2025, DNSC este autoritatea principala in Romania; ANRE coopereaza pe componenta sectoriala specifica [C6][C13]. Practic, dispeceratul OT si CSIRT-ul corporativ impart un singur runbook care alimenteaza simultan formularul DNSC, raportul NCCS si notificarile interne catre ANRE / Transelectrica (pentru cei racordati la transport).

Controale recomandate: NIS2 Art. 23(4)Reg. 2024/1366 (NCCS) Art. 27, 38, 39OUG 155/2024 (DNSC rules)Reg. 2019/941 (risk-preparedness)

Continuitate operationala si crisis management pentru retea (NIS2 Art. 21(2)(c) + Reg. 2019/941 + Reg. 2017/1485)

efort: high

Pentru un operator de retea, business continuity inseamna alimentarea cu electricitate la consumatorii finali, frecventa stabilita, schimburi transfrontaliere conform programelor, dispecerizare 24/7. NIS2 Art. 21(2)(c) cere business continuity si crisis management ca cerinte minime [C3]. Reg. (UE) 2019/941 cere un Plan National de Pregatire pentru Riscuri in sectorul electricitate, cu masuri nationale, regionale si bilaterale, aplicabil din 4 iulie 2019 [C9]. Reg. (UE) 2017/1485 (SOGL) impune cerinte operationale TSO/DSO/SGU pentru securitatea sistemului interconectat [C9]. Practic: RTO sub 4 ore pentru functii critice de dispecerizare; planuri offline pentru coordonarea cu vecinii pe nodurile cheie 220/400 kV; exercitii de criza anuale care includ scenarii cyber + fizice combinate (cyber-physical co-attack); backup-uri offline imutabile pentru EMS/DMS/SCADA si proceduri de black-start testate.

Controale recomandate: NIS2 Art. 21(2)(c)Reg. 2019/941 (risk-preparedness)Reg. 2017/1485 (SOGL)ISO 22301:2019 (business continuity)ENTSO-E Operation Handbook

Securitatea lantului ICT si OT (NIS2 Art. 21(2)(d) + NCCS supply chain + CRA pentru produsele OT)

efort: high

Operatorul electricitate cumpara mai mult decat IT: cumpara transformatoare cu monitoare digitale, IED-uri (Intelligent Electronic Devices), RTU-uri, releuri de protectie SIPROTEC/Multilin, sisteme EMS/DMS/SCADA, statii de incarcare EV, contoare smart, baterii BESS - toate cu firmware, software, conectivitate. NIS2 Art. 21(2)(d) cere securitatea lantului de aprovizionare [C3]. NCCS introduce recomandari specifice pe supply chain pentru sectorul electricitate si o lista a standardelor europene/internationale aplicabile [C7][C8]. Cyber Resilience Act (Reg. (UE) 2024/2847) intrat in vigoare 10 decembrie 2024 impune producatorilor de produse cu elemente digitale cerinte de security-by-design, vulnerability handling si raportare; obligatiile principale aplicabile din 11 decembrie 2027, raportare vulnerabilitati active din 11 septembrie 2026 [C10]. Concret: clauze contractuale (SBOM, SLA pe patching, drept de audit, sub-outsourcing), inventar tehnic al dispozitivelor OT cu IP/firmware, segregare VLAN pe clase de dispozitive, monitorizare comportamentala pentru anomalii pe IEC 60870-5-104 si IEC 61850. Lectia atacului Industroyer2 din 2022: atacatorii au pregatit binarul cu adresele IEC 104 hardcoded ale substatiei tinta - un inventar OT actualizat + threat-hunting OT detecteaza pregatirea inainte de detonare.

