На прикладі розвитку системи захисту критичної інфраструктури США проаналізовано організаційні та законодавчі засади забезпечення стабільності енергозабезпечення споживачів.
Система забезпечення стабільності постачання електричної енергії споживачам та захисту критичної інфраструктури (КІ) США базується на комплексі законодавчих та регламентувальних актів на різних рівнях управління. Законодавчу базу та організаційну структуру цієї системи постійно вдосконалюють. Водночас загальна рамка та логіка формалізації дій залучених суб’єктів стабільна – це дає змогу врахувати досвід США для України, зокрема в період становлення державної системи захисту КІ.
1. Директива щодо безпеки та стійкості критичної інфраструктури
Одним з основних актів законодавства США в цій сфері є директива президента США щодо безпеки та стійкості критичної інфраструктури (PPD-21)[1].
Директива визначила Міністерство внутрішньої безпеки (Department of Homeland Security, DHS) координувальним органом щодо безпеки та стійкості КІ на національному рівні. Також за цим документом на певні органи влади покладено відповідальність за сектори КІ США (Sector-Specific Agencies); залучено власників та операторів КІ до здійснення «проактивних кроків для управління ризиками та зміцнення безпеки й стійкості критичної інфраструктури країни, ураховуючи всі види небезпек, які можуть спричинити негативний вплив на національну безпеку, економічну стабільність, громадське здоров’я та безпеку або будь-яку їх комбінацію».
У структурі DHS створено підрозділ, на який покладено відповідні завдання. Наразі це Агентство з кібербезпеки та безпеки інфраструктури (Cybersecurity and Infrastructure Security Agency, CISA) – його завданням є координація національних зусиль з усвідомлення та зменшення ризиків для кібер- і фізичної інфраструктури США[2].
Для координації та узгодження діяльності всіх залучених суб’єктів щодо безпеки та стійкості енергетичної інфраструктури DHS розробляє та періодично оновлює Національний план захисту критичної інфраструктури федерального рівня. Поточний План захисту критичної інфраструктури прийнято 2013 р.[3].
У розвиток системи захисту КІ відповідно до розроблених DHS рекомендацій затверджено Енергетичний секторальний специфічний план (2015)[4], який визначає пріоритетні напрями розвитку спроможностей суб’єктів енергетичного сектору – щоб забезпечити стійкість функції енергозабезпечення споживачів.
2. Секторальна організація діяльності щодо безпеки та стійкості інфраструктури у сфері енергетики: організаційна частина
Міністерство енергетики США (Department of Energy, DOE)[5] є секторальним відомством в енергетиці, зокрема у сфері електропостачання, і реалізує (як і DHS – на загальнодержавному рівні) секторальні функції, як-от:
- координує роботу з DHS та іншими відповідними федеральними департаментами й установами, співпрацює з власниками та операторами КІ;
- установлює пріоритети політики безпеки й стійкості енергетичної інфраструктури та вимоги до діяльності суб’єктів на секторальному рівні;
- реагує на порушення сталого функціонування енергетики.
У структурі DOE завдання, пов’язанні з безпекою та стійкістю електроенергетичної інфраструктури, покладено на Офіс кібербезпеки, енергетичної безпеки та кризового реагування DOE (Office of Cybersecurity, Energy Security, and Emergency Response, CESER)[6]. Фокус його уваги – реагування на загрози з метою забезпечити сталий потік енергії для споживачів. Цей підрозділ забезпечує виконання всіх процедур кризового реагування відповідно до рекомендацій DHS, зокрема Федерального агентства з надзвичайних ситуацій (The Federal Emergency Management Agency, FEMA)[7], а саме координації Кризової підтримки виконання Функції № 12 (Енергія) (ESF #12)[8].
Саме інструмент ESF формує для секторальних органів набір завдань (вимог) для забезпечення безпеки та стійкості надання життєво важливих функцій/послуг. Відповідні завдання визначено в ESF #12 і для DOE, а практичну діяльність із забезпечення законодавчого врегулювання, організації планової роботи суб’єктів та допомоги в кризовій ситуації здійснює CESER.
У структурі DOE діє також Секторальний консолідований центр кризового управління (Consolidated Emergency Operations Center[9]) у форматі цілодобового оперативного центру підтримки функціонування енергетичних систем.
3. Секторальна організація діяльності щодо безпеки та стійкості інфраструктури у сфері енергетики: законодавча база
Ураховуючи, що понад 80 % енергетичних активів у США перебувають у приватній власності, встановлення законодавчих вимог до забезпечення безпеки КІ дає змогу залучити до активної діяльності операторів КІ.
Закон «Про енергетичну політику» (The Energy Policy Act of 2005)[10] вніс зміни до Федерального енергетичного акта (The Federal Power Act), згідно з якими введено термін «стандарт надійності» (Reliability standard) і запроваджено вимогу застосовувати такий стандарт усім суб’єктам електроенергетичної системи. Закон визначив, що ці стандарти затверджує американський енергетичний регулятор (Federal Energy Regulatory Commision, FERC) у співпраці з організацією з питань надійності електропостачання (Electric Reliability Organization, ERO) – уповноваженою організацією в електроенергетиці для розроблення стандартів та їх упровадження. Закон уповноважував FERC або ERO (за погодженням з FERC) накладати штрафи на суб’єктів забезпечення енергопостачання за порушення стандарту надійності.
