Τι προβλέπει η ευρωπαϊκή νομοθεσία για την κυβερνοασφάλεια στην ενέργεια - Το Νοέμβριο καταθέτουν τα κράτη-μέλη σχετικό κατάλογο με εταιρείες

Προθεσμία ως τις 9 Νοεμβρίου έχουν τα κράτη-μέλη της Ε.Ε. προκειμένου να υποβάλουν στις Βρυξέλλες εκθέσεις με τους διαχειριστές απαραίτητων υπηρεσιών (OES) προκειμένου να συμβαδίσουν με τη νομοθεσία που αφορά την κυβερνοασφάλεια. Στον σχετικό κατάλογο θα πρέπει να συμπεριληφθούν ενεργειακοί φορείς, διαχειριστές και εταιρείες.

Όπως τονίζεται σε σχετική έκθεση του CEER, η κυβερνοασφάλεια αποτελεί πλέον προτεραιότητα για την Ε.Ε., ιδίως σε ότι αφορά τον ενεργειακό τομέα. Στα πλαίσια αυτά, έχει εκδοθεί η οδηγία για την ασφάλεια των δικτύων και των πληροφοριακών συστημάτων, προκειμένου να ενισχύσει την εμπιστοσύνη στις υποδομές και την αγορά εν μέσω χρήσης νέων τεχνολογιών όπως το cloud και τα big data.

Η οδηγία NISD περιλαμβάνει υποχρεώσεις των διαχειριστών απαραιτήτων υπηρεσιών ώστε να αναλάβουν δράσεις κυβερνοασφάλειας και να θέσουν τις κατάλληλες προδιαγραφές κατά τη λειτουργία τους.

Μια ακόμη νομοθεσία που αφορά το εν λόγω θέμα είναι η γνωστή GDPR, που όπως έχει γράψει το energypress, επηρεάζει ποικιλοτρόπως τον κλάδο. Καθώς η GDPR αφορά κάθε επιχείρηση που μεταχειρίζεται δεδομένα, έχει εφαρμογή και στον ενεργειακό τομέα.

Επίσης, σχετικές ρυθμίσεις για την κυβερνοασφάλεια περιλαμβάνονται και στην προτεινόμενη νομοθεσία "καθαρή ενέργεια για όλους τους Ευρωπαίους", όπου η Κομισιόν επιδιώκει να συμπεριλάβει διατάξεις που δεν ανήκουν στις υπόλοιπες νομοθετικές πρωτοβουλίες. Όπως αναφέρει ο CEER, στην παρούσα φάση η πρόταση της Κομισιόν δεν συνεπάγεται υποχρεώσεις για τις εθνικές ρυθμιστικές αρχές, όμως ζητά από τις κυβερνήσεις εκθέσεις ετοιμότητας για τον ενεργειακό τομέα.

Όπως σημειώνει ο CEER, η Ε.Ε. και τα κράτη-μέλη οφείλουν να δομήσουν μια κουλτούρα ασφαλείας κατά την υιοθέτηση νέων ενεργειακών τεχνολογιών, τη στιγμή που διεθνώς πληθαίνουν τα κρούσματα κυβερνοεπιθέσεων, είτε για οικονομικό όφελος, είτε για άλλους λόγους.

Όσον αφορά τους OES, ως τέτοιοι λογίζονται εταιρείες με μεγάλο πελατολόγιο, αλλά και διαχειριστές των δικτύων ηλεκτρισμού και φυσικού αερίου. Για κάθε κράτος-μέλος, ο αριθμός των OES αναμένεται να φτάνει τους 20-60. Εφόσον μια εταιρεία κριθεί ότι είναι OES, τότε πρέπει να λειτουργεί το δίκτυό της με βάση τις ελάχιστες προδιαγραφές κυβερνοασφάλειας που έχουν τεθεί από την εθνική νομοθεσία. Επίσης, οφείλει να ενημερώνει τη ρυθμιστική αρχή για κάθε συμβάν που συνιστά απειλή για το δίκτυο.

Στην περίπτωση των ρυθμιστικών αρχών, τονίζεται ότι θα πρέπει να μεριμνήσουν ώστε το ποσοστό των δαπανών πληροφορικής των διαχειριστών για την κυβερνοασφάλεια να αυξηθεί στο εξής από το σημερινό 1-2% σε 5-10%, καθώς εντείνονται οι απειλές και οι ανάγκες σωστής αντιμετώπισης.

Τις προτάσεις του CEER για το θέμα μπορείτε να τις δείτε εδώ.