România face un pas important în direcția consolidării securității cibernetice în sectorul energetic, odată cu o propunere legislativă care vizează completarea Legii energiei (Legea nr. 123/2012). Inițiativa, depusă recent în Parlament de un grup de parlamentari PSD, urmărește introducerea unor norme clare privind protecția infrastructurilor energetice critice împotriva atacurilor informatice și a riscurilor legate de lanțurile de aprovizionare.
Proiectul de lege vine într-un context internațional în care infrastructurile energetice au devenit ținte frecvente ale atacurilor cibernetice. Pe fondul digitalizării accelerate a sistemelor de control și monitorizare, vulnerabilitățile IT pot duce nu doar la pierderi economice, ci și la întreruperi majore în alimentarea cu energie. Inițiatorii susțin că România trebuie să alinieze legislația națională la standardele europene privind securitatea cibernetică și protecția datelor, în special în ceea ce privește instalațiile de energie regenerabilă.
Noi obligații pentru producătorii și investitorii din energie
Proiectul de modificare a Legii energiei propune introducerea unor dispoziții specifice privind securitatea datelor și a comunicațiilor utilizate în exploatarea instalațiilor de producere a energiei. Astfel, operatorii și investitorii vor trebui să respecte norme stricte privind protecția informațiilor tehnice și controlul operațional al echipamentelor.
De asemenea, licitațiile organizate pentru capacități noi de energie regenerabilă vor include criterii de precalificare cibernetică , menite să evalueze măsurile de securitate implementate de ofertanți. Acestea vor acoperi aspecte precum:
- securitatea infrastructurii IT și a comunicațiilor (TIC);
- gestionarea riscurilor din lanțul de aprovizionare;
- protecția datelor sensibile și confidențialitatea informațiilor;
- capacitatea de reacție în caz de incident cibernetic.
Un alt punct important prevede că datele privind exploatarea instalațiilor de energie regenerabilă nu vor putea fi stocate sau procesate în afara Spațiului Economic European (SEE) . Scopul este de a evita ca operatorii străini sau guvernele din alte jurisdicții să poată accesa informații critice despre sistemele energetice românești.
În cazul în care un ofertant se află sub jurisdicția unei țări terțe care impune raportarea vulnerabilităților software sau hardware, acesta va fi obligat să furnizeze un plan de securitate cibernetică justificat, care să demonstreze cum asigură protecția datelor și controlul operațional în interiorul SEE.
Controversa legată de controlul la distanță al instalațiilor regenerabile
Cea mai controversată prevedere din proiect se referă la posibilitatea ca Directoratul Național de Securitate Cibernetică (DNSC) să poată controla și, în cazuri justificate, opri de la distanță funcționarea instalațiilor de producere a energiei regenerabile.
Măsura este justificată, potrivit inițiatorilor, de necesitatea de a menține stabilitatea sistemului energetic național (SEN) în situații de risc major sau atacuri informatice asupra infrastructurii energetice. Totuși, prevederea a stârnit reacții puternice în rândul prosumatorilor – cetățeni și firme care produc energie electrică din surse proprii, cum sunt panourile fotovoltaice.
Asociația Prosumatorilor și Comunităților de Energie din România (APCE) avertizează că o astfel de lege ar crea precedentul unui control guvernamental direct asupra echipamentelor private . Conform APCE, „statul ar putea opri sau limita producția instalațiilor fotovoltaice conectate la rețea, prin internet sau printr-o interfață software, fără acordul proprietarului”, o măsură pe care asociația o consideră neconstituțională și contrară principiilor pieței libere.
Dezbaterea a devenit astfel una de echilibru între necesitatea securității cibernetice și dreptul la proprietate și autonomie energetică . Specialiștii în domeniu subliniază că o eventuală soluție ar trebui să prevadă garanții clare privind utilizarea controlului de la distanță doar în situații excepționale, cu transparență totală și sub supraveghere instituțională.
România, în pas cu politicile europene de securitate energetică
Inițiativa legislativă se aliniază la recomandările Uniunii Europene din Actul privind Industria Net Zero (The Net Zero Industry Act) , care prevede ca producția de energie curată să fie însoțită de garanții privind securitatea digitală și controlul operațional local. Totodată, proiectul face parte dintr-un efort mai amplu de modernizare a cadrului legislativ național, în contextul implementării rețelelor inteligente, al creșterii numărului de prosumatori și al extinderii digitalizării în domeniul energetic.
Prin aceste măsuri, România ar putea deveni unul dintre primele state din regiune cu o legislație explicită privind cybersecurity-ul energetic , oferind un cadru clar pentru prevenirea atacurilor informatice asupra infrastructurilor critice.
Totuși, pentru ca prevederile să intre în vigoare, proiectul trebuie adoptat de Parlament, promulgat de președintele României și publicat în Monitorul Oficial. Până atunci, dezbaterea rămâne deschisă: cum poate fi garantată securitatea rețelei energetice naționale fără a limita drepturile celor care investesc în energie verde?