blog-background-1920px

EU:lta ensimmäinen kyberturvallisuusdirektiivi

30. syyskuuta 2016 klo 10.48.17

overview_cyber_security_eu.jpg
Kyberturvallisuus on energiasektorilla kuuma puheenaihe, mutta monelle energialaitokselle on tähän asti ollut melko epäselvää, miten sitä käytännössä pitäisi ryhtyä kehittämään. Kuluneen kesän aikana EU-alueelle saatiin kaksi ohjeistusta, joiden perusteella voidaan ottaa suunta seuraaville askeleille. Alan standardit puolestaan määrittelevät käytännön toimintakehyksen tietoturvallisuuden päivittäiselle hallinnalle.

Euroopan parlamentti hyväksyi heinäkuun alussa EU:n ensimmäisen kyberturvallisuutta koskevan säädöksen, joka astui voimaan elokuussa. Tämän verkko- ja tietoturvadirektiivin (NIS-direktiivi) sisältö jäsenvaltioiden on toteutettava kansallisessa lainsäädännössään 21 kuukauden kuluessa.

Direktiivi edellyttää tiettyjen energialaitosten luokittelemista kansallisella tasolla ”elintärkeää infrastruktuuria” ylläpitäviksi toimijoiksi, joilta vaaditaan asianmukaisia riskinhallintakäytäntöjä ja merkittävien poikkeamien raportointia kansalliselle viranomaiselle. Direktiivi edellyttää jäsenvaltioita määrittelemään tällaiset toimijat kuuden kuukauden kuluessa.

Eurooppalaisten standardointiorganisaatioiden CENin, CENELECin ja ETSIn älymittaroinnin koordinointiryhmä SM-CG hyväksyi samalla AMI-komponenttien vähimmäisturvallisuusvaatimukset. Yhteistyössä Euroopan älykkäiden energiaratkaisujen toimittajien järjestön ESMIGin kanssa laadittu lista asettaa älymittaroinnille yhdeksän vähimmäisvaatimusta, jotka koskevat kaikkia AMI-komponentteja älymittareista head-end-järjestelmiin. Lista pohjautuu 300 kansalliseen vaatimukseen.

ami_smart_grid_v4-04

Kaavio esittää älymittaroinnin kyberturvallisuuden EU-rakenteita

Landis+Gyrin viranomaissuhteista ja sääntelyasioista vastaava johtaja John Harris kommentoi: ”Korkeatasoinen tietosuoja ja -turva on olennainen edellytys älymittaroinnin hyväksyttävyydelle yleisön keskuudessa ja siten ylipäänsä sen käyttöönoton onnistumiselle. CEN-CENELECin ja ETSIn julkaisemat SM-CG:n tietoturvallisuuden minimivaatimukset ovat malliesimerkki onnistuneesta yhteistyöstä yritysten, toimialajärjestöjen ja julkisen sektorin toimijoiden kesken. Vaatimukset ovat myös hyvä lähtökohta niille EU:n jäsenvaltioille, jotka eivät vielä ole määritelleet omia vaatimuksiaan älymittaroinnille. Ne antavat sekä energialaitoksille että laitosten asiakkaille näiden kaipaamaa ja ansaitsemaa turvaa.”

EU-direktiivi ja tietoturvan vähimmäisvaatimukset ovat perusta energialaitosten kyberturvallisuuden kehittämiselle, mutta asia vaatii edelleen järjestelmällistä työtä organisaatiotasolla. Organisaatiot voivat tukeutua kehitystyössä alan standardeihin: ISO/IEC 27001 määrittelee tietoturvallisuuden hallintajärjestelmille (ISMS) asetettavat vaatimukset ja auttaa pitämään arkaluonteisen liiketoimintatiedon luottamuksellisena.

Älymittauksen kyberturvallisuus osaksi organisaation arkea

Energialaitoksen AMI-kyberturvallisuuden kehittämistyö on jatkuva prosessi, jonka ensiaskeleita ovat yrityksen nykytilanteen arviointi, heikkouksien tunnistaminen ja kehittämissuunnitelman laatiminen. Olennaista on ymmärtää haavoittuvuuksien luonne ja varmistaa, että ne korjataan tehokkaasti. AMI-kyberturvallisuudessa ei ole kyse pelkästään teknisistä ratkaisuista vaan myös ihmisistä ja prosesseista sekä laitoksen koko IT-infrastruktuurista. Kaikkia näitä keskeisiä alueita voidaan kehittää.

Mutta miten kyberturvallisuus on huomioitu Landis+Gyrin Gridstream® -ratkaisussa?
Lue lisää englanninkielisestä ilmaisesta e-bookistamme:

Gridstream solution security overview

Lisää artikkeleita kyberturvallisuudesta: 

Ota yhteyttä