Ministerul Energiei publică o formă revizuită a proiectului de Ordonanță de urgență a Guvernului privind înființarea CRISCE

Ministerul Energiei publică o formă revizuită a proiectului de Ordonanță de urgență a Guvernului privind înființarea și operaționalizarea Centrului de Răspuns la Incidente de Securitate Cibernetică în Energie. 

Proiectul de Ordonanță de urgență pentru înființarea și operaționalizarea Centrului de Răspuns la Incidente de Securitate Cibernetică în Energie (CRISCE) introduce o serie de schimbări esențiale și aduce inovații semnificative în gestionarea securității cibernetice în sectorul energetic din România. Drept obiectiv, prin această ordonanță, se urmărește consolidarea protecției infrastructurilor critice energetice împotriva amenințărilor cibernetice, având în vedere vulnerabilitățile actuale și cerințele stricte impuse de reglementările naționale și europene.

Stabilirea responsabilităților CRISCE:

CRISCE acționează:

• ca o umbrelă pentru entitățile din sectorul energiei, contribuind prin:
• integrarea eforturilor de management al incidentelor de securitate cibernetică de la nivelul întregului sector (în caz de incidente corelate sau prezente în mai multe entități);
• sprijin și facilitarea managementului incidentelor cibernetice din cadrul entităților din sector;
• coordonarea strategică a măsurilor de prevenție și răspuns la incidente cibernetice la nivel de sector;
• facilitarea construirii mecanismelor tehnice de securitate cibernetică (ex. macro sisteme de management integrat al securității cibernetice) care protejează în mod unitar întregul sector;
• sprijin către entități pentru recuperarea în caz de pagube produse de incidentele cibernetice, raportarea și cooperarea cu CSIRT-ul național în caz de incidente cibernetice.

Însă CRISCE nu asigură răspunderea juridică pentru entități; fiecare entitate își păstrează răspunderea juridică pentru implementarea mecanismelor și a măsurilor de securitate cibernetică. CRISCE vine doar ca un sprijin extern, cu viziune integrată, independent, obiectiv și echidistant față de entitățile din sector.

–           ca structură responsabilă de managementul intern al securității cibernetice din Ministerul Energiei.

–           ca structură de politici și proceduri interne de securitate cibernetică, în Ministerul Energiei.

–           ca structură de punere în implementare a cerințelor legislative și de standardizare în domeniul securității cibernetice, cu aplicabilitate în domeniul energetic.

Structura organizatorică a CRISCE

CRISCE va avea în componența sa un număr de posturi de specialiști, stabilit prin ordin al Ministrului Energiei, structurate pentru a asigura o acoperire completă a funcțiilor necesare.

Aceste posturi includ funcții de conducere, cum ar fi manager superior securitate cibernetică și coordonator superior securitate cibernetică, precum și funcții de execuție pentru experți în diverse domenii ale securității cibernetice. Această structură organizatorică este esențială pentru a răspunde eficient la amenințările cibernetice și pentru a implementa măsurile de securitate necesare.

Activitatea se desfășoară în ture (1 tură = 12 ore). Într-o echipă de 4 persoane, fac cu schimbul doi câte doi.

Structura va cuprinde următoarele categorii de personal:

