Ministerstwo Klimatu i Środowiska opublikowało rekomendacje dotyczące działań mających na celu wzmocnienie cyberbezpieczeństwa w sektorze energii oraz wytyczne sektorowe dotyczące zgłaszania incydentów(1). Jest to znaczący krok w kierunku wzmacniania polskiego sektora energii w zakresie cyberbezpieczeństwa.
Czytaj: Będą nowe wymogi UE ws. zapewnienia cyberbezpieczeństwa. Kto już może się przygotowywać?
Zbiór szczegółowych wytycznych wspomagających realizację wymagań z zakresu cyberbezpieczeństwa
Głównym celem opracowania rekomendacji sektorowych było stworzenie zbioru szczegółowych wytycznych wspomagających realizację wymagań z zakresu cyberbezpieczeństwa w sektorze energii. Uwzględniają one specyfikę sektora związaną z dominacją przemysłowych systemów sterowania. Dodatkowo dokument stanowi zestawienie koniecznych działań organizacyjnych, proceduralnych i technicznych rekomendowanych do podjęcia na poziomie spółki, a także zawiera przykłady dowodów potwierdzających spełnienie tych wymagań.
W rekomendacjach zostały poruszone kwestie związane z zarządzaniem ryzykiem, zarządzaniem stroną trzecią, cyklem życia systemów informacyjnych, bezpieczeństwem osobowym, podnoszeniem świadomości i szkoleniami. Zapisy dotyczą również audytów bezpieczeństwa systemów informacyjnych, zachowania ciągłości działania i odbudowy, bezpieczeństwa fizycznego, bezpieczeństwa sieci łączności elektronicznej, bezpieczeństwa systemów informacyjnych, a także z wytycznych dotyczących zgłaszania incydentów. Każdy z tych elementów uwzględnia specyfikę sektora energii i jest ukierunkowany na powszechną obecność systemów automatyki przemysłowej wykorzystywanych do świadczenia kluczowych usług. Przedstawiona została również tabela poziomów dojrzałości organizacji, która ma wesprzeć zarówno operatorów usług kluczowych, jak i organ właściwy ds. cyberbezpieczeństwa dla sektora energii w weryfikacji poziomów dojrzałości poszczególnych podmiotów. Do rekomendacji dołączono m.in. przykładową listę szkoleń dla pracowników operatorów usług kluczowych, formularz audytowy opracowany przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa ENISA oraz macierz minimalnych rekomendowanych działań mających na celu wzmocnienie cyberbezpieczeństwa.
Czytaj: Pracownik - najsłabsze czy najsilniejsze ogniwo systemu cyberbezpieczeństwa?
Dokument został opracowany na podstawie art. 42 ust. 1 pkt. 5 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa wraz z zaangażowaniem operatorów usług kluczowych z sektora energii. Został on poddany konsultacjom z zespołami CSIRT (ang. Computer Security Incident Response Team) poziomu krajowego. Opracowanie rekomendacji było możliwe dzięki wsparciu europejskiego instrumentu „Łącząc Europę”.
Źródło: MKiŚ
Przypisy
1/ Rekomendacje dotyczące działań mających na celu wzmocnienie cyberbezpieczeństwa w sektorze energii oraz wytyczne sektorowe dotyczące zgłaszania incydentów - do pobraniahttps://www.teraz-srodowisko.pl/media/pdf/aktualnosci/10952-rekomendacje-MKiS-cyberbezpieczenstwo-sektor-energii.pdf
