CAI Technology
Programează demo
Menu ☰
Anexa I — Entități esențiale · Energie

🔥NIS2 pentru Gaze naturale — termene, obligații, amenzi

Gaze naturale cad sub NIS2 (Directiva UE 2022/2555 + OUG 155/2024). Vezi obligații Art.21, termene, amenzi maxime și plan de conformitate pentru Anexa I.

Ultima revizuire: · CAI Technology · echipa Lexnomia + AEGIS

🎯 Cine intră sub regulă

Sectorul gazelor naturale (transport, distributie, depozitare, GNL, productie, furnizare) este listat in Anexa I la Directiva (UE) 2022/2555 (NIS2) ca sector de criticitate ridicata, in cadrul subsectorului Energie [C2]. In Romania, regulile sunt transpuse prin OUG 155/2024 din 30 decembrie 2024, iar DNSC este autoritatea competenta nationala pentru cybersecurity, in cooperare cu ANRE pe partea sectoriala-energetica [C6]. Pe langa NIS2, operatorii gaz cad sub stack-ul energetic clasic: Directiva 2009/73/CE (piata interna gaz) [C15], Regulamentul (UE) 2017/1938 (securitatea aprovizionarii) [C7], iar din 5 august 2024 sub Regulamentul (UE) 2024/1789 (pachetul gaz si hidrogen) care imputerniceste Comisia sa adopte un act delegat de cybersecurity sectorial pentru fluxurile transfrontaliere [C8]. Practic, pentru un TSO, DSO sau furnizor gaz, conformitatea inseamna stack NIS2 + 2017/1938 + 2024/1789 + IEC 62443 pe OT.

Exemple de entități acoperite în România

Transgaz S.A. (operator unic SNT)Distrigaz Sud Retele (ENGIE Romania)Premier Energy Distributie (gaz)NOVA Power & GasRomgaz (producator)OMV Petrom (productie gaz)Conpet (transport titei prin conducte, sector adiacent)

Praguri de aplicabilitate

Anexa I NIS2 acopera intreprinderile de furnizare a gazelor, operatorii sistemelor de distributie, operatorii sistemelor de transport, operatorii sistemelor de depozitare, operatorii sistemelor GNL, intreprinderile de gaze naturale, instalatiile de rafinare si tratare a gazelor naturale [C2]. Pragul implicit: entitati medii si mari (>= 50 angajati sau cifra de afaceri / total bilantier >= 10 mil. EUR) intra ca esentiale; entitatile sub prag, daca sunt identificate de DNSC ca avand rol critic (ex. unic operator pe un coridor de transport, dependenta regionala), pot fi notificate individual [C2][C6].

📅 Timeline regulatoriu

  1. Adoptarea Directivei 2009/73/CE - piata interna in gaze naturale [C15]

  2. Adoptarea Regulamentului (UE) 2017/1938 - securitatea aprovizionarii cu gaze; aplicabil din 1 noiembrie 2017 [C7]

  3. Incident global de referinta: ransomware DarkSide opreste Colonial Pipeline (SUA) pentru ~6 zile, 5.550 mile conducta [I1]

  4. Atac Predatory Sparrow pe o otelarie iraniana - SCADA fortat in stare nesigura, incendiu industrial [I4]

  5. Adoptarea Directivei (UE) 2022/2555 (NIS2) [C1]

  6. Publicarea NIS2 in Jurnalul Oficial UE [C1]

  7. Atac Predatory Sparrow pe statiile de combustibil din Iran - 70% inactive, ministru petrol confirma [I2]

  8. Adoptarea Regulamentului (UE) 2024/1789 (pachetul gaz si hidrogen) cu prevedere de act delegat sectorial pe cybersecurity gaz [C8]

  9. Intrare in vigoare Regulamentul (UE) 2024/1789 [C8]

  10. Termen UE pentru transpunere NIS2 in legislatiile nationale (NIS2 Art. 41) [C1]

  11. NIS1 (Directiva 2016/1148) abrogata; NIS2 produce efecte [C1]

  12. Cyber Resilience Act (Reg. (UE) 2024/2847) intra in vigoare [C9]

  13. Romania publica OUG 155/2024 - transpunere NIS2; DNSC = autoritate competenta nationala [C6]

  14. CRA - obligatii de raportare a vulnerabilitatilor exploatate activ si incidentelor severe intra in aplicare [C9]

  15. CRA - obligatiile principale (securitate by-design pentru produsele cu elemente digitale) intra in aplicare [C9]

📋 Obligații cheie

Cadru risc-management ICT+OT - masurile minime NIS2 Art. 21(2) aplicate la conducta

