This document is an excerpt from the EUR-Lex website
Document 32019H0553
Commission Recommendation (EU) 2019/553 of 3 April 2019 on cybersecurity in the energy sector (notified under document C(2019) 2400)
Odporúčanie Komisie (EÚ) 2019/553 z 3. apríla 2019 o kybernetickej bezpečnosti v odvetví energetiky [oznámené pod číslom C(2019) 2400]
Odporúčanie Komisie (EÚ) 2019/553 z 3. apríla 2019 o kybernetickej bezpečnosti v odvetví energetiky [oznámené pod číslom C(2019) 2400]
C/2019/2400
Ú. v. EÚ L 96, 5.4.2019, p. 50–54
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
5.4.2019 |
SK |
Úradný vestník Európskej únie |
L 96/50 |
ODPORÚČANIE KOMISIE (EÚ) 2019/553
z 3. apríla 2019
o kybernetickej bezpečnosti v odvetví energetiky
[oznámené pod číslom C(2019) 2400]
EURÓPSKA KOMISIA,
so zreteľom na Zmluvu o fungovaní Európskej únie, a najmä na jej článok 292,
keďže:
(1) |
Európske odvetvie energetiky prechádza dôležitou zmenou, ktorá smeruje k dekarbonizovanému hospodárstvu, pričom zároveň zaisťuje bezpečnosť dodávok energie a konkurencieschopnosť. Ako súčasť tohto energetického prechodu a súvisiacej decentralizácie výroby elektriny z obnoviteľných zdrojov energie, technologický pokrok, prepájanie odvetví a digitalizácia menia elektrickú sieť Európy na „inteligentnú sieť“. Súčasne to však prináša nové riziká, keďže digitalizácia čoraz viac vystavuje energetický systém kybernetickým útokom a incidentom, ktoré môžu ohroziť bezpečnosť dodávok energie. |
(2) |
Prijatie všetkých ôsmich legislatívnych návrhov (1) balíka opatrení v oblasti čistej energie pre všetkých Európanov vrátane riadenia energetickej únie ako odrazového mostíka umožňuje vytvoriť priaznivé prostredie pre digitálnu transformáciu odvetvia energetiky. Uznáva tiež dôležitosť kybernetickej bezpečnosti v odvetví energetiky. Najmä v prepracovanom znení nariadenia o vnútornom trhu s elektrinou (2) sa stanovuje prijatie technických pravidiel pre elektrinu ako napr. sieťového predpisu o osobitných odvetvových pravidlách týkajúcich sa aspektov kybernetickej bezpečnosti pri cezhraničných tokoch elektriny, o spoločných minimálnych požiadavkách, plánovaní, monitorovaní, podávaní správ a krízovom riadení. Nariadenie o pripravenosti na riziká v oblasti elektrickej energie (3) vo všeobecnosti nadväzuje na prístup zvolený v nariadení o bezpečnosti dodávok plynu (4); zdôrazňuje potrebu riadne posúdiť všetky riziká vrátane tých, ktoré súvisia s kybernetickou bezpečnosťou, a navrhnúť prijatie opatrení na predchádzanie týmto zisteným rizikám a na ich zmiernenie. |
(3) |
Keď Komisia prijala stratégiu kybernetickej bezpečnosti Európskej únie (5) v roku 2013, posilnenie kybernetickej odolnosti Únie stanovila ako prioritu. Jedným z kľúčových výsledkov stratégie je smernica o bezpečnosti sietí a informačných systémov (6) (ďalej len „smernica NIS“), ktorá bola prijatá v júli 2016. Ako prvý horizontálny právny predpis EÚ o kybernetickej bezpečnosti smernica NIS zvyšuje celkovú úroveň kybernetickej bezpečnosti v Únii prostredníctvom rozvoja vnútroštátnych spôsobilostí v oblasti kybernetickej bezpečnosti, zvýšenia spolupráce na úrovni EÚ a zavedenia povinnosti oznamovania bezpečnosti a incidentov pre spoločnosti nazývané „prevádzkovatelia základných služieb“. Oznamovanie incidentov je povinné v kľúčových odvetviach vrátane odvetvia energetiky. |
(4) |
Pri vykonávaní opatrení týkajúcich sa pripravenosti v oblasti kybernetickej bezpečnosti by mali príslušné zainteresované strany vrátane prevádzkovateľov základných energetických služieb podľa smernice NIS zohľadniť horizontálne usmernenie vydané skupinou pre spoluprácu v oblasti bezpečnosti sietí a informačných systémov zriadenou podľa článku 11 smernice NIS. Táto skupina pre spoluprácu, ktorú tvoria zástupcovia členských štátov, Agentúry Európskej únie pre kybernetickú bezpečnosť (ďalej len „ENISA“) a Komisie, prijala usmernenia týkajúce sa bezpečnostných opatrení a oznamovania incidentov. V júni 2018 skupina vytvorila samostatný pracovný okruh týkajúci sa energetiky. |
