跨境电力流动网络安全方面的网络规范

我们的成员代表了30多个欧洲国家的电力行业。 我们涵盖从发电和市场到配电网络和客户问题的整个行业。我们还在其他几个大洲设有活跃的分支机构，以及与电力行业直接相关的各行各业的商业伙伴。 我们代表 欧洲电力部门的愿景是实现和维持： -一个充满活力的竞争激烈的欧洲经济，可靠地由清洁，碳中和的能源提供动力 -我们致力于通过以下方式引领具有成本效益的能源转型： 投资在清洁发电和支持过渡的解决方案方面，减少排放，并积极努力在本世纪中叶之前实现碳中和，同时考虑到关键过渡技术的不同起点和商业可用性； 转换能源系统，使其更具响应性、弹性和效率。这包括增加可再生能源的使用、数字化、需求侧响应和电网加固，以便它们可以作为客户、城市和社区的平台和推动者； 加速通过提供有竞争力的电力作为运输、供暖和工业的转型工具，实现其他经济部门的能源转型；嵌入在价值链的各个部分实现可持续性，并采取措施支持现有资产向零碳社会的转型； 创新发现尖端的商业模式，并开发突破性的技术，这些技术对于我们的行业引领这一转型是不可或缺的。 秘书长：D/2023/12.105/46 WG技术 WGThermal&Nuclear 秘书处集团分布式灵活性和数据管理 WG零售市场设计WG客户和新服务 联系人 ：JessicaGARCIA，顾问-分销和市场促进- 咨询摘要 Eurelectric欢迎正在进行的努力，以加强网络安全，并赞赏有机会回应欧盟委员会的授权法规。 实施时间表: 总体而言，我们发现实施期限太长。在目前的版本中，NCCS可能需要7到10年才能完全实施， 这使得欧洲电网更容易受到网络攻击。例如，在满足所有截止日期的情况下，关键影响实体只有在NCCS生效10年后才有义务证明遵守通用电力网络安全框架。 我们欢迎第33条创建一个映射矩阵，以提供欧洲和国际标准中哪些控制措施将等同于第27条中提议的控制措施的信息。但是，没有必要等待36个月的结果，应该更改为6个月。此外，我们在第47条中还建议为临时网络安全控制创建临时映射矩阵，而不仅仅是提供指导的欧洲和国际标准清单。 应该纠正两个相互依存的要求之间的时间表不一致。第一个要求是国家实体为网络安全目的创建国家立法清单。第二个要求是ENTSO-E和EUDSO制定国家立法所需的欧洲和国际标准和控制的临时清单。第二个要求的最后期限较短，尽管它是第一个要求的次要要求。 信息共享： 第37（3）条规定：“每个关键影响和高影响实体应与其CSIRT及其主管当局共享与可报告的网 络安全事件有关的相关信息。“，其中规定了双重报告。应协调CSIRT与国家当局之间的沟通，但实体一级的报告应集中在一个共同机制或报告平台中。 第37条第(8)款还规定，NIS2指令范围内的重大事件的通知“应构成本条第3款规定的信息报告”，这有助于认为应考虑现有报告线并避免报告过程中的重复。 对NIS2指令的引用是有问题的，因为该指令尚未在成员国中实施，这可能会导致几个重叠。因此 ，NCCS应强调国家主管当局和CSIRTS简化监管框架。此外，为了管理控制并遵守新的网络安全要求，欧盟和国家当局之间必须根据即将出台的NIS-2和CER指令以及新的监管框架等要求进行协调。我们害怕双重监管和更多的官僚主义。 网络安全风险评估方法： InArticle17(2)thereisanobligationtoincludethreatscenariolinkedtoattacksonthesupplychainin theriskmethodologyatUnionlevel.Perhapsothertypeofthreat,potentiallymoreserious,shouldalsoshouldbehighliged. 风险管理领域没有参考国际标准（例如ISO27005、ISO31000、NISTCSF、ENISA要求）。