Директива НИС 2: Что нужно знать операторам ветропарков и ветрогенераторов сейчас

Эта статья проливает свет на то, кого это затрагивает в ветроэнергетике, какие отрасли и объекты подпадают под действие Директивы и какие требования вытекают из Директивы. При этом мы особо ссылаемся на заявление Немецкой ассоциации ветроэнергетики (BWE) от июля 2024 года о законопроекте BMI.

1. Кто такой затрагивается Директивой NIS 2?

Директива распространяется на все компании, которые критически важные услуги в конкретных секторах и предоставляют конкретные размер компании. В частности, решающее значение имеют:

• Отраслевая принадлежность (например, производство электроэнергии)
  
• размер компании (например, количество сотрудников, годовой оборот, итог баланса)
  
• важность учреждения (классифицируется как «важная» или "особо важное" учреждение)
  

Классификация компаний

В Законе об имплементации Германии различаются:

• «Особо важные объекты»: большое значение для Безопасность поставок и критичность ИТ.
  
• «Важные институции»: менее критично, но все же актуально для общественных мероприятий.
  

Ветроэнергетические компании охвачены закон, если они:

• Операторы электростанций (§ 3 No 18d EnWG),
  
• Услуги для таких операторов (например, системы SCADA, оперативное управление),
  
• Процессы на основе ИТ с внешним доступом (например, дистанционное управление, передача данных).
  

Специальный Вызов для эксплуатирующих компаний

В ветроэнергетике характерно для Ветряные электростанции могут быть выделены в независимые компании (например, GmbH & Co. KG). Только эти компании обычно не покрываются регулирования, так как они слишком малы. Однако статья 28 законопроекта предусматривает: что в случае аффилированных компаний количество сотрудников и продаж может быть отнесена к материнской компании на пропорциональной основе – при условии отсутствия самостоятельности .

На практике такими дочерними компаниями являются но часто полностью зависят от ИТ-систем материнской компании, что приводит к — даже если они сами не имеют контроля над IT иметь.

2. Какие Затронуты ли сектора?

Директива NIS 2 распространяется на учебные заведения из 18 секторов, разделенных на две категории:

2.1 Сектора с высокой критичностью («особо важные учреждения»)

К ним относятся, в частности:

• энергетика (электроэнергия, в том числе производство, передача и распределение электроэнергии)
  
• Цифровая инфраструктура
  
• Транспорт
  
• Финансы и страхование
  

2.2 Прочее Критически важные сектора («ключевые субъекты»)

К ним относятся:

• Производство комплектующих для Энергетическая техника
  
• Управление отходами
  
• Почтовые и курьерские услуги
  
• Химическая промышленность, пищевая промышленность, здравоохранение
  

Для ветроэнергетики уместный:

• Операторы электростанций
  
• Поставщики ИТ-услуг в области SCADA-системы, мониторинг состояния, программное обеспечение для управления эксплуатацией
  
• Компании с доступом к дистанционному управлению растений
  

3. Которые Есть ли какие-то требования?

3.1 Технические и организационные меры

Пострадавшие компании должны внедрить меры по управлению рисками в соответствии с разделом 30 законопроекта. К ним относятся:

• Концепции оценки рисков и ИТ-безопасность
  
• Обеспечение непрерывности бизнеса (например, резервные копии, планы на случай непредвиденных обстоятельств)
  
• Доступ и контроль доступа
  
• обучение сотрудников и Проверка персонала
  
• Управление инцидентами безопасности
  

Специальная функция для Ветроэнергетика: операторы, выполняющие задачи на внешние операторы или поставщики ИТ-услуг, реализация этих мер.

3.2 Сертификация по кибербезопасности

Статья 30 (6) законопроекта предусматривает Обязательство по сертификации продуктов, услуг и процессов в области ИКТ до: на основе европейских схем в соответствии со статьей 49 Регламента (ЕС) 2019/881. Данное обязательство касается:

• такие продукты, как контроллеры ветряных электростанций, Системы SCADA
  
• Программное обеспечение для управления операциями
  
• Решения для удаленного доступа
  

В настоящее время конкретные регламенты все еще отсутствуют и графики – вот почему неопределенность среди компаний высока. The BWE Призывы к скорейшему внесению ясности, чтобы компании могли начать внедрение мочь.

3.3 Обязательства по представлению отчетности

Учреждения должны быть осведомлены об инцидентах, связанных с безопасностью В установленные сроки:

• В течение 24 часов: Раннее предупреждение
  
• В течение 72 часов: подробный отчет
  
• В течение 30 дней: Итоговый отчет
  

Эти обязательства распространяются только на «затронуты».

4. Практические задачи для ветроэнергетики

Неясная демаркация ужаса

Основная критика BWE касается Нечеткое определение понятия «независимость». Если операционная компания этого не делает имеет собственные IT-системы, но формально подпадает под действие закона, является Реализация вряд ли реальна. В связи с этим BWE требует:

• Дифференцированный взгляд на Дочерних компаний
  
• Никаких обязательств для компаний без Фактическое влияние на ИТ-безопасность
  
• Четкое разграничение между оператором и оператором ИТ-менеджеры
  

Интерфейс к Закону о промышленности с нулевым уровнем выбросов

В контексте Закона о чистой нейтральной отраслевом уровне (NZIA) кибербезопасность также будет использоваться в качестве критерия предварительной квалификации для тендеры . В связи с этим BWE предлагает, чтобы NIS 2 Имплементация в соответствии с требованиями NZIA. Цель: Тендеры должны предоставляться только поставщикам, которые используют безопасные ИТ-системы – и на основе ЕС.

5. Сроки и переходные положения

• Компании, на которые распространяется действие нового нормативных актов, требования должны быть выполнены в течение 3 лет Доказать вступление в силу.
  
• Срок заменяет более ранний, более строгий требования (например, каждые два года).
  
• До сих пор остается открытым вопрос о том, будет ли и как это будет сделано переходные периоды для обязательств по сертификации.
  

6. Что такое Что теперь делать?

Рекомендуемые действия для Участники:

• Проведите самооценку: подпадает ли ваша компания под Категории NIS-2?
  
• Анализ ИТ-рисков: какие системы критичны? Который Обращается к?
  
• Проверка договоров: могут ли поставщики услуг обеспечить соблюдение Требования?
  
• Организация обучения сотрудников: повышение осведомленности о кибербезопасности является обязательным.
  
• Ищите контакт с ассоциациями: оставайтесь на связи через BWE или другой Торговые ассоциации информируют о будущих правилах.
  

Результат

Директива NIS 2 вводит новый измерение в кибербезопасности ветроэнергетики. Множество операторов, Поставщики услуг и управляющие компании – прямо или косвенно – кривляться. Особенно критично: нынешняя неопределенность в отношении бетона затронутые, а также практические возможности реализации Дочерние компании без собственного доступа к ИТ.

Это делает еще более важным принятие мер на ранней стадии работа с новыми требованиями, процессами проверки и Заблаговременная подготовка к сертификации и выполнению обязательств по сдаче отчетности. Тем Законодатели обязаны вносить ясность, но также и следить за тем, чтобы Компании должны действовать сейчас.