efort: high

Cadru documentat, abordare all-hazard, acoperind politici de risc pe IT si OT, securitatea sistemelor SCADA si a statiilor de comprimare, business continuity cu RTO/RPO pe transport si distributie, criptografie, MFA pe acces remote la sistemele de control, training si controlul accesului. NIS2 Art. 21(2) impune cele zece masuri minime (a-j), aliniate pe standarde europene si internationale, cu mentiune explicita ISO/IEC 27001, ISO/IEC 27002 si ETSI EN 319401 [C3]. Pentru un operator gaz, IEC 62443 este referinta tehnica pentru segmentul OT: arhitectura zonelor si conduitelor (Purdue), controlul autentificarii (FR1), integritatea sistemului (FR3), restrictia fluxurilor de date (FR5), raspuns la evenimente (FR6) si disponibilitate (FR7) [C10]. Organul de conducere aproba si supravegheaza implementarea (NIS2 Art. 20), cu raspundere personala [C14].

Controale recomandate: NIS2 Art. 21(2)(a-j)ISO/IEC 27001:2022ISO/IEC 27002:2022IEC 62443 (all series)NIS2 Art. 20

Raportarea incidentelor in 24h/72h/1 luna catre DNSC, in paralel cu obligatiile ANRE pe securitatea aprovizionarii

efort: high

Pentru un operator gaz roman, un incident cibernetic semnificativ care atinge SCADA sau telemetria de masurare declanseaza doua paliere de comunicare. NIS2 Art. 23 catre CSIRT/DNSC: early warning in maxim 24h de la constientizare, notificare incident in 72h, raport final in maxim o luna [C4]. In paralel, cadrul de securitate a aprovizionarii (Reg. 2017/1938) impune comunicare catre autoritatea competenta nationala pe energie cand este afectata capacitatea de transport sau cand se activeaza mecanismul de solidaritate transfrontalier [C7]. Practic, CISO + responsabilul tehnic de exploatare impart un singur runbook care alimenteaza simultan formularul DNSC si fluxul ANRE/Comisie, fara duplicari si fara intarzieri. Pentru fluxurile transfrontaliere cu Ucraina, Republica Moldova, Bulgaria, Ungaria, Reg. 2024/1789 va aduce un act delegat sectorial pe cybersecurity, analog codului de retea electric (Reg. 2024/1366) [C8].

Controale recomandate: NIS2 Art. 23(4)Reg. (EU) 2017/1938 Art. 8 + Art. 12Reg. (EU) 2024/1789 - delegated act gas cybersecurityOUG 155/2024

Securizarea SCADA / OT pentru statii de compresoare si telemetria liniilor magistrale

efort: high

Pentru un operator de transport, sistemele SCADA controleaza valve, statii de compresoare, statii de reglare-masurare, telemetria pe linii magistrale. NIS2 Art. 21(2)(e) si Art. 21(2)(h) cer gestionarea vulnerabilitatilor in timp util si politici de criptografie [C3]. Aplicate la OT, asta inseamna: segmentare pe zone IEC 62443 (level 0 senzori, level 1 controlere, level 2 SCADA, level 3 DMZ industrial), patch-management cu fereastra de mentenanta planificata (multe componente IACS sunt non-patch-abile in productie - se compenseaza prin controale compensatorii), monitorizare comportamentala pe protocoale industriale (Modbus, DNP3, IEC 60870-5-104), MFA pe orice acces remote la SCADA, criptarea legaturilor radio si fibre la statii izolate. Concentrarea de risc Colonial Pipeline (mai 2021) - oprire 5.550 mile pipeline pentru ~6 zile dupa o singura parola VPN compromisa - ilustreaza ce inseamna lipsa segmentarii intre IT si OT [I1]. ENTSOG si ENISA au lansat ghidul de crisis management comunicare pe cyber pentru comunitatea gaz [C11].

