″Directoratul Național de Securitate Cibernetică, în virtutea calității sale de autoritate competentă la nivel național pentru spațiul cibernetic național civil, precum și pentru gestionarea riscurilor și a incidentelor de securitate cibernetică conform dispozițiilor Ordonanței de urgență a Guvernului nr. 104/2021 privind înființarea Directoratului Național de Securitate Cibernetică, stabilește reguli tehnice de securitate cibernetică prin ordin al Directorului Directoratului Național de Securitate Cibernetică pentru accesul garantat la rețelele electrice și dispecerizarea prioritară a energiei electrice produse din surse regenerabile de energie și în cogenerare de înaltă eficiență, cât și pentru accesul prioritar la rețelele electrice și dispecerizarea prioritară a energiei electrice produse din surse regenerabile de energie și în cogenerare de înaltă eficiență în centrale cu puteri instalate mai mici sau egale cu 1 MW, în măsura în care nu este afectat nivelul de siguranță a SEN (sistemul electroenergetic național – n.r.)″, stipulează proiectul.
Astfel, în forma sa actuală, draftul de act normativ, inițiat în ultima parte a lunii septembrie 2025, s-ar aplica doar prosumatorilor, precum și producătorilor comerciali de energie regenerabilă și în cogenerare de dimensiuni foarte mici.
După cum a relatat Profit.ro, Autoritatea Națională de Reglementare în Domeniul Energiei (ANRE) a propus ca toate entitățile din sectorul energiei electrice, desemnate ca ″esențiale″ sau ″importante″ în baza legislației specifice securității IT din România, să respecte norme de securitate cibernetică, iar acestea să fie elaborate în comun de către Directoratul Național de Securitate Cibernetică (DNSC) și ANRE, cele 2 instituții urmând ulterior să aibă și atribuții de verificare a conformității echipamentelor, sistemelor și instalațiilor.
Prosumatorii au reacționat dur la inițiativa legislativă proaspăt trecută de Senat, caracterizând-o drept ″periculoasă″, întrucât ″ar putea permite statului să oprească sistemele fotovoltaice ale românilor″, ar servi ″interesele economice ale furnizorilor și altor companii, care vor să reducă energia produsă de prosumatori pentru a-și proteja propriile investiții în parcuri fotovoltaice mari″, precum și pe cele ″ale unor companii care ar urma să câștige contracte uriașe pentru auditarea invertoarelor″, potrivit comunicatelor emise de Asociația Prosumatorilor și Comunităților de Energie din România (APCE).
″(...) în loc să fie auditate marile parcuri fotovoltaice – adevăratele posibile puncte vulnerabile pentru sistemul energetic național – se propune verificarea, contra cost, a peste 260.000 de prosumatori și 330.000 de invertoare de cel puțin 77 de mărci și 4.000 de modele diferite. O misiune imposibilă, costisitoare, absurdă dar si ilegală″, a mai acuzat APCE.
În noiembrie 2025, proiectul a fost dezbătut în Comisia pentru Energie, Infrastructură energetică și Resurse minerale a Senatului, însărcinată cu raportul pe fond asupra draftului, alături de cea pentru Comunicații, Tehnologia Informației și Inteligență Artificială.
″Participând astăzi ca invitat la Comisia de Energie a Senatului, am reușit prin intervențiile mele blocarea votării proiectului de auditare cibernetică a invertoarelor românilor și mai ales limitarea sau dispecerizarea prosumatorilor din România. Este o mare victorie de etapă a APCE″, a declarat, după ședință, președintele Asociației, Dan Pîrșan.
ANRE și-a transmis avizul în aceeași zi, notând că proiectul ″nu reflectă în mod corespunzător cadrul competențelor legale și responsabilităților instituționale existente, motiv pentru care nu susținem actuala formulare a textului″. Unul dintre reproșuri a fost că nu s-a ținut cont de faptul că ANRE are statutul de autoritate competentă sectorial în domeniul securității cibernetice a sectorului energiei electrice, conform Ordonanței de urgență nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil.
În consecință, instituția a propus ca textul proiectului de completare a Legii energiei să fie reformulat în felul următor:
″Art. 70 indice 1 - Norme de securitate cibernetică privind securitatea rețelelor și a sistemelor informatice ale entităților esentiale și entităților importante din sectorul energiei electrice.
(1) În cadrul procedurilor de achiziție a echipamentelor necesare construirii, mentenanței, retehnologizării și dezvoltării capacităților energetice din cadrul entităților esențiale și entităților importante din sectorului energiei electrice sunt respectate prevederile normelor de securitate cibernetică stabilite de către Directoratul Național de Securitate Cibernetică și autoritatea competentă pentru securitatea cibernetică in sectorul energiei (ANRE – n.r.), conform prevederilor OUG nr. 155/2024. Normele sunt utilizate inclusiv în procesul de racordare și de integrare în sistemele inforrnatice a echipamentelor.
(2) Sistemele informatice menționate la alin. (1) pot fi de tip achiziție de date, conducerea proceselor, pentru managementul energiei sau platforme pentru tranzacții comerciale.
(2) Autoritățile și entitățile prevăzute la alin. (1) colaboreazâ pentru verificarea conformității de tip a echipamentelor, sistemelor și instalațiilor cu cerințele normelor de securitate cibernetică, conform reglementărilor proprii″.
