Ministerul Energiei a pregătit proiectul de OUG pentru înfiinţarea Centrului de Răspuns la Incidente de Securitate Cibernetică

Ministerul Energiei a publicat în dezbatere publică proiectul de Ordonanţă de Urgenţă privind înfiinţarea şi operaţionalizarea Centrului de Răspuns la Incidente de Securitate Cibernetică în Energie. Înfiinţarea centrului este motivată prin faptul că sectorul energetic trebuie să fie pregătit să facă faţă unor ameninţări cibernetice complexe şi în continuă evoluţie, transmite news.ro. În document se arată că posturile necesare pentru operaţionalizarea centrului trebuie să fie de nivelul cel mai înalt posibil, din perspectiva experienţei şi performanţei în domeniul de specialitate, pentru a putea garanta succesul operaţiunilor de securitate cibernetică. Astfel, în ceea ce priveşte câştigurile, proiectul arată că, deşi în România piaţa securităţii cibernetice este relativ tânără şi nu conţine date statistice relevante, totuşi ”informaţiile statistice generale indică salarii medii care ating valori de 4.500-5.000 euro brut lunar”, dar ”în situaţiile în care se cere înaltă calificare şi competenţe avansate, salariile reale ajung frecvent la 13.000-20.000 euro brut lunar”.

Potrivit proiectului de act normativ, înfiinţarea centrului este necesară ”luând în considerare că atacurile cibernetice cresc în sectorul energetic, fiind de natură a opri producerea, furnizarea şi transportul de energie electrică, gaze naturale sau energie termică, fiind o situaţie extraordinară cu care se confruntă atât statul român cât şi partenerii europeni şi transatlantici”, potrivit sursei citate.

Autorii proiectului spun că liberalizarea pieţei energetice naţionale, fluctuaţia preţurilor şi prezenţa pe piaţa de capital a tot mai multor companii energetice constituie situaţia premisă de la care pleacă atacatorii cibernetici atunci când efectuează o operaţiune împotriva statului român, dar şi faptul că atacurile cibernetice pot influenţa chiar direct preţurile la energie şi stabilitatea Sistemului Electroenergetic Naţional şi influenţează indirect funcţionarea serviciilor publice şi a economiei naţionale, ambele fiind dependente de furnizarea energiei electrice şi termice,

Alte motive enumerate pentru înfiinţarea Centrului sunt: ”contextul creşterii riscurilor la adresa apărării şi securităţii naţionale a României, în contextul atacurilor cibernetice generate de războiul Federaţiei Ruse din Ucraina, care impune crearea unui Centru de Răspuns la Incidente de Securitate Cibernetică sectorial în energie, denumit în continuare CSIRT, capabil să sprijine efortul naţional şi interinstituţional de prevenire şi combatere a atacurilor cibernetice asupra companiilor şi infrastructurii energetice”.

Urgenţa adoptării OUG mai este justificată prin ”posibilitatea crescută a unui atac cibernetic multiplu, de natură a afecta elemente de infrastructură naţională din sectorul cibernetic, care ar crea panică în rândul populaţiei civile, precum şi ar deteriora poziţia unor companii din sectorul energetic pe piaţa de capital, influenţând, în final, şi preţurile la energie”, dar şi ţinând cont că este imperativ necesară o consolidare a securităţii cibernetice a majorităţii companiilor de stat şi a operatorilor economici beneficiari ai proiectelor finanţate prin Fondul pentru Modernizare pentru a face faţă mai bine ameninţărilor cibernetice complexe şi avansate, precum şi a creşte conştientizarea importanţei securităţii cibernetice la nivel de sector.

