Rekomendacje dotyczące działań mających na celu wzmocnienie cyberbezpieczeństwa w sektorze energii oraz wytyczne sektorowe dotyczące zgłaszania incydentów

Zgodnie z art. 42 ust. 1 pkt. 5 UKSC, organy właściwe ds. cyberbezpieczeństwa przygotowują, we współpracy z CSIRT poziomu krajowego i sektorowymi zespołami cyberbezpieczeństwa, rekomendacje dotyczące działań mających na celu wzmocnienie cyberbezpieczeństwa, w tym wytyczne sektorowe w zakresie zgłaszania incydentów. W 2021 roku, organ właściwy ds. cyberbezpieczeństwa dla sektora energii, którym był Minister Klimatu i Środowiska, opracował „Rekomendacje dotyczące działań mających na celu wzmocnienie cyberbezpieczeństwa w sektorze energii oraz wytyczne sektorowe dotyczące zgłaszania incydentów”. W rekomendacjach zostały poruszone następujące kwestie:

• zarządzanie ryzykiem,
• zarządzanie stroną trzecią,
• cykl życia systemów informacyjnych,
• bezpieczeństwo osobowe,
• podnoszenie świadomości i szkolenia,
• audyty bezpieczeństwa systemów informacyjnych,
• zachowanie ciągłości działania i odbudowa,
• bezpieczeństwo fizyczne,
• bezpieczeństwo sieci łączności elektronicznej,
• bezpieczeństwo systemów informacyjnych,
• wytyczne sektorowe dotyczące zgłaszania incydentów.  

Głównym celem opracowania rekomendacji sektorowych było stworzenie zbioru szczegółowych wytycznych wspomagających realizację wymagań z zakresu cyberbezpieczeństwa w sektorze energetycznym, uwzględniających specyfikę sektora związaną z dominacją przemysłowych systemów sterowania.

Opracowanie rekomendacji sektorowych było współfinansowane przez instrument Unii Europejskiej „Łącząc Europę” w ramach projektu zwiększenia zdolności organu właściwego w zakresie cyberbezpieczeństwa sektora energii.

 

„Rekomendacje dotyczące działań mających na celu wzmocnienie cyberbezpieczeństwa w sektorze energii oraz wytyczne sektorowe dotyczące zgłaszania incydentów” - Ministerstwo Klimatu i Środowiska - Portal Gov.pl

 

Narodowe Standardy Cyberbezpieczeństwa (NSC)

Jest to zbiór rekomendacji standaryzujących rozwiązania zabezpieczające w sieciach i systemach informatycznych wykorzystywanych przez podmioty chcące efektywnie zarządzać systemami bezpieczeństwa informacji. NSC zostały opracowane przez Kancelarię Prezesa Rady Ministrów i stanowią realizację interwencji 6.1 celu szczegółowego 2 Strategii Cyberbezpieczeństwa Rzeczypospolitej Polskiej na lata 2019 – 2024 w zakresie opracowania i wdrożenia Narodowych Standardów Cyberbezpieczeństwa.

NSC zostały opracowane na podstawie standardów amerykańskiego National Institute of Science and Technology (NIST) oraz przyporządkowane obowiązującym w polskim systemie prawnym normom stosowanym w zarządzaniu bezpieczeństwem informacji przez podmioty krajowego systemu cyberbezpieczeństwa, w tym podmioty realizujące zadania publiczne, ówczesnych operatorów usług kluczowych i dostawców usług cyfrowych.

Narodowe Standardy Cyberbezpieczeństwa (NSC)

 

Raport z incydentu w sektorze energii z 29 grudnia 2025 roku | CERT Polska

Szczegółowy opis skoordynowanych ataków na farmy wiatrowe i fotowoltaiczne, które miały charakter sabotażowy. Mimo, że dostawy energii nie zostały zakłócone, to incydent dobitnie pokazał, że cyberbezpieczeństwo jest dziś fundamentem bezpieczeństwa państwa. Raport ujawnia skalę zdarzenia oraz kluczowe wnioski z przeprowadzonej analizy. Dodatkowo opublikowany został również komunikat Pełnomocnika Rządu do spraw Cyberbezpieczeństwa z zaleceniami dla OZE.