Controale recomandate: NIS2 Art. 21(2)(e)NIS2 Art. 21(2)(h)IEC 62443-3-2 (zones and conduits)IEC 62443-3-3 (system security requirements)IEC 62443-4-2 (component security)

Continuitate operationala pe conducta de transit si interconectari transfrontaliere

efort: high

Pentru un TSO gaz, continuitate inseamna ca interconectarile cu Ucraina, Moldova, Bulgaria, Ungaria nu se opresc. NIS2 Art. 21(2)(c) cere business continuity si crisis management ca cerinte minime [C3]. Reg. (UE) 2017/1938 cere TSO-urilor capacitate bidirectionala pe toate interconectarile dintre Statele Membre (cu exceptii) si planuri de actiune preventiva + planuri de urgenta pe grupuri regionale, testate prin exercitii la fiecare doi ani intre actualizari [C7]. Mecanismul de solidaritate (Art. 12 Reg. 2017/1938) se activeaza cand consumatorii protejati sunt in pericol [C7]. Practic, planurile trebuie sa raspunda si la scenariul "SCADA primary criptat de ransomware, SCADA secondary OK" - adica proceduri offline de operare cu valve manual, comunicare radio backup, decizii de dispecerat fara HMI. Lectia Norsk Hydro 2019: switch-ul la operatii manuale a salvat productia, dar a costat 81 mil. USD pana la peste 100 mil. USD in downtime si recuperare [I3].

Controale recomandate: NIS2 Art. 21(2)(c)Reg. (EU) 2017/1938 Art. 5, 8, 10, 12ISO 22301:2019 (business continuity management)OUG 155/2024

Lant ICT si audit furnizori non-EU - inclusiv componente SCADA cu istoric rusesc

efort: medium

NIS2 Art. 21(2)(d) cere gestionarea riscului in lantul de aprovizionare pentru toate entitatile esentiale [C3]. Pentru un operator gaz roman, asta inseamna audit pe trei niveluri: (1) furnizorii de echipamente SCADA si IACS (PLC, RTU, HMI, sisteme de telemetrie) - inventar tehnic, SBOM, politica de patching contractuala; (2) furnizorii de servicii ICT manageriate (data center, cloud, sisteme de billing pentru distributie); (3) componente moștenite cu origine rusa sau non-EU - REPowerEU si politica de decuplare au scos in evidenta riscul componentelor de origine din state cu risc geopolitic ridicat [C8]. Cyber Resilience Act (Reg. 2024/2847) intrat in vigoare 10 dec. 2024 va impune din 11 dec. 2027 conformitate sectoriala obligatorie pentru produsele cu elemente digitale plasate pe piata UE, iar raportarea vulnerabilitatilor exploatate activ devine obligatorie din 11 septembrie 2026 [C9]. Atacul pe otelaria iraniana 2022 (Predatory Sparrow) a demonstrat ca un actor cu acces la PLC poate forta procesul industrial in stare nesigura - relevant pentru statiile de compresoare gaz [I4].

Controale recomandate: NIS2 Art. 21(2)(d)Reg. (EU) 2024/2847 (CRA) Art. 14 + Annex IIEC 62443-2-4 (security requirements for IACS service providers)ENISA Energy ISAC participation

📰 Incidente reale, lecții concrete

Colonial Pipeline

2021 · SUA (Coasta de Est)

Tip: Ransomware DarkSide; vector compromise prin parola VPN scursa pe darkweb, fara MFA

Impact: Oprire 5.550 mile pipeline (benzina, motorina, kerosen) timp de ~6 zile; panica si cozi la statiile de combustibil pe Coasta de Est SUA; compania a platit ~75 BTC (~5 mil. USD) drept rascumparare; DOJ a recuperat ulterior 63,7 BTC (~2,3 mil. USD). Pipeline-ul transporta cca 45% din combustibilii consumati pe Coasta de Est SUA.

Lecția: Conductele de hidrocarburi (oil sau gas) sunt vulnerabile la atacuri pe IT care propaga la OT cand nu exista segmentare riguroasa. Compromiterea s-a facut prin parola VPN compromise, fara MFA. NIS2 Art. 21(2)(h) cere politici de criptografie si controale de autentificare, iar IEC 62443 cere zone si conducte strict separate intre IT corporate si OT pipeline.

Sursă publică ↗

Iran - statii de combustibil (atribuit Predatory Sparrow / Gonjeshke Darande)

2023 · Iran

Tip: Atac cibernetic pe sistemul IT central de plata si subventionare al statiilor de combustibil

Impact: Aproximativ 70% din statiile de combustibil din Iran inactive timp de zile; ministrul petrolului iranian (Javad Owji) a confirmat atacul; cozi mari si trafic blocat in Tehran si alte orase; gruparea Predatory Sparrow a revendicat atacul cu mesaj politic. Researchers de la Check Point au apreciat ca sofisticarea sugereaza sponsorizare statala.