Controale recomandate: NIS2 Art. 21(2)(d)Reg. 2024/1366 (NCCS) Annex - supply chainReg. 2024/2847 (CRA)IEC 62443-4-1/-4-2 (secure product development)ENTSO-E Cybersecurity Working Group recommendations

Testare avansata, ICS pentest si exercitii de criza (NIS2 Art. 21(2)(f) + NCCS Art. 29 controale avansate)

efort: high

NIS2 Art. 21(2)(f) cere politici si proceduri pentru a evalua eficacitatea masurilor de risc-management cibernetic [C3]. NCCS Art. 29 introduce controale minime si avansate diferentiate dupa criticitate; pentru critical-impact entities, controalele avansate includ red teaming, ICS pentest si exercitii de criza la nivel regional [C7][C8]. Diferenta fata de sectorul financiar: pentru electricitate nu exista inca un cadru TLPT-equivalent obligatoriu uniform (DORA ramane lex specialis bancar), dar bunele practici sectoriale convergent recomanda pentest pe perimetrul OT cel putin anual si exercitiu de criza cyber-physical combinat o data pe an, cu participare TSO + DSO + autoritate competenta. Scope-ul atinge functiile critice in productie: SCADA, EMS, DMS, sisteme de protectie, statii de incarcare, infrastructura de comunicatii (radio teleprotectie, fibra dedicata). Lectiile din 2015 Ukraine (BlackEnergy) si 2022 Industroyer2 arata ca atacatorii stau in mediul IT 3-6 luni inainte de pivotul OT [C-I1][C-I4] - asta valideaza pentest-ul periodic si threat-hunting continuu pe IT cu vizibilitate la nivel OT.

Controale recomandate: NIS2 Art. 21(2)(f)Reg. 2024/1366 (NCCS) Art. 29ENISA ICS-SCADA Threat Landscape recommendationsReg. 2019/941 (crisis exercises)

📰 Incidente reale, lecții concrete

Trei operatori regionali de distributie electrica din Ucraina (Prykarpattya Oblenergo, Chernivtsi Oblenergo, Kyiv Oblenergo)

2015 · Ucraina

Tip: Spear-phishing cu macro Office -> BlackEnergy 3 + KillDisk; control HMI / VPN; atribuit grupului Sandworm

Impact: Pe 23 decembrie 2015, ~225.000 consumatori au ramas fara curent 1-6 ore in trei regiuni din vestul Ucrainei. Primul atac cibernetic publicly acknowledged reusit asupra unei retele electrice. Atacatorii au accesat HMI prin VPN-ul de operatori, au deschis manual intrerupatoarele si au lansat KillDisk pe statiile de lucru pentru a impiedica reluarea rapida; firmware-ul serial-to-Ethernet a fost suprascris, blocand recovery-ul digital - operatorii au trecut la operare manuala.

Lecția: Vector initial banal (email cu macro) escaladat 6+ luni in retea pana la HMI. NIS2 Art. 21(2)(a) (risk analysis) + 21(2)(g) (cyber hygiene + training) + segregare IT/OT stricta opresc lantul devreme. Operare manuala ca plan B pentru dispecerat ramane o necesitate operationala, nu un lux.

Sursă publică ↗

Ukrenergo (TSO Ucraina) - substatia 'North' Pivnichna 330 kV, langa Kiev

2016 · Ucraina

Tip: Industroyer / CrashOverride - primul malware specific creat pentru retele electrice; protocoale industriale tinta (IEC 60870-5-101, -104, IEC 61850, OPC DA); atribuit Sandworm

Impact: Pe 17 decembrie 2016, in jurul miezului noptii, substatia Pivnichna a fost oprita timp de ~1 ora; aproximativ 1/5 din consumul orasului Kyiv intrerupt. Analiza Dragos a aratat ca atacul nu era doar un blackout punctual, ci o tentativa de damage fizic - cu cod special pentru releele SIPROTEC, care la repornire ar fi putut produce daune hardware. Acelasi grup ca in 2015.

Lecția: Atacatorii cunosteau protocoalele de automatizare a energiei (IEC 61850, IEC 104) si construit malware specific. IEC 62351 (securitate la nivel de protocol) si autentificare reciproca intre dispozitive nu mai sunt "nice-to-have" - sunt controale minime cerute de NCCS pentru critical-impact entities [C8].

Sursă publică ↗

Colonial Pipeline

2021 · SUA

Tip: Ransomware DarkSide (afiliat RaaS); intrare prin parola VPN compromisa fara MFA

Impact: Pe 7 mai 2021, Colonial Pipeline a oprit complet 5.500 mile de conducta de benzina si combustibil de aviatie pentru sud-estul SUA - prima oprire totala a infrastructurii in 57 de ani. Rascumparare platita 75 BTC (~4,4 mil. USD); FBI a recuperat ulterior 63,7 BTC (~2,3 mil. USD la pretul scazut). Stare de urgenta declarata in 17 state + DC; preturile combustibilului in crestere; reluare operationala completa pe 15 mai 2021. Cel mai mare atac cyber asupra infrastructurii energetice din istoria SUA.