 

Komunikat Pełnomocnika Rządu do spraw Cyberbezpieczeństwa dotyczący cyberbezpieczeństwa OZE - Minis… - zalecenia, które są odpowiedzią na konieczność zapewniania odpowiedniego poziomu cyberbezpieczeństwa sektora energii, szczególnie w obszarze odnawialnych źródeł energii (OZE)

 

Rekomendacje dla ustanawiania zespołów CSIRT

Publikacja jest poradnikiem, którego podstawowym celem jest wsparcie przy tworzeniu Zespołów Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT). Zawarte w Rekomendacjach instrukcje i wskazówki stanowią kompleksowe podsumowanie i mapę drogową koniecznych do podjęcia kroków przy tworzeniu CSIRT przy jednoczesnym podziale na działania, które należy podjąć w pierwszej kolejności.

Rekomendacje zespołu CERT Polska

 

Wytyczne do wdrażania NIS2

Wytyczne stanowią wsparcie techniczne do wdrażania dyrektywy NIS 2, opracowanie zawiera praktyczne porady, wskazówki, przykłady dowodów i zestawienia wymogów bezpieczeństwa, które mają pomóc przedsiębiorstwom we wdrożeniu rozporządzenia.

NIS2 Technical Implementation Guidance | ENISA

 

How to set up CSIRT and SOC

Publikacja ta zawiera wskazówki dla osób zainteresowanych utworzeniem zespołu reagowania na incydenty bezpieczeństwa komputerowego (CSIRT) lub operacyjnego centrum bezpieczeństwa (SOC), a także informacje na temat możliwych ulepszeń dla różnych typów CSIRT i SOC, które istnieją obecnie. Czytelnik otrzyma praktyczne wskazówki, na czym powinien się skupić na poszczególnych etapach tworzenia i doskonalenia poszczególnych struktur.

How to set up CSIRT and SOC

 

Publikacja ENISA dot. standardów zarządzania ryzykiem              

16 marca 2022 r. Agencja Unii Europejskiej ds. Cyberbezpieczeństwa ENISA opublikowała dokument dot. standardów zarządzania ryzykiem. Celem publikacji jest zaprezentowanie standardów dotyczących zarządzania ryzykiem w zakresie cyberbezpieczeństwa, a także opisanie metodyk i narzędzi, które można wykorzystać do zapewnienia zgodności z tymi standardami bądź ich wdrożenia.

Publikacja ENISA dot. standardów zarządzania ryzykiem

 

Compendium of Risk Management Frameworks with Potential Interoperability

Dokument opublikowany w styczniu 2022 r. przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA). Skupia się on wokół tematyki szacowania ryzyka, którego materializacja może skutkować naruszeniem interoperacyjności lub integralności systemów oraz zawartych w nich zasobów. Dokument zawiera omówienie podstawowych metodyk szacowania oraz zarządzania ryzykiem, ze szczególnym uwzględnieniem tych ryzyk których zmaterializowanie grozi naruszeniem interoperacyjności lub integralności systemów oraz zawartych w nich zasobów.

Compendium of Risk Management Frameworks with Potential Interoperability

 

Interoperable EU Risk Management Framework

Publikacja wydana w styczniu 2022 r. przez Agencję Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), która stanowi ośrodek wiedzy specjalistycznej w zakresie bezpieczeństwa cybernetycznego w Europie. ENISA pomaga UE i należącym do niej krajom przygotować się do zapobiegania problemom dotyczącym bezpieczeństwa informacji, a także do wykrywania takich problemów i reagowania na nie, poprzez zapewnianie praktycznych porad i rozwiązań dla sektorów zarówno publicznego jak i prywatnego w państwach UE oraz w instytucjach UE.

W niniejszym dokumencie przedstawiono propozycje metodologii oraz ram zarządzania ryzykiem ze szczególnym uwzględnieniem ryzyk, których materializacja może skutkować zakłóceniami na płaszczyźnie interpretacyjności lub integralności systemów. Proponowana przez ENISA metodologia wykorzystuje czterostopniową skalę do oceny poziomu interoperacyjności dla każdej metody i każdego zestawu połączonych cech. Opisana metodologia jest dostosowana do współczesnych wymogów oraz zagrożeń a jej wykorzystanie pozwala poszerzyć „samoświadomość” danej organizacji oraz zminimalizować potencjalne zagrożenia.

Interoperable EU Risk Management Framework