• Specialist management proiecte IT – asigură coordonarea implementării proiectelor de dezvoltare.
• Arhitect integrator soluții IT/OT/Cloud – asigură integrarea tuturor soluțiilor IT/OT/Cloud agreate la nivelul viitorului sistem de securitate cibernetică din sectorul energetic.
• Arhitect de securitate cibernetică – specializat în soluții și arhitecturi de securitate cibernetică.
• Specialist dezvoltare soluții – asigură dezvoltarea de interfețe, integrarea soluțiilor, funcționarea personalizată pentru nevoile specifice ale CRISCE.
• Administrator de securitate cibernetică (pentru Minister) – asigură, în principal, protecția infrastructurii Ministerului, din perspectivă de administrare (este complementar și face echipă cu specialiștii din departamentul de administrare IT).
• Specialiști forensic IT/OT (investigații, reverse engineering) – sunt specialiștii de bază care asigură analiza forensic a incidentelor identificate în Minister și în industria energetică.
• Specialist strategii și proceduri – abordează aspectele de strategie și proceduri, inclusiv necesitățile de aliniere la reglementări și standarde.
• Analist de securitate cibernetică (analiză, raportare, comunicare) – abordează aspectele de punere în practică a reglementărilor + comunicarea bottom-up (raportarea și comunicările către management).
• Specialist managementul riscurilor – abordează din perspectivă strategică managementul riscurilor (mix de teorie cu expertiza provenită din zona practică)
• Auditori de securitate cibernetică – gestionează monitorizarea conformității cu reglementările (verifică implementarea practică și asigură dubla-verificare a măsurilor puse în practică)

• Specialist R&D&I și asimilare tehnologii emergente – monitorizează și actualizează constant nevoile de evoluție tehnologică + participă în proiectele de inovare și update tehnologic (mix între cunoașterea teoretică + evoluția pieței de profil + input din zona practică)
• CISO, cu rol de Director de Securitate Cibernetică – este responsabil cu managementul întregii structuri, raportarea directă către ministrul energiei și reprezentarea CRISCE în interiorul și exteriorul Ministerului Energiei.

Proiectul de Ordonanță de urgență prevede că CRISCE va funcționa sub directă și nemijlocită subordine a Ministrului Energiei și va colabora cu toate structurile organizatorice din cadrul Ministerului Energiei, precum și cu entitățile din sectorul energetic. Acest cadru de colaborare este crucial pentru a asigura o gestionare integrată a securității cibernetice la nivel sectorial.

În plus, CRISCE va fi autorizat prealabil de Directoratul Național de Securitate Cibernetică (DNSC) pentru a exercita funcția de echipă de răspuns la incidente (CSIRT) sectorială. Această funcție include elaborarea de strategii și proceduri de securitate cibernetică, monitorizarea conformității, evaluarea și auditarea măsurilor de securitate, precum și coordonarea răspunsului la incidente.

Art. 2-4 stabilesc funcțiile principale ale CRISCE, structura organizatorică, precum și modalitatea de evaluare periodică a performanțelor profesionale ale specialiștilor din CRISCE, la fiecare 12 luni, pe baza unor criterii și proceduri aprobate prin ordin al ministrului energiei.

La articolul 5 sunt prezentate atribuțiile specifice ale CRISCE. Printre acestea se numără intervenția proactivă și reactivă, în timp real, la atacurile cibernetice din sectorul energetic, monitorizarea continuă a rețelelor și sistemelor informatice din sectorul energetic, detectarea și analiza amenințărilor și vulnerabilităților cibernetice, implementarea și actualizarea măsurilor de securitate cibernetică, coordonarea răspunsului la incidentele de securitate cibernetică, dezvoltarea și menținerea relațiilor de colaborare cu alte CSIRT-uri și instituții relevante, realizarea de investigații forensice detaliate pentru a analiza urmele lăsate de atacatori și pentru a înțelege pe deplin mecanismele de atac utilizate, și protejarea proprie împotriva atacurilor cibernetice.

La articolul 5, alin. (3) și (5) sunt reglementate atribuțiile specifice exercitate de CRISCE în vederea implementării Regulamentului delegat (UE) 2024/1366 al Comisiei, care completează Regulamentul (UE) 2019/943 al Parlamentului European și al Consiliului prin stabilirea unui cod de rețea privind normele sectoriale pentru securitatea cibernetică a fluxurilor transfrontaliere de energie electrică (Codul de securitate cibernetică în energie).