Proiectul de OUG menţionează că înfiinţarea Centrului de Răspuns la Incidente de Securitate Cibernetică în Energie este esenţială pentru a asigura monitorizarea continuă, răspunsul prompt la incidente, investigaţiile forensic şi protecţia proprie împotriva atacurilor cibernetice, ca elemente ale politicii naţionale în domeniul energetic,

”Întrucât întârzierea punerii în aplicare a legislaţiei naţionale şi europene privind operaţionalizarea CSIRT în domeniul energetic a dus şi conduce la o vulnerabilizare a componentelor sistemului energetic în contextul ameninţărilor cibernetice actuale, drept pentru care se impune constituirea unui CSIRT sectorial, iar în lipsa acestuia, pagubele generate de atacurile cibernetice pot fi majore, cu consecinţe asupra preţului la energie”, se mai arată în proiect, care mai subliniază că România, în calitate de furnizor de energie electrică pentru Republica Moldova şi Ucraina, precum şi de furnizor de securitate la nivel regional, are obligaţia de a-şi consolida urgent securitatea cibernetică a sectorului energetic pentru a-şi prezerva acest statut şi a furniza pe viitor cunoaştere strategică şi altor sectoare şi state partenere.

De asemenea, posturile necesare pentru operaţionalizarea CRISCE trebuie să fie de nivelul cel mai înalt posibil, din perspectiva experienţei şi performanţei în domeniul de specialitate, pentru a putea garanta succesul operaţiunilor de securitate cibernetică.

În general, salariile de top în domeniul securităţii cibernetice pot atinge următoarele niveluri valorice:

- Pentru SUA: 242.000 dolari anual (respectiv 20.166 dolari brut/ lună sau 18.500 euro brut/lună);

- Pentru Canada: 216.000 dolari canadieni anual (respectiv 18.000 dolari canadieni brut/lună sau, respectiv 12.000 euro brut/lună);

- Pentru Elveţia: 180.000 euro pe an (respectiv 15.000 euro brut pe lună) ;

- Pentru Germania: 140.000 euro pe an (respectiv 11.666 euro brut pe lună);

- Pentru UK: 145.000 euro pe an (respectiv 12.083 euro brut pe lună).

Salariul unui manager/director de securitate cibernetică (CISO) atinge valori medii între 178.000 dolari brut anual şi 394.401 dolari brut annual.

”În România, piaţa securităţii cibernetice este relativ tânără şi nu conţine date statistice relevante, nici la nivel de surse deschise (în internet), nici la nivelul INS. Aceste două categorii de surse conţin informaţii despre un nivel mediu al salariilor raportate în piaţă, provenind în mod majoritar de la angajatori care utilizează salarii la nivelul pieţei muncii generale din România (cel mai adesea, aceşti angajatori au nevoie de îndeplinirea unor sarcini de rutină/ de nivel mediu, ci nu solicită performanţe şi creativitate ridicată, precum situaţia de la CRISCE). Astfel, informaţiile statistice generale indică salarii medii care ating valori de 4.500-5.000 euro brut lunar”, arată Nota de fundamentare.

Pe de altă parte, Inspecţia Muncii prin Inspectoratele Teritoriale de Muncă (ITM) , deşi deţine date concrete privind salariile, cel mai probabil că nu poate oferi o statistică relevantă per job-uri specializate în domeniul securităţii cibernetice, întrucât codurile COR din România nu au permis alocarea diferenţiată a angajaţilor pe posturi de specialitate în securitate cibernetică (în lipsa existenţei/definirii acestor specializări la nivelul COR), ci au condus la încadrarea specialiştilor de securitate cibernetică pe posturi din spectrul general al ocupaţiilor specifice tehnologiei informaţiei (astfel, mai relevantă ar fi analizarea în bazele de date ale ITM-urilor, a salariilor de top din subdomenii ale tehnologiei informaţiei în care angajatorii au încadrat cu preponderenţă specialiştii în securitate cibernetică, în ultimii ani).

Totodată, prezintă relevanţă şi salariile medii globale ale specialiştilor cu certificări de cel mai înalt nivel (aşa cum se doresc a fi şi posturile din CRISCE), respectiv:

- CISSP: 103.493 dolari brut anual în regiunea Europa;

- ISSAP: 129.671 dolari brut anual în regiunea Europa;

- ISSEP: 147.550 dolari brut anual în regiunea Europa;

- ISSMP: 144.173 dolari brut anual în regiunea Europa;

- SANS/GIAC-GSE: 189.000 dolari brut anual;

- SANS/GIAC-GSLC: 152.143 dolari brut anual;

- Six Sigma Master Black Belt: 169.170 dolari brut anual.