Lecția: Distributia retail de combustibili poate fi paralizata national prin atac pe sistemul central de plata, fara a atinge fizic conducta. Pentru DSO-uri si furnizori gaz care opereaza sisteme de facturare/telemetrie centralizate, lectia este aceeasi: NIS2 Art. 21(2)(d) cere securitatea lantului ICT, iar Art. 21(2)(f) cere politici de eficacitate a masurilor de risc.

Sursă publică ↗

Iran - otelarie (atribuit Predatory Sparrow / Gonjeshke Darande)

2022 · Iran

Tip: Atac cibernetic pe SCADA care a fortat procesul industrial in stare nesigura (iulie 2022)

Impact: Incendiu serios in cuptorul otelariei; gruparea a revendicat ulterior atacul si l-a publicat. Caz public documentat de cyber-physical impact provocat de atacator cu acces la sisteme de control industrial intr-o instalatie mare.

Lecția: Atacatorul cu acces la PLC-uri si SCADA poate forta procesul industrial in stare nesigura cu impact fizic real. Pentru operatorii gaz cu statii de compresoare, acelasi vector ar putea forta presiuni periculoase. NIS2 Art. 21(2)(e) si IEC 62443-3-3 (system security requirements) cer monitorizare comportamentala pe protocoalele industriale si proceduri de safety independente de retea (interlocks fizice, valve de siguranta mecanice).

Sursă publică ↗

Norsk Hydro

2019 · Norvegia (operatii in 40 tari)

Tip: Ransomware LockerGoga; criptare pe terminale corporate care a propagat la sisteme energy-intensive si SCADA pe terminale

Impact: Zeci de mii de PC-uri blocate in 170 site-uri din 40 tari; daune raportate intre 81 mil. USD si peste 100 mil. USD (downtime si recuperare); switch la operatii manuale pe majoritatea fluxurilor; productia de aluminiu primary reluata dupa o saptamana, dar topiriile au ramas operationale. Volodymyr Tymoshchuk a fost ulterior identificat ca creierul operatiunii LockerGoga (alaturi de MegaCortex si Nefilim).

Lecția: Comunicarea transparenta in incident (Hydro a refuzat sa plateasca, a anuntat public, a dat conferinte zilnice) a salvat reputatia, dar costul operational a ramas mare. Pentru operatorii gaz: planurile de continuitate trebuie sa includa proceduri offline de exploatare si comunicare publica pregatita din timp, nu improvizata sub criza. NIS2 Art. 21(2)(c) cere business continuity si crisis management testate.

Sursă publică ↗

⚠️ Amenințări tipice

  • • Atacuri pe sisteme de comprimare/măsurare
  • • Manipulare consum (smart-meter fraud)
  • • Disruption pe pipeline-uri internaționale

💰 Amenzi maxime

Max 10 mil. EUR sau 2% cifra afaceri

📊 Status conformitate România

Transgaz + distribuitorii mari (Distrigaz, ENGIE RO) la 60-70% conformitate Q2 2026.

🛡️ Cum ajută CAI Technology

AEGIS — Observability + SecOps cu AI

SIEM unified pentru DC on-premise: logs + metrics + threat detection + AI incident analysis.

ARTEMIS — Pentest cu AI · Hunt · Reveal · Strike

Platformă autonomă de pentesting cu 5 agenți AI și 6 tipuri de audit. De la 2€ per scan, fără abonament.

CAI-AUTH — Identity Provider post-quantum

OIDC IdP construit în România cu criptografie post-quantum (hybrid post-quantum signatures). Patent Pending.

Lexnomia — Audit conformitate UE

Self-serve audit conformitate pe 7+ regulamente UE: GDPR, NIS2, DORA, EU AI Act, ISO 27001, CRA, DSA.

📚 Reglementări adiacente care se suprapun

Regulamentul (UE) 2017/1938 - securitatea aprovizionarii cu gaze · Direct aplicabil din 1 noiembrie 2017; nu necesita transpunere nationala [C7]

Coloana vertebrala a securitatii aprovizionarii. Cere TSO-urilor capacitate bidirectionala pe interconectari, cooperare prin ReCo System for Gas in timpul urgentelor, planuri de actiune preventiva si de urgenta dezvoltate regional. Mecanismul de solidaritate (Art. 12) este last-resort pentru consumatorii protejati [C7]. In context cyber: un incident cibernetic care reduce capacitatea de transport poate activa planurile de urgenta - deci runbook-ul NIS2 trebuie cuplat cu runbook-ul Reg. 2017/1938.

