Infrastructurile critice naționale, definite ca sisteme, instalații, dispozitive a căror funcționare este esențială pentru securitatea cetățenilor, pentru economia națională, pentru funcționarea statului, reprezintă obiective prioritare pentru protecția cibernetică modernă. Cadrul juridic principal, oferit de Ordonanța de Urgență a Guvernului 98/2010 privind identificarea, desemnarea și protecția infrastructurilor critice (transpunând Directiva UE 2008/114/CE), alături de OUG 155/2024 pentru transpunerea Directivei NIS2, oferă infrastructura instituțională modernă. România a identificat aproximativ 200 obiective de infrastructură critică națională, plus contribuții la lista europeană. Sectoarele prioritare cuprind energia, transportul, sistemul financiar, sănătatea, infrastructura digitală, sistemul de apă potabilă, alimentar, comunicații electronice. Articolul de față oferă o trecere în revistă a acestor componente, alături de cadrele de protecție și de provocările contemporane.
(a) CADRUL JURIDIC ȘI IDENTIFICARE
Cadru juridic principal
OUG 98/2010, OUG 155/2024 (NIS2)
Directiva UE de bază
2008/114/CE și NIS2
Infrastructuri critice naționale
Aproximativ 200 obiective identificate
Sectoare prioritare
Energie, transport, finanțe, sănătate, IT, apă
Autorități competente NIS2
DNSC pentru cibernetic, ministere sectoriale
Operatori energetici critici
Transelectrica, Transgaz, OMV Petrom, alte
Operatori transport critici
CFR Călători, CFR Marfă, aeroporturi, porturi
Banca centrală
BNR (sistemul de plăți și clearing)
Spitale critice
Aproximativ 30 spitale strategice naționale
Operatori cloud
Atribute interne și externe cu cerințe specifice
Atacuri cibernetice majore documentate
26 spitale (2024), Rompetrol, Electrica
Standarde tehnice
ISO 27001, IEC 62443, NIST CSF
Programe modernizare 2026-2030
Investiții cumulate peste 1 miliard euro
Cooperare europeană
CER (Critical Entities Resilience), NIS2
Cadrul juridic al protecției infrastructurilor critice s-a dezvoltat gradual din 2008-2010. Directiva UE 2008/114/CE privind identificarea și desemnarea infrastructurilor critice europene, prima reglementare structurată la nivel UE, a oferit cadrul european inițial. OUG 98/2010, care a transpus în România această directivă, a stabilit cadrele naționale pentru identificarea, desemnarea, protecția infrastructurilor critice. Directiva NIS2 (2022), transpusă prin OUG 155/2024, a extins substanțial cadrele la mai multe sectoare. Aceste cadre cumulate oferă infrastructura juridică modernă.
Procesul de identificare a infrastructurilor critice naționale se face prin Hotărâri ale Guvernului, la propunerile ministerelor sectoriale (Ministerul Energiei, Ministerul Transporturilor și Infrastructurii, Ministerul Sănătății, Ministerul Finanțelor, alte structuri), cu avizul DNSC pentru componenta cibernetică, cu coordonarea Centrului de Coordonare Operativă Antiterorist (CCOA) al SRI pentru componenta antiteroristă. Lista, clasificată în detalii operative, cuprinde aproximativ 200 obiective la nivel național. Operatorii (publici și privați), au obligații specifice de protecție și raportare.
Distincția între infrastructuri critice naționale și cele europene reflectă cadrele cumulate. Infrastructurile critice naționale, identificate prin cadre românești, oferă protecția primordială. Infrastructurile critice europene, identificate la nivel UE cu impact transfrontalier (cum sunt magistrale energetice, infrastructuri de transport pan-europene, sisteme financiare cu acoperire europeană), oferă cadre suplimentare. România contribuie la lista europeană prin obiective specifice (cum sunt Conpet pentru transport produse petroliere, Transelectrica pentru transport electricitate cu interconexiuni transfrontaliere, infrastructura coridoarelor TEN-T pentru transport).
