Autoritatea Națională de Reglementare în Domeniul Energiei (ANRE) dorește extinderea obligațiilor de securitate cibernetică către toate entitățile considerate „esențiale” sau „importante” în domeniul energiei electrice, nu doar către prosumatori, așa cum prevede în prezent propunerea legislativă aflată în dezbatere la Senat.
Instituția solicită ca normele să fie redactate în colaborare cu Directoratul Național de Securitate Cibernetică (DNSC) și ca ambele autorități să aibă rolul de a verifica echipamentele și sistemele informatice din sector.
Inițiativa ANRE vine ca reacție la o completare a Legii energiei propusă în toamna acestui an, care atribuie exclusiv DNSC responsabilitatea de a stabili reguli tehnice în domeniul securității IT, aplicabile în principal instalațiilor regenerabile mici și prosumatorilor.
Măsura a generat reacții ferme din partea Asociației Prosumatorilor și Comunităților de Energie, care a avertizat că formularea actuală ar putea permite statului să intervină direct asupra sistemelor fotovoltaice private.
ANRE cere formularea unor norme comune DNSC–ANRE și extinderea lor la toate entitățile „esențiale”
În avizul transmis Senatului, ANRE subliniază că proiectul de lege ignoră rolul său de autoritate sectorială în materie de securitate cibernetică, rol stabilit deja prin OUG 155/2024.
În consecință, instituția propune un nou articol în Legea energiei, prin care toate entitățile considerate „esențiale” sau „importante”, indiferent de tipul de producție sau de puterea instalată, să fie supuse acelorași norme comune de securitate cibernetică.
ANRE specifică faptul că aceste reguli ar trebui aplicate atât la achiziția de echipamente și modernizări, cât și la etapele de racordare și integrare în sistemele informatice.
În plus, instituția cere ca verificarea echipamentelor, platformelor software și sistemelor de control să fie realizată în comun cu DNSC, pentru a garanta conformitatea tehnică.
OUG 155/2024 definește o entitate ca fiind „esențială” sau „importantă” atunci când furnizează servicii critice, a căror întrerupere poate afecta siguranța publică, poate genera riscuri transfrontaliere sau are o importanță strategică la nivel național. ANRE subliniază că identificarea acestor entități reprezintă primul pas necesar pentru stabilirea ulterioară a setului de norme tehnice.
Discuții tensionate în Senat și preocupări privind impactul asupra prosumatorilor
Proiectul de lege a fost analizat în Comisia pentru Energie a Senatului, unde reprezentanții prosumatorilor au reclamat că actuala formă ar impune costuri uriașe pentru verificarea a peste 260.000 de prosumatori și aproximativ 330.000 de invertoare, provenind din zeci de mărci și mii de modele diferite. Ei consideră că responsabilitatea reală ar trebui să vizeze marile parcuri fotovoltaice, nu micii producători.
În prezent, România are peste 257.000 de prosumatori racordați, cu o putere instalată cumulată de peste 3.000 MW — echivalentul unei ponderi semnificative în raport cu consumul național de iarnă, care oscilează între 7.000 și 9.500 MW.
Tocmai această creștere rapidă justifică, în opinia ANRE, nevoia unor norme tehnice adaptate tuturor producătorilor, indiferent de dimensiune.
ANRE susține că protejarea infrastructurii IT din energie necesită o abordare unitară. Instituția indică necesitatea stabilirii unor standarde pentru firmware-urile echipamentelor, actualizări software verificate înainte de implementare și limitarea accesului unor actori din afara Spațiului Economic European la datele de producție și consum.
Inițiativa legislativă este susținută de 27 de parlamentari, în principal din PSD. În paralel, Consiliul Concurenței a cerut clarificări suplimentare, pentru a se stabili dacă normele propuse vizează toată energia regenerabilă, indiferent de puterea instalată.
Proiectul rămâne în analiza comisiilor de specialitate, după ce prima tentativă de adoptare a fost amânată în urma intervențiilor APCE și poziției ferme a ANRE.