Rekomendacje w zakresie cyberbezpieczeństwa dla polskiego sektora energii
Ministerstwo Klimatu i Środowiska opublikowało rekomendacje dotyczące działań mających na celu wzmocnienie cyberbezpieczeństwa w sektorze energii oraz wytyczne sektorowe dotyczące zgłaszania incydentów. Jest to znaczący krok w kierunku wzmacniania polskiego sektora energii w zakresie cyberbezpieczeństwa.
Głównym celem opracowania rekomendacji sektorowych było stworzenie zbioru szczegółowych wytycznych wspomagających realizację wymagań z zakresu cyberbezpieczeństwa w sektorze energii. Uwzględniają one specyfikę sektora związaną z dominacją przemysłowych systemów sterowania. Dodatkowo dokument stanowi zestawienie koniecznych działań organizacyjnych, proceduralnych i technicznych rekomendowanych do podjęcia na poziomie spółki, a także zawiera przykłady dowodów potwierdzających spełnienie tych wymagań.
W rekomendacjach zostały poruszone kwestie związane z zarządzaniem ryzykiem, zarządzaniem stroną trzecią, cyklem życia systemów informacyjnych, bezpieczeństwem osobowym, podnoszeniem świadomości i szkoleniami. Zapisy dotyczą również audytów bezpieczeństwa systemów informacyjnych, zachowania ciągłości działania i odbudowy, bezpieczeństwa fizycznego, bezpieczeństwa sieci łączności elektronicznej, bezpieczeństwa systemów informacyjnych, a także z wytycznych dotyczących zgłaszania incydentów. Każdy z tych elementów uwzględnia specyfikę sektora energii i jest ukierunkowany na powszechną obecność systemów automatyki przemysłowej wykorzystywanych do świadczenia kluczowych usług. Przedstawiona została również tabela poziomów dojrzałości organizacji, która ma wesprzeć zarówno operatorów usług kluczowych, jak i organ właściwy ds. cyberbezpieczeństwa dla sektora energii w weryfikacji poziomów dojrzałości poszczególnych podmiotów. Do rekomendacji dołączono m.in. przykładową listę szkoleń dla pracowników operatorów usług kluczowych, formularz audytowy opracowany przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa ENISA oraz macierz minimalnych rekomendowanych działań mających na celu wzmocnienie cyberbezpieczeństwa.
Dokument został opracowany na podstawie art. 42 ust. 1 pkt. 5 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa wraz z zaangażowaniem operatorów usług kluczowych z sektora energii. Został on poddany konsultacjom z zespołami CSIRT (ang. Computer Security Incident Response Team) poziomu krajowego. Opracowanie rekomendacji było możliwe dzięki wsparciu europejskiego instrumentu „Łącząc Europę”.
W związku z publikacją rekomendacji sektorowych Ministerstwo Klimatu i Środowiska zorganizowało 15 października br. konferencję pn. Cyberbezpieczeństwo sektora energii – przedstawienie rekomendacji sektorowych. Podczas wydarzenia zaprezentowano rekomendacje sektorowe w zakresie cyberbezpieczeństwa. Było to pierwsze tego typu wydarzenie w sektorze energii od momentu wejścia w życie ustawy o krajowym systemie cyberbezpieczeństwa.
Źródło: Ministerstwo Klimatu i Środowiska