Directiva 2009/73/CE - piata interna in gaze naturale · Transpusa in Romania prin Legea energiei electrice si gazelor naturale 123/2012 [C15]

Stabileste arhitectura sectorului: transmissia, distributia, furnizarea, depozitarea, GNL, separarea operatorilor de transport. Identifica entitatile care intra in Anexa I NIS2 ca subsector gaze. Aplicabila si biogazului si gazului din biomasa injectate in sistem [C15].

Regulamentul (UE) 2024/1789 - pachetul gaz si hidrogen · Adoptat 13 iunie 2024, publicat 15 iulie 2024 in JO UE, intrat in vigoare 5 august 2024; direct aplicabil [C8]

Extinde regimul de securitate a aprovizionarii la gazele regenerabile si la hidrogen. Cel mai important: imputerniceste Comisia sa adopte un act delegat sectorial pe cybersecurity pentru fluxurile transfrontaliere de gaze, cu reguli pe cerinte minime comune, planificare, monitorizare, raportare si crisis management [C8]. Modelul este codul de retea electric (Reg. 2024/1366), aflat deja in aplicare din 13 iunie 2024.

Cyber Resilience Act - Regulamentul (UE) 2024/2847 · Intrat in vigoare 10 decembrie 2024; obligatii principale aplicabile din 11 decembrie 2027, raportare vulnerabilitati active din 11 septembrie 2026 [C9]

Pentru operatorii gaz, CRA inseamna ca produsele cu elemente digitale cumparate (PLC-uri, RTU-uri, gateway-uri OT, sisteme de telemetrie, gateways smart-meter, sisteme HMI) trebuie sa aiba conformitate CRA inainte de plasare pe piata UE. Producatorii poarta raspunderea, dar operatorul cumparator pretinde dovada [C9]. Practic: clauze contractuale cu vendor pe SBOM, vulnerability disclosure, patch-management pe ciclu de viata.

IEC 62443 - cybersecurity pentru IACS (industrial automation and control systems) · Standard international IEC; adoptat ca referinta in ENISA, CISA si reglementatori energetici nationali [C10]

Cadrul tehnic de referinta pentru securitatea OT in conducte si statii de compresoare. Cele sapte cerinte fundamentale (FR1-FR7) acopera autentificare, control de utilizare, integritatea sistemului, confidentialitatea datelor, restrictia fluxurilor, raspuns la evenimente, disponibilitate [C10]. Modelul Purdue de zone si conducte separa nivelurile 0-5, ceea ce permite implementarea practica a cerintei NIS2 de segregare retea.

Întrebări frecvente

Sunt operator de transport gaz autorizat de ANRE - sunt sub NIS2?

Da. NIS2 Art. 2 + Anexa I listeaza explicit operatorii sistemelor de transport si distributie gaz ca sector de criticitate ridicata [C2]. Daca esti entitate medie sau mare (>= 50 angajati sau >= 10 mil. EUR cifra de afaceri/total bilantier), esti entitate esentiala. Pentru operatorul unic SNT (Transgaz), desemnarea este implicita - acopera intregul teritoriu national la presiuni 6-63 bar [C13]. In Romania, OUG 155/2024 + DNSC gestioneaza inregistrarea, supravegherea si controlul, iar ANRE coopereaza pe partea sectoriala-energetica [C6].

Sunt operator de distributie regional (DSO) gaz - care e diferenta fata de un TSO?

Ambii sunt in Anexa I NIS2. Diferentele de regim sunt pe Reg. 2017/1938: TSO-urile au obligatii directe pe capacitate bidirectionala, plan preventiv, plan urgent si mecanism de solidaritate (Art. 5, 8, 12) [C7]. DSO-urile au obligatii indirecte pe componenta de "consumatori protejati" si pe partea de telemetrie/billing. Pe NIS2, regimul este identic: cele zece masuri minime Art. 21(2) [C3], notificare 24h/72h/1luna [C4], raspundere management Art. 20 [C14]. ENGIE Romania prin Distrigaz Sud Retele opereaza ~24.000 km de retea de distributie [C16] - in mod clar entitate esentiala.

Cum aplic NIS2 Art. 21(2) pe SCADA si statii de compresoare?

