EU、電力部門のサイバーセキュリティに関する「ネットワークコード」採択

Tripwireはこのほど、「EU Is Tightening Cybersecurity for Energy Providers｜Tripwire」において、欧州委員会が電力部門の「サイバーセキュリティに関するEUネットワークコード(C/2024/1383)」を採択したと伝えた。採択されたネットワークコードは「(PDF) COMMISSION DELEGATED REGULATION (EU) of 11.3.2024」から閲覧可能。
○電力部門のサイバーセキュリティに関するEUネットワークコードとは
新しく採択されたネットワークコードは電力部門におけるサイバーセキュリティリスク評価を標準化する欧州連合(EU: European Union)の試みとされる。EU各国の国境を越えた電力を扱うデジタル化された事業体のサイバーセキュリティリスク、および必要な緩和措置を体系的に特定する。
Tripwireは、ネットワークコードの概要として、以下を挙げている。
電力システムの信頼性とサイバーセキュリティに関する既存のガバナンスとの連携を確保するために、国境を越えた電力に関するサイバーセキュリティのガバナンスルールを確立する
国境を越えた電力システムの運用信頼性に関するサイバーセキュリティリスク評価の共通基準を決定する
共通の電力サイバーセキュリティフレームワークを推進する
国境を越えた電力に影響を与えうるシステムに対し、最小限および高度なサイバーセキュリティ管理の評価メカニズムを提供する
国境を越えた電力に関して、各国およびEUの法律と互換性のある情報収集および情報共有のルールを確立する
国境を越えた電力に影響を与えるサイバー攻撃を特定、分類し、対処する効果的なプロセスを確立する
サイバー攻撃による国境を越えた電力危機を管理する効果的なプロセスを確立する
電力部門の回復力向上とリスクへの備えを向上させるため、電力サイバーセキュリティ演習の共通原則を定義する
この規則に基づいた共有情報は保護される
サイバーセキュリティ保護への投資の有効性を評価する。また、EU全体のサイバーセキュリティ保護の進捗状況を報告するため、本規則の実施状況を監視するプロセスを決定する
国境を越えた電力に関するサイバーセキュリティ調達仕様の推奨事項がイノベーション、新しいシステム、プロセス、手続きに悪影響を及ぼさないようにする
○EUネットワークコードのポイント
Tripwireはこのネットワークコードのポイントとして、以下を挙げている。
電力会社はサイバーリスクの特定と重大な問題を防止する保護措置のため、3年ごとに評価を実施する必要がある
この評価は発電事業者、送電事業者の双方に求められる
この既定により電力会社は現在よりも多くリソースへの投資が求められる。これは電力会社の(経営上の)問題を悪化させる可能性がある
EU各国のサイバー規制当局は、企業が侵害を公表してから24時間以内に他のEU加盟国と情報共有しなければならない。電力部門に影響を与える脆弱性に関する情報共有も含まれる
このネットワークコードの採択は、電力会社にとって頭の痛い課題になるとみられている。しかしながら、サイバーセキュリティの関係者からは歓迎される内容となっており、EU地域への安定的な電力供給を実現する重要な取り組みの一つと評価されている。