România va avea un Centru de Răspuns la Incidente de Securitate Cibernetică în Energie / Salariile specialiştilor în domeniu pot ajunge la 20.000 de euro brut lunar

Ministerul Energiei a publicat în dezbatere publică proiectul de Ordonanţă de Urgenţă privind înfiinţarea şi operaţionalizarea Centrului de Răspuns la Incidente de Securitate Cibernetică în Energie. Înfiinţarea centrului este motivată prin faptul că sectorul energetic trebuie să fie pregătit să facă faţă unor ameninţări cibernetice complexe şi în continuă evoluţie. În document se arată că posturile necesare pentru operaţionalizarea centrului trebuie să fie de nivelul cel mai înalt posibil, din perspectiva experienţei şi performanţei în domeniul de specialitate, pentru a putea garanta succesul operaţiunilor de securitate cibernetică. Astfel, în ceea ce priveşte câştigurile, proiectul arată că, deşi în România piaţa securităţii cibernetice este relativ tânără şi nu conţine date statistice relevante, totuşi ”informaţiile statistice generale indică salarii medii care ating valori de 4.500-5.000 euro brut lunar”, dar ”în situaţiile în care se cere înaltă calificare şi competenţe avansate, salariile reale ajung frecvent la 13.000-20.000 euro brut lunar”, transmite News.ro.

Potrivit proiectului de act normativ, înfiinţarea centrului este necesară ”luând în considerare că atacurile cibernetice cresc în sectorul energetic, fiind de natură a opri producerea, furnizarea şi transportul de energie electrică, gaze naturale sau energie termică, fiind o situaţie extraordinară cu care se confruntă atât statul român cât şi partenerii europeni şi transatlantici”.

Autorii proiectului spun că liberalizarea pieţei energetice naţionale, fluctuaţia preţurilor şi prezenţa pe piaţa de capital a tot mai multor companii energetice constituie situaţia premisă de la care pleacă atacatorii cibernetici atunci când efectuează o operaţiune împotriva statului român, dar şi faptul că atacurile cibernetice pot influenţa chiar direct preţurile la energie şi stabilitatea Sistemului Electroenergetic Naţional şi influenţează indirect funcţionarea serviciilor publice şi a economiei naţionale, ambele fiind dependente de furnizarea energiei electrice şi termice,

Alte motive enumerate pentru înfiinţarea Centrului sunt: ”contextul creşterii riscurilor la adresa apărării şi securităţii naţionale a României, în contextul atacurilor cibernetice generate de războiul Federaţiei Ruse din Ucraina, care impune crearea unui Centru de Răspuns la Incidente de Securitate Cibernetică sectorial în energie, denumit în continuare CSIRT, capabil să sprijine efortul naţional şi interinstituţional de prevenire şi combatere a atacurilor cibernetice asupra companiilor şi infrastructurii energetice”.

Urgenţa adoptării OUG mai este justificată prin ”posibilitatea crescută a unui atac cibernetic multiplu, de natură a afecta elemente de infrastructură naţională din sectorul cibernetic, care ar crea panică în rândul populaţiei civile, precum şi ar deteriora poziţia unor companii din sectorul energetic pe piaţa de capital, influenţând, în final, şi preţurile la energie”, dar şi ţinând cont că este imperativ necesară o consolidare a securităţii cibernetice a majorităţii companiilor de stat şi a operatorilor economici beneficiari ai proiectelor finanţate prin Fondul pentru Modernizare pentru a face faţă mai bine ameninţărilor cibernetice complexe şi avansate, precum şi a creşte conştientizarea importanţei securităţii cibernetice la nivel de sector.

Proiectul de OUG menţionează că înfiinţarea Centrului de Răspuns la Incidente de Securitate Cibernetică în Energie este esenţială pentru a asigura monitorizarea continuă, răspunsul prompt la incidente, investigaţiile forensic şi protecţia proprie împotriva atacurilor cibernetice, ca elemente ale politicii naţionale în domeniul energetic,

”Întrucât întârzierea punerii în aplicare a legislaţiei naţionale şi europene privind operaţionalizarea CSIRT în domeniul energetic a dus şi conduce la o vulnerabilizare a componentelor sistemului energetic în contextul ameninţărilor cibernetice actuale, drept pentru care se impune constituirea unui CSIRT sectorial, iar în lipsa acestuia, pagubele generate de atacurile cibernetice pot fi majore, cu consecinţe asupra preţului la energie”, se mai arată în proiect, care mai subliniază că România, în calitate de furnizor de energie electrică pentru Republica Moldova şi Ucraina, precum şi de furnizor de securitate la nivel regional, are obligaţia de a-şi consolida urgent securitatea cibernetică a sectorului energetic pentru a-şi prezerva acest statut şi a furniza pe viitor cunoaştere strategică şi altor sectoare şi state partenere.

De asemenea, posturile necesare pentru operaţionalizarea CRISCE trebuie să fie de nivelul cel mai înalt posibil, din perspectiva experienţei şi performanţei în domeniul de specialitate, pentru a putea garanta succesul operaţiunilor de securitate cibernetică.

În general, salariile de top în domeniul securităţii cibernetice pot atinge următoarele niveluri valorice:

–           Pentru SUA: 242.000 dolari anual (respectiv 20.166 dolari brut/ lună sau 18.500 euro brut/lună);

–           Pentru Canada: 216.000 dolari canadieni anual (respectiv 18.000 dolari canadieni brut/lună sau, respectiv 12.000 euro brut/lună);

–           Pentru Elveţia: 180.000 euro pe an (respectiv 15.000 euro brut pe lună) ;

–           Pentru Germania: 140.000 euro pe an (respectiv 11.666 euro brut pe lună);

–           Pentru UK: 145.000 euro pe an (respectiv 12.083 euro brut pe lună).

