Регламент NIS2 поднимает вопрос информационной безопасности в ветровой отрасли на новый уровень. Операторам и операторам теперь следует проверить, подпадают ли они под новые правила — и принять соответствующие организационные и технические меры. Тесное сотрудничество с сертифицированными поставщиками услуг по безопасности может существенно ввести вклад в подтверждение соответствия.
Внедрение Европейской директивы NIS2 в национальное законодательство знаменует собой переломный момент для кибербезопасности в энергетической отрасли — особенно для компаний ветроэнергетики. Постановление объединяет существующие нормативные акты, значительно расширяет их и приносит новые обязанности, которые значительно превосходят прежние требования KRITIS.
Что такое Регламент NIS2?
NIS2 (Директива по сетевой и информационной безопасности) — это директива на уровне ЕС, которая усиливает защиту критически важных объектов от кибератак. Цель — повысить устойчивость компаний и инфраструктур в таких секторах, как энергетика, транспорт, здравоохранение, вода или цифровые услуги.
В Германии NIS2 теперь реализован национальным законом о кибербезопасности.
Кого это затронуло?
Многие ветроэнергетические компании теперь впервые попадают под действие Директивы. Особенно затронуты следующие факторы:
- операторов ветровых электростанций, чьи турбины достигают определённого размера или значимости для энергоснабжения,
- Операторы и компании, которые управляют или контролируют центральную ИТ-инфраструктуру в энергетическом секторе,
- а также компании, которые ранее не классифицировались как участники KRITIS, но теперь считаются «важными институтами» из-за их размера или системной значимости.
Что должны делать затронутые компании?
Операторы и операторы ветровых электростанций обязаны внедрять масштабные меры по повышению ИТ- и информационной безопасности . К ним относятся:
- Создание системы управления информационной безопасностью (ISMS),
- Внедрение технических мер защиты , таких как управление патчами и доступом, стратегии резервного копирования и процессы реагирования на инциденты,
- Документация и регулярное обучение сотрудников,
- Введение планов экстренного и возобновления,
- Мониторинг и оценка поставщиков услуг и поставщиков по стандартам кибербезопасности.
Особенно важный момент: ответственность лежит на руководстве. Руководство и члены совета могут нести личную ответственность за несоблюдение требований — даже в корпорациях.
Что это значит для работы с поставщиками услуг?
Поскольку многие процессы в ветровой отрасли поддерживаются внешними поставщиками услуг, их стандарты безопасности также должны быть проверены и подтверждены.
Один из примеров — Light:Guard GmbH, поставщик ночной маркировки с контролем спроса (BNK). Хотя сама компания не подлежит обязанностям отчётности по Регламенту NIS2, она сертифицирована по ISO 27001 — в настоящее время является единственным поставщиком в своём сегменте.
Благодаря проверенному ISMS, чётким процедурам отчетности и регулярным проверкам безопасности Light:Guard уже соответствует требованиям поставщиков в среде NIS2. Таким образом, компания активно поддерживает операторов ветроэлектростанций в выполнении их новых юридических обязательств.
