Кодекс ЄС щодо кібербезпеки в енергетиці: що регулює новий документ та кого стосується? | DiXi Group
DiXi Group Logo
www.upscalerolex.to
02.07.2024

Кодекс ЄС щодо кібербезпеки в енергетиці: що регулює новий документ та кого стосується?

 

Після повномасштабного вторгнення росії в Україну, питання протидії загрозам у сфері безпеки, зокрема у кіберпросторі, отримали в ЄС особливу увагу. 11 березня Єврокомісія ухвалила новий мережевий кодекс – щодо кібербезпеки для сектору електроенергетики (C/2024/1383), затверджений делегованим Регламентом Комісії.

Кодекс встановлює правила збору та обміну інформацією про транскордонні потоки електроенергії, процеси ідентифікації, класифікації та реагування на кібератаки. 

Він також визначає критерії для оцінки ризиків кібербезпеки, принципи для навчань, процес моніторингу дотримання вимог Кодексу, оцінки ефективності інвестицій у кіберзахист та звітування про прогрес. сприяє створенню загальної структури кібербезпеки в електроенергетиці, водночас, сприявши забезпеченню мінімального рівня кібербезпеки в ЄС.

Дія Кодексу поширюється на:

  • електроенергетичні підприємства від генерації та зберігання енергії до розподілу та постачання кінцевим споживачам;
  • призначених операторів ринку електроенергії (NEMOs);
  • організовані ринкові майданчики або «організовані ринки» – біржі електроенергії та газу, брокери та інші особи, які професійно організовують транзакції, а також майданчики торгівлі (регульовані ринки, багатосторонні (MTF) або організовані (OTF) торгові системи); 
  • критичних постачальників послуг інформаційно-комунікаційних технологій (ІКТ), тобто послуг з передачі, зберігання, пошуку або обробки інформації за допомогою мережевих та інформаційних систем;
  • ENTSO-E;
  • EU DSO Entity;
  • сторони, відповідальні за балансування;
  • операторів пунктів зарядної інфраструктури;
  • регіональні координаційні центри (РКЦ), створені відповідно до статті 35 Регламенту (ЄС) 2019/943;
  • керованих постачальників послуг безпеки (MSSP), як визначено в пункті 40 статті 6 Директиви (ЄС) 2022/2555;
  • будь-які інші організації або треті сторони, яким було делеговано або призначено обов’язки відповідно до вимог Кодексу.

Застосовується Кодекс й до всіх організацій високого або критичного впливу поза межами ЄС, які надають послуги державам-членам Союзу. Ступінь впливу по кожному суб’єкту та процесу оцінюється на базі індексу впливу ЕСІІ ( electricity cybersecurity impact index), значення якого визначається відповідним компетентним органом.

За виконання положень Кодексу відповідають:

  • Агентство ЄC з питань співробітництва регуляторів енергетики (ACER);
  • Національні компетентні органи, відповідальні за виконання покладених на них відповідно до Кодексу завдань і призначені державами-членами ЄС протягом 6 місяців після набрання ним чинності;
  • Національні регулятори, призначені кожною державою-членом ЄС відповідно до пункту 1 статті 57 Директиви (ЄС) 2019/944;
  • Компетентні органи з питань готовності до ризиків (RP-NCA), створені відповідно до статті 3 Регламенту (ЄС) 2019/941;
  • Групи реагування на інциденти комп’ютерної безпеки (CSIRT), призначені або створені відповідно до статті 10 Директиви (ЄС) 2022/2555;
  • Компетентні органи, відповідальні за кібербезпеку (CS-NCA), призначені або створені відповідно до статті 8 Директиви (ЄС) 2022/2555;
  • Агентство ЄС з кібербезпеки (ENISA), створене відповідно до Регламенту (ЄС) 2019/881;
  • Будь-які інші органи або треті сторони, яким було делеговано чи призначено обов’язки відповідно до Кодексу.

Механізм Кодексу

Документ передбачає низку етапів імплементації – від призначення державами-членами ЄС до 30 вересня 2024 року компетентних органів до розробки методології оцінки ризиків кібербезпеки, всебічного транскордонного звіту про оцінку ризиків, мінімального і розширеного контролю кібербезпеки, рекомендацій щодо закупівель та методології класифікації кібератак, а також регулярних загальноєвропейських звітів ENTSO-Е про оцінку ризиків кібербезпеки.

