Studiu de caz — companie de energie mijlocie: parcursul spre conformare
Scris de Adrian P. — expert cu 31+ audituri NIS la activ
O companie din sectorul energetic (Anexa 1, tipic esențială) pornește de la „nu am notificat” spre autoevaluare CyFun transmisă. Iată cronologia, blocajele OT/SCADA și deciziile care au contat.
Punctul de plecare
Acest studiu de caz descrie parcursul tipic al unei companii din sectorul energetic. Energia este în Anexa 1 — sector de importanță critică ridicată — iar o entitate mijlocie/mare de aici este, tipic, entitate esențială, cu nivel de risc ridicat. Punctul de plecare era cel mai frecvent: notificarea către DNSC nu fusese transmisă, iar termenul original expirase.
Prioritatea zero a fost, deci, notificarea retroactivă — pentru că întârzierea acumulează risc contravențional (până la 500.000 lei) și blochează pașii următori. Fără ea, nimic altceva nu putea începe oficial.
Blocajul specific: OT/SCADA
Provocarea distinctivă a sectorului energetic e mediul OT/SCADA — sistemele care controlează producția, transportul și distribuția. Aici apar constrângeri pe care IT-ul clasic nu le are: sisteme ICS/SCADA legacy, greu de actualizat fără a opri producția; cerințe de disponibilitate 24/7 care limitează ferestrele de mentenanță; convergența IT/OT care lărgește suprafața de atac.
Abordarea practică a fost segmentarea și monitorizarea sistemelor OT, plus controale de tip IEC 62443 pe lanțul de automatizare industrială — fără a atinge continuitatea furnizării.
Cronologia, în ordinea termenelor
După notificare și decizia DNSC, au urmat pașii în secvența lor legală: desemnarea responsabilului cu securitatea (30 de zile), evaluarea de risc ENIRE (60 de zile) — care a confirmat nivelul ridicat de risc — și autoevaluarea de maturitate CyFun corespunzătoare (60 de zile de la ENIRE).
Fiind entitate esențială, autoevaluarea a fost urmată de un plan de măsuri pentru remediere (30 de zile), care a listat deficiențele față de pragurile-țintă, acțiunile și termenele asumate.
Deciziile care au contat
Trei decizii au făcut diferența. Prima: paralelizarea — CISO-ul și pregătirea ENIRE au fost demarate simultan în primele 30 de zile, nu secvențial, pentru a nu pierde termene. A doua: prioritizarea măsurilor-cheie obligatorii înaintea restului, pentru că sunt neexceptabile.
A treia: tratarea securității OT ca lanț de aprovizionare — furnizorii de echipamente și de mentenanță OT au fost incluși explicit în registrul de furnizori critici și în evaluarea de risc, nu lăsați în afara perimetrului.
Ce se traduce pentru companii similare
Lecția transferabilă: în sectoare cu OT (energie, dar și transport, apă), conformarea NIS 2 nu e o problemă pur IT. Ordinea termenelor, prioritizarea măsurilor-cheie și includerea furnizorilor OT sunt reperele care țin proiectul pe drum.
Cifrele exacte diferă de la companie la companie și rămân o estimare — doar DNSC stabilește oficial încadrarea și nivelul. Dacă activezi în energie, cel mai clar punct de plecare este pagina sectorială și o verificare a încadrării, din care se deschide întregul parcurs.
Nu ești sigur dacă NIS 2 ți se aplică?
Verifică-ți încadrarea și primești un cost orientativ în câteva minute — fără obligații.