Potrivit articolului 5 alin. (7) , CRISCE va funcționa într-un imobil special destinat, diferit de sediul Ministerului Energiei. Imobilul va fi echipat cu sisteme avansate de securitate fizică și cibernetică, control al accesului, monitorizare video, sisteme de alimentare cu energie de backup, răcire și ventilare adecvată, rețea de comunicații redundantă, și alte dotări tehnice necesare pentru a asigura protecția și eficiența operațiunilor. Pentru un CSIRT sectorial precum CRISCE, amplasarea într-o clădire separată de sediul Ministerului Energiei este esențială din motive critice de securitate fizică și cibernetică, fiind necesară o izolare completă de vulnerabilitățile care ar putea compromite funcționarea și integritatea operațională a unui centru de securitate cibernetică de importanță strategică.

Prin aceast proiect de act normativ, nu se modifică sediul social al Ministerului Energiei.

 Proiectul de act normativ introduce dispoziții specifice care modifică și completează regimul general al raporturilor de muncă, astfel:

• Flexibilitatea procedurii de recrutare și selecție

Codul Muncii prevede un proces rigid și uniform pentru ocuparea posturilor, bazat pe concursuri și alte proceduri standardizate. În cazul CRISCE, derogările permit utilizarea unor metode de recrutare adaptate specificului domeniului de securitate cibernetică, bazate tot pe concurs, dar cu criterii mai stricte reglementate prin ordin de ministru. Astfel, personalul poate fi selectat pe baza unor criterii de competență tehnică și certificări profesionale internaționale (ex.: CISSP, CEH), eliminând barierele care ar întârzia procesul de ocupare a posturilor critice.

• Durata determinată a contractelor de muncă

Derogările permit încheierea de contracte de muncă pe durată determinată, fără limitările stricte impuse de Codul Muncii, pentru a permite angajarea unor specialiști pentru proiecte specifice sau intervenții punctuale. Această flexibilitate este indispensabilă pentru a răspunde rapid la amenințările cibernetice emergente.

• Regimul specific al încetării raporturilor de muncă

Proiectul introduce reguli adaptate pentru evaluarea performanțelor și încetarea raporturilor de muncă în cazul neîndeplinirii indicatorilor de performanță specifici, aspect care depășește regimul standard de răspundere disciplinară prevăzut de Codul Muncii. Această abordare asigură menținerea unui nivel ridicat de competență și eficiență operațională.

Proiectul de act normativ instituie un regim derogatoriu clar pentru salarizarea personalului CRISCE, introducând următoarele noutăți:

• Stabilirea unui regim salarial competitiv

Salariile personalului CRISCE sunt reglementate printr-o anexă specială cu grila de salarizare prevăzută de Legea nr. 153/2017, fiind stabilite în funcție de specificul posturilor, nivelul de calificare și competențele tehnice avansate ale angajaților. Această completare permite oferirea unor pachete salariale care să reflecte realitatea pieței internaționale de securitate cibernetică, unde salariile sunt semnificativ mai mari decât cele din sectorul public românesc.

• Actualizarea periodică a salariilor

Proiectul prevede mecanisme de actualizare automată a salariilor, în funcție de evoluția pieței muncii, performanțele angajaților și modificările salariului mediu brut pe economie. Această flexibilitate asigură competitivitatea continuă a CRISCE pe piața muncii și previne pierderea personalului calificat în favoarea sectorului privat sau a instituțiilor internaționale.

• Corelarea cu cerințele internaționale

Derogările permit salarizarea personalului CRISCE la un nivel care să atragă și să rețină experți cu certificări internaționale și experiență în proiecte complexe de securitate cibernetică. Aceasta reflectă bunele practici din alte state membre UE, unde structurile CSIRT sectoriale au regimuri salariale derogatorii pentru a răspunde nevoilor operaționale specifice.

Noutatea fundamentală adusă de aceste derogări constă în crearea unui regim juridic adaptat exclusiv necesităților CRISCE, care:

• îmbunătățește capacitatea de reacție rapidă la amenințările cibernetice;
• Asigură competitivitatea pe piața muncii prin atragerea specialiștilor necesari;
• Evită blocajele administrative care ar putea apărea din aplicarea regimului general al Codului Muncii și al Legea nr. 153/2017, cu modificările și completările ulterioare.

