Acest ghid prezintă obligațiile specifice din Legea 362/2022 pentru entitățile esențiale din sectorul apei. Veți înțelege cerințele de securitate SCADA, protecția sistemelor chimice și mecanismele de raportare a incidentelor care afectează aprovizionarea cu apă a populației semnificative.
Furnizorii de apă potabilă și operatorii de tratare a apelor uzate care deservesc localități cu peste 50.000 locuitori intră în categoria entităților esențiale. Incluziunile se aplică și operatorilor de rețele de distribuție a apei potabile care transportă volume semnificative. Entitățile mici și medii din acest sector care nu depășesc pragurile de populație sau volum sunt clasificate ca operatori importanți, cu obligații reduse.
Toate stațiile de epurare, rezervoarele de stocare și stațiile de pompare trebuie să posede sisteme SCADA/ICS protejate prin firewall-uri dedicate și izolate de rețele corporative. Controlere logice programabile (PLC) și unitățile terminale la distanță (RTU) trebuie monitorizate continuu pentru anomalii. Accesul la interfețele SCADA trebuie reglementat prin autentificare cu doi factori și jurnalizare completă a tuturor acțiunilor de configurare.
Sistemele de dozare a coagulfanților, dezinfectanților și fosfaților trebuie să dispună de mecanisme fizice de protecție și control de acces restricționat. Controlere chimice cu parolele implicite fabrice trebuie schimbate în 90 de zile de la implementare. Senzori de integritate și alarme de deviere trebuie să funcționeze permanent, cu notificări in timp real către operatori.
Incidentele de securitate care cauzează întreruperi în aprovizionarea cu apă a populației semnificative trebuie raportate Direcției Naționale de Securitate Cibernetică (DNSC) în termen de maximum 72 de ore. Raportul trebuie să includă amploarea întreruperii, durata estimată, cauza identificată și măsuri de remediere. Operatorii trebuie să mascheze informații sensibile despre infrastructură în comunicări publice.
Stațiile de pompare critice trebuie să combine supraveghere fizică (camere de supraveghere, senzori de acces) cu monitorizare cibernetică a comenzilor și feedback-ului sistemelor. Accesele fizice și logice trebuie corelate și auditabilitate completă; orice modificare fizică a unei componente trebuie reflectată și în jurnalele de securitate IT. Planurile de răspuns la incidente trebuie să integreze echipele de securitate fizică și IT.
Rețelele operaționale (OT) care controlează tratarea și distribuția apei trebuie izolate complet de rețelele de birou și internet. Orice comunicație între zone trebuie să treacă prin gateway-uri de securitate cu filtrare strictă. Operatorii trebuie să implementeze zero-trust architecture pentru orice dispozitiv care se conectează la rețelele critice, inclusiv dispozitive mobile și sisteme de télémaintenance.
Furnizorii care deservesc peste 50.000 locuitori sunt clasificați ca entități esențiale și trebuie să implementeze măsuri NIS2 complete, inclusiv SCADA securizat, raportare de incidente și audit anual. Operatorii mai mici sunt clasificați ca operatori importanți și trebuie să respecte o versiune simplificată a cerințelor, cum ar fi o evaluare de bază a riscurilor și un plan de continuitate cu timp de recuperare mai prelungit.
Incidentul trebuie raportat DNSC în termen de maximum 72 de ore, cu detalii despre cauza, amploarea și durata întreruperii. Nerespectarea acestei obligații atrage amenzi de până la 5% din cifra de afaceri anuală. În paralel, operatorul trebuie să inițieze investigație forensică și să implementeze măsuri de remediere pentru a preveni repetiția.
Neconformitatea cu obligațiile NIS2 poate genera amenzi de 2-5% din cifra de afaceri anuală, în funcție de gravitatea incidentului și impactul asupra populației. Pentru entități esențiale, lipsa implementării SCADA securizat în termenul stabilit (septembrie 2026) atrage penalități administrative și posibile sancțiuni penale pentru leadership, plus suspendarea licenței de operare.