Cele zece masuri minime se traduc concret pe OT prin IEC 62443 [C10]. Concret: (a) politica risc include OT in scope, nu doar IT; (c) business continuity cu RTO/RPO documentate per statie de compresor, plus proceduri manuale de exploatare; (d) lant ICT include audit pe vendor PLC/RTU/HMI; (e) gestionarea vulnerabilitatilor pe ICS - cu fereastra de mentenanta planificata, nu patch-uri ad-hoc; (h) criptografie pe legaturi radio si fibre intre statii; (i) controlul accesului - MFA obligatoriu pe acces remote la SCADA; (j) controale criptografice pentru sesiunile de mentenanta vendor [C3]. Segmentarea pe nivele Purdue (0-5) este implementarea standard.

Termenele de raportare incident catre DNSC - exact, pentru un operator gaz?

NIS2 (catre CSIRT/DNSC, sub OUG 155/2024): early warning in 24h de la constientizare, notificare incident in 72h, raport final in maxim o luna (Art. 23) [C4]. In paralel, daca incidentul afecteaza capacitatea de transport sau interconectarile, se activeaza comunicarea catre autoritatea competenta nationala pe energie sub Reg. 2017/1938 (planurile de urgenta + ReCo System for Gas pentru cooperare regionala) [C7]. Recomandare practica: pregateste un singur proces care alimenteaza ambele canale automat, cu fluxuri de escaladare separate la CISO, la dispecer SNT si la coordonatorul regional.

Avem multe componente SCADA cu istoric rus sau non-EU - ce facem?

Inventar tehnic complet, evaluare de risc per componenta, plan de inlocuire esalonat. NIS2 Art. 21(2)(d) cere gestionarea riscului in lant si Reg. 2024/1789 face referinta la noile riscuri cyber in contextul REPowerEU si decuplarii de surse din state cu risc geopolitic [C3][C8]. Concret: identifica componentele non-patchable (firmware proprietar fara update), segrega-le in zone IEC 62443 cu monitorizare comportamentala intensa, ai SBOM la fiecare vendor critic, contracte cu drept de audit si exit-strategy. CRA (Reg. 2024/2847) va impune din 11 dec. 2027 conformitate sectoriala pe componente noi [C9] - deci pe ciclul natural de inlocuire, problema se rezolva.

Lectia Colonial Pipeline 2021 - se aplica si la conductele de gaz din Romania?

Da, integral. Colonial Pipeline 2021 a fost atac pe IT corporate care a propagat la OT pentru ca segmentarea era inadecvata; compania a oprit pipeline-ul preventiv 6 zile pentru a evita riscul la SCADA; 5.550 mile (~45% din combustibili pe Coasta de Est SUA) afectate [I1]. Vectorul (parola VPN scursa, fara MFA) este identic cu ce se intalneste in audituri pe operatori gaz din UE. NIS2 Art. 21(2)(h) impune MFA, iar IEC 62443-3-3 impune segmentare stricta. Pentru un TSO roman, scenariul echivalent ar opri transit-ul catre Ucraina si Moldova - cu impact direct pe Reg. 2017/1938 si mecanism de solidaritate.

Care e plafonul maxim de amenda pentru un operator gaz esential?

Sub NIS2 Art. 34: maxim cel putin 10.000.000 EUR sau 2% din cifra de afaceri mondiala anuala, oricare e mai mare, pentru entitati esentiale [C5]. Pentru entitati importante: 7.000.000 EUR sau 1,4% [C5]. Atentie: sanctiunile NIS2 sunt cumulative cu cele din legislatia energetica sectoriala (ANRE), cu cele din GDPR pe componenta de date personale (telemetrie smart-meter, billing), si cu raspunderea personala a conducerii (NIS2 Art. 20) [C14]. In practica, pentru un operator gaz roman, pragul efectiv este stabilit de OUG 155/2024 si de regulamentul de aplicare DNSC.

Cine raspunde personal in conducerea operatorului gaz?

NIS2 Art. 20 cere ca organele de conducere (directorat, consiliul de supraveghere, directorul general) sa aprobe masurile de risc-management cibernetic, sa supravegheze implementarea si pot fi tinute responsabile personal [C14]. Directiva permite Statelor Membre sa impuna interdictii temporare de exercitare a functiilor de conducere pentru entitati esentiale. In Romania, OUG 155/2024 a transpus aceste prevederi [C6]. Implementare practica: hotarare consiliu de administratie / decizie directorat care aproba cadrul de risc-management cibernetic - semnata, datata, arhivata - si raport anual prezentat consiliului de catre CISO si CIO.

🔗 Surse oficiale

Ești în sectorul gaze naturale?

Audit gratuit NIS2 pentru companii peste 50 angajați. Răspundem în 24 ore lucrătoare.

Solicită audit →