Digital sikkerhet i energisektoren
Kommisjonsrekommandasjon (EU) 2019/553 av 3. april 2019 om digital sikkerhet i energisektoren
Commission Recommendation (EU) 2019/553 of 3 April 2019 on cybersecurity in the energy sector
Kommisjonsrekommandasjon publisert i EU-tidende 5.4.2019
Bakgrunn
BAKGRUNN (fra kommisjonsrekommandasjonen, dansk utgave)
(1) Den europæiske energisektor er i gang med en vigtig omstilling til en kulstoffattig økonomi og sikrer samtidig forsyningssikkerheden og konkurrenceevnen. Som led i denne energiomstilling og den dermed forbundne decentralisering af elproduktionen fra vedvarende energikilder er teknologiske fremskridt, sektorkobling og digitalisering ved at omdanne Europas elnet til et »intelligent net«. Samtidig indebærer dette også nye risici, idet digitaliseringen i stigende grad eksponerer energisystemet for cyberangreb og -hændelser, som kan bringe energiforsyningssikkerheden i fare.
(2) Vedtagelsen af alle otte lovgivningsforslag i pakken om ren energi til alle europæere, herunder om forvaltningen af energiunionen som en trædesten, gør det muligt at skabe et gunstigt miljø for den digitale omstilling af energisektoren. I aftalen anerkendes ligeledes betydningen af cybersikkerhed i energisektoren. Omarbejdningen af forordningen om det indre marked for elektricitet indeholder navnlig bestemmelser om vedtagelse af tekniske regler om elektricitet, f.eks. netregler om sektorspecifikke regler for cybersikkerhedsaspekter af grænseoverskridende elektricitetsstrømme, om fælles minimumskrav, planlægning, overvågning, rapportering og krisestyring. Forordningen om risikoberedskab i elsektoren følger stort set den tilgang, der er valgt i forordningen om gasforsyningssikkerhed, idet det understreges, at alle risici, herunder risici i forbindelse med cybersikkerhed, skal vurderes behørigt, og det foreslås at vedtage foranstaltninger til at forebygge og afbøde disse risici.
(3) Da Kommissionen vedtog EU-strategien for cybersikkerhed i 2013, blev styrkelsen af Unionens cyberrobusthed identificeret som en prioritet. Et af de vigtigste mål for strategien er direktivet om net- og informationssikkerhed (i det følgende benævnt »NIS-direktivet«), som blev vedtaget i juli 2016. Som den første horisontale EU-lovgivning om cybersikkerhed styrker NIS-direktivet det generelle cybersikkerhedsniveau i Unionen gennem udvikling af de nationale cybersikkerhedskapaciteter, øget samarbejde på EU-plan og indførelse af forpligtelser for virksomheder, der benævnes »operatører af væsentlige tjenester«, til at indberette sikkerhedshændelser. Underretning om hændelser er obligatorisk i nøglesektorer, herunder energisektoren.
(4) Når der gennemføres beredskabsforanstaltninger inden for cybersikkerhed, bør de relevante interessenter, herunder operatører af væsentlige energitjenester, der er udpeget i henhold til NIS-direktivet, tage hensyn til de horisontale retningslinjer udstedt af NIS-samarbejdsgruppen, der er nedsat i henhold til artikel 11 i NIS-direktivet. Denne samarbejdsgruppe, der består af repræsentanter for medlemsstaterne, Den Europæiske Unions Agentur for Net- og Informationssikkerhed (ENISA) og Kommissionen, har vedtaget vejledninger om sikkerhedsforanstaltninger og underretning om hændelser. I juni 2018 etablerede denne gruppe en særlig arbejdsstrøm om energi.
(5) I den fælles meddelelse om cybersikkerhed fra 2017 anerkendes betydningen af sektorspecifikke overvejelser og krav på EU-plan, herunder i energisektoren. Cybersikkerhed og mulige politiske konsekvenser har været genstand for indgående drøftelser i Unionen i de seneste år. Der er derfor i dag stigende bevidsthed om, at de enkelte økonomiske sektorer står over for specifikke problemer med cybersikkerheden, og de skal derfor udvikle deres egen sektorspecifikke tilgang i en bredere sammenhæng med generelle cybersikkerhedsstrategier.
(6) Udveksling af oplysninger og tillid er afgørende for cybersikkerheden. Kommissionen sigter mod at øge udvekslingen af oplysninger mellem de relevante interessenter ved at tilrettelægge særlige arrangementer såsom rundbordsdiskussionen på højt plan om cybersikkerhed inden for energi, der blev afholdt i Rom i marts 2017, og konferencen på højt plan om cybersikkerhed inden for energi, der blev afholdt i Bruxelles i oktober 2018. Kommissionen ønsker også at styrke samarbejdet mellem relevante interessenter og specialiserede enheder såsom det europæiske informationsudvekslings- og analysecenter.
