Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators

I regolatori dei settori energetici hanno un ruolo unico da giocare nel campo della cybersicurezza. Sebbene l'attuazione delle misure di sicurezza informatica sia in genere responsabilità degli operatori del sistema energetico e, più in generale delle infrastrutture critiche, i regolatori hanno l'obbligo di garantire che gli investimenti effettuati in nome della cybersicurezza siano ragionevoli, prudenti ed efficaci. Queste linee guida hanno lo scopo di aiutare le autorità di regolamentazione nella definizione delle tariffe stabilendo un approccio regolatorio per migliorare la protezione dei loro sistemi elettrici; esse sono basate sulla letteratura e sulle pratiche attuali. Tentano di rispondere alle seguenti domande: o Quali quadri approcci di regolamentazione sono più adatti per valutare la prudenza delle spese per la sicurezza informatica? o In che modo i regolatori possono identificare e valutare i costi della sicurezza informatica? o In che modo i regolatori possono identificare le migliori contromisure per la sicurezza informatica? o In che modo i regolatori possono valutare la ragionevolezza dei costi associati a queste contromisure? o È possibile valutare l'efficacia degli investimenti in sicurezza informatica? o Chi dovrebbe identificare, valutare, misurare e valutare le contromisure in diversi quadri di regolamentazione? Mentre i sistemi elettrici si modernizzano, digitalizzano e diventano sempre più integrati, essi diventano sempre più esposti a vulnerabilità che possono essere sfruttate dagli attacchi informatici. Gli attacchi alla rete elettrica possono avere effetti devastanti sulla sicurezza, l'economia e il benessere pubblico di una nazione e rappresentano una potente minaccia per tutte le nazioni del mondo. Queste linee guida sono una risorsa unica nel suo genere per mettere i regolatori dell'energia di supportare e incoraggiare la resilienza della rete, garantendo investimenti prudenti ed efficaci nella sicurezza informatica da parte degli enti da loro regolamentate. Le linee guida, fondendo le competenze e le conoscenze di diverse discipline, si sforzano di lasciare spazio a concetti, processi e metodi, piuttosto che fornire elenchi prescrittivi o formule pronte per l'uso. Queste linee guida sono state sviluppate dal CNR-Ircres per la National Association of Regulatory Utility Commissioners (NARUC) con il sostegno finanziario della United States Agency for International Development (USAID) nell'ambito del Europe and Eurasia Cybersecurity Partnership. USAID e NARUC hanno lanciato il loro progetto sulla sicurezza informatica nel dicembre 2016, nel tentativo di dotare i regolatori dell'energia di Armenia, Georgia, Moldavia e Ucraina degli strumenti e della capacità tecnica necessari per lavorare con le utility per prevenire e mitigare gli attacchi informatici e migliorare e salvaguardare la sicurezza energetica globale nella regione. Anche se queste linee guida sono state sviluppate per tale regione, gran parte del loro contenuto può essere applicato universalmente.