”În lumina datelor colectate şi a specificităţii domeniului securităţii cibernetice, mai ales în sectorul energetic, menţinerea unui nivel ridicat de salarizare pentru personalul CRISCE (Centrul de Răspuns la Incidente de Securitate Cibernetică în Energie) este esenţială şi justificată printr-o serie de argumente obiective, atât calitative, cât şi cantitative. Acestea depăşesc prevederile de drept comun ale Legii-cadru nr. 153/2017 privind salarizarea personalului plătit din fonduri publice, având în vedere exigenţele şi caracteristicile unice ale posturilor vizate. În primul rând, securitatea cibernetică, mai ales într-un sector strategic precum cel energetic, necesită angajarea unor specialişti cu înaltă competenţă, capabili să gestioneze incidente complexe şi să implementeze măsuri proactive de prevenţie, ce depăşesc cu mult cerinţele posturilor standard din alte domenii ale tehnologiei informaţiei. Potrivit datelor furnizate, salariile medii din domeniul securităţii cibernetice la nivel internaţional se situează la valori considerabile. De exemplu, un manager de securitate cibernetică poate ajunge la un venit anual brut între 178.000 dolari şi 394.401 dolari, ceea ce evidenţiază cererea globală pentru astfel de competenţe şi nevoia de a oferi pachete salariale competitive pentru a atrage şi reţine specialişti de top”, se menţionează în Nota de fundamentare.

Pentru a contextualiza în mod adecvat în cadrul pieţei româneşti, în document se subliniază că salariile medii din domeniul securităţii cibernetice raportate de surse generale nu reflectă realitatea specifică a cerinţelor pentru CRISCE.

”Astfel, salariile medii din România pentru specialiştii IT, adesea cu sarcini de rutină şi performanţă medie, se încadrează în intervalul de 4500-5000 euro brut lunar. Totuşi, în situaţiile în care se cere înaltă calificare şi competenţe avansate, salariile reale ajung frecvent la 13.000-20.000 euro brut lunar. De asemenea, instituţii internaţionale precum NATO şi UE externalizează servicii similare la tarife de 80-110 euro brut pe oră, adică între 13.440-18.480 euro brut lunar, subliniind astfel valoarea de piaţă a acestor competenţe. Situaţia actuală din domeniul securităţii cibernetice în sectorul energetic impune reglementarea unor regimuri derogatorii atât de la Codul Muncii, cât şi de la Legea nr. 153/2017 privind salarizarea personalului plătit din fonduri publice. Aceste derogări sunt fundamentate pe specificul activităţilor, necesitatea atragerii şi menţinerii personalului de înaltă specializare şi complexitatea ameninţărilor cibernetice care vizează infrastructurile critice naţionale”, mai arată Nota de fundamentare.

În acest context, personalul CRISCE trebuie să posede competenţe tehnice avansate, inclusiv certificări internaţionale (de exemplu, CISSP, CEH, GIAC), care nu pot fi asigurate prin mecanismele tradiţionale de recrutare şi salarizare prevăzute de legislaţia generală aplicabilă.

”Domeniul securităţii cibernetice este caracterizat de o cerere globală ridicată pentru specialişti calificaţi, ceea ce determină un nivel salarial semnificativ mai mare decât cel din alte sectoare. Salariile medii ale experţilor în securitate cibernetică în Europa variază între 8.000 şi 20.000 de euro brut lunar, depăşind cu mult plafonul stabilit de Legea nr. 153/2017. În lipsa unui regim salarial competitiv, CRISCE riscă să nu poată atrage şi reţine specialiştii necesari pentru îndeplinirea atribuţiilor critice, expunând astfel sectorul energetic unor riscuri inacceptabile. Derogarea de la prevederile legii-cadru şi stabilirea unor salarii conforme cu piaţa internaţională şi cu natura deosebit de specializată a activităţilor CRISCE reprezintă o necesitate obiectivă, care asigură atât competitivitatea, cât şi performanţa centrului. În absenţa unui astfel de nivel salarial, CRISCE riscă să piardă accesul la resurse umane critice, expunându-se vulnerabilităţilor în faţa unor ameninţări cibernetice care, prin natura lor, devin din ce în ce mai sofisticate şi periculoase”, se ma precizează în document.