Згодом FERC сертифікував North American Electric Reliability Corporation (NERC)[11] як ERO. До цього часу NERC забезпечив розроблення 14 стандартів у сфері забезпечення безпеки та стійкості енергопостачання (CIP)[12]. У структурі NERC діє Електроенергетичний центр аналізу та обміну інформацією (Electricity Information Sharing and Analysis Center, E-ISAC)[13]. Центр надає своїм членам та партнерам експертизу та інформацію для зменшення кібер- та фізичних загроз енергетичним системам.
Закон покладає на FERC повноваження затверджувати та контролювати дотримання стандартів надійності – це зумовлює також необхідність узгоджувати вимоги щодо заходів безпеки з можливостями відшкодовувати витрати в структурі цін і тарифів у компаніях, що потрапляють під регулювання FERC. Цю функцію в структурі FERC виконує Офіс безпеки енергетичної інфраструктури (Office of Energy Infrastructure Security, OEIS)[14]. Завдяки такій діяльності енергетичний регулятор усвідомлює обсяг витрат операторів КІ, потрібних для забезпечення визначеного ним рівня захисту.
4. Місцеві заходи забезпечення безпеки та стійкості енергозабезпечення
Вимоги DHS до організації діяльності в секторах критичної інфраструктури, вимоги FEMA до готовності реагувати на кризові ситуації (ESF #12), а DOE – забезпечувати стійкість енергопостачання споживачів потребують відповідного реагування й на місцевому рівні.
На рівні штатів готують плани гарантування енергозабезпечення (Energy Assurance Plans)[15]. План є інструментом формалізації та координації дій органів державної влади (федеральних та місцевих) з усіма суб’єктами, залученими до процесу енергозабезпечення штату, щоб бути готовими реагувати на потенційні збої енергопостачання.
Складником плану гарантування енергозабезпечення також є:
- План захисту критичної енергетичної інфраструктури, який готують для усвідомлення та планування заходів організації захисту енергетичних активів від загроз порушення їхнього функціонування;
- План кризового енергозабезпечення (Energy Emergency Plan), який готує місцева влада на випадок цілковитої втрати проєктних способів постачання енергії.
Підрозділ DOE CESER сприяє підготовці планів та наданні допомоги штатам – для формування уніфікованого підходу до реагування на кризові ситуації з енергопостачанням[16]. CESER також здійснює періодичний огляд ризиків порушення функції енергозабезпечення споживачів для штатів[17], який є базою для наступного опрацювання заходів реагування – їх вносять до планів гарантування енергозабезпечення штатів.
Висновки та рекомендації
Зазначене свідчить про відносну схожість визначених Законом України «Про критичну інфраструктуру» підходів до організації захисту КІ з практикою такої діяльності в США. Організаційна структура формування цілей політики та її реалізації на загальнодержавному та секторальному рівнях, як і пропоновані механізми регулювання діяльності в цій сфері, є подібними.
Саме тому доцільно рекомендувати органам державної влади України, які уповноважені Законом України «Про критичну інфраструктуру» на виконання функцій та завдань у цій сфері, докладніше опрацювати відповідний досвід США.
Зокрема, організація діяльності органів державної влади США щодо забезпечення стійкості постачання енергії споживачам може слугувати прикладом для налагодження організаційної та нормопроєктної роботи державних органів України, визначених відповідальними за безпеку та стійкість КІ в окремих секторах.
Отримуйте якісну та актуальну аналітику від НІСД у зручному для вас форматі:
- читайте нас у Telegram
- слухайте на Google Podcast
- дивіться на YouTube
Зображення: НІСД
[2] Див.: URL: https://www.cisa.gov/
[3] Див.: URL: https://www.cisa.gov/national-infrastructure-protection-plan
[4] Див.: URL: https://www.cisa.gov/publication/nipp-ssp-energy-2015; https://www.cisa.gov/sites/default/files/publications/nipp-ssp-energy-2015-508.pdf
[5] Див.: URL: https://www.energy.gov/; https://www.energy.gov/offices
[6] Див.: URL: https://www.energy.gov/ceser/office-cybersecurity-energy-security-and-emergency-response
[7] Див.: URL: https://www.fema.gov/
[8] Див.: URL: https://www.fema.gov/emergency-managers/national-preparedness/frameworks/response#esf
[9] Див.: URL: https://www.energy.gov/nnsa/leadership-and-offices/emergency-operations
[10] Див.: URL: https://www.congress.gov/109/plaws/publ58/PLAW-109publ58.pdf
[11] Див.: URL: https://www.nerc.com/Pages/default.aspx
[12] Див.: URL: https://www.nerc.com/pa/Stand/Pages/default.aspx
[13] Див.: URL: https://www.nerc.com/pa/CI/ESISAC/Pages/default.aspx
[14] Див.: URL: https://www.ferc.gov/office-energy-infrastructure-security-oeis
[15] Див.: URL: https://www.naseo.org/stateenergyplans
[16] Див.: URL: https://www.energy.gov/ceser/state-local-tribal-and-territorial-sltt-program
[17] Див.: URL: https://www.energy.gov/ceser/state-and-regional-energy-risk-profiles
Експертна аналітика в форматі pdf: