En estos últimos años, de la mano del proceso de imparable digitalización y del Internet de las cosas (IoT), la ciberseguridad ha irrumpido como uno de los mayores riesgos a los que debe hacer frente la economía en su conjunto y el sector energético en particular. Dada la relevancia del tema, en estos momentos se está discutiendo una propuesta de Directiva sobre la materia, habiendo presentado el Council of European Energy Regulators (CEER) la posición del sector energético.
CEER considera que las amenazas a la ciberseguridad son uno de los riesgos más relevantes para el futuro mercado de la energía de la UE, así como para la seguridad del suministro tanto de electricidad como de gas natural. La creciente complejidad de las tecnologías de la información y la comunicación aplicadas al sector energético conlleva que la ciberseguridad sea un aspecto de máxima relevancia para el futuro desempeño del sector.
Esta importancia creciente en casi todos los sectores ha provocado una nueva propuesta de Directiva por parte de la Unión Europea (UE) sobre ciberseguridad que se encuentra ahora mismo en la etapa de consulta pública. Dada la importancia capital que tiene para el sector energético, desde CEER se ha estimado oportuno participar aportando sus propuestas de mejora en lo que respecta al sector energético.
Entre las múltiples recomendaciones presentadas por CEER, destacar:
- La necesidad de clarificar el alcance de las certificaciones sobre ciberseguridad en el ámbito del sector energético y, en concreto, la delimitación de quién debe cumplir con las mismas. En la medida que en el sector energético participan terceras compañías aportando soluciones y servicios en determinadas áreas de la cadena de valor, se estima del todo necesario que estas empresas se vean obligadas también a cumplir con los estándares a aplicar al propio sector energético. Esta medida debe favorecer también la cooperación entre sectores para el establecimiento de las normas y criterios comunes de supervisión y control.
- Que se debe asegurar que la nueva legislación mantiene vigente las normativas en materia de ciberseguridad a nivel nacional y europeo que existían hasta el momento. La normativa europea tiene que contemplar los estándares de seguridad introducidos por alguno de los países miembros como mínimos.
- La relevancia de establecer cuál será el rol de los órganos reguladores de la energía en el ámbito de la ciberseguridad. No solo eso, sino también qué relación debe existir entre estos reguladores y la agencia o agencias de ciberseguridad que se establezcan. En cualquier caso, el papel de los reguladores energéticos debe ser activo en la definición de los estándares.
- Por último, la implementación de nuevas medidas debe permitir periodos transitorios especialmente en el caso del sector energético en que existe una gran cantidad de activos críticos y las inversiones para la adaptación pueden ser de importante magnitud.