(7) Forordningen om ENISA, »EU's Agentur for Cybersikkerhed«, og om cybersikkerhedscertificering af informations- og kommunikationsteknologi (»forordningen om cybersikkerhed«) vil styrke EU's Agentur for Cybersikkerheds mandat, således at det bedre kan støtte medlemsstaterne i håndteringen af cybersikkerhedstrusler og -angreb. Den skaber også en europæisk ramme for certificering af produkter, processer og tjenesteydelser, som vil være gyldig i hele Unionen og er af særlig interesse for energisektoren.
(8) Kommissionen har fremsat en henstilling vedrørende cybersikkerhedsrisici ved netværksteknologier af femte generation (5G) og håndtering af disse gennem fastsættelse af retningslinjer for passende foranstaltninger til risikoanalyse og -styring på nationalt plan, for udvikling af koordineret europæisk risikoanalyse og for fastlæggelsen af en proces til at udvikle en fælles værktøjskasse med de bedste foranstaltninger til risikostyring. Når først 5G-net er blevet udbredt, vil de danne basis for en bred vifte af tjenester, der vil være afgørende for det indre markeds funktion samt for vigtige samfundsmæssige og økonomiske funktioner såsom energi.
(9) Denne henstilling bør indeholde en ikkeudtømmende vejledning til medlemsstaterne og relevante interessenter, navnlig netoperatører og teknologileverandører, i opnåelsen af et højere cybersikkerhedsniveau i lyset af de specifikke realtidskrav, der er identificeret for energisektoren, kaskadevirkninger og kombinationen af gammel og avanceret teknologi. Denne vejledning har til formål at hjælpe interessenterne med at tage hensyn til de specifikke krav i energisektoren i forbindelse med gennemførelsen af internationalt anerkendte standarder for cybersikkerhed.
(10) Kommissionen har til hensigt at revidere denne henstilling regelmæssigt på grundlag af fremskridtene i hele Unionen efter høring af medlemsstaterne og relevante interessenter. Kommissionen vil fortsætte sine bestræbelser på at styrke cybersikkerheden i energisektoren, navnlig gennem NIS-samarbejdsgruppen, som sikrer det strategiske samarbejde og udvekslingen af oplysninger mellem medlemsstaterne om cybersikkerhed —
(1) Den europæiske energisektor er i gang med en vigtig omstilling til en kulstoffattig økonomi og sikrer samtidig forsyningssikkerheden og konkurrenceevnen. Som led i denne energiomstilling og den dermed forbundne decentralisering af elproduktionen fra vedvarende energikilder er teknologiske fremskridt, sektorkobling og digitalisering ved at omdanne Europas elnet til et »intelligent net«. Samtidig indebærer dette også nye risici, idet digitaliseringen i stigende grad eksponerer energisystemet for cyberangreb og -hændelser, som kan bringe energiforsyningssikkerheden i fare.
(2) Vedtagelsen af alle otte lovgivningsforslag i pakken om ren energi til alle europæere, herunder om forvaltningen af energiunionen som en trædesten, gør det muligt at skabe et gunstigt miljø for den digitale omstilling af energisektoren. I aftalen anerkendes ligeledes betydningen af cybersikkerhed i energisektoren. Omarbejdningen af forordningen om det indre marked for elektricitet indeholder navnlig bestemmelser om vedtagelse af tekniske regler om elektricitet, f.eks. netregler om sektorspecifikke regler for cybersikkerhedsaspekter af grænseoverskridende elektricitetsstrømme, om fælles minimumskrav, planlægning, overvågning, rapportering og krisestyring. Forordningen om risikoberedskab i elsektoren følger stort set den tilgang, der er valgt i forordningen om gasforsyningssikkerhed, idet det understreges, at alle risici, herunder risici i forbindelse med cybersikkerhed, skal vurderes behørigt, og det foreslås at vedtage foranstaltninger til at forebygge og afbøde disse risici.
(3) Da Kommissionen vedtog EU-strategien for cybersikkerhed i 2013, blev styrkelsen af Unionens cyberrobusthed identificeret som en prioritet. Et af de vigtigste mål for strategien er direktivet om net- og informationssikkerhed (i det følgende benævnt »NIS-direktivet«), som blev vedtaget i juli 2016. Som den første horisontale EU-lovgivning om cybersikkerhed styrker NIS-direktivet det generelle cybersikkerhedsniveau i Unionen gennem udvikling af de nationale cybersikkerhedskapaciteter, øget samarbejde på EU-plan og indførelse af forpligtelser for virksomheder, der benævnes »operatører af væsentlige tjenester«, til at indberette sikkerhedshændelser. Underretning om hændelser er obligatorisk i nøglesektorer, herunder energisektoren.