就既定的良好实践而言，明确您的风险管理建议基于哪些准则是很有用的。 范围: 第31条第(2)款和第25条第(3.a)款之间存在不一致，提及“其他程序”相当笼统，应取消。 实体应清楚地了解其网络安全管理系统的最小范围应包括什么，并应限制对其他条款的引用。此外，范围取决于确定阈值的进一步工作。 咨询回应 Eurelectric欢迎正在进行的努力，以加强网络安全，并赞赏有机会回应欧盟委员会的授权法规。 实施时间表: 对于网络代码范围内的所有实体，了解欧洲和国际标准中的哪些控制措施将等同于第27条中提 议的控制措施将非常有用。因此，我们欢迎第33条，该条创建了一个映射矩阵来提供这一信息 。但是，只有在收到高影响和关键影响实体的通知后36个月内。没有必要等待三年才能获得可以在6个月内完成的练习的结果。因此，我们将提出两项修改：在第33条中，我们将建议将创建映射矩阵的36个月恢复到6个月。此外，为了进一步帮助实体，我们将在第47条中提议为临时网络安全控制创建一个临时映射矩阵，而不仅仅是提供指导的欧洲和国际标准清单。 在两个相互依存的要求方面存在时间表不一致的情况：要求国家实体为跨境电力流动的网络安全方面制定相关国家立法清单，以及对ENTSO-E和EUDSO实体的附属要求，以制定国家立法要求的欧洲和国际标准和控制的临时清单。后者仅次于前者，但期限较短。一旦被指定，主管国家实体有6个月的时间来编制相关立法清单，这意味着条例生效后9个月。然而，第二个要求预计将在《条例》生效后6个月得到满足，这相当于不一致。 范围: 第31条第（2）款和第25条第（3.a）款之间存在不一致之处，提及“其他程序”相当笼统 ，应取消。实体应清楚地了解其网络安全管理系统的最小范围应包括哪些内容，并应限制对其他条款的引用。 适当解释定义而不是引用许多不同的条款会更合适。此外，范围取决于确定阈值的进一步工作 。 信息共享： 根据第37（5）条，实体没有义务报告未修补的积极利用漏洞，根据定义，这些漏洞已经构成 网络攻击。我们不仅不同意这种自愿/非强制性的要求，而且甚至不同意这种被动的方法。网络安全需要更积极主动的方法，因此我们建议，任何未修补的0天漏洞必须立即报告，甚至在被利用之前，以确保它们得到及时解决，避免利用所述漏洞和随之而来的网络攻击。 第37（3）条规定：“每个关键影响和高影响实体应与其CSIRT及其主管当局共享与可报告的网络安全事件有关的相关信息……”，其中规定了双重报告。CSIRT与国家当局之间的通信应在拟议的网络内进行协调和规定 代码，但实体级别的报告应集中在一个通用机制或报告平台中。 为了管理控制并遵守新的网络安全要求，欧盟和国家当局之间必须根据即将出台的NIS-2和CER指令以及新的监管框架等要求进行协调。第37条第（8）款还规定，NIS2指令范围内的重大事件的通知“应构成本条第3款规定的信息报告。”，这有助于认为应考虑到现有的报告关系，并避免报告过程中的重复。在法规中，指出“指令（EU）2022/255511（NIS2指令）中规定的网络和信息系统安全的一般规则由网络代码补充。“NIS2尚未在欧盟成员国实施。这可能导致若干重叠,并且这应当在实现中被考虑。因此，NCCS应强调国家主管当局和CSIRT简化监管框架。 关于这两个条款的最后一点是报告截止日期之间的不一致-尚不清楚根据NIS2指令报告实体如何构成根据第37（3）条报告信息，如果第23条（4。a）NIS2指令规定了24小时的初始报告截止日期，而NCCS第37（3）条规定了4小时的初始报告截止日期。如果NCCS打算比NIS2指令要求更高，则由于电力部门的重要性，第37（8）条应包括对NCCS要求更高的截止日期的警告。 Eurelectric还建议提供有关网络威胁的信息共享程序的指导（有关网络威胁的信息类型，何时强制通知，如何通知等）。 