Кодекс ЄС щодо кібербезпеки в енергетиці: що регулює новий документ та кого стосується
Після повномасштабного вторгнення Росії в Україну питання протидії загрозам у сфері безпеки, зокрема у кіберпросторі, отримали в ЄС особливу увагу, – про це пише DiXi Group. Зокрема, 11 березня Єврокомісія ухвалила новий мережевий кодекс щодо кібербезпеки для сектору електроенергетики (C/2024/1383), який затвердив делегований Регламент Комісії.
Кодекс установлює правила збору та обміну інформацією про транскордонні потоки електроенергії, процеси ідентифікації, класифікації та реагування на кібератаки.
Він також визначає критерії для оцінювання ризиків кібербезпеки, принципи для навчань, процес моніторингу дотримання вимог Кодексу, оцінювання ефективності інвестицій у кіберзахист та звітування про прогрес, допомагає створенню загальної структури кібербезпеки в електроенергетиці, водночас сприяючи забезпеченню мінімального рівня кібербезпеки в ЄС.
Дія Кодексу поширюється на:
● електроенергетичні підприємства від генерації та зберігання енергії до розподілу та постачання кінцевим споживачам;
● призначених операторів ринку електроенергії (NEMOs);
● організовані ринкові майданчики або «організовані ринки» – біржі електроенергії та газу, брокерів та інших осіб, які професійно організовують транзакції, а також майданчики торгівлі (регульовані ринки, багатосторонні (MTF) або організовані (OTF) торгові системи);
● критичних постачальників послуг інформаційно-комунікаційних технологій (ІКТ), тобто послуг з передавання, зберігання, пошуку або обробляння інформації за допомогою мережевих та інформаційних систем;
● ENTSO-E;
● EU DSO Entity;
● сторони, відповідальні за балансування;
● операторів пунктів зарядної інфраструктури;
● регіональні координаційні центри (РКЦ), створені відповідно до статті 35 Регламенту (ЄС) 2019/943;
● керованих постачальників послуг безпеки (MSSP), як визначено в пункті 40 статті 6 Директиви (ЄС) 2022/2555;
● будь-які інші організації або треті сторони, яким було делеговано чи призначено обов’язки відповідно до вимог Кодексу.
Застосовується Кодекс і до всіх організацій високого або критичного впливу поза межами ЄС, що надають послуги державам-членам Союзу. Ступінь впливу щодо кожного суб’єкта та процесу оцінюється на базі індексу впливу ЕСІІ (electricity cybersecurity impact index), значення якого встановлює відповідний компетентний орган.
За виконання положень Кодексу відповідають:
● Агентство ЄC з питань співробітництва регуляторів енергетики (ACER);
● національні компетентні органи, відповідальні за виконання покладених на них, згідно з Кодексом, завдань і призначені державами-членами ЄС протягом 6 місяців після набуття ним чинності;
● національні регулятори, призначені кожною державою-членом ЄС відповідно до пункту 1 статті 57 Директиви (ЄС) 2019/944;
● компетентні органи з питань готовності до ризиків (RP-NCA), створені відповідно до статті 3 Регламенту (ЄС) 2019/941;
● групи реагування на інциденти комп’ютерної безпеки (CSIRT), призначені або створені відповідно до статті 10 Директиви (ЄС) 2022/2555;
● компетентні органи, відповідальні за кібербезпеку (CS-NCA), призначені або створені відповідно до статті 8 Директиви (ЄС) 2022/2555;
● Агентство ЄС з кібербезпеки (ENISA), створене відповідно до Регламенту (ЄС) 2019/881;
● будь-які інші органи або треті сторони, яким було делеговано чи призначено обов’язки відповідно до Кодексу.
МЕХАНІЗМ КОДЕКСУ
Документ передбачає низку етапів імплементації – від призначення державами-членами ЄС до 30 вересня 2024 року компетентних органів до розроблення методології оцінювання ризиків кібербезпеки, всебічного транскордонного звіту про оцінювання ризиків, мінімального і розширеного контролю кібербезпеки, рекомендацій щодо закупівель та методології класифікації кібератак, а також регулярних загальноєвропейських звітів ENTSO-Е про оцінювання ризиків кібербезпеки.
Ті компанії, підприємства чи організації, які підпадають під визначення високого або критичного впливу та повідомлені про це, протягом двох років мають створити систему управління кібербезпекою та переглядати її кожні три роки після цього.
Ця процедура стосується і тих, що поза межами Євросоюзу, але надають послуги його членам. Окрім зазначеного, вони повинні упродовж трьох місяців після повідомлення призначити представника в одній із держав-членів ЄС, де пропонують свої послуги. А також мають звітувати компетентному органові про те, що було зроблено для контролю ризиків.
Кодекс визначає мінімальні засоби контролю кібербезпеки, зокрема перевірки:
● репутації, досвіду персоналу та підрядників;
● процесів від проєктування до виробництва;
● проєктування мережевих та інформаційних систем;
● договірних зобов’язань щодо захисту та обмеження доступу до конфіденційної інформації та ін.
Документ також встановлює правила виявлення, обробляння, обміну інформацією щодо кібератак, сповіщення та реагування у разі кібератак, а також зобов’язує проводити регулярне навчання персоналу із застосуванням сценаріїв кібератак, які безпосередньо впливають на транскордонні потоки електроенергії.
ВИСНОВКИ
Кодекс набув чинності 31 березня 2024 року і є суттєвим практичним кроком на шляху до захисту енергетичної системи ЄС від кіберзагроз, які набувають щоразу більших розмірів після повномасштабного вторгнення Росії в Україну.
Україні слід готуватися до імплементації положень цього Делегованого Регламенту в законодавство уже найближчим часом, адже безпека імпорту електроенергії на тлі безпрецедентних обстрілів та руйнувань енергетичної інфраструктури є вкрай важливим фактором сталого енергопостачання українських споживачів.
Головними провайдерами цього процесу мають стати Міненерго, Мінцифри, Держспецзв’язку, НКРЕКП та Укренерго.
Публікація підготовлена за фінансової допомоги Європейського Союзу в межах проєкту «Інтеграція сталого розвитку в Україні відповідно до Європейського зеленого курсу». Проєкт реалізує консорціум громадських організацій: DiXi Group (координатор), Ресурсно-аналітичний центр «Суспільство і довкілля», Асоціація «Енергоефективні міста України», «Українська академія лідерства», «Жіночий енергетичний клуб України», «ДЗИГА», «ПЛАТО».
Її зміст є виключно відповідальністю ГО «ДІКСІ ГРУП» і за жодних обставин зміст не може вважатися таким, що відображає позицію Європейського Союзу.
реклама