Apă potabilă și ape uzate sub NIS 2 — Anexa I, criticitate maximă, OT/SCADA
Scris de Adrian P. — expert cu 31+ audituri NIS la activ
Furnizarea de apă potabilă și epurarea apelor uzate sunt în Anexa I — sectoare de înaltă criticitate. Operatorii sunt tipic entități esențiale, cu sisteme SCADA de securizat. Iată ce presupune conformarea.
Apa este în Anexa I — criticitate înaltă
Furnizorii de apă potabilă și operatorii de canalizare și epurare a apelor uzate urbane și industriale sunt listați în Anexa I a cadrului NIS 2 (OUG 155/2024, aprobată prin Legea 124/2025). Anexa I grupează sectoarele de importanță critică ridicată — energie, transport, sănătate, apă — iar o entitate mijlocie/mare de aici este, tipic, entitate ESENȚIALĂ.
Diferența față de Anexa II nu e formală. Statutul de esențială aduce un plafon de sancțiuni mai mare, obligații suplimentare (de exemplu planul de remediere) și, tipic, un nivel de risc ridicat cu cerințe CyFun pe măsură.
OT/SCADA: inima problemei
Provocarea distinctivă a sectorului este mediul OT/SCADA — sistemele care controlează tratarea, distribuția apei și epurarea apelor uzate. Securizarea acestor sisteme SCADA este prima cerință specifică, iar contextul o complică: sisteme SCADA îmbătrânite cu suport limitat, site-uri la distanță fără personal permanent și convergența IT/OT pe infrastructura de utilitate publică.
Abordarea practică cere controale combinate fizic + cibernetic pentru infrastructura critică și implementarea controalelor IEC 62443 pe automatizarea industrială — fără a întrerupe furnizarea. Nu e o problemă pur IT.
Continuitate și raportare rapidă
Pentru un serviciu esențial cum e apa, continuitatea nu e negociabilă. Un plan de continuitate (BCP/DRP) testat, care asigură furnizarea de apă potabilă chiar și în timpul unui incident, este o cerință de fond.
La fel de important: pentru sectoarele de înaltă criticitate, incidentele semnificative se notifică rapid către DNSC — alerta timpurie în 24 de ore, urmată de raportul la 72 de ore și de raportul final într-o lună. Cine improvizează raportarea în criză ratează termenele; cine are procedura pregătită o execută.
De unde pornești
Ca la orice entitate esențială, ordinea pașilor este esențială: încadrare, notificare, CISO (cu condițiile cumulative de la art. 14), evaluare de risc, autoevaluare CyFun și, dacă e cazul, plan de remediere. Fiecare pas deblochează termenul următorului.
Cifrele exacte diferă de la operator la operator și rămân o estimare — doar DNSC stabilește oficial încadrarea și nivelul. Cel mai clar punct de plecare este pagina dedicată apei și fișa sectorială, plus o verificare rapidă a încadrării.
Nu ești sigur dacă NIS 2 ți se aplică?
Verifică-ți încadrarea și primești un cost orientativ în câteva minute — fără obligații.