(b) SECTORUL ENERGETIC
Componente principale
Sectorul energetic reprezintă cea mai sensibilă componentă a infrastructurilor critice. Componente principale cuprind: rețele de transport electricitate (operate de Transelectrica SA, companie de stat cotată la BVB), conducte de transport gaz (operate de Transgaz SA, companie de stat cotată la BVB), conducte de transport petrol (operate de Conpet SA, companie de stat), centrale energetice (Hidroelectrica, Nuclearelectrica, alte companii), rafinării (Petrom, Rompetrol, Lukoil), depozite strategice (cu rezerve obligatorii de petrol și de gaz). Aceste componente cumulate susțin economia națională.
Cazurile Rompetrol și Electrica
Cazul atacului cibernetic asupra Rompetrol din 2023, atribuit grupului Hive (ransomware criminal), a paralizat temporar operațiunile companiei, demonstrând vulnerabilitatea sectorului. Atacurile asupra Electrica Distribuție (operator de distribuție electricitate cu peste 4 milioane consumatori), au generat preocupări strategice. Răspunsul instituțional, prin cooperarea DNSC, autorităților competente, sectorului privat, a oferit cadre de recuperare. Lecții acumulate au generat reforme operative consolidate.
Protecție consolidată NIS2
Protecția cibernetică a sectorului energetic, cu cerințe ample prin OUG 155/2024 (transpunere NIS2), cere investiții semnificative ale operatorilor. Componente cuprind: segregarea rețelelor IT (information technology) de cele OT (operational technology), monitorizare continuă cu sisteme SIEM (Security Information and Event Management), managementul accesului privilegiat (PAM), planuri de continuitate a operațiunilor, exerciții periodice de simulare. Cooperarea cu ENISA (European Union Agency for Cybersecurity) pentru standarde sectoriale, cu Energy Information Sharing and Analysis Center (E-ISAC), oferă cadre europene.
(c) SECTORUL FINANCIAR
BNR și sistemul bancar
Sectorul financiar, considerat cel mai matur sector pe zona cybersecurity conform analizei DNSC, integrează cadre consolidate de protecție. Banca Națională a României (BNR), instituția centrală, operează sisteme critice (sistemul de plăți și clearing ReGIS - Real-time Gross Settlement System, sistemul SaFIR pentru titluri de stat). Sistemul bancar comercial (cu Banca Transilvania, BCR-Erste, BRD-Société Générale, Raiffeisen Bank România, ING Bank România, alte 30+ bănci), oferă cadre instituționale extinse.
Regulamentul DORA
Cadrele europene specifice oferă cerințe consolidate pentru sectorul financiar. Regulamentul UE DORA (Digital Operational Resilience Act, adoptat 2022, aplicabil din 17 ianuarie 2025), oferă cerințe specifice pentru reziliența operațională digitală a entităților financiare. DORA acoperă mai multe categorii: bănci, firme de investiții, asigurători, fonduri de investiții, gestori de active, infrastructuri ale piețelor financiare, furnizori critici de servicii IT terți. Cerințele includ: managementul riscurilor IT, gestiunea incidentelor, testarea operațională, gestiunea furnizorilor terți.
Cooperare europeană
Cooperarea cu Banca Centrală Europeană (BCE), cu European Banking Authority (EBA), cu European Securities and Markets Authority (ESMA), oferă cadre europene. Schimburi de informații tactice între băncile centrale (cu cooperarea BNR în rețeaua europeană), exerciții comune de simulare, cadre standardizate de raportare, oferă cadre operative. Sectorul bancar român, cu maturitate operațională recunoscută, oferă model pentru alte sectoare. Atacuri cibernetice asupra sectorului bancar, deși periodice, sunt frecvent contracarate cu eficiență.
