⚗️NIS2 pentru Industria chimică — termene, obligații, amenzi

Rețelele care comandă reactoare, valve, sisteme dozare trebuie izolate de IT corporativ printr-un DMZ industrial. IEC 62443-3-3 cere Security Level SL2 minim pentru linii Seveso, SL3 pentru instalații înalt risc. Patch management cycle <30 zile pe HMI/SCADA, <90 zile pe PLC unde downtime e justificat tehnic. Audit anual de la organism notificat.

Pentru fiecare linie de producție critică, plan RTO (Recovery Time Objective) maxim 4-12 ore, RPO (Recovery Point Objective) maxim 1h pentru date proces. Includere scenarii cyber + fire + flood + supply chain disruption. Testare anuală obligatorie cu raport către DPO și DNSC dacă rezultatele indică deficiențe critice.

Furnizorii de PLC, DCS, sensori conectați, software MES trebuie auditați pe baseline cybersecurity. SBOM (Software Bill of Materials) obligatoriu pentru echipamente noi din 2027 (Directiva CRA). Contracte cu clauze pentru notificare incident la furnizor în 24h. Asset inventory complet cu firmware version tracking.

Espionajul industrial e una dintre principalele amenințări în chimicals — în 2019, Bayer și BASF au confirmat public că au fost compromise de grupul APT Winnti, cu acces persistent timp de luni înainte de detectare. Date sensibile (compoziții, parametri optimizare, clienți cheie) trebuie criptate la rest + tranzit, DLP pe email + cloud storage, monitoring acces excepțional (alertă pe deviații >3σ de la baseline). Acces compartmentalizat per nevoie operațională, NU per rol generic.

Preliminară în 24h (Art. 23(4)(a)) — chiar dacă nu există încă root cause. Update detaliat în 72h cu evaluare impact și acțiuni întreprinse. Raport final în 1 lună. Pentru chimicals critice, notificare paralelă la autoritățile Seveso din România per Legea 59/2016 — ANPM (Agenția Națională pentru Protecția Mediului, notificare per Art. 7) + IGSU (Inspectoratul General pentru Situații de Urgență, Departamentul Situații de Urgență) + GNM (Garda Națională de Mediu, controlul implementării) dacă substanțele Seveso clasa I/II sunt afectate.

Tip: LockerGoga ransomware

Impact: EUR 70-90M pierderi, 4-7 zile downtime parțial, comutare manuală pe linii critice

Lecția: Network segmentation IT/OT slabă a permis ransomware-ul să se propage din IT corporativ în OT. Procedurile manuale de fallback au salvat siguranța operațională.

Tip: Espionaj industrial — APT Winnti

Impact: Acces persistent în rețelele corporative timp de luni, descoperit accidental prin honeypot terț; ambele companii au confirmat public în februarie 2019

Lecția: Detectare lentă fără EDR + UEBA + DLP pe baseline. Compartmentare per nevoie + monitorizare acces excepțional ar fi redus timpul de la luni la zile.

Tip: DarkSide ransomware

Impact: Oprire 5 zile a celui mai mare pipeline din East Coast SUA; răscumpărare aprox. 4,4M USD plătită (recuperată parțial ulterior de FBI)

Lecția: VPN cu credențiale compromise, fără MFA, a fost vectorul inițial. MFA hibrid + post-quantum pentru remote OT access acoperă această clasă de risc.

Seveso III (Directiva 2012/18/UE) · Legea 59/2016

Substanțe periculoase clasele I-II; overlap obligații BCP + reporting incidente la ISU/Ministerul Mediului. NIS2 adaugă layer-ul de cybersecurity peste cerințele Seveso de safety.

REACH (Regulamentul 1907/2006) · Direct aplicabil + Legea 349/2007 implementare

Înregistrare substanțe chimice + transmitere date toxicologice la ECHA. Datele REACH = IP sensibilă (formule, proces fabricație) — coverage NIS2 obligatoriu.

CRA — Cyber Resilience Act (Regulamentul (UE) 2024/2847) · Direct aplicabil din 2027-12-11

Obligație SBOM + suport security update pentru produse cu elemente digitale — afectează direct echipamentele OT comercializate de către producătorii chimicali.

EU AI Act (Regulamentul (UE) 2024/1689) · Direct aplicabil pe etape 2025-2027

Dacă companiile chimice folosesc AI pentru control proces sau detecție anomalii safety, intră sub regimul high-risk (Anexa III). Audit trail + transparență obligatorie.