NCCS: Hogyan reagál a villamosenergia-ágazat a kiberfenyegetésre?
A kiberbiztonság miatt aggódnak leginkább az európai villamos energia rendszerirányítói (TSO-k) – derült ki az EU szinten elvégzett kockázatelemzésből, mely idén kerül újból megújításra. Európában az NCCS (Network Code for Cybersecurity) bizottsági rendelet és a NIS2 irányelvek készítik fel a villamosenergia-ágazat szereplőit az online támadások kivédésére.
Az európai villamosenergia-piac gyorsan digitalizálódik, és az áramtermelés, elosztás és kereskedelem egyre nagyobb mértékben támaszkodik összekapcsolt informatikai rendszerekre. Ez a folyamat nemcsak a hatékonyságot javítja, hanem új fenyegetéseket is hoz magával, különösen a kiberbiztonság terén. A bankokhoz hasonlóan az energiaszektor is egyre inkább aggódik a kiberbiztonsági kockázatok miatt. A kritikus infrastruktúrák elleni kibertámadások komoly következményekkel járhatnak, melyek szükségessé tették új jogszabályok és szabályozások kidolgozását, mint például a Network Code for Cybersecurity (a Bizottság (EU) 2024/1366 felhatalmazáson alapuló rendelet), amely a villamosenergia-piac védelmét célozza.
A kiberbiztonsági kihívások és az erre reagáló új jogszabály a villamosenergia ágazatban
Évek óta az adathalászat, spam üzenetek, a kibertámadások, a rosszindulatú malware programok nehezítik meg leginkább a vállalatok működését itthon és világszerte. A kibertámadások elleni védekezés összehangolása érdekében egységes törvényi szabályozást hozott létre az Európai Bizottság több szektor számára, hogy megerősítse a kontinensen működő cégek online védelmi képességeit, mely számos kihívást hozott az érintett szervezeteknek. A digitális működés ellenálló képességére vonatkozó szabályozás a pénzügyi szektor számára, a DORA (Digital Operational Resilience Act) rendelet 2024. január 16-án lépett hatályba, míg a villamosenergia ágazatra vonatkozó NCCS (Network Code for Cybersecurity) rendelet 2023. június 13-án.
Mind az NCCS, mind a DORA rendeletek rendkívül fontos szabályozások az adott ágazatok számára. Míg az NCCS rendelet a villamosenergia-piac kritikus infrastruktúrájának biztonságát helyezi előtérbe, a DORA rendelet a pénzügyi szektor digitális rendszereinek védelmét célozza. Mindkét rendelet kiemeli a kiberbiztonság fontosságát, és egyértelmű kötelezettségeket ír elő a szereplők számára a kiberkockázatok hatékony kezelésére és a rendszerek ellenállóképességének biztosítására.
A NIS 2 (Network and Information Systems Directive 2) az Európai Unió által 2022-ben elfogadott új irányelv, amely a kiberbiztonság megerősítésére irányul az EU tagállamaiban. Az NIS 2 célja, hogy továbbfejlessze a 2016-os NIS irányelvet, és a kibertámadásokkal szembeni ellenállóképességet növelje, különösen a kritikus infrastruktúrák és kulcsfontosságú szolgáltatók esetében. A NIS 2 irányelv horizontális megközelítéssel írja elő a fontos és alapvető ágazatok, így az energetikai ágazat szereplői számára is azokat a kiberbiztonsági követelményeket, amelyeket az NCCS rendelet végrehajtása során is figyelembe kell venni. Az NCCS rendelet további követelményeket támaszt az érintett eszközök biztonsági besorolása, továbbá a bekövetkezett kibertámadások bejelentése, kezelése és az információk megosztása kapcsán. Az NCCS rendeletet és NIS 2 magyarországi átültetésével aktualizált kiberbiztonsági jogszabályokat együttesen kell alkalmazni.
Az NCCS rendelet bevezetéséért Magyarországon Magyar Energetikai és Közmű-szabályozási Hivatal (MEKH) felel.
