欧盟发布电力行业网络安全法规，增强弹性和跨境保护

欧盟发布了首部针对电力行业的《欧盟网络安全网络守则》，标志着欧盟在增强重要能源基础设施和服务的网络弹性方面取得了重大进展。该出版物是对欧洲议会和理事会条例 (EU) 2019/943 的重要补充，该条例为跨境电力流动制定了特定行业的网络安全法规。

《网络安全网络法规》将通过制定共同规则来执行网络安全风险评估、报告网络攻击、威胁和漏洞以及建立网络安全风险管理，为欧洲跨境电力流动提供共同的网络安全水平。它还包括对供应链安全的建议。该文件是为了应对国家电力系统日益增长的数字化和互联互通而制定的。它提供了一个共同标准，以确保互联系统的安全性和可靠性。 

网络代码的开发是欧洲输电系统运营商网络 (ENTSO-E) 和欧洲配电系统运营商实体 (DSO 实体) 之间出色合作的结果。ENTSO-E 和 DSO 实体感谢与欧盟委员会和 ACER 的密切沟通和合作，他们为网络代码的创建做出了重大贡献。我们还感谢欧盟网络安全局 (ENISA) 的持续积极支持。

《网络安全网络法》规定：“在电力数字化系统相互关联的背景下，预防和管理与网络攻击相关的电力危机不能被视为一项国家级任务。应充分发挥区域和联盟合作的效率更高、成本更低的措施。因此，需要一个共同的规则框架和更协调的程序，以确保成员国和其他参与者能够跨境有效合作，本着提高透明度、信任和成员国与负责电力和网络安全的主管当局之间团结的精神。”

在本法规范围内处理网络安全风险管理需要一个结构化的过程，其中包括识别跨境电力流动因网络攻击而产生的风险、相关的操作流程和边界、相应的网络安全控制和验证机制。“虽然整个过程的时间跨度长达数年，但其中的每一步都应有助于该行业实现高水平的网络安全并降低网络安全风险。所有参与该过程的人都应尽最大努力尽快制定和商定方法，不得无故拖延，无论如何不得晚于本法规规定的最后期限，”它补充道。

根据本条例第 24 条，本条例范围内被视为具有高影响或关键影响并受其中规定的义务约束的实体主要是那些对欧盟跨境电力流动有直接影响的实体。该条例利用其他立法中已经建立的现有机制和手段，以确保效率并避免在实现目标时出现重复。

在执行该法规时，成员国、相关部门和系统运营商应考虑到欧洲标准化组织商定的欧洲标准和技术规范，并按照有关将欧盟立法涵盖的产品投放市场或投入使用的欧盟立法行事。

“为了降低网络安全风险，有必要制定详细的规则手册，规范与跨境电力流动网络安全方面有关的利益相关者的行动和合作，以确保系统安全，”该法规规定。“这些组织和技术规则应确保大多数因网络安全而引发的电力事故在运营层面得到有效处理。有必要阐明这些利益相关者应采取哪些措施来预防此类危机，以及如果仅靠系统运行规则已不够用，他们可以采取哪些措施。” 

该文件概述了有必要建立一个共同的规则框架，以预防、准备和管理因网络安全而同时发生的电力危机。“这将在准备阶段和同时发生的电力危机期间提高透明度，并确保与成员国的网络安全主管部门一起以协调有效的方式采取措施。”

该法规明确指出，“当具有重大影响或关键影响的实体在多个成员国提供服务或在一个成员国设有总部或其他机构或代表，但其网络和信息系统位于一个或多个其他成员国时，这些成员国应鼓励各自的主管当局尽最大努力在必要时相互合作和协助。”

最近的网络攻击表明，实体正日益成为供应链攻击的目标。此类供应链攻击不仅会对范围内的单个实体产生影响，而且还会对与其连接的电网实体造成更大规模的攻击产生连锁效应。因此，增加了有助于减轻与供应链相关流程（尤其是采购）相关的网络安全风险的规定和建议，这些风险会影响跨境电力流动。

《网络安全法》指出：“由于利用网络和信息系统中的漏洞可能会导致严重的能源中断，并对经济和消费者造成损害，因此应迅速识别和修复这些漏洞，以降低风险。”“为了促进本条例的有效实施，相关实体和主管部门应合作进行演习和测试被认为适合该目的的活动，包括有关网络威胁、网络攻击、漏洞、工具和方法、策略、技术和程序的信息交换、网络安全危机管理准备和其他演习。” 

《网络安全法》规定，由于技术在不断发展，电力行业的数字化进程迅速，所采用的规定实施不应有损于创新，不应构成进入电力市场以及随后使用有助于提高电力系统效率和可持续性的创新解决方案的障碍。

此外，为监督本条例的实施而收集的信息应遵循“需要知道”的原则。应给予利益相关者提交此类信息的可实现且有效的期限。应避免重复通知。

为了尽早改善安全协调，测试未来具有约束力的条款、条件和方法，欧洲电力供应国系统运营商、欧盟配电系统运营商实体和主管当局应在本法规生效后立即开始制定非约束性指导。该指导将作为制定未来条款、条件和方法的基准。与此同时，主管当局应将实体确定为高影响和关键影响实体的候选者，自愿开始履行义务。

该法规是与 ACER、ENISA、ENTSO 电力部门、欧盟 DSO 实体和其他利益相关者密切合作制定的，旨在以透明和参与的方式采用有效、平衡和相称的规则。 

欧盟网络安全网络法规指出：“根据第 8 条，网络安全风险评估方法获批后 9 个月内，以及此后每三年，ENTSO 电力部门应与欧盟 DSO 实体合作并与 NIS 合作小组协商，在不影响 (EU) 2022/2555 指令第 22 条的情况下，进行全欧盟网络安全风险评估并起草全欧盟网络安全风险评估报告草案。”“为此，他们将使用根据第 18 条制定并根据第 8 条批准的方法来识别、分析和评估影响电力系统运行安全和扰乱跨境电力流动的网络攻击可能造成的后果。全欧盟网络安全风险评估不应考虑网络攻击造成的法律、财务或声誉损害。”

欧洲电力系统运营商应与欧盟 DSO 实体合作，将欧盟网络安全风险评估报告草案连同欧盟网络安全风险评估结果提交给 ACER 征求意见。ACER 应在收到报告草案后三个月内对其发表意见。欧洲电力系统运营商和欧盟 DSO 实体在最终确定该报告时应最大限度地考虑 ACER 的意见。

此外，在收到 ACER 的意见后的三个月内，ENTSO 电力部门应与欧盟 DSO 实体合作，向 ACER、委员会、ENISA 和主管部门通报最终的欧盟网络安全风险评估报告。

该法案还规定，在根据第 24(6) 条通知高影响和关键影响实体后的 21 个月内，以及在该日期之后的每三年内，在咨询负责电力的 CS-NCA 后，各主管部门应在 CSIRT 的支持下，向 ENTSO 电力部门和欧盟 DSO 实体提供成员国网络安全风险评估报告。 

它包含每个高影响和关键影响业务流程的信息，包括根据第 29 条实施最低和高级网络安全控制的情况；根据第 38(3) 条报告的前三年所有网络攻击的清单；根据第 38(6) 条报告的前三年网络威胁信息的摘要；对于每个欧盟范围内的高影响或关键影响流程，对信息和相关资产的机密性、完整性和可用性受到损害的风险的评估；以及必要时，被确定为高影响或关键影响的其他实体的清单。 

欧洲电力系统运营商应与欧盟配电系统运营商实体合作并与相关区域协调中心协商，对每个系统运营区域进行区域网络安全风险评估。区域网络安全风险评估不得考虑网络攻击造成的法律、财务或声誉损害。

《网络安全网络法规》补充道：“根据第 24(6) 条通知高影响和关键影响实体后 30 个月内，以及此后每三年，ENTSO 电力部门应与欧盟 DSO 实体合作并与 NIS 合作小组协商，为每个系统运营区域制定区域网络安全风险评估报告。”“区域网络安全风险评估报告应考虑欧盟范围的网络安全风险评估报告和成员国网络安全风险评估报告中的相关信息。”

在接下来的几个月里，ENTSO-E 和 DSO 实体将继续合作并制定指导网络代码实施的不同文件。

上个月，欧盟委员会启动了“地平线欧洲”2023-2024 年数字、工业和空间工作计划的提案征集，重点关注人工智能 (AI) 和量子技术的研究和创新。随着对人工智能和量子研究与创新的投资 1.12 亿欧元，一系列新提案已经启动，2023-2024 年“地平线欧洲”数字、工业和空间工作计划的资金总额超过 1.12 亿欧元。

文章来源于河南等级保护测评