Nepřístupný dokument, nutné přihlášení
Input:

Kybernetická bezpečnost v odvětví energetiky

7.5.2019, , Zdroj: Verlag Dashöfer

10.2019.553
Kybernetická bezpečnost v odvětví energetiky

Evropská komise, Generální ředitelství pro energetiku

Doporučení Komise (EU) 2019/553 ze dne 3. dubna 2019 o kybernetické bezpečnosti v odvětví energetiky.

DOPORUČENÍ KOMISE (EU) 2019/553
ze dne 3. dubna 2019

EVROPSKÁ KOMISE,

s ohledem na Smlouvu o fungování Evropské unie, a zejména na článek 292 této smlouvy,

vzhledem k těmto důvodům:

(1) Evropské odvětví energetiky prochází důležitým přechodem na dekarbonizované hospodářství, přičemž se snaží zajistit bezpečnost dodávek energie a konkurenceschopnost. V rámci této transformace energetiky a související decentralizace výroby energie z obnovitelných zdrojů proměňuje technologický pokrok, integrace odvětví a digitalizace elektrickou síť Evropy v „inteligentní síť”. Zároveň přináší nová rizika, jelikož digitalizace čím dál více vystavuje energetický systém kybernetickým útokům a incidentům, které mohou ohrozit bezpečnost dodávek energie.

(2) Přijetí všech osmi legislativních návrhů1 v balíčku „Čistá energie pro všechny Evropany”, jehož významnou součástí je i správa energetické unie, umožňuje vytvořit pro digitální transformaci odvětví energetiky příznivé podmínky. Rovněž uznává důležitost kybernetické bezpečnosti v tomto odvětví. Zejména přepracované znění nařízení o vnitřním trhu s elektřinou2 upravuje přijímání technických pravidel pro elektřinu, jako je kodex sítě pro odvětvová pravidla týkající se aspektů kybernetické bezpečnosti v rámci přeshraničních toků elektřiny, pro společné minimální požadavky, plánování, monitorování, podávání zpráv a krizové řízení. Nařízení o rizikové připravenosti v odvětví elektřiny3 se obecně řídí přístupem zvoleným v nařízení o bezpečnosti dodávek zemního plynu4, přičemž klade důraz na to, že je třeba řádně posoudit všechna rizika, včetně rizik spojených s kybernetickou bezpečností, a navrhuje přijetí opatření za účelem prevence a zmírnění těchto zjištěných rizik.

(3) Když Komise přijala v roce 2013 strategii kybernetické bezpečnosti EU5, určila jako prioritu posílení kybernetické odolnosti Unie. Jedním z klíčových výstupů této strategie je směrnice o bezpečnosti sítí a informací6, která byla přijata v červenci 2016. Tato směrnice coby první horizontální právní předpis EU týkající se kybernetické bezpečnosti posiluje celkovou úroveň kybernetické bezpečnosti v Unii, a to rozvojem vnitrostátních schopností v oblasti kybernetické bezpečnosti, prohloubením spolupráce na úrovni EU a zavedením povinností v oblasti bezpečnosti a hlášení incidentů pro společnosti označené jako „provozovatelé základních služeb”. Hlášení incidentů je povinné v klíčových odvětvích, mezi něž patří i odvětví energetiky.

(4) Při provádění opatření pro zajištění připravenosti v oblasti kybernetické bezpečnosti by příslušné zúčastněné strany, včetně provozovatelů základních služeb v energetice určených podle směrnice o bezpečnosti sítí a informací, měly zohlednit horizontální pokyny vydané skupinou pro spolupráci v oblasti bezpečnosti sítí a informací, jež byla zřízena podle článku 11 směrnice o bezpečnosti sítí a informací. Skupina pro spolupráci, která je tvořena zástupci členských států, Evropské agentury pro kybernetickou bezpečnost (ENISA) a Komise, přijala pokyny týkající se bezpečnostních opatření a hlášení incidentů. V červnu 2018 skupina zahájila zvláštní oblast činností týkající se energetiky.

(5) Společné sdělení o kybernetické bezpečnosti z roku 20177 uznává význam úvah a požadavků na úrovni EU specifických pro daná odvětví, včetně odvětví energetiky. Kybernetická bezpečnost a možné důsledky pro politiky byly v Unii v posledních letech předmětem komplexní diskuse. Díky tomu v současné době stoupá povědomí o tom, že jednotlivá hospodářská odvětví čelí specifickým otázkám v oblasti kybernetické bezpečnosti, a že tedy musí vytvořit své vlastní odvětvové přístupy v širším kontextu obecných strategií kybernetické bezpečnosti.

(6) Klíčovými prvky v oblasti kybernetické bezpečnosti jsou důvěra a sdílení informací. Cílem Komise je zintenzivnit sdílení informací mezi příslušnými zúčastněnými stranami, a to pořádáním specializovaných akcí, například jednání u kulatého stolu na vysoké úrovni o kybernetické bezpečnosti v energetice, které se uskutečnilo v březnu 2017 v Římě, a konference na vysoké úrovni o kybernetické bezpečnosti v energetice, která se uskutečnila v říjnu 2018 v Bruselu. Komise rovněž chce zlepšit spolupráci mezi příslušnými zúčastněnými stranami a specializovanými subjekty, jako je evropské středisko pro sdílení a analýzu informací v energetice.