(d) SĂNĂTATE ȘI ADMINISTRAȚIE
Atacul ransomware 26 spitale 2024
Sectorul sănătății, identificat de DNSC ca având cele mai semnificative provocări de cybersecurity, cere investiții accelerate. Atacul ransomware din 2024 asupra a 26 spitale românești, cu utilizarea malware-ului Phobos (atribuit grupurilor criminale), a paralizat temporar serviciile medicale. Sistemele afectate au inclus: dosare electronice ale pacienților, sisteme de programări, sisteme de stocare a rezultatelor analizelor medicale, sisteme administrative. Răspunsul instituțional, prin cooperarea Ministerului Sănătății, DNSC, Casa Națională de Asigurări de Sănătate, a oferit cadre de recuperare graduale.
Reforme acumulate
Lecții acumulate au generat reforme operative substanțiale. Programe specifice de formare pentru personalul tehnic medical, alocări bugetare crescute pentru cybersecurity (cu țintă 5-10% din bugetul IT al spitalelor mari), implementarea sistemelor de backup imutabile, exerciții periodice, oferă cadre de protecție consolidate. Cooperarea cu Asociația Spitalelor din România, cu Casa Națională de Asigurări de Sănătate, cu sectorul privat IT specializat în sănătate, oferă cadre.
Administrație publică
Administrația publică, sector cu provocări specifice, beneficiază de programe consolidate. Cooperarea cu Autoritatea pentru Digitalizarea României (ADR), cu STS pentru comunicațiile securizate ale instituțiilor publice, oferă cadre instituționale. Implementarea sistemelor moderne (cu cloud guvernamental sigur, cu autentificare biometrică pentru funcționari, cu sisteme de management al identității digitale), oferă cadre tehnice. Provocări structurale (cu fragmentarea sistemelor moștenite, cu resurse limitate, cu deficitul de personal IT specializat), cer reforme continue.
(e) COOPERAREA INTERINSTITUȚIONALĂ
Coordonare DNSC, ministere, servicii
Cooperarea interinstituțională pentru protecția infrastructurilor critice integrează multiple structuri. DNSC ca autoritate cibernetică civilă centrală, ministerele sectoriale (Energie, Transporturi, Sănătate, Finanțe, alte structuri), CCOA al SRI pentru componenta antiteroristă, CAC al MApN pentru componenta militară, STS pentru comunicații securizate, Inspectoratul General pentru Situații de Urgență (IGSU) pentru răspunsul la crize, oferă cadre integrate. Protocoale specifice între aceste structuri reglementează cooperarea operativă.
Cooperare cu operatorii
Cooperarea cu operatorii infrastructurilor (publici și privați) oferă cadre operative. Reuniuni periodice ale autorităților cu operatorii, programe comune de evaluare a vulnerabilităților, exerciții comune de simulare (cu profil tehnic, decizional, comunicațional), oferă cadre. Atestarea auditorilor specializați (cu acreditare prin DNSC), autorizarea furnizorilor de servicii (cu cadre certificare europene), oferă cadre profesionale. Cooperarea cu sectorul privat IT specializat pe protecția infrastructurilor critice, oferă cadre tehnice.
Cooperare europeană prin CER, ENISA, ECCC
Cooperarea europeană prin programe specifice oferă cadre suplimentare. CER (Critical Entities Resilience Directive, Directiva UE 2022/2557 adoptată decembrie 2022), oferă cadre europene pentru rezistența entităților critice. ENISA, prin programe sectoriale, oferă orientări tehnice. European Cybersecurity Skills Framework (ECSF), oferă cadre pentru formarea profesioniștilor. Cooperarea cu Centrul European pentru Competențe Cibernetice (ECCC) cu sediul la București, oferă cadre românești unice de coordonare europeană.