(5) |
V spoločnom oznámení o kybernetickej bezpečnosti (7) z roku 2017 sa uznáva dôležitosť úvah a požiadaviek špecifických pre dané odvetvie na úrovni EÚ vrátane odvetvia energetiky. Kybernetická bezpečnosť a možné politické dôsledky sú v posledných rokoch predmetom rozsiahlej diskusie v Únii. V dôsledku tejto diskusie sa v súčasnosti zvyšuje povedomie o tom, že jednotlivé hospodárske odvetvia čelia špecifickým otázkam v oblasti kybernetickej bezpečnosti, a preto potrebujú rozvíjať vlastné odvetvové prístupy v širšom kontexte všeobecných stratégií kybernetickej bezpečnosti. |
(6) |
Výmena informácií a dôvera sú kľúčovými prvkami kybernetickej bezpečnosti. Cieľom Komisie je zvýšiť výmenu informácií medzi príslušnými zainteresovanými stranami prostredníctvom organizovania osobitných podujatí, ako boli okrúhly stôl na vysokej úrovni o kybernetickej bezpečnosti v energetike organizovaný v Ríme v marci 2017 a konferencia na vysokej úrovni o kybernetickej bezpečnosti v energetike organizovaná v Bruseli v októbri 2018. Komisia chce tiež posilniť spoluprácu medzi príslušnými zainteresovanými stranami a špecializovanými subjektmi, ako je napríklad Európske stredisko pre výmenu a analýzu informácií v oblasti energetiky. |
(7) |
Nariadenie o Agentúre EÚ pre kybernetickú bezpečnosť (agentúra ENISA) a certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií („nariadenie o kybernetickej bezpečnosti“) (8) posilní mandát Agentúry EÚ pre kybernetickú bezpečnosť s cieľom lepšie podporovať členské štáty pri riešení kybernetických hrozieb a útokov. Vytvára tiež európsky rámec kybernetickej bezpečnosti pre certifikáciu výrobkov, postupov a služieb, ktorý bude platný v celej Únii a má osobitný význam pre odvetvie energetiky. |
(8) |
Komisia predložila odporúčanie (9) týkajúce sa rizík v oblasti kybernetickej bezpečnosti v prípade sieťových technológií 5. generácie (5G) a stanoví na tieto účely usmernenia o vhodných analýzach rizík a opatreniach na riadenie rizík na vnútroštátnej úrovni, o vypracovaní koordinovanej európskej analýzy rizík a o vytvorení postupu na vypracovanie spoločného súboru najlepších opatrení na riadenie rizík. Po svojom zavedení budú siete 5G tvoriť základ širokej škály služieb, ktoré sú nevyhnutné pre fungovanie vnútorného trhu a vykonávanie dôležitých spoločenských a hospodárskych funkcií, ako je energetika. |
(9) |
Toto odporúčanie by malo poskytnúť členským štátom a príslušným zainteresovaným stranám, najmä prevádzkovateľom sietí a dodávateľom technológií, demonštratívne usmernenie na dosiahnutie vyššej úrovne kybernetickej bezpečnosti vzhľadom na osobitné požiadavky v reálnom čase stanovené pre odvetvie energetiky, kaskádové efekty a kombináciu starších a najmodernejších technológií. Cieľom tohto usmernenia je pomôcť zainteresovaným stranám zohľadniť osobitné požiadavky odvetvia energetiky pri vykonávaní medzinárodne uznávaných noriem v oblasti kybernetickej bezpečnosti (10). |
(10) |
Komisia má v úmysle pravidelne preskúmavať toto odporúčanie na základe pokroku dosiahnutého v celej Únii po konzultácii s členskými štátmi a príslušnými zainteresovanými stranami. Komisia bude naďalej pokračovať vo svojom úsilí o posilnenie kybernetickej bezpečnosti v odvetví energetiky, najmä prostredníctvom skupiny pre spoluprácu v oblasti bezpečnosti sietí a informačných systémov, ktorá zabezpečí strategickú spoluprácu a výmenu informácií medzi členskými štátmi v oblasti kybernetickej bezpečnosti, |
PRIJALA TOTO ODPORÚČANIE:
PREDMET
1. |