(7) Nařízení o agentuře ENISA, Agentuře EU pro kybernetickou bezpečnost, a o certifikaci kybernetické bezpečnosti informačních a komunikačních technologií („nařízení o aktu o kybernetické bezpečnosti”)8 posílí mandát Agentury EU pro kybernetickou bezpečnost, aby lépe podporovala členské státy v boji proti kybernetickým bezpečnostním hrozbám a útokům. Rovněž vytváří evropský rámec v oblasti kybernetické bezpečnosti pro certifikaci produktů, procesů a služeb, který bude platný v celé EU a má zvláštní význam pro odvětví energetiky.

(8) Komise předložila doporučení9, které se zabývá riziky v 5. generaci síťových technologií (5G) a stanoví za tímto účelem pokyny týkající se vhodné analýzy rizik a opatření k řízení rizik na vnitrostátní úrovni, vytvoření koordinované evropské analýzy rizik a zavedení procesu vypracování společné sady nástrojů s osvědčenými opatřeními k řízení rizik. Sítě 5G budou po svém zavedení páteří široké škály služeb nezbytných pro fungování vnitřního trhu a základních společenských a hospodářských funkcí, jako je energetika.

(9) Toto doporučení by mělo členským státům a příslušným zúčastněným stranám, zejména provozovatelům sítí a dodavatelům technologií, poskytnout orientační vodítko k dosažení vyšší úrovně kybernetické bezpečnosti s ohledem na zvláštní požadavky na práci v reálném čase identifikované v odvětví energetiky, kaskádové efekty a kombinaci starších a moderních technologií. Cílem těchto pokynů je pomoci zúčastněným stranám dbát na zvláštní požadavky odvětví energetiky při provádění mezinárodně uznávaných norem v oblasti kybernetické bezpečnosti.10

(10) Komise má v úmyslu toto doporučení pravidelně přezkoumávat na základě pokroku dosaženého v celé Unii a v konzultaci s členskými státy a příslušnými zúčastněnými stranami. Komise se bude i nadále snažit o posílení kybernetické bezpečnosti v odvětví energetiky, zejména prostřednictvím skupiny pro spolupráci v oblasti bezpečnosti sítí a informací, která zajistí strategickou spolupráci a výměnu informací mezi členskými státy v oblasti kybernetické bezpečnosti,

PŘIJALA TOTO DOPORUČENÍ:

PŘEDMĚT

1) Toto doporučení uvádí hlavní problémy týkající se kybernetické bezpečnosti v odvětví energetiky (požadavky na práci v reálném čase, kaskádové efekty a kombinace starších a moderních technologií) a určuje hlavní akce pro provádění příslušných opatření pro zajištění připravenosti v oblasti kybernetické bezpečnosti v odvětví energetiky.

2) Při uplatňování tohoto doporučení by členské státy měly vybízet příslušné zúčastněné strany, aby rozvíjely znalosti a dovednosti týkající se kybernetické bezpečnosti v odvětví energetiky. Členské státy by rovněž měly v příslušných případech začlenit tyto úvahy do svého vnitrostátního kybernetického bezpečnostního rámce, zejména prostřednictvím strategií a právních a správních předpisů.

POŽADAVKY SOUČÁSTÍ ENERGETICKÉ INFRASTRUKTURY NA PRÁCI V REÁLNÉM ČASE

3) Členské státy by měly zajistit, aby příslušné zúčastněné strany, především provozovatelé energetických sítí a dodavatelé technologií, a zejména provozovatelé základních služeb určení podle směrnice o bezpečnosti sítí a informací, prováděly příslušná opatření pro zajištění připravenosti v oblasti kybernetické bezpečnosti, jež souvisejí s požadavky na práci v reálném čase v odvětví energetiky. Některé prvky energetického systému musejí pracovat „v reálném čase”, tj. reagovat na povely během několika milisekund; v důsledku toho je zavádění opatření v oblasti kybernetické bezpečnosti z důvodu nedostatku času obtížné, či dokonce nemožné.

4) Provozovatelé energetických sítí by zejména měli:

a) u nových zařízení uplatňovat v příslušných případech nejnovější bezpečnostní normy a zvážit doplňková fyzická bezpečnostní opatření v případech, kdy nainstalovaná základna starých zařízení nemůže být dostatečně chráněna mechanismy kybernetické bezpečnosti;

b) implementovat mezinárodní normy týkající se kybernetické bezpečnosti a náležité zvláštní technické normy pro zabezpečenou komunikaci v reálném čase, jakmile budou příslušné produkty komerčně dostupné;

c) zohlednit omezení plynoucí z práce v reálném čase v celkové koncepci bezpečnosti týkající se aktiv, zejména při klasifikaci aktiv;

d) zvážit využití sítí v soukromém vlastnictví pro systémy dálkových ochran, aby byla zajištěna úroveň kvality služeb potřebná vzhledem k omezením plynoucím z práce v reálném čase; při používání veřejných komunikačních sítí by provozovatelé měli zvážit zajištění přidělené šířky pásma, požadavky na latenci a bezpečnostní opatření při komunikaci;

e) rozdělit celý systém do logických zón a v každé zóně stanovit časová a procesní omezení, aby mohli uplatnit vhodná opatření v oblasti kybernetické bezpečnosti nebo uvážit jiné metody ochrany.

5) V