Lecția: Pipeline de petrol/jet fuel, nu electricitate directa - dar lectia se aplica identic operatorilor de retea electrica: o parola VPN fara MFA pe acces de la distanta a oprit infrastructura critica. NIS2 Art. 21(2)(j) cere MFA pentru conturile relevante, iar 21(2)(d) supply-chain - DarkSide-ul s-a rebranduit ulterior ca BlackCat/ALPHV si a lovit operatorii din Luxemburg [C-I5].

Sursă publică ↗

Furnizor regional de electricitate din Ucraina (operator OT cu ~2 milioane consumatori, nedezvaluit public)

2022 · Ucraina

Tip: Industroyer2 - varianta custom compilata 23 martie 2022 cu adrese IEC 60870-5-104 hardcoded; deployment co-distribuit cu wipers (CaddyWiper, ORCSHRED, SOLOSHRED, AWFULSHRED); atribuit Sandworm

Impact: Atac dejucat pe 8 aprilie 2022 de CERT-UA + ESET + Microsoft. Atacatorii erau in reteaua IT din februarie 2022 si in mediul ICS din mijlocul lunii martie 2022 - pregatire de cca. 1-2 luni in OT inainte de detonare. Tinta: substatii de inalta tensiune. Ar fi afectat aproximativ 2 milioane de consumatori daca atacul s-ar fi finalizat. Industroyer2 a fost executat ca scheduled task pe 8 aprilie 2022 la 16:10 UTC; deteminata si oprita inainte de propagare.

Lecția: Atacatorii au stat luni intregi in retea pregatind un binar custom cu adresele IEC 104 exacte ale substatiei tinta. Monitorizarea comportamentala pe perimetrul IT-OT + threat-hunting continuu + segregare stricta detecteaza recunoasterea inainte de pivot. NCCS Art. 29 cere controale avansate de detectie pentru critical-impact entities; ENISA NIS360 confirma ca electricitate este sectorul cu cea mai mare maturitate, dar tinta principala [C12].

Sursă publică ↗

Encevo Group - Creos (operator retea electrica si gaz Luxemburg) + Enovos (furnizor de energie)

2022 · Luxemburg

Tip: Ransomware BlackCat/ALPHV (rebrand DarkSide); exfiltrare 150 GB date / 180.000 fisiere

Impact: Atac in noaptea de 22 spre 23 iulie 2022. Portalurile client Creos + Enovos au devenit non-operationale; companiile au precizat ca alimentarea cu electricitate si gaz nu a fost intrerupta - efectul a fost pe IT corporativ + relatia cu clientii. ALPHV a revendicat atacul pe 29 iulie 2022 si a amenintat publicarea datelor. Acelasi grup care a rebranduit DarkSide-ul de la Colonial Pipeline.

Lecția: Demonstreaza ca atacatorii care au lovit operatorii americani revin in Europa pe operatori cu rol public similar. NIS2 Art. 21(2)(d) supply-chain + Art. 21(2)(b) incident handling + comunicare publica cu clientii in criza separat de OT. Separarea IT corporativ / OT a salvat alimentarea - dovada ca segregarea functioneaza.

Sursă publică ↗

⚠️ Amenințări tipice

  • • Ransomware pe infrastructură SCADA
  • • APT-uri sponsorizate (vezi ENISA Threat Landscape 2025)
  • • Supply chain attack pe furnizori EPC

💰 Amenzi maxime

Până la 10 mil. EUR sau 2% din cifra de afaceri globală — Art. 34 NIS2

📊 Status conformitate România

Distribuitorii (Electrica, DEER, etc.) au început remediation Q1 2026. Transelectrica deja conformă.

🛡️ Cum ajută CAI Technology

AEGIS — Observability + SecOps cu AI

SIEM unified pentru DC on-premise: logs + metrics + threat detection + AI incident analysis.