Articolul 6 prevede și finanțarea și resursele necesare pentru funcționarea CRISCE. Cheltuielile de organizare și funcționare, inclusiv cheltuielile de personal, sunt considerate cheltuieli administrative în sensul art. 8 alin. (2) din OUG nr. 60/2022 și vor fi finanțate exclusiv din dobânzile acumulate în conturile Ministerului Energiei. De asemenea, activitatea CRISCE va fi finanțată și din veniturile proprii obținute din activitățile de prestări servicii de securitate cibernetică în condițiile art. 8 din proiectul de act normativ.

Pentru buna funcționare a CRISCE, este esențială derogarea de la prevederile articolelor II-III din OUG nr. 34/2023, ale art. VII din Ordonanţa de urgenţă nr. 156/2024 privind unele măsuri fiscal-bugetare în domeniul cheltuielilor publice pentru fundamentarea bugetului general consolidat pe anul 2025, pentru modificarea şi completarea unor acte normative, precum şi pentru prorogarea unor termene, precum și ale art. XXII din Legea nr. 141/2025 privind unele măsuri fiscal-bugetare.

Derogarea de la articolul II, care interzice achiziționarea sau închirierea de autoturisme, mobilier și aparatură birotică, este indispensabilă pentru dotarea inițială a CRISCE. Fiind o instituție nou-înființată, centrul necesită mijloace materiale adecvate pentru a-și desfășura activitatea în mod eficient. În absența acestei derogări, CRISCE nu ar putea asigura infrastructura necesară pentru birouri, echipamente IT, sisteme de monitorizare și analiză cibernetică, precum și mijloace de transport esențiale pentru intervenții rapide în cazul unor incidente de securitate. Spre deosebire de alte instituții deja existente, care pot redistribui resurse, CRISCE are nevoie de echipamente specifice pentru a răspunde cerințelor tehnologice complexe din domeniul cibernetic. De asemenea, derogarea de la articolul III, care impune reducerea cu 10% a cheltuielilor pentru bunuri și servicii, este vitală pentru a permite CRISCE să își aloce bugetul necesar funcționării în primele etape. Reducerea cheltuielilor la o instituție nou-creată ar crea blocaje operaționale majore, limitând accesul la servicii esențiale precum mentenanța infrastructurii IT, formarea personalului și achiziția licențelor pentru software-uri avansate de securitate cibernetică.

Derogarea de la art. VII din Ordonanţa de urgenţă nr. 156/2024 privind unele măsuri fiscal-bugetare în domeniul cheltuielilor publice pentru fundamentarea bugetului general consolidat pe anul 2025, pentru modificarea şi completarea unor acte normative, precum şi pentru prorogarea unor termene, precum și ale art. XXII din Legea nr. 141/2025 privind unele măsuri fiscal-bugetare care suspendă ocuparea posturilor vacante sau temporar vacante în anul 2025 și 2026, este esențială pentru a permite angajarea rapidă a personalului calificat necesar operaționalizării CRISCE. Structura instituțională a CRISCE impune angajarea de experți în securitate cibernetică, analiști de date, tehnicieni și specialiști în gestionarea crizelor, competențe care nu pot fi asigurate doar prin redistribuirea personalului din alte structuri publice. În lipsa dotărilor, finanțării și personalului, CRISCE nu ar putea îndeplini obiectivele pentru care a fost creat, iar consecințele ar include pierderea credibilității internaționale a României în sectorul securității energetice și expunerea infrastructurilor critice la riscuri cibernetice necontrolate.

Articolul 8 reglementează faptul că Ministerul Energiei, prin CRISCE, poate realiza venituri din prestații de servicii de securitate cibernetică, în limitele atribuțiilor și activităților prevăzute la art. 5, persoanelor fizice și juridice de drept public sau privat din sectorul energetic.  Serviciile și tarifele se stabilesc în baza unei metodologii de calcul realizată în baza unor standarde de cost stabilite prin ordin al ministrului energiei, cu avizul prealabil și conform al DNSC și al Consiliului Concurenței, care se publică în Monitorul Oficial al României, Partea I. Tarifele reglementate din sectorul energetic aferente costurilor cu auditul de securitate cibernetică, pentru serviciile prestate de CRISCE către operatorii economici se recuperează prin tarife de rețea sau alte mecanisme similare stabilite de prevederile legale aplicabile, potrivit Regulamentului delegat UE 2024/1366.