V tomto odporúčaní sa stanovujú hlavné problémy týkajúce sa kybernetickej bezpečnosti v odvetví energetiky, konkrétne požiadavky v reálnom čase, kaskádové efekty a kombinácie starších a najmodernejších technológií a určujú sa hlavné postupy na vykonávanie príslušných opatrení týkajúcich sa pripravenosti v oblasti kybernetickej bezpečnosti v odvetví energetiky. |
2. |
Pri vykonávaní tohto odporúčania by členské štáty mali povzbudiť príslušné zainteresované strany, aby rozvíjali znalosti a zručnosti súvisiace s kybernetickou bezpečnosťou v odvetví energetiky. V prípade potreby by členské štáty mali zahrnúť tieto úvahy aj do svojho vnútroštátneho rámca pre kybernetickú bezpečnosť, najmä prostredníctvom stratégií, zákonov, iných právnych predpisov a správnych opatrení. |
POŽIADAVKY ZLOŽIEK ENERGETICKEJ INFRAŠTRUKTÚRY V REÁLNOM ČASE
3. |
Členské štáty by mali zabezpečiť, aby príslušné zainteresované strany, predovšetkým prevádzkovatelia energetických sietí a dodávatelia technológií, a najmä prevádzkovatelia základných energetických služieb podľa smernice NIS, vykonávali príslušné opatrenia týkajúce sa pripravenosti v oblasti kybernetickej bezpečnosti v súvislosti s požiadavkami v odvetví energetiky v reálnom čase. Niektoré prvky energetického systému musia fungovať v „reálnom čase“, to znamená reagovať na príkazy v priebehu niekoľkých milisekúnd, čo spôsobuje, že zavedenie opatrení v oblasti kybernetickej bezpečnosti je z dôvodu nedostatku času náročné alebo dokonca nemožné. |
4. |
Prevádzkovatelia energetických sietí by mali najmä:
|
5. |
Ak je to možné, prevádzkovatelia energetických sietí by takisto mali:
|
KASKÁDOVÉ EFEKTY
6. |
Členské štáty by mali zabezpečiť, aby príslušné zainteresované strany, predovšetkým prevádzkovatelia energetických sietí a dodávatelia technológií, a najmä prevádzkovatelia základných energetických služieb podľa smernice NIS, vykonávali príslušné opatrenia týkajúce sa pripravenosti v oblasti kybernetickej bezpečnosti v súvislosti s kaskádovými efektmi v odvetví energetiky. Elektrizačné sústavy a plynovody sú v celej Európe silne prepojené a kybernetický útok, ktorý spôsobí odstávku alebo prerušenie v časti energetického systému, by mohol spustiť ďalekosiahle kaskádové efekty v ďalších častiach tohto systému. |
7. |
Pri vykonávaní tohto odporúčania by členské štáty mali zhodnotiť vzájomnú prepojenosť a dôležitosť systémov výroby elektriny a pružného dopytu, prenosových a distribučných rozvodní a vedení a príslušných dotknutých zainteresovaných strán (vrátane cezhraničných prípadov) v prípade úspešného kybernetického útoku alebo kybernetického incidentu. Členské štáty by takisto mali zabezpečiť, aby prevádzkovatelia energetických sietí mali komunikačný rámec so všetkými kľúčovými zainteresovanými stranami, aby si navzájom mohli poskytovať včasné varovné signály a spolupracovať na krízovom riadení. Mali by byť zavedené štruktúrované komunikačné kanály a dohodnuté formáty s cieľom poskytovať citlivé informácie všetkým príslušným zainteresovaným stranám, jednotkám pre riešenie počítačových bezpečnostných incidentov a príslušným orgánom. |
8. |
Prevádzkovatelia energetických sietí by mali najmä:
|
STARŠIE A NAJMODERNEJŠIE TECHNOLÓGIE
9. |
Členské štáty by mali zabezpečiť, aby príslušné zainteresované strany, predovšetkým prevádzkovatelia energetických sietí a dodávatelia technológií, a najmä prevádzkovatelia základných energetických služieb podľa smernice NIS, vykonávali príslušné opatrenia týkajúce sa pripravenosti v oblasti kybernetickej bezpečnosti v súvislosti s kombináciou starších a najmodernejších technológií v odvetví energetiky. V dnešnom energetickom systéme totiž existujú naraz dva odlišné typy technológií: staršia technológia, ktorá má 30 až 60 rokov a ktorá bola navrhnutá pred tým, ako sa začalo uvažovať o kybernetickej bezpečnosti, a moderné zariadenia, ktoré odzrkadľujú najmodernejšiu digitalizáciu a inteligentné zariadenia. |
10. |
