Almanya Federal Ağ Ajansı (Bundesnetzagentur), bir siber güvenlik olayının Avrupa Birliği’nin NIS 2 Direktifi kapsamında ciddi mi yoksa hafif mi olarak sınıflandırılacağına karar verecek. Doğru sınıflandırma, Fraunhofer Optik, Sistem Teknolojileri ve Görüntü İşleme Enstitüsü, Uygulamalı Sistem Teknolojisi Bölümü (IOSB-AST) tarafından ajans adına geliştirilen sistematik bir değerlendirme çerçevesine bağlı.
Almanya enerji altyapısı güvenlik odaklı önlemler alıyor
Bu girişim, siber güvenliğin enerji sektöründe giderek daha kritik bir rol üstlendiği bir dönemde gerçekleşiyor. Artan dijitalleşme, ağ sistemlerinin yaygınlaşması ve üreticilerin ve bulut hizmetlerinin artan katılımı, potansiyel saldırı yüzeyini genişletiyor. Sektör, uzaktan kontrol edilebilir invertörler veya iletişim özellikli enerji yönetim sistemleri gibi teknolojilerle ilişkili sistemik riskleri ve bunların nasıl en iyi şekilde azaltılabileceğini uzun zamandır tartışıyor.
Şimdiye kadar, Federal Bilgi Güvenliği Ofisi’ne (BSI) sunulan raporlar çoğunlukla bireysel olayların ön değerlendirmelerini mümkün kılmıştır. Arz güvenliği ve enerji piyasaları üzerindeki daha geniş etkilerinin kapsamlı bir değerlendirmesi büyük ölçüde ulaşılamaz kalmış durumda. Bu yeni çerçeve tam olarak bu açığı kapatmayı amaçlamaktadır.
Bu çalışma, Federal Ağ Ajansı’nın güvenlik raporlarını kapsamlı bir şekilde değerlendirmesini sağlayan yapılandırılmış bir yaklaşımı ilk kez sunmaktadır. Çalışma, ağ operatörlerini, tesis operatörlerini, üreticileri ve yetkilileri birbirine bağlayan standartlaştırılmış veri formatları ve iletişim süreçleriyle başlar. Bu temel üzerine inşa edilen çalışma, hem olaylar için bir sınıflandırma sistemi hem de üç aşamalı, risk tabanlı bir değerlendirme modeli geliştirir.
Bu yaklaşım, olay değerlendirmesinin tüm yaşam döngüsünü kapsar: saldırı türünün, etkilenen aktörlerin ve ilk etkilerin kaydedilmesinden, derinlemesine bir ön analize ve kapsamlı bir etki değerlendirmesine kadar. Son aşama ayrıca sistemik ve ekonomik etkileri de dikkate alır. Nihai amaç, tek bir olayın enerji sistemi üzerindeki potansiyel sonuçlarını güvenilir bir şekilde belirlemek ve ciddi olarak sınıflandırılması gerekip gerekmediğini tespit etmektir. Çalışma, metodolojik olarak, Avrupa Elektrik İletim Sistemi Operatörleri Ağı’nın (ENTSO-E) siber saldırı sınıflandırma sistemi gibi yerleşik Avrupa çerçevelerinden yararlanmakta ve merkezi veri kaynağı olarak Piyasa Ana Veri Kaydı’nı kullanmaktadır.
Federal Şebeke Ajansı bu metodolojiyi uygulamaya koyacak ve test edecek. İlerleyen dönemde bu metodoloji, enerji değer zincirinin tamamında daha tutarlı risk değerlendirmesi sağlamak amacıyla, şebeke operatörlerinin operasyonel süreçlerine entegre edilerek, alt kademelere de genişletilebilir.