网络安全风险评估方法: InArticle17(2)thereisanobligationtoincludethreatscenariolinkedtoattacksonthesupplychainin theriskmethodologyatUnionlevel.Perhapsothertypeofthreat,potentiallymoreserious,shouldalsoshouldbehighliged. 风险管理领域没有参考国际标准（例如ISO27005、ISO31000、NISTCSF、ENISA要求）。就既定的良好实践而言，明确您的风险管理建议基于哪些准则是很有用的。 目前尚不清楚参与风险评估的不同实体的作用和责任，包括经营者、参与风险评估的实体和参与风险评估的实体。 第17条非常重要，制定和实施风险评估方法。为高影响和关键影响阈值定义电力网络安全风险指数（ECRI）至关重要。以及定义全联盟高影响力和关键影响流程的列表。我们在这里关注时间表要求的实现，因为这项工作必须优先考虑，以免对实体提出不确定的要求。 必须根据明确的输入值和风险分析场景开发网络安全风险评估方法，以促进适当的分析水平。需求 因为增强的弹性已经转向基于风险的方法，允许根据实际风险状况调整弹性。不同的设备面临不同的威胁，需要量身定制的保护级别，以防止关键系统的过度或保护不足。因此，我们看到了这种适应性的优势，可以根据跨境电力流动的影响程度在不同级别上考虑方法。 在当前版本中，网络代码未与欧盟和电力部门网络风险管理领域的国家法规框架完全协调。为了提供一些具体的示例，有针对实体的网络代码措施，例如（i）与实施网络风险管理计划有关的措施（第33），（ii）最低和高级措施（第28），（iii）关于供应链的措施（第32）和（iv）网络安全管理系统的开发（第31)与欧盟(特别是NIS2.0)和国家法规显著重叠。风险在于产生不同的方法来减轻类似的网络风险，方法是为涉及的实体（主要是DSO和TSO）管理大量的合规性。 收回成本： 我们欢迎认识到，应通过网络资费或其他适当机制完全收回DSO因NCCS义务而产生的费用。 常用方法: 在演奏会18中，由于邻国在使用网络安全风险评估系统方面的发展速度不同，因此应在此处 提及基准（第13条），为比较和系统随时间演变提供参考。 监控: 演奏会23缺少对法医分析的参考，该分析可以改善其他电网运营商对相同上下文意识的准备。 国家一级有关当局和机构之间的合作： 关于第5条，应邀请具有（网络）安全主题专业知识的公共和私人研发实体作为观察员参加 ，帮助汇报情况并进一步了解其研究和创新工作/活动。 具体评论 委托行为的法律要素 在法规中，指出“指令（EU）2022/255511（NIS2指令）中规定的网络和信息系统安全的一般规则由网络代码补充。“NIS2尚未在欧盟实施。因此，很难跟踪和验证转介给NIS2。此外，在许多国家，国家实施的进程正在进行中，可能比指令中的实施更为严格。这可能导致若干重叠,并且这应当在实现中被考虑 。因此，NCCS应强调国家主管当局和CSIRTS简化监管框架。由于冗余和与正在进行的立法项目的区别不足，。 例如，NIS2指令的实施，也存在双重监管的相当大的风险，因此，官僚负担过重。更新NIS2和CER指令的周期为4年,因此该时间范围优选用于NCCS。 第三十八条网络安全事件的检测和相关信息的处理 多国电网实体不必向几个国家当局和CSIRT报告，以避免重复义务，因为该提案与几个现有法规重叠。 随着网络威胁变得更加复杂和广泛，跨国分销系统运营商（DSO）面临着重大挑战。确保方法极为重要 ，但最重要的是报告以及后续行动和向报告事件的实体报告的可行性。当局提出的更多问题并不总是意味着企业对情况有了更好的了解。新提案必须对大型实体和小型能源实体均可管理。报告的要求将需要增加实体内部的资源，因此，报告要求和费用必须设定在合理的水平。 因此，事件报告过程必须更清晰，并根据与NIS