ARTEMIS — Pentest cu AI · Hunt · Reveal · Strike

Platformă autonomă de pentesting cu 5 agenți AI și 6 tipuri de audit. De la 2€ per scan, fără abonament.

CAI-AUTH — Identity Provider post-quantum

OIDC IdP construit în România cu criptografie post-quantum (hybrid post-quantum signatures). Patent Pending.

Lexnomia — Audit conformitate UE

Self-serve audit conformitate pe 7+ regulamente UE: GDPR, NIS2, DORA, EU AI Act, ISO 27001, CRA, DSA.

📚 Reglementări adiacente care se suprapun

Reg. (UE) 2024/1366 - Network Code on Cybersecurity (NCCS) pentru electricitate · Direct aplicabil din 13 iunie 2024; completeaza Reg. (UE) 2019/943 [C7][C12]

Cadrul sectorial cybersecurity pentru fluxurile transfrontaliere de electricitate. Suprapunere completa cu NIS2 pentru TSO/DSO + producatori + NEMO + ICT service providers identificati. Diferente cheie: NCCS cere clasificare high-impact vs. critical-impact (Art. 24), evaluare UE-wide a riscului la fiecare 3 ani (Art. 19), planuri regionale de atenuare (Art. 22), controale minime si avansate diferentiate (Art. 29), raportare a incidentelor catre autoritatile competente nationale si ACER [C7][C8]. ACER + ENTSO-E + EU DSO Entity sunt actorii institutionali; in Romania, autoritatea competenta nationala desemnata coopereaza cu DNSC pe partea orizontala NIS2.

Directiva (UE) 2019/944 - Internal Market for Electricity (recast) · Termen transpunere 31 decembrie 2020; aplicabila din 1 ianuarie 2021 [C9]

Directiva cadru pentru piata interna de electricitate - reguli pe generare, transport, distributie, furnizare, stocare; protectia consumatorilor; access third-party la infrastructura; independenta autoritatilor de reglementare. ANRE este autoritatea de reglementare in Romania. Definitiile din Directiva 2019/944 Art. 2 sunt sursa semantica pentru entitatile listate in Anexa I NIS2 (intreprindere electrica, TSO, DSO, NEMO, agregator, demand response etc.).

Reg. (UE) 2017/1485 - System Operation Guideline (SOGL) · Direct aplicabil din 14 septembrie 2017; consolidat la 15 martie 2021 [C9]

Reguli armonizate pentru TSO, DSO si SGU (significant grid users) pe operarea sistemului interconectat. Stabileste cadrul legal de operare retea, schimbul de date, coordonarea regionala. Cyber resilience operationala se mapeaza direct pe articolele SOGL despre coordonare regionala (Art. 76-77) si schimb de date critice.

Reg. (UE) 2019/941 - Risk-preparedness in the electricity sector · Direct aplicabil din 4 iulie 2019 [C9]

Cadru comun pentru prevenirea, pregatirea si gestionarea crizelor de electricitate, explicit acopera atacuri cibernetice ca trigger de criza. Cere Plan National de Pregatire pentru Riscuri, masuri regionale + bilaterale, exercitii. In contextul NIS2 + NCCS, planul de risc-preparedness devine documentul-umbrela peste BCP-ul cibernetic al TSO/DSO.

Cyber Resilience Act - Reg. (UE) 2024/2847 · Intrat in vigoare 10 decembrie 2024; raportare vulnerabilitati active din 11 septembrie 2026; obligatii principale din 11 decembrie 2027 [C10]

Cerinte orizontale de cybersecurity pentru produsele cu elemente digitale - inclusiv PLC, RTU, IED, contoare smart, statii de incarcare EV, controlere de baterii BESS. Operatorii de retea devin cumparatori pretentiosi: produsele plasate pe piata UE trebuie sa aiba conformitate CRA inainte de instalare; SBOM, vulnerability handling coordonat, raportare incidente catre ENISA. Dispozitivele clasificate ca produse importante (clasa I sau II) au procese de evaluare a conformitatii mai stricte.

