Ghid complet de conformitate NIS2 pentru operatori de rețele electrice, distribuitori de gaze, furnizori de combustibil și operatori de încălzire la distanță. Aflați obligațiile specifice de securitate OT/ICS și timelineul de implementare până la 21 octombrie 2026.
Această pagină se adresează operatorilor rețelelor electrice și de distribuție gaze cu peste 30 de salariați, generatorilor de electricitate cu capacitate instalată semnificativă, distribuitorilor de gaze naturale, operatorilor de rețele de încălzire și răcire, și furnizorilor de combustibili solizi. Toate aceste entități sunt clasificate ca entități esențiale conform Anexei I din NIS2/Legea 362/2022 și trebuie să implementeze măsuri de securitate ridicate până la termenul limită obligatoriu.
Separarea fizică și logică a rețelelor de control industrial față de rețelele IT de birou este obligatorie. Toate echipamentele SCADA, PLC-uri și senzori trebuie inventariați, clasificați după risc critic și conectați printr-o arhitectură de rețea segmentată cu autentificare multi-factor. Accesul la sistemele de control trebuie monitorizat și logat continuu, cu interzicerea protocolelor neprotejate cum ar fi Telnet, FTP sau HTTP neencriptat.
Orice perturbare a serviciului de rețea electrică sau gaze cu potențial impact transfrontalier trebuie raportată către DNSC în maximum 24 de ore. Raportul trebuie să includă caracteristicile tehniczne ale incidentului, cauza identificată, numărul de utilizatori afectați și măsurile de remediere aplicate. Pentru incidente care afectează mai de 100.000 de utilizatori sau sisteme interconectate regionale, notificarea către autoritățile din alte state membre este obligatorie.
Fiecare furnizor de echipamente critice SCADA, inverse, contoare inteligente și componente de rețea trebuie evaluat și contractual obligat să respecte standarde de securitate specificate. Trebuie implementat un proces de auditare periodică a furnizorilor, cu verificare a canalelor de distribuție și autenticitate a componentelor. Actualizările de firmware trebuie semnate digital și descărcate exclusiv din surse verificate, cu limitarea accesului la informații tehnice critice.
Accesul fizic la substații electrice, centre de control și spații cu echipamente SCADA critice trebuie restricționat prin sisteme biometrice, carduri inteligente și monitorizare video continuă cu stocare de înregistrări minimum 90 de zile. Fiecare intrare și ieșire trebuie logată și corelată cu accesul logistic. Sistemele de monitorizare fizică trebuie integrate cu monitorizarea ciber pentru a detecta tentative coordonate de sabotaj.
Orice acces la distanță la sisteme OT pentru scop de mentenanță sau diagnoză trebuie autorizat prealabil, logat complet și limitat la ferestre de timp prestabilite. Conturile furnizorilor pentru suport tehnic trebuie să aibă privilegii minime și să fie revocate imediat după rezolvarea problemei. Canalele de acces la distanță trebuie criptate cu TLS 1.3 sau superior și monitorizate cu sisteme de detecție a anomaliilor.
Entitățile esențiale (Anexa I) sunt operatori de rețele de transport/distribuție electrică și gaze, generatori și furnizori cu influență critică asupra furnizării serviciilor. Entitățile importante (Anexa II) sunt furnizori mai mici sau servicii de sprijin. Entitățile esențiale trebuie implementeze măsuri NIS2 complete până la 21 octombrie 2026, cu standarde mai stricte decât entitățile importante și obligația de raportare a incidentelor în 24 de ore.
Separarea trebuie implementată prin firewall-uri dedicate, VLAN-uri protejate și schimburi de date controlate (DMZ industrial). Documentația trebuie să includă diagramele de rețea, lista echipamentelor OT, politicile de acces și rezultatele testelor de penetrare. Monitorizarea în timp real cu SIEM specializat pentru OT detectează comportamente anormale pe fluxuri de protocol industrial, permițând răspuns rapid la tentative de compromis.
Neconformitatea cu NIS2/Legea 362/2022 în România poate atrage amenzi de până la 10 milione EUR sau 2% din cifra de afaceri anuală (pentru încălcări grave), suspendarea unor servicii și responsabilitate civilă. Termenul limită obligatoriu de implementare pentru entitățile esențiale este 21 octombrie 2026. DNSC efectuează audituri de conformitate și poate impune măsuri remediale imediate în caz de deficiențe critice.