促进电力行业网络法规的全球互操作性（英）

促进电力部门网络法规的全球互操作性 SYSTEMSOFCYBERRESILIENCE:ELECTRICICIITYINITIATIVE POSITIONPAPERNOVEMBER2023 图片：盖蒂图片社 Contents 1现状4 2全球监管互操作性的重要性5 3全球监管互操作性的10个关键主题6 4社区对关键主题的立场7 免责声明本文档由 世界经济论坛是对项目，见解领域或互动的贡献 。此处表达的发现，解释和结论是世界经济论坛促进和认可的合作过程的结果，但其结果不一定 代表世界经济论坛的观点，也不是其成员、合作伙伴或其他利益攸关方的整体观点。 ©2023年世界经济论坛。保留所有权利。本出版物的任何部分不得以任何形式或通过任何方式复制或传播，包括影印和记录，或通过任何信息存储和检索系统。 2023年11月 促进电力部门网络法规的全球互操作性 Introduction 在当今互联的世界中，电力部门是社会功能的基石，为工业 、家庭和关键基础设施提供动力。随着电力系统经历快速的数字化转型，网络安全与能源格局之间的关键联系变得越来越明显。电力部门对网络法规的全球互操作性的需求已变得至关重要。 技术的发展极大地重塑了电力行业，带来了更智能的电网 ，可再生能源的整合和运营效率的提高。然而，这种演变带来了一系列新的挑战，特别是在保护这些复杂的系统免受网络威胁方面。跨界电力系统之间日益增加的相互依赖关系以及网络攻击的日益复杂，突显了在电力部门采取统一的全球网络安全法规方法的重要性。 这篇来自网络弹性系统的立场文件：电力(SCRE)倡议的目标巩固电力部门在网络安全方面的凝聚力。它倡导各国之间的互操作性，以培养世界各地的网络安全，弹性和标准化方法。通过审查网络法规的当前格局，本文 努力解决现有的差距和复杂性，同时提出集体立场，以标准化各种监管环境中的网络安全实践。其目标是倡导国际合作，相互理解和采用共同标准，以加强电力部门抵御新兴的网络威胁 ，同时鼓励创新和增长。 最终，这份立场文件致力于促进有关法规协调的持续讨论，以培育一个安全，可互操作和有弹性的全球电力生态系统，确保在日益数字化的世界中为世界人口提供可靠和安全的能源供应。 网络弹性系统：电力倡议 自2018年以来，世界经济论坛的网络弹性系统：电力（ SCRE）倡议 汇集了60多家电力公司、能源服务提供商、 世界各地的监管机构和其他相关组织。他们的努力旨在实现合作 并加强网络弹性电力生态系统。SCRE是唯一为电力行业量身定制的全球公私合作伙伴关系，网络安全专家合作提高整个电力生态系统的弹性。 这是一个很好的机会，可以创造一个协作环境，专注于提高全球网络弹性，基于 共享信息，制定共同倡议，定义原则以及我们行业主要参与者围绕原则的协调。 JesúsSánchez，Naturgy全球网络安全主管 全球法规工作组 2022年9月，SCRE社区将电力行业的全球监管互操作性确定为其重点领域之一，并为此成立了全球监管工作组 。 工作组解决了复杂的全球监管挑战普遍存在于整个 这些监管障碍阻碍了全球互操作性的实现，导致成本增加 ， 低效率和错失的机会。资源被转移到解决监管问题，而不是改善特定于该部门及其各种组织的网络安全状况。 1 现状 由于缺乏全球共识，负责在全球各个行业建立网络安全要求的监管机构和政府机构经常采用不同的方法来应对类似的网络安全挑战。这导致了复杂的、与行业无关的、分散的、不一致的 、偶尔冲突的一系列法规。这些法规不仅缺乏相互的互操作性 ，而且积极阻碍了它。网络安全威胁的动态性质进一步加剧了这个问题，因为监管机构经常收紧监管措施。这迫使组织将其有限的资源分配给合规。 而不是集中精力加强他们的网络安全防御。 实现监管互操作性可能会带来挑战。不同司法管辖区之间的网络安全标准、法律制度和国家优先事项的差异可能导致冲突和不一致，使得随着时间的推移难以建立和保持互操作性。