Documentul prezintă şi situaţii de vulnerabilitate cibernetică a sectorului energetic. Astfel, raportul Agenţiei Uniunii Europene pentru Securitate Cibernetică (ENISA) privind vulnerabilităţile cibernetice la nivelul anului 2023 a reţinut că sectorul energetic este o ţintă prioritară pentru atacurile cibernetice, datorită infrastructurii critice şi impactului semnificativ pe care astfel de atacuri le pot avea asupra economiei şi securităţii naţionale.

Raportul Agenţiei Uniunii Europene pentru Securitate Cibernetică (ENISA) privind climatul ameninţărilor în domeniul cibernetic pe anul 2024 evidenţiază o proliferare notabilă a atacurilor cibernetice, stabilind noi repere în ceea ce priveşte numărul, varietatea şi consecinţele acestor incidente. Peisajul atacurilor cibernetice este puternic influenţat de contextul geopolitic la nivel regional şi global.

În cadrul raportului, se observă prezenţa unei vulnerabilităţi notabile a infrastructurii de bază, precum şi vizarea acestora drept ţinte de interes ale atacurilor cibernetice. De exemplu, gruparea de hacktivism pro-rus Cyber Army of Russia Reborn a lansat atacuri de tip DDoS asupra:

- Mai multor sisteme de alimentare cu apă din Statele Unite ale Americii, inclusiv cea mai mare companie de utilităţi de apă, American Water, în octombrie 2024;

- o staţie de ape uzate în Polonia în ianuarie 2024;

- un baraj hidroelectric în Franţa în martie 2024, conform unui video distribuit de această grupare;

”Acţiunile întreprinse de agenţiile de aplicare a legii, cum ar fi demantelarea infrastructurii grupurilor infracţionale cibernetice, subliniază importanţa cooperării internaţionale în combaterea ameninţărilor cibernetice. Astfel de acţiuni au contribuit la reducerea temporară a activităţilor unor grupuri cibernetice, deşi efectul pe termen lung asupra securităţii sectorului energetic încă nu poate fi estimat, deoarece depinde de fiecare stat, sector şi subsector cum îşi construieşte mecanismele instituţionale de prevenire şi combatere a atacurilor cibernetice. Aceste incidente de securitate cibernetică subliniază necesitatea unor măsuri robuste de securitate cibernetică în sectorul energetic. Este esenţială implementarea unor strategii proactive de apărare, inclusiv monitorizarea constantă, actualizarea continuă a sistemelor şi educarea personalului pentru a recunoaşte şi răspunde rapid la ameninţările cibernetice”, arată proiectul.

Raportul anual de activitate al Directoratului Naţional de Securitate Cibernetică (DNSC) pe anul 2024 (aprobat de Hotărârea CSAT nr. 77/30.06.2025) a concluzionat că nivelul general al ameninţării cibernetice în România este unul ridicat, potenţat cu precădere de intensificarea atacurilor de acest tip ca parte a războiului hibrid purtat de Federaţia Rusă împotriva Ucrainei din anul 2022. Aceste operaţiuni, derulate de hacktivişti pro-ruşi şi grupări APT (Advanced Persistent Threat) statale şi non-statale, au vizat instituţii guvernamentale, precum şi operatori din sectoare critice: energetic, financiar, transporturi, telecomunicaţii şi sănătate, atât în Ucraina cât şi la nivel european.

Conform DNSC, sectorul energetic este un obiectiv prioritar al atacurilor cibernetice, urmărindu-se perturbarea infrastructurilor IT şi tehnologie operaţională (OT), precum şi obţinerea de beneficii financiare.