Ті компанії, підприємства чи організації, які підпадають під визначення високого або критичного впливу та повідомлені про це, протягом двох років мають створити систему управління кібербезпекою та переглядати її кожні три роки після цього. 

Ця ж процедура стосується і тих хто знаходяться поза межами Євросоузу, але надає послуги його членам. На додаток до зазначеного, вони повинні упродовж трьох місяців після повідомлення призначити представника в одній із держав-членів ЄС, де вони пропонують свої послуги.А також мають звітувати компетентному органу про те, що було зроблено для контролю ризиків. аби .

Кодекс визначає мінімальні засоби контролю кібербезпеки, зокрема, перевірки: 

  • репутації,досвіду персоналу та підрядників;
  • процесів від проєктування до виробництва;
  • проєктування мережевих та інформаційних систем;
  • договірні зобов’язання щодо захисту та обмеження доступу до конфіденційної інформації та ін.

Документ також встановлює правила виявлення, обробки, обміну інформацією щодо кібератак, сповіщення та реагування на випадки кібератак, а також зобов’язує проводити регулярне навчання персоналу із застосуванням сценаріїв кібератак, які безпосередньо впливають на транскордонні потоки електроенергії.

ВИСНОВКИ

Кодекс набув чинності 31 березня 2024 року і є суттєвим практичним кроком на шляху до захисту енергетичної системи ЄС від кіберзагроз, які набувають все більш значних масштабів після повномасштабного вторгнення росії в Україну.

Україні слід готуватися до імплементації положень цього Делегованого Регламенту в законодавство уже найближчим часом, адже безпека імпорту електроенергії на тлі безпрецедентних обстрілів та руйнувань енергетичної інфраструктури є вкрай важливим фактором сталого енергопостачання українських споживачів. 

Головними провайдерами цього процесу мають стати Міненерго, Мінцифри, Держспецзв’язку, НКРЕКП та “Укренерго”.

 

Публікація підготовлена за фінансової допомоги Європейського Союзу  у межах проєкту “Інтеграція сталого розвитку в Україні відповідно до Європейського зеленого курсу”. Проєкт реалізується консорціумом громадських організацій: DiXi Group (координатор), Ресурсно-аналітичний центр “Суспільство і довкілля”, Асоціація “Енергоефективні міста України”, “Українська академія лідерства”, “Жіночий енергетичний клуб України”, “ДЗИГА”, “ПЛАТО”.

Її зміст є виключною відповідальністю ГО “ДІКСІ ГРУП”  і за жодних обставин зміст не може вважатися таким, що відображає позицію Європейського Союзу.

Коментарі

Новий план: як Україна планує досягти 27% ВДЕ до 2030 року

Альона Корогод

аналітикиня DiXi Group, експертка проєкту «Інтеграція сталого розвитку в Україні відповідно до Європейського зеленого курсу»

Оновлені правила екодизайну в ЄС

Альона Корогод

аналітикиня DiXi Group, експертка проєкту «Інтеграція сталого розвитку в Україні відповідно до Європейського зеленого курсу»

Нові правила для ринку та інфраструктури водню в ЄС

Микола Яковенко

Експерт проєкту «Інтеграція сталого розвитку в Україні відповідно до Європейського зеленого курсу»

Пілотний механізм для прозорого “злету” водневих проєктів в ЄС

Альона Корогод

аналітикиня DiXi Group, експертка проєкту «Інтеграція сталого розвитку в Україні відповідно до Європейського зеленого курсу»

Наші платформи

https://ksep.energy/

Незалежний центр підвищення кваліфікації у сфері енергетики

http://ua-energy.org/

Інформаційно-аналітичний ресурс є унікальною платформою для інформування та обговорення основних подій української та міжнародної енергетики.

http://eiti.org.ua/

Національний сайт Ініціативи прозорості видобувних галузей в Україні

Наші платформи

https://ksep.energy/

Незалежний центр підвищення кваліфікації у сфері енергетики

http://ua-energy.org/

Інформаційно-аналітичний ресурс є унікальною платформою для інформування та обговорення основних подій української та міжнародної енергетики.

http://eiti.org.ua/

Національний сайт Ініціативи прозорості видобувних галузей в Україні