Prin excepție, prestarea serviciilor către Ministerul Energiei, organismele delegate și partenerii de implementare sau ale altor organe de specialitate ale administrației publice centrale, unitățile din sectorul energetic aflate în subordinea sau sub autoritatea Ministerului Energiei, beneficiarii  proiectelor finanțate prin Fondul pentru Modernizare, precum și către operatorii naționali de transport al energiei electrice și al gazelor naturale se realizează cu titlu gratuit.

La articolul 9 se reglementează faptul că, pentru înființarea, funcționarea, organizarea și dezvoltarea CRISCE, se înfiinţează pe lângă Ministerul Energiei o activitate finanţată integral din venituri proprii.

Veniturile proprii ale activității prevăzute la alin. (1) se constituie din contravaloarea în lei a sumelor primite din prestarea serviciilor de securitate cibernetică prestate în temeiul art. 8, precum şi din dobânzile prevăzute la art. 8 alin. (4¹) din Ordonanța de urgență a Guvernului nr. 60/2022, aprobată cu completări prin Legea nr. 376/2023, cu modificările și completările ulterioare, şi virate în contul de venituri al activităţii deschis la Activitatea de Trezorerie şi Contabilitate Publică a Municipiului Bucureşti pe numele Ministerului Energiei şi se aprobă la o subdiviziune distinctă de venituri bugetare şi se înregistrează ca venituri ale bugetului respectiv la data transferului sumelor în lei în contul de trezorerie.

Cheltuielile aferente îndeplinirii activităţii se suportă și din veniturile proprii. Bugetul de venituri şi cheltuieli pentru activitatea finanţată integral din venituri se întocmeşte la venituri pe surse de provenienţă, iar la cheltuieli după natura şi destinaţia acestora, potrivit clasificaţiei bugetare și se aprobă în anexă distinctă la bugetul Ministerului Energiei. Excedentul anual rezultat din execuţia bugetului de venituri şi cheltuieli se reportează în anul următor şi se utilizează cu aceleaşi destinaţii.

Articolele 10 și 11 din proiectul de ordonanță de urgență aduc soluții legislative fundamentale pentru protejarea datelor, confidențialității și drepturilor persoanelor implicate în colectarea, prelucrarea și transmiterea datelor necesare pentru îndeplinirea atribuțiilor CRISCE, în conformitate cu cadrul european și național de protecție a datelor cu caracter personal. Aceste soluții sunt esențiale pentru a asigura o implementare conformă cu normele UE și respectarea drepturilor fundamentale, consolidând funcționarea eficientă și responsabilă a CRISCE.

Prezentul proiect de act normativ propus vizează și consolidarea și clarificarea cadrului juridic aferent gestionării și utilizării fondurilor alocate României prin Fondul pentru modernizare. Propunerea de modificare are ca scop principal asigurarea unei implementări eficiente a proiectelor finanțate prin acest fond, ținând cont de provocările practice întâlnite de beneficiari, precum și de necesitatea unei gestiuni clare și transparente a resurselor financiare.

Articolul 13 din proiectul de Ordonanță de urgență reglementează modificările și completările aduse Ordonanței de Urgență a Guvernului nr. 60/2022, care stabilește cadrul instituțional și financiar pentru implementarea și gestionarea fondurilor alocate României prin Fondul pentru modernizare.

O modificare importantă este aceea prin care se introduce posibilitatea finanțării tuturor cheltuielilor administrative necesare pentru înființarea, organizarea și funcționarea Centrului de Răspuns la Incidente de Securitate Cibernetică în Energie (CRISCE).