În anul 2024, se remarcă următoarele incidente la nivel sectorial:

- Atacul de tip ransomware asupra societăţilor din grupul Electrica SA, notificat către DNSC şa data 9 decembrie 2024, cu un impact major asupra serviciilor de furnizare şi distribuţie a energiei electrice, afectând un număr de peste 800 de servere şi 4000 de staţii de lucru la nivelul sucursalelor Bucureşti, Ploieşti, Braşov şi Cluj;

- Atacuri de tip DDoS (Distributed Denial of Service) de provenienţă rusească asupra Rompetrol şi Mol România.

”În scopul îmbunătăţirii capacităţii de prevenţie şi răspuns în domeniul securităţii energetice în sectorul energetic, DNSC a sprijinit Ministerul Energiei în elaborarea actului normativ pentru înfiinţarea unui CSIRT sectorial, CRISCE fiind rezultatul acestui proces. Incidentele recente la nivel regional şi naţional au demonstrat că infrastructura critică este vulnerabilă la atacuri sofisticate, iar protecţia acesteia necesită o abordare cuprinzătoare şi integrată, care să includă tehnologie avansată, politici de securitate riguroase şi cooperare între diferitele părţi interesate”, relevă documentul.

Între incidentele recente, în data de 9 decembrie 2024 Societatea Distribuţie Energie Electrică România (DEER), parte a Grupului Electrica, a fost ţinta unui atac cibernetic de tip ransomware, evidenţiind vulnerabilităţile semnificative ale infrastructurii energetice naţionale în faţa ameninţărilor cibernetice avansate. Atacul a vizat criptarea datelor din sistemele informatice ale companiei, cu scopul de a solicita o răscumpărare pentru deblocarea acestora.

”Sectorul energetic trebuie să fie pregătit să facă faţă unor ameninţări cibernetice complexe şi în continuă evoluţie. Implementarea unor măsuri de securitate cibernetică riguroase şi cooperarea internaţională sunt esenţiale pentru protejarea acestui sector critic împotriva atacurilor sofisticate şi persistente”, mai arată acesta.

În cadrul exerciţiului paneuropean intitulat „Europa Cibernetică”, desfăşurat în luna iunie 2024, la care a participat şi Ministerul Energiei din România, menit să testeze gradul de pregătire în cazul unui atac cibernetic la scară largă asupra sectorului energetic european, exerciţiul a constatat că, la nivelul Ministerului Energiei, capacităţile de coordonare, de cooperare şi de gestionare a crizelor în evaluarea rezilienţa sectorului energetic prezintă vulnerabilităţi sistemice, cauzate primordial de faptul că nu există o structură responsabilă de securitatea cibernetică a ministerului, pe de-o parte, şi a sectorului energetic, pe de altă parte. Ultimul element prezintă o vulnerabilitate cu atât mai mare cu cât cadrul european şi naţional de reglementare în domeniul cyber security impun crearea şi operaţionalizarea unei structuri de securitate cibernetică la nivel sectorial, cu rol de CSIRT sectorial.

În document se mai arată că, până cel mai târziu la data de 13 decembrie 2024, fiecare stat membru al Uniunii Europene era obligat să desemneze o autoritate naţională guvernamentală sau de reglementare responsabilă cu îndeplinirea sarcinilor care îi sunt atribuite prin Regulamentul delegat (UE) 2024/1366 al Comisiei din 11 martie 2024 de completare a Regulamentului (UE) 2019/943 al Parlamentului European şi al Consiliului prin stabilirea unui cod de reţea privind normele sectoriale pentru aspectele legate de securitatea cibernetică a fluxurilor transfrontaliere de energie electrică, neimplementarea acestui regulament şi neoperaţionalizarea autorităţii competente generând vulnerabilităţi grave la adresa securităţii cibernetice din sectorul energetic românesc şi putând conduce la eventuale sancţiuni împotriva României pentru neaplicarea actelor legislative obligatorii ale UE.