Salariul unui manager/director de securitate cibernetică (CISO) atinge valori medii între 178.000 dolari brut anual şi 394.401 dolari brut annual.

Totodată, prezintă relevanţă şi salariile medii globale ale specialiştilor cu certificări de cel mai înalt nivel (aşa cum se doresc a fi şi posturile din CRISCE), respectiv:

–           CISSP: 103.493 dolari brut anual în regiunea Europa;

–           ISSAP: 129.671 dolari brut anual în regiunea Europa;

–           ISSEP: 147.550 dolari brut anual în regiunea Europa;

–           ISSMP: 144.173 dolari brut anual în regiunea Europa;

–           SANS/GIAC-GSE: 189.000 dolari brut anual;

–           SANS/GIAC-GSLC: 152.143 dolari brut anual;

–           Six Sigma Master Black Belt: 169.170 dolari brut anual.

Pentru a contextualiza în mod adecvat în cadrul pieţei româneşti, în document se subliniază că salariile medii din domeniul securităţii cibernetice raportate de surse generale nu reflectă realitatea specifică a cerinţelor pentru CRISCE.

”Astfel, salariile medii din România pentru specialiştii IT, adesea cu sarcini de rutină şi performanţă medie, se încadrează în intervalul de 4500-5000 euro brut lunar. Totuşi, în situaţiile în care se cere înaltă calificare şi competenţe avansate, salariile reale ajung frecvent la 13.000-20.000 euro brut lunar. De asemenea, instituţii internaţionale precum NATO şi UE externalizează servicii similare la tarife de 80-110 euro brut pe oră, adică între 13.440-18.480 euro brut lunar, subliniind astfel valoarea de piaţă a acestor competenţe. Situaţia actuală din domeniul securităţii cibernetice în sectorul energetic impune reglementarea unor regimuri derogatorii atât de la Codul Muncii, cât şi de la Legea nr. 153/2017 privind salarizarea personalului plătit din fonduri publice. Aceste derogări sunt fundamentate pe specificul activităţilor, necesitatea atragerii şi menţinerii personalului de înaltă specializare şi complexitatea ameninţărilor cibernetice care vizează infrastructurile critice naţionale”, mai arată Nota de fundamentare.

În acest context, personalul CRISCE trebuie să posede competenţe tehnice avansate, inclusiv certificări internaţionale (de exemplu, CISSP, CEH, GIAC), care nu pot fi asigurate prin mecanismele tradiţionale de recrutare şi salarizare prevăzute de legislaţia generală aplicabilă.

”Domeniul securităţii cibernetice este caracterizat de o cerere globală ridicată pentru specialişti calificaţi, ceea ce determină un nivel salarial semnificativ mai mare decât cel din alte sectoare. Salariile medii ale experţilor în securitate cibernetică în Europa variază între 8.000 şi 20.000 de euro brut lunar, depăşind cu mult plafonul stabilit de Legea nr. 153/2017. În lipsa unui regim salarial competitiv, CRISCE riscă să nu poată atrage şi reţine specialiştii necesari pentru îndeplinirea atribuţiilor critice, expunând astfel sectorul energetic unor riscuri inacceptabile. Derogarea de la prevederile legii-cadru şi stabilirea unor salarii conforme cu piaţa internaţională şi cu natura deosebit de specializată a activităţilor CRISCE reprezintă o necesitate obiectivă, care asigură atât competitivitatea, cât şi performanţa centrului. În absenţa unui astfel de nivel salarial, CRISCE riscă să piardă accesul la resurse umane critice, expunându-se vulnerabilităţilor în faţa unor ameninţări cibernetice care, prin natura lor, devin din ce în ce mai sofisticate şi periculoase”, se ma precizează în document.

Documentul prezintă şi situaţii de vulnerabilitate cibernetică a sectorului energetic. Astfel, raportul Agenţiei Uniunii Europene pentru Securitate Cibernetică (ENISA) privind vulnerabilităţile cibernetice la nivelul anului 2023 a reţinut că sectorul energetic este o ţintă prioritară pentru atacurile cibernetice, datorită infrastructurii critice şi impactului semnificativ pe care astfel de atacuri le pot avea asupra economiei şi securităţii naţionale.

Raportul Agenţiei Uniunii Europene pentru Securitate Cibernetică (ENISA) privind climatul ameninţărilor în domeniul cibernetic pe anul 2024 evidenţiază o proliferare notabilă a atacurilor cibernetice, stabilind noi repere în ceea ce priveşte numărul, varietatea şi consecinţele acestor incidente. Peisajul atacurilor cibernetice este puternic influenţat de contextul geopolitic la nivel regional şi global.

În document se mai arată că, până cel mai târziu la  data de 13 decembrie 2024, fiecare stat membru al Uniunii Europene era obligat să desemneze o autoritate naţională guvernamentală sau de reglementare responsabilă cu îndeplinirea sarcinilor care îi sunt atribuite prin Regulamentul delegat (UE) 2024/1366 al Comisiei din 11 martie 2024 de completare a Regulamentului (UE) 2019/943 al Parlamentului European şi al Consiliului prin stabilirea unui cod de reţea privind normele sectoriale pentru aspectele legate de securitatea cibernetică a fluxurilor transfrontaliere de energie electrică, neimplementarea acestui regulament şi neoperaţionalizarea autorităţii competente generând vulnerabilităţi grave la adresa securităţii cibernetice din sectorul energetic românesc şi putând conduce la eventuale sancţiuni împotriva României pentru neaplicarea actelor legislative obligatorii ale UE.