Az NCCS rendelet hatálya alá kerülő szervezetek kockázat alapú beazonosítását a kritikus szervezetek rezilienciájának növeléséről szóló CER irányelv (az Európai Parlament és a Tanács (EU) 2022/2557 irányelve) hatálya alá tartozó kritikus szervezetek körével is össze kell hangolni. Az alábbi ábra a NIS 2 és a CER irányelvek, valamint az NCCS rendelet összefüggéseit mutatja be a villamosenergia ágazat szereplői számára:
Az ábrán jól látható, hogy az NCCS rendelet olyan villamosenergia ágazati szereplőkre vonatkozik, melyek a határkeresztező villamosenergia-ellátásra hatást gyakorolnak. Őket a Magyar Energetikai és Közmű-szabályozási Hivatal (MEKH) nagy hatású vagy kritikus hatású szervezetként fogja besorolni.
Az NCCS rendelet által Magyarországon érintett villamosenergia-ágazati szereplők:
· nemzeti szabályozó hatóság (MEKH),
· NCCS illetékes hatóság (MEKH),
· nemzetközi szervezetek,
· átvitelirendszer-üzemeltető (MAVIR),
· elosztórendszer-üzemeltetők,
· Kijelölt Villamosenergia-piac Működtető (HUPIX),
· villamosenergia termelők,
· energiatárolók,
· kritikus IKT-szolgáltatók,
· mérlegkörfelelősök,
· elektromos töltőpontok üzemeltetői,
· irányított biztonsági szolgáltatók.
A villamosenergia-rendszer összetettsége miatt a különböző piaci szereplők folyamatos kapcsolatban állnak egymással, amely növeli a sebezhetőséget a kiberfenyegetésekkel szemben. A digitális átalakulás révén egyre több olyan pont van, ahol a támadók hozzáférhetnek a rendszerekhez, legyen szó rendszerirányítókról, energiatárolókról, elosztóhálózatokról, kereskedőkről vagy akár fogyasztói eszközökről (inverterek, okosmérők). A megújuló energiatermelés növekvő térnyerése így jelentős kihívást jelent a villamosenergia piac minden szereplője számára.
A támadások egy része adatlopásra irányulhat, míg mások közvetlenül az áramellátást vagy a piac működését zavarhatják meg. Egy ilyen támadás hatással lehet a fogyasztókra, a piaci szereplőkre, sőt nemzetgazdasági vagy regionális szinten is jelentős károkat okozhat.
Az új szabályozás arra ösztönzi a piaci szereplőket, hogy fokozzák kiberbiztonsági intézkedéseiket, beleértve az incidenskezelési folyamatokat, a sebezhetőségek feltárását és a támadások gyors detektálását.
Az NCCS rendelet legfontosabb pontjai a következők:
· kockázatértékelés és kockázatcsökkentés,
· védelmi intézkedések fejlesztése és ellenőrzése, beleértve a SOC (Security Operation Center – Biztonsági Műveleti Központ) létrehozását akár kiszervezett formában,
· együttműködés és információmegosztás a piaci szereplők között,
· incidenskezelés és jelentési kötelezettség,
· hatósági felügyelet.
A piaci szereplők felkészültsége, felkészítése
A kiberbiztonsági fenyegetések folyamatosan változnak és egyre kifinomultabbá válnak, így a villamosenergia-piaci szereplőknek is lépést kell tartaniuk ezekkel az új kihívásokkal. Az NCCS rendelet végrehajtásával az eltérő kiberérettségű villamosenergia ágazati szereplők ellenállóképességi szintje konvergál. Az NCCS rendelet követelményeinek való megfelelés komoly kihívást jelenthet a kisebb vállalatok számára, melyeknek korlátozottabb erőforrásaik vannak a megfelelő védelmi rendszerek kialakítására.
Az új szabályozások és irányelvek hozzájárulnak ahhoz, hogy az energiaszektor biztonságosabbá és ellenállóbbá váljon a jövőbeni kihívásokkal szemben.
Mint az NCCS rendelet illetékes hatósága a MEKH magas szintű támogatást nyújt képzéseken, rendezvényeken, iránymutatások keresztül a felkészülésben a rendelet hatálya alá tartozó minden nagy és kritikus hatású szervezet számára.