Această soluție legislativă a fost adoptată din considerente practice și juridice care derivă din necesitatea de a asigura resurse suficiente și sigure pentru administrarea și gestionarea eficientă a Fondului pentru modernizare, dar și pentru consolidarea capacităților de securitate cibernetică în sectorul energetic, inclusiv pentru rețelele și sistemele informatice rezultate din proiectele finanțate prin Fondul pentru Modernizare. În contextul tranziției energetice și al interconectării rețelelor energetice la nivel european, protecția împotriva riscurilor cibernetice este esențială pentru stabilitatea și siguranța acestor sisteme. Astfel, alocarea unui procent din fondurile Fondului pentru modernizare pentru cheltuielile administrative necesare funcționării CRISCE vine ca o măsură de suport pentru a proteja infrastructurile energetice critice de potențiale atacuri cibernetice și de alte amenințări cibernetice emergente, ca parte a politicii naționale de patriotism energetic.

Proiectul de act normativ prevede introducerea unei derogări limitate pentru Ministerul Energiei de la aplicabilitatea unor prevederi din capitolul III al Legii nr. 296/2023, este fundamentată pe specificitatea și urgența nevoilor asociate înființării, organizării și funcționării CRISCE. Această modificare este indispensabilă pentru a asigura îndeplinirea obligațiilor naționale și internaționale ale României în domeniul securității cibernetice și pentru a proteja infrastructurile critice din sectorul energetic. Spre deosebire de derogările generale incluse în Legea nr. 296/2023 pentru alte instituții, modificarea propusă prin proiectul de act normativ limitează aplicabilitatea derogării exclusiv la activitățile aferente înființării, organizării și funcționării CRISCE. Scopul acestei derogări este de a permite centrului să funcționeze la parametrii necesari pentru protejarea infrastructurilor critice și pentru integrarea în rețelele internaționale de cooperare cibernetică. CRISCE va fi prima structură sectorială de acest tip din România dedicată exclusiv securității cibernetice a sectorului energetic, un domeniu esențial pentru siguranța națională.

Funcționarea eficientă a centrului necesită un regim juridic special care să asigure:

1. a) Alocarea resurselor financiare și umane necesare, fără constrângeri financiare disproportionate.
2. b) Flexibilitatea operațională pentru a răspunde rapid și eficient amenințărilor cibernetice.
3. c) Integrarea cu sisteme internaționale de monitorizare și prevenire a incidentelor cibernetice.

Sectorul energetic este unul dintre cele mai expuse atacurilor cibernetice, fiind țintă pentru atacuri complexe care vizează infrastructuri critice precum sistemele SCADA și ICS. Lipsa resurselor necesare și a capacităților specifice de răspuns ar expune România la riscuri semnificative, inclusiv:

1. a) Întreruperi ale furnizării de energie electrică sau gaze naturale.
2. b) Prejudicii financiare majore pentru operatorii economici din domeniu.
3. c) Vulnerabilități la nivel național, cu impact asupra stabilității economice și sociale.

CRISCE va avea un rol crucial în prevenirea și gestionarea acestor riscuri, dar pentru a-și îndeplini atribuțiile, derogarea de la prevederile din capitolul III – Măsuri de disciplină economico-financiară, cu excepţia art. XXIV, XXVI şi XXVII, prin modificarea Alineatului (3) al articolului LXXVI din Legea nr. 296/2023 privind unele măsuri fiscal-bugetare pentru asigurarea sustenabilității financiare a României pe termen lung, este esențială.

Directiva NIS2 impune statelor membre să asigure funcționarea unor structuri sectoriale capabile să protejeze infrastructurile critice de atacurile cibernetice. Derogarea propusă sprijină alinierea legislației naționale cu aceste cerințe prin:

1. a) Permisiunea de a aloca resursele necesare pentru achiziționarea de echipamente și tehnologii specifice (platforme de threat intelligence, firewall-uri avansate, soluții de criptare).
2. b) Acordarea unor drepturi salariale competitive pentru a atrage personal cu înaltă calificare.
3. c) Permisiunea integrării rapide în rețelele internaționale de cooperare, care impun standarde tehnice și operaționale ridicate.

