Diretiva SRI 2: O que os operadores de parques eólicos e turbinas eólicas precisam saber agora

Este artigo esclarece quem é afetado na indústria eólica, quais setores e instalações são abrangidos pelo escopo e quais requisitos decorrem da diretiva. Ao fazê-lo, referimo-nos significativamente à declaração da Associação Alemã de Energia Eólica (BWE) de julho de 2024 sobre o projeto de lei do BMI.

1. Quem é afetados pela Diretiva SRI 2?

A directiva aplica-se a todas as empresas que serviços críticos em setores específicos e fornecer um tamanho da empresa. Em particular, os seguintes são cruciais:

• Afiliação setorial (como geração de energia)
  
• dimensão da empresa (por exemplo, número de trabalhadores, volume de negócios anual, total do balanço)
  
• importância da instituição (classificada como "importante" ou instituição "particularmente importante")
  

Classificação de empresas

A Lei de Implementação alemã distingue:

• "Instalações particularmente importantes": grande importância para o Segurança de fornecimento e criticidade de TI.
  
• "Instituições importantes": menos críticas, mas ainda relevantes para funções sociais.
  

empresas de energia eólica são cobertas pelo lei se eles:

• Operadores de usinas de geração de energia (§ 3 nº 18d EnWG),
  
• Serviços para esses operadores (por exemplo, sistemas SCADA, gestão operacional),
  
• Processos baseados em TI com acesso externo (por exemplo, controle remoto, transmissão de dados).
  

Especial Desafio para as empresas operadoras

Na indústria eólica, é comum que parques eólicos podem ser desmembrados em empresas independentes (por exemplo, GmbH & Co. KG). Estas empresas não são normalmente abrangidas pelo regulamentação, pois são muito pequenas. No entanto, o § 28 do projeto de lei prevê: que, no caso de empresas associadas , o número de trabalhadores e as vendas pode ser atribuído à empresa-mãe numa base proporcional – desde que não haja independência .

Na prática, essas subsidiárias são mas muitas vezes completamente dependente dos sistemas de TI da empresa-mãe, resultando em – mesmo que eles próprios não tenham controle sobre a TI ter.

2. Qual Os setores são afetados?

A Diretiva SRI 2 aplica-se às instituições de 18 setores, divididos em duas categorias:

2.1 Setores com elevada criticidade ("instituições particularmente importantes")

Estes incluem, entre outros:

• energia (eletricidade, incluindo geração, transmissão e distribuição de energia)
  
• Infraestrutura digital
  
• Transporte
  
• Finanças e Seguros
  

2.2 Outros Setores críticos («entidades-chave»)

Esses incluem:

• Fabricação de componentes para Tecnologia energética
  
• Gestão de resíduos
  
• Serviços postais e de correio
  
• Produtos Químicos, Alimentos, Saúde
  

Para a indústria eólica relevante:

• Operadores de usinas de geração de energia
  
• Prestadores de serviços de TI na área de Sistemas SCADA, monitoramento de condições, software de gerenciamento de operações
  
• Empresas com acesso a controle remoto de plantas
  

3. Qual Existem requisitos?

3.1 Medidas técnicas e organizacionais

As empresas afetadas devem implementar medidas de gerenciamento de risco de acordo com a Seção 30 do projeto de lei. Esses incluem:

• Conceitos para avaliação de riscos e Segurança de TI
  
• Garantir a continuidade dos negócios (por exemplo, backups, planos de contingência)
  
• Acesso e controles de acesso
  
• treinamento de funcionários e Verificação de pessoal
  
• Gerenciamento de incidentes de segurança
  

Característica especial para o indústria eólica: operadores que realizam tarefas no operadores externos ou prestadores de serviços informáticos, aplicação destas medidas.

3.2 Certificação de segurança cibernética

A seção 30 (6) do projeto de lei prevê um Obrigação de certificar produtos, serviços e processos de TIC antes de – com base em regimes europeus, em conformidade com o artigo 49.º do Regulamento (UE) 2019/881. Esta obrigação diz respeito a:

• produtos como controladores de parques eólicos, Sistemas SCADA
  
• Software de gerenciamento de operações
  
• Soluções de acesso remoto
  

Atualmente, os regulamentos concretos ainda estão faltando e cronogramas – é por isso que a incerteza é alta entre as empresas. O BWE apela a uma clareza atempada para que as empresas possam começar a aplicar poder.

3.3 Obrigações de comunicação

As instalações devem estar cientes dos incidentes de segurança dentro de prazos definidos:

• Dentro de 24 horas: Alerta antecipado
  
• Dentro de 72 horas: relatório detalhado
  
• Dentro de 30 dias: Relatório final
  

Estas obrigações aplicam-se apenas aos "afetado".

4. Desafios práticos para a indústria eólica

Demarcação pouco clara de consternação

A crítica central do BWE diz respeito ao definição pouco clara de "independência". Se uma empresa operacional não tem seus próprios sistemas de TI, mas é formalmente coberto pela lei, é a implementação dificilmente é realista. O BWE exige, portanto:

• Uma visão diferenciada de Subsidiárias
  
• Nenhuma obrigação para empresas sem Influência de fato na segurança de TI
  
• Demarcação clara entre o operador e o Gerentes de TI
  

Interface à Lei da Indústria Net Zero

No contexto da Lei da Indústria Net Zero (NZIA), a segurança cibernética também será usada como critério de pré-qualificação para propostas . Portanto, o BWE propõe que o NIS 2 Implementation Act aos requisitos da NZIA. Objetivo: Concursos só deve ser concedido a prestadores que utilizam sistemas informáticos seguros – e numa base baseada na UE.

5. Prazos e disposições transitórias

• As empresas que estão sujeitas às novas regulamentos, os requisitos devem ser cumpridos no prazo de 3 anos de Comprovar a entrada em vigor.
  
• O prazo substitui o anterior, mais rigoroso requisitos (por exemplo, de dois em dois anos).
  
• Ainda está em aberto se e como períodos transitórios para as obrigações de certificação.
  

6. O que é O que fazer agora?

Ações recomendadas para Operadores:

• Faça uma autoavaliação: Sua empresa se enquadra no NIS-2?
  
• Analise os riscos de TI: quais sistemas são críticos? Qual deles Acessa?
  
• Verificação de contratos: Os provedores de serviços podem garantir a conformidade com o Requisitos?
  
• Estabelecendo treinamento de funcionários: Aumentando a conscientização sobre segurança cibernética é obrigatório.
  
• Busque contato com associações: Mantenha-se conectado através do BWE ou de outros As associações comerciais informam sobre futuras regulamentações.
  

Resultado

A Diretiva SRI 2 introduz uma nova dimensão na cibersegurança da indústria eólica. Muitos operadores, Os prestadores de serviços e as empresas de gestão são – direta ou indiretamente – ser afetado. Particularmente crítico: a atual incerteza sobre o concreto afetadas, bem como as possibilidades práticas de implementação de Subsidiárias sem acesso próprio de TI.

Isso torna ainda mais importante agir em um estágio inicial lidar com os novos requisitos, revisar processos e preparar-se atempadamente para as obrigações de certificação e de apresentação de relatórios. O Os legisladores têm o dever de fornecer clareza – mas também de garantir que o As empresas devem agir agora.