Makedonija uvodi sustav za zaštitu energetskih objekata od kibernetičkih napada, a kompanije koje su dio energetske infrastrukture trebaju uvesti timove za kibernetičku sigurnost.
Nova pravila o kibernetičkoj sigurnosti za objekte za proizvodnju, skladištenje te sustave prijenosa i distribucije električne energije donijela je Regulatorna komisija za energetiku, vodne usluge i usluge upravljanja komunalnim otpadom (RKE).
Pravila će se odnositi na državnu kompaniju Makedonski operator elektroprijenosnog sustava (MEPSO), Elektrodistribuciju, Nacionalnog operatora tržišta električne energije (MEMO), opskrbljivače električnom energijom, velike proizvođače (200 MW), operatore skladišta električne energije (50 MW), državnu kompaniju za prijenos prirodnog plina NOMAGAS, operatore distribucije plina (Kumanovo Gas, Strumica Gas i Tehnološko-industrijske razvojne zone (TIRZ)) te operatore postrojenja za proizvodnju vodika ili bioplina.
"Ovim pravilima RKE jača svoju ulogu u području kibernetičke sigurnosti, čime se očekuje osiguravanje više razine sigurnosti, stabilnosti i povjerenja u energetski sustav, u interesu građana, gospodarstva i nacionalne sigurnosti", navode iz Regulatorne komisije za energetiku, vodne usluge i upravljanje otpadom za naš portal.
Riječ je o podzakonskom aktu usklađenom s europskim standardima, čijom će se provedbom ojačati zaštita državnog energetskog sustava od kibernetičkih napada i tehnoloških rizika.
"Nova pravila predviđaju protokole za upravljanje rizicima, incidentima i krizama, kao i protokol za izvještavanje u slučaju značajnih kibernetičkih sigurnosnih napada, plan oporavka te obuke za podizanje svijesti", dodaju iz RKE-a.
Novi regulatorni model
Energetske kompanije koje upravljaju kritičnom infrastrukturom trebaju u roku od 30 dana imenovati posebnog službenika, a u roku od šest mjeseci formirati timove za kibernetičku sigurnost, dok u roku od godinu dana imaju obvezu izraditi procjenu rizika, plan oporavka u slučaju kibernetičkog napada, kao i sustav sigurnosnih kopija podataka. Nova pravila predstavljaju potpuno novi regulatorni model koji s tehničke kibernetičke zaštite prelazi na upravljanje nacionalno kritičnim rizikom.
Izvještavanje o značajnim kibernetičkim sigurnosnim incidentima.
U pravilniku o kibernetičkoj sigurnosti objekata za proizvodnju, skladištenje te sustava prijenosa i distribucije energije precizno su navedena pravila i obveze u slučaju kibernetičke prijetnje za kritičnu energetsku infrastrukturu u državi.
"U vezi s izvještavanjem o značajnim sigurnosnim kibernetičkim incidentima, regulirani subjekti dužni su odmah, a najkasnije u roku od tri sata od trenutka saznanja o nastanku značajnog kibernetičkog sigurnosnog incidenta ili ozbiljne kibernetičke prijetnje, obavijestiti nadležni tim za odgovor na računalne incidente i Regulatornu komisiju za energetiku."
Regulirani subjekti također su dužni odmah, a najkasnije sljedeći radni dan od trenutka saznanja o ozbiljnoj kibernetičkoj prijetnji, obavijestiti pogođene korisnike svojih usluga o svim mjerama ili pravnim sredstvima koja mogu poduzeti kao odgovor na prijetnju.
Regulirani subjekti izrađuju i godišnji plan kibernetičke sigurnosti i dostavljaju ga Regulatornoj komisiji za energetiku najkasnije do 31. siječnja za tekuću godinu. Plan obvezno treba sadržavati strateške ciljeve kibernetičke sigurnosti za tekuću godinu, pregled identificiranih rizika i prioriteta, planirane tehničke i organizacijske mjere, plan obuka i simulacija, proračunske okvire za kibernetičku sigurnost te vremenski okvir za provedbu.
