Pri obravnavi zahtevne teme prihajajočih predpisov o informacijski in kibernetski varnosti smo si zastavili provokativno vprašanje: »Ali predpisi Evropske unije o varnosti podpirajo ali ovirajo digitalno preobrazbo v energetskem sektorju?«

Pri obravnavi zahtevne teme prihajajočih predpisov o informacijski in kibernetski varnosti smo si zastavili provokativno vprašanje: »Ali predpisi Evropske unije o varnosti podpirajo ali ovirajo digitalno preobrazbo v energetskem sektorju?«

Enostavnega odgovora na to vprašanje ni, saj obstaja več vidikov in motivov, zakaj se je Evropska unija odločila sprejeti varnostne predpise, da bi zmanjšala obstoječa in prihodnja tveganja za informacijsko in kibernetsko varnost v energetskem sektorju.

Eden od najbolj tehtnih argumentov, zakaj naj bi Evropska unija sprejela horizontalne varnostne predpise, je obravnava naraščajočih svetovnih letnih stroškov kibernetskega kriminala, ki so bili leta 2021 ocenjeni na 5,5 bilijona EUR, leta 2025 pa naj bi presegli celo 10 bilijonov EUR. Glede na to lahko domnevamo, da se vsi proizvajalci izdelkov ali kompo-nent, razvijalci programske opreme, ponudniki storitev v oblaku ali drugih storitev strinjajo, da so za obravnavanje naraščajočih in nenehno spreminjajočih se tveganj kibernetske varnosti potrebne tehnične izvedbe in izvajanje horizontalnih regulativnih predpisov. Ker so pametni energetski izdelki in rešitve sestavni del kritične infrastrukture, smo v svoje delovanje že vključili več standardov informacijske in kibernetske varnosti (npr. družino standardov ISO 27001, ISO/IEC 62443) in obstoječih regulativnih zahtev (npr. NIS, GDPR), da bi zagotovili najvišjo raven zaupnosti, celovitosti, razpoložljivosti in zaupanja v pametne energetske izdelke.

Poleg tega je Evropska unija v zahtevah za trajnostno, čisto in energetsko učinkovito družbo opredelila potrebo po digitalni preobrazbi energetskega sektorja. Dostop do podatkov in upravljanje podatkov bi namreč omogočila uporabo pametnih merilnih podatkov za izboljšanje energetske učinkovitosti.

Na eni strani imamo povečana tveganja informacijske in kibernetske varnosti, na drugi pa potrebo po uporabi podatkov za doseganje želene energetske učinkovitosti. Kako lahko te pomembne pobude potekajo vzporedno, da bi dosegli najboljšo energetsko učinkovitost brez tveganja povečanja vpliva incidentov kibernetske varnosti?

Odgovor na obe temi se skriva v varnostnih predpisih Evropske unije. Z naslednjimi uredbami bo namreč zagotovljen prehod na varno uporabo podatkov ter zmanjšanje informacijskih tveganj in tveganj za kibernetsko varnost po vsej Evropski uniji.

  • Direktiva o varnosti omrežij in informacij (NIS 2) in Mrežni kodeks o kibernetski varnosti (NCCS): direktiva NIS 2 se uporablja za javni in zasebni sektor, da se izboljša varnost omrežij in informacijskih si-stemov ter prepreči, odkrije in odzove na varnostne incidente. NCCS pa je uredba, ki je specifična za energetski sektor in predlaga varnostne kontrole in postopke, specifične za ta sektor, da se zagotovi najvišja raven varnosti energetskega sektorja in izdelkov, ki jih uporablja energetski sektor, ter zagotovi, da se potrdijo komponente dobaviteljev, preden se uporabijo kot del energetske kritične infrastrukture.
  • Direktiva o radijski opremi (RED), nov delegirani akt: predlaga dodatne varnostne kontrole za vse naprave radijske opreme, vključno z napravami za pametno merjenje električne energije
  • Zakon o kibernetski odpornosti (CRA): horizontalna uredba o zahtevah glede kibernetske varnosti za vse izdelke z digitalnimi elementi, da bi se povečala varnost strojne in programske opreme. Razvrstitev izdelkov v tri kategorije z različnimi postopki skladnosti/usklajenosti, od samoocenjevanja do certificiranja po skupnih merilih Evropske unije (EUCC). Poleg tega CRA predlaga postopek za učinkovito in pregledno upravljanje ranljivosti izdelkov z digitalnimi elementi.

Da bi varno dosegli želeno digitalizacijo energetskega sektorja, je treba za vse subjekte, ki so že prisotni na trgu Evropske unije ali na ta trg vstopajo, uporabljati enake pogoje in pravila. S predpisi se postavljajo pravila in pogoji, ki bodo v celoti podprli varno digitalno preobrazbo v energetskem sektorju, vendar morajo regulatorji zagotoviti:

  • Kakršnokoli prekrivanje ali podvajanje zahtev se razveljavi, da bi se izognili nepotrebnim tehničnim ali finančnim vplivom na energetski sektor,
  • Obstoječe sheme za certificiranje pametnih merilnih sistemov in napredne merilne infrastrukture so priznane kot standardi skupnih meril Evropske unije (EUCC) in se uporabljajo kot dokazilo o skladnosti z varnostnimi zahtevami,
  • Uskladitev zakonodaje na ravni Evropske unije, da bi se izognili sprejemom v posameznih državah ali napačni razlagi varnostnih zahtev.

Odgovor na naslovno vprašanje se glasi: Evropska unija in varnostni predpisi za zdaj podpirajo digitalno preobrazbo v energetskem sektorju, vendar je treba v zakonodajni postopek vključiti ustrezne deležnike in upoštevati njihovo mnenje, da bi se izognili morebitnim negativnim učinkom na sektor.

VIR: Iskraemeco

Editor