Sari la conținutul principal
Toate articolele
Studii de caz 2026-06-05 · 10 min

Studiu de caz — companie de energie mijlocie: parcursul spre conformare

Scris de Adrian P. — expert cu 31+ audituri NIS la activ

O companie din sectorul energetic (Anexa 1, tipic esențială) pornește de la „nu am notificat” spre autoevaluare CyFun transmisă. Iată cronologia, blocajele OT/SCADA și deciziile care au contat.

Punctul de plecare

Acest studiu de caz descrie parcursul tipic al unei companii din sectorul energetic. Energia este în Anexa 1 — sector de importanță critică ridicată — iar o entitate mijlocie/mare de aici este, tipic, entitate esențială, cu nivel de risc ridicat. Punctul de plecare era cel mai frecvent: notificarea către DNSC nu fusese transmisă, iar termenul original expirase.

Prioritatea zero a fost, deci, notificarea retroactivă — pentru că întârzierea acumulează risc contravențional (până la 500.000 lei) și blochează pașii următori. Fără ea, nimic altceva nu putea începe oficial.

Blocajul specific: OT/SCADA

Provocarea distinctivă a sectorului energetic e mediul OT/SCADA — sistemele care controlează producția, transportul și distribuția. Aici apar constrângeri pe care IT-ul clasic nu le are: sisteme ICS/SCADA legacy, greu de actualizat fără a opri producția; cerințe de disponibilitate 24/7 care limitează ferestrele de mentenanță; convergența IT/OT care lărgește suprafața de atac.

Abordarea practică a fost segmentarea și monitorizarea sistemelor OT, plus controale de tip IEC 62443 pe lanțul de automatizare industrială — fără a atinge continuitatea furnizării.

Cronologia, în ordinea termenelor

După notificare și decizia DNSC, au urmat pașii în secvența lor legală: desemnarea responsabilului cu securitatea (30 de zile), evaluarea de risc ENIRE (60 de zile) — care a confirmat nivelul ridicat de risc — și autoevaluarea de maturitate CyFun corespunzătoare (60 de zile de la ENIRE).

Fiind entitate esențială, autoevaluarea a fost urmată de un plan de măsuri pentru remediere (30 de zile), care a listat deficiențele față de pragurile-țintă, acțiunile și termenele asumate.

Deciziile care au contat

Trei decizii au făcut diferența. Prima: paralelizarea — CISO-ul și pregătirea ENIRE au fost demarate simultan în primele 30 de zile, nu secvențial, pentru a nu pierde termene. A doua: prioritizarea măsurilor-cheie obligatorii înaintea restului, pentru că sunt neexceptabile.

A treia: tratarea securității OT ca lanț de aprovizionare — furnizorii de echipamente și de mentenanță OT au fost incluși explicit în registrul de furnizori critici și în evaluarea de risc, nu lăsați în afara perimetrului.

Ce se traduce pentru companii similare

Lecția transferabilă: în sectoare cu OT (energie, dar și transport, apă), conformarea NIS 2 nu e o problemă pur IT. Ordinea termenelor, prioritizarea măsurilor-cheie și includerea furnizorilor OT sunt reperele care țin proiectul pe drum.

Cifrele exacte diferă de la companie la companie și rămân o estimare — doar DNSC stabilește oficial încadrarea și nivelul. Dacă activezi în energie, cel mai clar punct de plecare este pagina sectorială și o verificare a încadrării, din care se deschide întregul parcurs.

NIS 2 în sectorul energie
EnergieOT/SCADAAnexa IESENȚIAL

Nu ești sigur dacă NIS 2 ți se aplică?

Verifică-ți încadrarea și primești un cost orientativ în câteva minute — fără obligații.

Începe verificarea
NEWSLETTER

Primește pe e-mail ghidurile NIS 2 — 1-2 pe lună, fără spam

Articole practice despre încadrare, DNSC, CyFun și costuri. Direct în inbox.

Pregătit pentru conformitate reală?

Sună direct un expert cu peste 31 de audituri NIS la activ — iar dacă nu răspunde, revine el în maximum 24 de ore.