(4) Når der gennemføres beredskabsforanstaltninger inden for cybersikkerhed, bør de relevante interessenter, herunder operatører af væsentlige energitjenester, der er udpeget i henhold til NIS-direktivet, tage hensyn til de horisontale retningslinjer udstedt af NIS-samarbejdsgruppen, der er nedsat i henhold til artikel 11 i NIS-direktivet. Denne samarbejdsgruppe, der består af repræsentanter for medlemsstaterne, Den Europæiske Unions Agentur for Net- og Informationssikkerhed (ENISA) og Kommissionen, har vedtaget vejledninger om sikkerhedsforanstaltninger og underretning om hændelser. I juni 2018 etablerede denne gruppe en særlig arbejdsstrøm om energi.
(5) I den fælles meddelelse om cybersikkerhed fra 2017 anerkendes betydningen af sektorspecifikke overvejelser og krav på EU-plan, herunder i energisektoren. Cybersikkerhed og mulige politiske konsekvenser har været genstand for indgående drøftelser i Unionen i de seneste år. Der er derfor i dag stigende bevidsthed om, at de enkelte økonomiske sektorer står over for specifikke problemer med cybersikkerheden, og de skal derfor udvikle deres egen sektorspecifikke tilgang i en bredere sammenhæng med generelle cybersikkerhedsstrategier.
(6) Udveksling af oplysninger og tillid er afgørende for cybersikkerheden. Kommissionen sigter mod at øge udvekslingen af oplysninger mellem de relevante interessenter ved at tilrettelægge særlige arrangementer såsom rundbordsdiskussionen på højt plan om cybersikkerhed inden for energi, der blev afholdt i Rom i marts 2017, og konferencen på højt plan om cybersikkerhed inden for energi, der blev afholdt i Bruxelles i oktober 2018. Kommissionen ønsker også at styrke samarbejdet mellem relevante interessenter og specialiserede enheder såsom det europæiske informationsudvekslings- og analysecenter.
(7) Forordningen om ENISA, »EU's Agentur for Cybersikkerhed«, og om cybersikkerhedscertificering af informations- og kommunikationsteknologi (»forordningen om cybersikkerhed«) vil styrke EU's Agentur for Cybersikkerheds mandat, således at det bedre kan støtte medlemsstaterne i håndteringen af cybersikkerhedstrusler og -angreb. Den skaber også en europæisk ramme for certificering af produkter, processer og tjenesteydelser, som vil være gyldig i hele Unionen og er af særlig interesse for energisektoren.
(8) Kommissionen har fremsat en henstilling vedrørende cybersikkerhedsrisici ved netværksteknologier af femte generation (5G) og håndtering af disse gennem fastsættelse af retningslinjer for passende foranstaltninger til risikoanalyse og -styring på nationalt plan, for udvikling af koordineret europæisk risikoanalyse og for fastlæggelsen af en proces til at udvikle en fælles værktøjskasse med de bedste foranstaltninger til risikostyring. Når først 5G-net er blevet udbredt, vil de danne basis for en bred vifte af tjenester, der vil være afgørende for det indre markeds funktion samt for vigtige samfundsmæssige og økonomiske funktioner såsom energi.
(9) Denne henstilling bør indeholde en ikkeudtømmende vejledning til medlemsstaterne og relevante interessenter, navnlig netoperatører og teknologileverandører, i opnåelsen af et højere cybersikkerhedsniveau i lyset af de specifikke realtidskrav, der er identificeret for energisektoren, kaskadevirkninger og kombinationen af gammel og avanceret teknologi. Denne vejledning har til formål at hjælpe interessenterne med at tage hensyn til de specifikke krav i energisektoren i forbindelse med gennemførelsen af internationalt anerkendte standarder for cybersikkerhed.
(10) Kommissionen har til hensigt at revidere denne henstilling regelmæssigt på grundlag af fremskridtene i hele Unionen efter høring af medlemsstaterne og relevante interessenter. Kommissionen vil fortsætte sine bestræbelser på at styrke cybersikkerheden i energisektoren, navnlig gennem NIS-samarbejdsgruppen, som sikrer det strategiske samarbejde og udvekslingen af oplysninger mellem medlemsstaterne om cybersikkerhed —