IEC 62443 (IACS) + IEC 62351 (power-system communications) · Standarde internationale ne-transpuse legal, dar referite ca state-of-the-art in NCCS si recomandate de ENISA pentru sectorul electricitate [C11]

IEC 62443 (Part 4-2: security requirements for IACS components; Part 3-3: system security requirements) este referinta industriala pentru securitatea PLC/SCADA/HMI/sensori - cadrul de Security Levels (SL1-SL4) este folosit ca benchmark in contractele de furnizor. IEC 62351 acopera securitatea protocoalelor de automatizare a energiei (IEC 61850 pe substatii digitale, IEC 60870-5-101/-104 pe telecontrol). Impreuna, formeaza un strat defense-in-depth la nivel de comunicatie si componenta - obligatoriu pentru substatii digitale moderne.

Întrebări frecvente

Sunt TSO / DSO / producator de electricitate in Romania - sunt sub NIS2?

Da. NIS2 Art. 2 + Anexa I listeaza explicit subsectorul electricitate (intreprinderi electrice prin Directiva 2019/944 Art. 2, TSO, DSO, producatori, NEMO, agregatori, demand response, operatori de stocare, operatori de puncte de incarcare semnificative) ca sector de criticitate ridicata [C2][C9]. Daca esti entitate medie sau mare (>= 50 angajati sau >= 10 mil. EUR cifra de afaceri / total bilantier), esti entitate esentiala. Entitatile sub prag pot fi notificate individual de DNSC daca au rol critic - operatori mici de stocare conectati la reteaua de transport, agregatori cu portofoliu peste un anumit prag, statii de incarcare cu impact. In Romania, OUG 155/2024 + Legea 124/2025 + DNSC gestioneaza inregistrarea, supravegherea si controlul; ANRE colaboreaza pe partea sectoriala [C6][C13].

Cum se cumuleaza NIS2 cu NCCS pentru un TSO sau DSO mare?

Nu te scuteste unul de celalalt. NIS2 (orizontal cybersecurity) impune zece masuri minime de risc-management si raportare in 24h/72h/1 luna catre DNSC [C3][C4]. NCCS (sectorial, lex specialis pentru electricitate) introduce clasificare high-impact vs. critical-impact, metodologii UE-wide de evaluare a riscului (revizuite la 3 ani), planuri regionale de atenuare, controale minime + avansate diferentiate, canal de raportare catre autoritatile competente nationale si ACER [C7][C8]. In practica: un singur cadru de risc-management care satisface ambele, doua canale paralele de raportare (DNSC pe NIS2 + autoritatea competenta nationala NCCS pe latura sectoriala).

Ce inseamna 'incident semnificativ' pentru un operator de retea sub NIS2 + NCCS?

NIS2 Art. 23(3) defineste incidentul semnificativ ca acela care a cauzat sau e capabil sa cauzeze perturbari operationale grave sau pierderi financiare pentru entitate, sau care a afectat sau e capabil sa afecteze alte persoane prin daune materiale sau nemateriale considerabile [C4]. Operational, pentru un operator electricitate: compromiterea sau pierderea SCADA/EMS/DMS, criptarea sistemelor de dispecerizare, manipularea releelor de protectie, blocarea HMI-urilor in dispecerat, exfiltrare de date de configurare retea, compromitere a unui contractor cu acces remote la substatii. NCCS suprapune o categorie sectoriala: incidente care afecteaza fluxurile transfrontaliere [C7][C8]. Daca esti in dubiu, raporteaza ca early warning in primele 24h - poti retrage ulterior daca se dovedeste minor.

Termenele de raportare incident catre DNSC si autoritatea competenta NCCS - exact?

Doua canale paralele. NIS2 (catre CSIRT/DNSC, sub OUG 155/2024 + Legea 124/2025): early warning in 24h de la constientizare, notificare incident in 72h, raport final in maxim o luna (Art. 23) [C4][C6]. NCCS (catre autoritatea competenta nationala + ENTSO-E pentru high/critical-impact entities, cu rute de escaladare ACER pe impact transfrontalier): canal sectorial complementar, calendar mapat pe procedurile NCCS Art. 38-39 [C7][C8]. Recomandare practica: pregateste un singur process care alimenteaza ambele formulare automat din dispecerat, cu escaladare catre CISO + management de criza, dispecer-sef si autoritatea ANRE / Transelectrica (pentru racordati la transport).

Avem un MSP / contractor extern care opereaza SCADA-ul nostru - suntem acoperit?