OUG nr. 155/2024 privind instituirea unui cadru pentru securitatea cibernetică a rețelelor și sistemelor informatice din spațiul cibernetic național civil stipulează că o entitate este considerată esențială sau importantă dacă: a) entitatea este singurul furnizor al unui serviciu care este esențial pentru susținerea unor activități societale și economice critice; b) perturbarea serviciului furnizat de entitate ar putea avea un impact semnificativ asupra siguranței publice, a securității publice sau a sănătății publice; c) perturbarea serviciului furnizat de entitate ar putea genera un risc sistemic semnificativ, în special pentru sectoarele în care o astfel de perturbare ar putea avea un impact transfrontalier; d) entitatea este critică datorită importanței sale specifice la nivel național sau regional pentru sectorul sau tipul de servicii în cauză sau pentru alte sectoare interdependente.
ANRE mai consideră că stabilirea și identificarea entităților esențiale și critice în sectorul energiei electrice, conform OUG nr. 155/2024, reprezintă etapa inițială pentru aplicarea ulterioară a normelor de securitate cibernetică.
″În prezent, în România, conform situației cunoscute de la sfârșitul lunii august a anului 2025, (...), la sistemul electroenergetic național erau racordați un număr de 257.451 de consumatori cu calitatea de prosumatori, având puterea totală instalată de 3.020,65 MW. Conform datelor publicate în timp real de CNTEE Transelectrica SA, consumul de energie electrică la nivelul Sistemului Electroenergetic Național în perioadele tipice de iarnă variază între 7.000 și 9.500 MW.
În acest context, apreciem că puterea instalată totală a centralelor electrice cu puteri de pănă la 1 MW, deținute de persoane fizice și juridice, reprezintă o pondere relevantă raportat la necesarul național de consum. În concluzie, ANRE consideră oportunâ instituirea unor norme tehnice de securitate cibernetică aplicabile unităților generatoare, cu puterea instalată până la 1 MW, mai mare de 1 MW, dar și altor entități din sectorul energiei electrice identificate ca entități esențiale sau entități importante, în scopul protejării spațiului informatic utilizat în rețelele electrice și al integrării sigure a acestor unități în sistemul electroenergetic național, în concordanță cu prevederile OUG nr. 155/2024, menționate anterior″, scrie în avizul ANRE.
Și Consiliul Concurenței, în avizul său, a recomandat refomularea, ″astfel încât să se clarifice dacă se face referire la energia electrică din surse regenerabile și în cogenerare de înaltă eficiență produsă în toate tipurile de centrale, indiferent de putere″.
Proiectul de lege este susținut în total de 26 de parlamentari PSD, plus unul de la PNL (fostul ministru al Energiei, Sebastian Burduja). Inițiatori sunt aleșii social-democrați Mădălin Borș și Claudiu Catană.
Potrivit unei prezentări a candidaților PSD Teleorman la alegerile parlamentare de anul trecut, Mădălin Borș, care este vicepreședintele organizației județene a partidului, ″a deținut de-a lungul timpului funcția de IT manager, director dezvoltare la societăți din domeniul energetic, a coordonat corpul de control din Ministerul Economiei în perioada 2004-2007, a fost consilier la Ministerul Energiei, în prezent fiind consultant în dezvoltarea afacerii, specialist în securitate informatică la o firmă privată″, el participând, ″în calitate de consultant, la realizarea sistemului de protecție informatică a celui mai mare producător de energie regenerabilă din Europa″.
″(….) e bine că ne-am decis să facem această propunere legislativă chiar și acum, pentru a asigura un nivel de securitate sporit. Vorbim despre datele a mai mult de 400.000 de utilizatori de echipamente sub un megawatt, în condițiile în care 300.000 sunt prosumatori și mai există cel puțin încă aproximativ 100.000 de utilizatori care sunt în sistem off-grid.
În urma acestei inițiative, vrem ca împreună cu DNSC să mergem în amonte de prosumatori, să aducem la masă DNSC și producătorii de echipamente. Fiecare echipament care activează în sistemele prosumatorilor are un produs software care se numește firmware (software încorporat în dispozitive hardware care asigură controlul la nivel inferior, permițându-le să funcționeze, să pornească și să comunice cu alte componente – n.r.). Ne dorim ca DNSC să verifice aceste firmware-uri care astăzi însoțesc echipamentele energetice, să le certifice. În directă corelare cu producătorii, orice versiune nouă de software-uri pe care producătorii de echipamente doresc să o aducă, să fie înainte verificată și auditată de DNSC.
Dorim ca actori statali din afara Spațiului Economic European să nu aibă acces la datele consumatorilor. Ne dorim ca datele din invertoare, inclusiv partea de control, istorie a evoluției de consum și producție, să nu poată fi accesibile de către actori statali străini″, a declarat, la finalul lunii octombrie 2025, Mădălin Borș, la Forumul de Securitate Cibernetică în Energie de la Cluj Napoca, organizat de Distribuție Energie Electrică România (DEER).
În 2024, Ministerul Energiei a inițiat un proiect de ordonanță de urgență care viza să le impună operatorilor de distribuție a energiei electrice obligația de a efectua anual un audit cibernetic al invertoarelor și al tuturor rețelelor informatice asociate centralelor electrice fotovoltaice, inclusiv ale prosumatorilor, precum și să le dea operatorilor de rețele posibilitatea legală de a prelua controlul tehnic asupra instalațiilor prosumatorilor și chiar de a le opri producția, în anumite condiții.
Draftul de OUG a fost retras în cele din urmă, după prosumatorii au protestat, iar ANRE a transmis că nu a fost consultată la elaborarea proiectului și că va recomanda eliminarea prevederii privind obligativitatea auditurilor de securitate cibernetică.
