Quotidiano Energia - Dopo un lungo processo di preparazione, Entso-E e EU Dso Entity hanno pubblicato venerdì 12 novembre e messo in consultazione fino al 10 dicembre la proposta di codice di rete sulla sicurezza informatica (Nccs), previsto dal regolamento 2019/943 sul mercato elettrico.
Come indicato dalle linee guida adottate da Acer lo scorso luglio, il codice ha l’obiettivo di stabilire uno standard europeo per la cybersecurity negli scambi elettrici transfrontalieri attraverso regole sulla valutazione del rischio informatico, requisiti minimi comuni, certificazione della sicurezza di prodotti e servizi, monitoraggio, segnalazione e gestione delle crisi.
Il codice fornisce inoltre una chiara definizione dei ruoli e delle responsabilità dei diversi stakeholder coinvolti.
In base alla proposta di regolamento che istituisce il Nccs, entro un mese dall’entrata in vigore del provvedimento Entso-E e EU Dso Entity istituiranno e co-presiederanno un gruppo di lavoro che avrà il compito di valutare i rischi per la cibersicurezza, composto da rappresentanti dei due organismi, dei Nemo e delle principali parti interessate.
Entro 9 mesi dall’entrata in vigore del regolamento, Entso-E, sempre in collaborazione con EU Dso Entity, elaborerà una proposta di metodologia per la valutazione del rischio di cibersicurezza a livello dell’Unione, regionale e di Stati membri. La metodologia comprenderà tra l’altro metriche quantitative per misurare le conseguenze degli attacchi informatici sui flussi elettrici transfrontalieri, criteri per valutare le conseguenze e i rischi per la sicurezza informatica e regole per la definizione dell’indice di impatto della cybersecurity.
Ciascuna autorità nazionale competente per la sicurezza informatica (CS-Nca) utilizzerà la metodologia sviluppata da Entso-E e da EU Dso Entity per effettuare una valutazione del rischio cibernetico su tutte le entità ad alto impatto e a impatto critico nel suo Stato membro e per identificare e analizzare i rischi di attacchi informatici che possono incidere sulla sicurezza operativa del sistema elettrico e perturbare i flussi transfrontalieri.
Entro 12 mesi dall’entrata in vigore del regolamento, Entso-E, con il sostegno di EU Dso Entity e dell’Agenzia Ue per la sicurezza informatica (Enisa), elaborerà una scala di classificazione degli incidenti informatici in 5 livelli (i maggiori saranno “Alto” e “Critico”).
Entso-E e EU Dso Entity svilupperanno poi una serie di requisiti armonizzati di sicurezza informatica per gli appalti che gli enti ad alto impatto e a impatto critico potranno usare come base per l’approvvigionamento di prodotti, servizi e processi Ict.
Il codice di rete prevede inoltre lo sviluppo da parte di Acer - in collaborazione con Enisa, Entso-E, EU Dso Entity e le autorità nazionali di regolazione - di un piano di gestione delle crisi di cibersicurezza nel settore elettrico a livello Ue. Su questa base ciascuna autorità di regolazione elaborerà poi un piano nazionale di gestione delle crisi.
In caso di incidente o attacco informatico, le CS-Nca saranno responsabili della raccolta, sanificazione, anonimizzazione e diffusione dei dati.
Il regolamento stabilisce infine che i costi sostenuti dai Tso e dai Dso derivanti dagli obblighi del codice di rete siano recuperati tramite “le tariffe di rete o altri meccanismi appropriati”. Le autorità di regolazione verificheranno che tali costi siano “ragionevoli, efficienti e proporzionati”.
Al termine della consultazione pubblica, che include due webinar informativi il 19 novembre e l’8 dicembre, Entso-E ed EU Dso finalizzeranno la proposta di codice di rete sulla cybersecurity e la presenteranno ad Acer, che la verificherà e trasmetterà alla Commissione Ue per l’approvazione definitiva prevista entro la fine del 2022.