În contextul proiectului de act normativ privind înființarea, organizarea și funcționarea Centrului de Răspuns la Incidente de Securitate Cibernetică în Energie (CRISCE), derogarea de la prevederile art. I-II, IV, VII și XV din Ordonanţa de urgenţă nr. 156/2024 privind unele măsuri fiscal-bugetare în domeniul cheltuielilor publice pentru fundamentarea bugetului general consolidat pe anul 2025, pentru modificarea şi completarea unor acte normative, precum şi pentru prorogarea unor termene este fundamentată pe specificitatea atribuțiilor și nevoilor critice ale CRISCE. Această derogare este indispensabilă pentru asigurarea funcționării eficiente a centrului, în contextul protecției infrastructurilor critice energetice și respectării angajamentelor internaționale în domeniul securității cibernetice.

În plus, completarea articolului IV alin. (3) din OUG nr. 156/2024 se corelează cu modificările aduse OUG nr. 60/2022, asigurând cadrul necesar pentru limitarea cheltuielilor suplimentare și acordarea stimulentelor financiare personalului implicat în gestionarea fondurilor. Această măsură reflectă necesitatea de a recompensa performanța și eficiența în administrarea fondurilor externe nerambursabile.

Raportul anual al DNSC pe anul 2024 a concluzionat că nivelul general al amenințării cibernetice în România este unul ridicat, potențat cu precădere de intensificarea atacurilor de acest tip ca parte a războiului hibrid purtat de Federația Rusă împotriva Ucrainei din anul 2022. Aceste operațiuni, derulate de hacktiviști pro-ruși și grupări APT (Advanced Persistent Threat) statale și non-statale, au vizat instituții guvernamentale, precum și operatori din sectoare critice: energetic, financiar, transporturi, telecomunicații și sănătate, atât în Ucraina cât și la nivel european.

Conform DNSC, sectorul energetic este un obiectiv prioritar al atacurilor cibernetice, urmărindu-se perturbarea infrastructurilor IT și tehnologie operațională (OT), precum și obținerea de beneficii financiare. În anul 2024, se remarcă următoarele incidente la nivel sectorial:

–           Atacul de tip ransomware asupra societăților din grupul Electrica S.A., notificat către DNSC șa data 9 decembrie 2024, cu un impact major asupra serviciilor de furnizare și distribuție a energiei electrice, afectând un număr de peste 800 de servere și 4000 de stații de lucru la nivelul sucursalelor București, Ploiești, Brașov și Cluj;

–           Atacuri de tip DDoS (Distributed Denial of Service) de proveniență rusească asupra Rompetrol și Mol România.

În scopul îmbunătățirii capacității de prevenție și răspuns în domeniul securității energetice în sectorul energetic, DNSC a sprijinit Ministerul Energiei în elaborarea actului normativ pentru înființarea unui CSIRT sectorial, CRISCE fiind rezultatul acestui proces.

Incidentele recente la nivel regional și național au demonstrat că infrastructura critică este vulnerabilă la atacuri sofisticate, iar protecția acesteia necesită o abordare cuprinzătoare și integrată, care să includă tehnologie avansată, politici de securitate riguroase și cooperare între diferitele părți interesate.

Între incidentele recente iterăm că, în data de 9 decembrie 2024 Societatea Distribuție Energie Electrică România (DEER), parte a Grupului Electrica, a fost ținta unui atac cibernetic de tip ransomware, evidențiind vulnerabilitățile semnificative ale infrastructurii energetice naționale în fața amenințărilor cibernetice avansate. Atacul a vizat criptarea datelor din sistemele informatice ale companiei, cu scopul de a solicita o răscumpărare pentru deblocarea acestora.

Sectorul energetic trebuie să fie pregătit să facă față unor amenințări cibernetice complexe și în continuă evoluție. Implementarea unor măsuri de securitate cibernetică riguroase și cooperarea internațională sunt esențiale pentru protejarea acestui sector critic împotriva atacurilor sofisticate și persistente.