一个值得注意的挑战是数据隐私法问题，因为不同国家/地区都有针对其文化，经济和政治环境的独特数据保护法规。 在事件报告法中也出现了类似的挑战。例如，一些国家/地区要求报告所有数据泄露，无论其严重程度如何，而其他国家/地区则有基于报告的阈值 受影响的个人数量或伤害程度。这些差异可能会在事件响应和信息共享方面造成困难， 这种动态环境需要不断更新和修订以确保法规保持相关性和有效性。 此外，迫切需要确保监管互操作性不会损害国家安全。各国必须 在集体网络安全战线的需要和保护个人利益和安全的需要之间取得平衡。 尽管存在障碍，但仍可以找到解决方案。诸如工作组，国际论坛和合作协议之类的倡议可以在促进对话和建立强大的系统以监测，评估和更新监管框架方面发挥关键作用。这些机制不仅有助于建立更安全和有弹性的数字环境，而且还促进创新和增长。 许多监管机构和政府机构已经开始认识到监管的必要性 协调和多项努力已付诸实践，例如欧盟委员会的《网络弹性法 》（CRA）和白宫国家网络总监办公室（ONCD）关于网络安全监管协调的信息请求（RFI）。 同时，国家之间正在进行一些国际对话，例如欧盟-美国网络对话，美国-日本网络对话和法国-英国网络对话，以及监管互惠计划，例如欧盟-美国数据隐私框架，新加坡网络安全标签计划和APEC跨境隐私规则（CBPR）系统。 虽然这些努力朝着正确的方向发展，但它们远未实现全球互操作性，公共和私营部门仍有许多工作要做，以建立更具网络弹性的电力生态系统。 2全球监管互操作性的重要性 在全球范围内调整网络安全法规可确保统一的网络安全实践，使跨多个地区运营的公司能够遵守一致的标准。协调减少了复杂性和混乱，简化了合规工作。此外，互操作性促进了全球各实体之间的协作和信息共享，促进了打击网络威胁和交流最佳实践的共同努力。 统一的网络安全法规方法可以全面理解和管理风险，超越电力行业的不同区域。标准化法规可以最大程度地减少全球公司合规的复杂性和成本，从而消除了应对众多不同法规的需要。 全球互操作性还通过实现标准化的网络安全实践，导致针对网络威胁的更强大的防御机制。 统一的监管环境促进公平竞争，鼓励创新和新网络安全技术的发展，不受不同合规要求的影响。 在具有全球影响的网络事件中，统一的法规可以跨多个司法管辖区进行协调和有效的响应，从而显着减轻此类事件的影响。供应链的全球扩展，能够依靠共享的预防，缓解，信息 共享和事件响应实践，将在全球范围内建立一个更可持续的，网络弹性的生态系统。最终，全球网络安全的监管互操作性对于促进更安全的数字和物理环境至关重要。它可以调整标准，促进 协作，降低成本，有效管理和应对全球网络威胁。 3全球监管互操作性的 10个关键主题 在分析了多项法规后，社区确定了10个关键的全球监管主题供监管机构考虑。 Figure1 促进全球网络法规互操作性的关键主题 合规性和执法 采用现有国际标准数据保护和隐私 第三方风险管理促进全球发展的10 个关键主题 网络法规的互操作 信息共享 性 风险评估和管理突发事件响应和报告 脆弱性披露和管理网络安全卫生的内部政策和程序 渗透测试 资料来源：SCRE全球法规工作组。 促进电力部门网络法规的全球互操作性6 4 社区对关键主题的立场 SCRE全球监管工作组就10个关键全球监管主题采取了以下立场： 1.合规和执法：全球承诺优先考虑网络安全最佳实践而不是合规。这意味着思维方式的转变。重点不仅仅是满足监管要求，而是优先考虑 网络安全措施和协议，有时超出了规定的范围。这种方法强调在确保高水平的网络安全方面采取积极的立场，而不仅仅是检查方框以遵守法规。 2.数据保护和隐私：全球承诺支持数据保护和隐私法规 ，如欧盟的通用数据保护条例(GDPR)。这一承诺表明人们认识到保护敏感信息的重要性。其范围包括数据隐私，确保数据的机密性，完整性和可用性，同时通过设计和默认与隐私原则保持一致。 3.