Pri vykonávaní tohto odporúčania by členské štáty mali podporovať prevádzkovateľov energetických sietí a dodávateľov technológií, aby vždy, keď je to možné, dodržiavali príslušné medzinárodne uznávané normy v oblasti kybernetickej bezpečnosti. Zainteresované strany a odberatelia by medzitým mali pri pripájaní zariadení do siete postupovať tak, aby sa zamerali na kybernetickú bezpečnosť. |
11. |
Najmä dodávatelia technológií by mali bezplatne poskytovať overené riešenia pre bezpečnostné otázky týkajúce sa starších alebo najmodernejších technológií, hneď ako sa príslušný bezpečnostný problém objaví. |
12. |
Prevádzkovatelia energetických sietí by mali najmä:
|
MONITOROVANIE
13. |
Členské štáty by mali Komisii do 12 mesiacov po prijatí tohto odporúčania a následne každé dva roky oznámiť podrobné informácie o stave vykonávania tohto odporúčania prostredníctvom skupiny pre spoluprácu v oblasti bezpečnosti sietí a informačných systémov. |
PRESKÚMANIE
14. |
Komisia na základe informácií poskytnutých členskými štátmi preskúma vykonávanie tohto odporúčania a po konzultácii s členskými štátmi a príslušnými zainteresovanými stranami posúdi, či sú prípadne potrebné ďalšie opatrenia. |
ADRESÁTI
15. |
Toto odporúčanie je určené členským štátom. |
V Bruseli 3. apríla 2019
Za Komisiu
Miguel ARIAS CAÑETE
člen Komisie
(1) Smernica Európskeho parlamentu a Rady (EÚ) 2018/2001 z 11. decembra 2018 o podpore využívania energie z obnoviteľných zdrojov (Ú. v. EÚ L 328, 21.12.2018, s. 82); smernica Európskeho parlamentu a Rady (EÚ) 2018/2002 z 11. decembra 2018, ktorou sa mení smernica 2012/27/EÚ o energetickej efektívnosti (Ú. v. EÚ L 328, 21.12.2018, s. 210); nariadenie Európskeho parlamentu a Rady (EÚ) 2018/1999 z 11. decembra 2018 o riadení energetickej únie a opatrení v oblasti klímy, ktorým sa menia nariadenia Európskeho parlamentu a Rady (ES) č. 663/2009 a (ES) č. 715/2009, smernice Európskeho parlamentu a Rady 94/22/ES, 98/70/ES, 2009/31/ES, 2009/73/ES, 2010/31/EÚ, 2012/27/EÚ a 2013/30/EÚ, smernice Rady 2009/119/ES a (EÚ) 2015/652 a ktorým sa zrušuje nariadenie Európskeho parlamentu a Rady (EÚ) č. 525/2013 (Ú. v. EÚ L 328, 21.12.2018, s. 1); smernica Európskeho parlamentu a Rady (EÚ) 2018/844 z 30. mája 2018, ktorou sa mení smernica 2010/31/EÚ o energetickej hospodárnosti budov a smernica 2012/27/EÚ o energetickej efektívnosti (Ú. v. EÚ L 156, 19.6.2018, s. 75). Európsky parlament potvrdil politické dohody s Radou týkajúce sa návrhov koncepcie trhu s elektrinou [nariadenie o pripravenosti na riziká, nariadenie týkajúce sa Agentúry pre spoluprácu regulačných orgánov v oblasti energetiky (ACER), smernica o elektrine a nariadenie o elektrine] na plenárnom zasadnutí v marci 2019. Formálne prijatie Radou sa očakáva v apríli; čoskoro potom bude nasledovať uverejnenie právneho textu v úradnom vestníku.
(2) COM(2016) 861 final.
(3) COM(2016) 862 final.
(4) Nariadenie Európskeho parlamentu a Rady (EÚ) 2017/1938 z 25. októbra 2017 o opatreniach na zaistenie bezpečnosti dodávok plynu a o zrušení nariadenia (EÚ) č. 994/2010 (Ú. v. EÚ L 280, 28.10.2017, s. 1).
(5) JOIN(2013) 1.
(6) Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (Ú. v. EÚ L 194, 19.7.2016, s. 1).
(7) JOIN(2017) 450.
(8) Európsky parlament prijal akt o kybernetickej bezpečnosti v marci 2019. Formálne prijatie Radou sa očakáva v apríli; čoskoro potom bude nasledovať uverejnenie právneho textu v úradnom vestníku.
(9) C(2019) 2335.
(10) Medzinárodná organizácia pre normalizáciu uverejnila viaceré normy v oblasti kybernetickej bezpečnosti (ISO/IEC 27000: Informačné technológie) a normy riadenia rizík (ISO/IEC31000: Vykonávanie riadenia rizík). Osobitná norma pre odvetvie energetiky (ISO/IEC 27019: Kontroly bezpečnosti informácií pre energetický priemysel) bola vydaná ako súčasť série ISO/IEC 27000 v októbri 2017.