Nu te scuteste de NIS2. Compromiterea furnizorului ICT/OT este vectorul cel mai frecvent in atacurile pe energie: 2015 Ukraine - intrare prin email infectat catre angajat, escaladare 6 luni; 2021 Colonial Pipeline - parola VPN fara MFA pe contractor [C-I1][C-I3]. NIS2 Art. 21(2)(d) cere gestionarea riscului in lantul de aprovizionare, inclusiv clauze contractuale (SLA pe incident response, audit drepturi, exit strategy, sub-outsourcing controlat, MFA obligatoriu pe acces remote, SBOM pentru produsele OT) [C3]. NCCS suprapune cerinte sectoriale pe supply chain pentru furnizori critici [C7][C8]. CRA, din 11 decembrie 2027, va impune producatorilor de PLC/RTU/IED conformitate by-design - operatorii devin cumparatori pretentiosi [C10]. Operatorul ramane responsabil legal pentru securitatea retelei - outsourcing-ul ICT nu transfera raspunderea, doar operatiunile.

Avem substatii digitale cu releuri si IED-uri conectate - cum aplic NCCS + IEC 62443/62351 simultan?

NCCS cere controale minime + avansate pe componente OT, cu trimitere la o lista a standardelor europene/internationale [C7][C8]. IEC 62443 (IACS) acopera securitatea sistemelor de automatizare si control industrial (PLC, SCADA, HMI, sensori) cu cadrul Security Levels SL1-SL4 [C11]. IEC 62351 acopera securitatea protocoalelor de automatizare a energiei (IEC 61850 pe substatii digitale, IEC 60870-5-101/-104 pe telecontrol) - autentificare reciproca, integritate, confidentialitate la nivel de protocol [C11]. Concret: cer SBOM si IEC 62443-4-1/-4-2 conformity declaration la achizitia de IED si gateway-uri; activezi autentificarea IEC 62351 acolo unde dispozitivele suporta; segregare VLAN pe clase de dispozitive; monitorizare comportamentala pe IEC 104 (alarmare la pattern-uri atipice de comenzi, asa cum Industroyer2 ar fi declansat). Substatiile non-patch-abile primesc compensare prin izolare retea + monitorizare pasiva.

Care e plafonul maxim de amenda pentru un operator esential din electricitate?

Sub NIS2 Art. 34: maxim cel putin 10.000.000 EUR sau 2% din cifra de afaceri mondiala anuala, oricare e mai mare, pentru entitati esentiale [C5]. Pentru entitati importante: 7.000.000 EUR sau 1,4% [C5]. In Romania, OUG 155/2024 + Legea 124/2025 au transpus pragurile NIS2; DNSC este autoritatea de aplicare a sanctiunilor, cu gradare administrativa (avertisment, ordin de conformare, suspendare temporara a serviciilor) + raspundere personala a conducerii (NIS2 Art. 20, incluzand interdictia temporara de exercitare a functiilor) [C6][C5]. Sanctiunile pot fi cumulative cu cele din legislatia sectoriala (Legea energiei electrice si a gazelor) si din legislatia generala (GDPR Art. 83 daca incidentul atinge si date personale).

Cine raspunde personal in conducerea companiei?

NIS2 Art. 20 cere ca organele de conducere (consiliul de administratie, directoratul, directorul general / CEO) sa aprobe masurile de risc-management cibernetic, sa supravegheze implementarea si sa urmeze training regulat [C3]. Pot fi tinuti personal raspunzatori pentru incalcari ale Art. 21. Directiva permite Statelor Membre sa impuna interdictii temporare de exercitare a functiilor de conducere pentru entitati esentiale (NIS2 Art. 32(5)) [C5]. In Romania, OUG 155/2024 + Legea 124/2025 au transpus aceste prevederi [C6]. Implementare practica: hotararea CA care aproba cadrul de risc-management cibernetic - semnata, datata, arhivata - raport anual catre CA de la CISO + comitetul de risc operational, training documentat pentru board (cel putin anual).

🔗 Surse oficiale

Ești în sectorul energie electrică?

Audit gratuit NIS2 pentru companii peste 50 angajați. Răspundem în 24 ore lucrătoare.

Solicită audit →