信息共享：全球承诺在全球范围内创建和使用共同的信息共享协议和分类法，并支持各自的电力信息共享和分析中心（ISAC）。在全球范围内建立通用的信息共享协议和分类法至关重要。它允许电力部门各利益攸关方之间的持续沟通和合作，增强及时识别和应对威胁的能力。这一承诺延伸到支持ISAC。 4.事件响应和报告：全球承诺采用通用且高效的国际事件报告分类和要求。这一承诺将确保报告网络安全事件的标准化方法。这种分类法有助于更好地和共同理解事件的性质和影响，从而能够在境内和跨境作出协调和及时的反应。 5.网络安全卫生内部政策和程序：全球承诺建立针对电力部门的基本网络卫生原则。这一承诺将为所有运营提供基本的安全水平，减少漏洞，增强整体弹性并促进网络安全文化。 6.渗透测试：全球承诺定期进行内部渗透测试，其中 包括操作技术（OT）渗透测试。这可以识别和解决系统和基础设施中的潜在弱点，加强对网络威胁的防御。 7.漏洞披露和管理：在特定于部门的、预先授权的实体的封闭群体中，对部门漏洞披露的全球承诺。这将为封闭群体内的信息共享创造一个安全的环境，允许主动解决漏洞，而不会有广泛暴露的风险。 8.风险评估和管理：全球致力于在信息技术和运营技术环境中一致应用风险评估方法。在IT和 OT环境可确保对潜在风险的全面了解，从而可以在网络安全问题上做出更明智和及时的决策。 9.第三方风险管理：全球承诺，供应链中的每个组织都必须考虑并对其工作范围的网络安全负责。 这将确保采取全面的方法来管理和减轻与第三方参与相关的风险，确保和拥抱电力部门全生态系统的复原力。 10.采用现有国际标准与创建独特的国家（或地区）标准：全球承诺 采用成熟的现有国际标准，如ISO27001和ISA/IEC62443系列。采用现有国际标准而不是创建独特的区域标准将确保对网络安全实践采取更普遍接受和协调的方法，利用既定的最佳实践。这些标准应在需要时进行更新，以便对全球法规采取统一的方法，而不是频繁更改，以应对不断发展的技术和威胁。 Conclusion 这些集体承诺有助于电力部门的监管机构和其他利益相关者分享共同的愿景，并理解电力部门认为对网络弹性至关重要的东西。它们共同体现了全球社会正在走向的方向 。 在电力部门实现网络安全法规的全球互操作性需要方法的重大转变。这种转变涉及优先考虑安全措施而不是仅仅遵守法规，采取积极的立场来加强网络安全标准和 确保更高水平的保护。它需要建立一致的风险评估、统一标准和共同责任 供应链，以加强该部门的网络安全结构。 此外，采用国际标准和促进安全的信息共享环境发挥着关键作用。这些行动鼓励协作，创新和有效的战略来应对全球事件。对GDPR等标准化数据保护法的支持强调了保护敏感信息并确保其完整性和机密性的承诺。 最终，迈向更安全和更强大的电力部门的旅程涉及调整法规，促进合作并简化跨不同司法管辖区的工作。这一集体努力不仅减轻了网络威胁，还促进了创新和协调的响应机制，从而在电力行业内建立了弹性和统一的全球网络安全方法。 贡献者 主要作者 KesangTashiUkyab 铅，网络弹性，电力世界经济论坛 世界经济论坛 FilipeBeato 网络安全中心世界经济论坛 SCRE全球法规工作组领导 ChristopheBlassiau 网络安全和产品安全高级副总裁；法国施耐德电气全球首席信息安全官和首席产品安全官 YuriG.Rassega 首席信息安全官（CISO），网络安全主管，意大利Enel SCRE社区 何塞·曼努埃尔·阿隆索·巴里 CISO,Iberdrola,西班牙 StefanoBracco 知识经理，ACER，斯洛文尼亚 曼尼取消 美国NERCE-ISAC高级副总裁和首席执行官 蒂姆·康威 美国SANS研究所SCADA和ICS主任 SebastijanCutura 比利时欧洲网络安全组织政策经理 托德·戴维斯 丹麦维斯塔斯网络风险与战略趋势主管 MarkAntonyD'Ambrogio 区域信息安全干事，Or