(f) PERSPECTIVE 2026-2030
Implementare NIS2 și CER
Perspectivele protecției infrastructurilor critice pentru intervalul 2026-2030 sunt configurate de implementarea cadrelor NIS2 și CER. Conformitatea efectivă a operatorilor (cu obiectivul de a atinge aproximativ 100% până 2027-2028), reprezintă obiectivul operativ principal. Investiții cumulate ale operatorilor estimate peste 1 miliard euro pentru intervalul, oferă cadre tehnice. Programe specifice pentru sectoarele cu provocări mai semnificative (sănătate, IMM-uri din transport și alimentar), oferă cadre dedicate.
Adaptare tehnologii noi
Adaptarea la noile tehnologii reprezintă direcție prioritară. Inteligența artificială pentru detectarea automată a anomaliilor, sisteme avansate SIEM, criptografia post-cuantică pentru pregătirea epocii post-cuantice, oferă cadre tehnologice. Cooperarea cu ECCC București, cu programe europene specifice, oferă cadre cumulative. Programe naționale de cercetare-dezvoltare (prin Ministerul Cercetării, Inovării și Digitalizării), prin programe europene Horizon Europe, oferă finanțare. Aceste investiții vor consolida substanțial cadrele tehnice.
Sistem matur 2030
Pe orizont lung, viziunea conturează un sistem național matur de protecție a infrastructurilor critice, integrat profund cu cadrele europene, capabil să răspundă spectrului divers al amenințărilor secolului 21. Către 2030, conformitatea NIS2 va fi efectivă pentru aproape toate organizațiile vizate. Cooperarea consolidată între DNSC, sector privat IT, mediul academic, instituțiile aliate, va oferi cadre durabile. Această dimensiune oferă fundamentul rezilienței naționale în fața amenințărilor cibernetice și hibride continue.
Infrastructura digitală reprezintă sector cu importanță strategică crescătoare. Componente principale cuprind: centre de date naționale (cu proiectul Cloud Guvernamental dezvoltat de STS, oferind cadre pentru instituțiile publice), operatori de telecomunicații (Orange România, Vodafone România, Telekom România cu noul proprietar Digi, RCS-RDS Digi), furnizori de servicii cloud locali (Bitdefender Cloud, alți operatori), platforme DNS și CDN naționale. Aceste componente, deși cu implicare predominant a sectorului privat, oferă fundamentul infrastructurii digitale naționale.
Sectorul apei potabile și sanitației, deși cu profil tehnic mai modest, reprezintă infrastructură critică cu impact direct asupra populației. Operatorii principali (Apa Nova București, ARN București, Acvarom Cluj-Napoca, ACET Suceava, RAJA Constanța, alte structuri), oferă servicii esențiale pentru aproximativ 14 milioane locuitori. Sisteme SCADA (Supervisory Control and Data Acquisition), utilizate masiv în acest sector, prezintă vulnerabilități cibernetice specifice. Atacuri cibernetice asupra Administrației Naționale Apele Române, raportate de DNSC ca incident semnificativ, au evidențiat aceste provocări. Programe specifice de modernizare a sistemelor SCADA, prin proiecte UE și prin fonduri naționale, oferă cadrele de remediere.
SURSE PRINCIPALE
● OUG 98/2010 (transpunere Directiva UE 2008/114/CE).
● OUG 155/2024 (transpunere Directiva NIS2).
● Directiva UE 2022/2557 (CER, Critical Entities Resilience).
● Regulamentul UE DORA (aplicabil din 17 ianuarie 2025).
● ENISA (European Union Agency for Cybersecurity), Atena și Heraklion.
● Atac ransomware 26 spitale 2024 (malware Phobos).
● Atac ransomware Rompetrol (2023, atribuit Hive).
● Transelectrica, Transgaz, Conpet (operatori energetici critici).
● BNR (sistemele ReGIS, SaFIR).
● Centrul European Competențe Cibernetice (ECCC), București.
● Energy Information Sharing and Analysis Center (E-ISAC).
● European Cybersecurity Skills Framework (ECSF), ENISA.