Il Cnr-Ircres, su incarico del Naruc (la National Association of Regulatory Utility Commissioners degli Stati Uniti), ha preparato il volume di linee guida “Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators”, curato da Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo., concepito come uno strumento pratico che le autorità di regolamentazione possono utilizzare per rafforzar i sistemi elettrici nei confronti di cyber-attacchi

Elena Ragazzi (ed.), Alberto Stefanini, Daniele Benintendi, Ugo Finardi, and Dennis K. Holstein (2020). Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators, NARUC, Washington DC.

E' disponibile anche una versione in lingua Russa

Elena Ragazzi (2020). Costs and benefits of cybersecurity regulation. The terms of a complex assessment, Appendix 1 to "Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators", NARUC, Washington DC.

Elena Ragazzi (ed), Ugo Finardi, Alberto Stefanini (2020). Summary of the main results of the ESSENCE project, Appendix 2 to "Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators", NARUC, Washington DC.

Ugo Finardi, Elena Ragazzi, Alberto Stefanini (2020). EPRI cybersecurity metrics, Appendix 3 to "Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators", NARUC, Washington DC.

Daniele Benintendi and Alberto Stefanini, Elena Ragazzi (2020). Implementing a cybersecurity regulation: the OFGEM approach, Appendix 4 to "Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators", NARUC, Washington DC.

 

Il progetto

Nel novembre 2018 il CNR-Ircres ha firmato un contratto con la NARUC, la National Association of Regulatory Utility Commissioners degli Stati Uniti (www.naruc.org), per lo sviluppo di linee guida (https://www.naruc.org/international/news/evaluating-the-prudency-of-cybersecurity-investments-guidelines-for-energy-regulators/) volte ad affrontare la cyber sicurezza dei sistemi elettrici nei paesi dell'area del Mar Nero: Armenia, Georgia, Moldavia e Ucraina. Il contratto è finanziato da USAID (USAID www.usaid.gov), l'agenzia di sviluppo internazionale degli Stati Uniti.

Da dicembre 2016, il NARUC collabora con regolatori provenienti da Armenia, Georgia, Moldavia e Ucraina, e successivamente dall'area dei Balcani, nell'ambito dell'iniziativa Europa e Eurasia per la sicurezza informatica sostenuta da USAID. Questa partnership ha lo scopo di aiutare le autorità di regolamentazione e le utility a sviluppare un quadro di politiche regolatorie per la sicurezza informatica che stabilisca gli standard di base, capacità minime di difesa e buone pratiche presso le utility.

In questo contesto, lo sviluppo di linee guida tariffarie per la cybersicurezza intende fornire ai regolatori mezzi per guidare il miglioramento della sicurezza e della resilienza del settore energetico contro l'emergente minaccia di attacchi informatici. Man mano che i sistemi elettrici si modernizzano, digitalizzano e si integrano, essi risultano sempre più esposti a ulteriori vulnerabilità che possono essere sfruttate dagli attacchi informatici. Gli attacchi alla rete elettrica possono avere effetti devastanti sulla sicurezza, l'economia e il benessere pubblico di una nazione e rappresentano una potente minaccia per tutte le nazioni del mondo.

I regolatori energetici hanno un ruolo unico da svolgere nel campo della sicurezza informatica. Sebbene l'attuazione delle misure di sicurezza informatica sia in genere responsabilità degli operatori, le autorità di regolamentazione hanno l'obbligo di garantire che gli investimenti effettuati in nome della sicurezza informatica e finanziati mediante tariffe siano ragionevoli, prudenti ed efficaci.

I regolatori, sia in Europa sia nella regione dell'Eurasia e sia in tutto il mondo si sono a lungo interrogati sul modo per capire il miglioramento di protezione della rete che deriva da investimenti realizzati in nome della sicurezza informatica. Nella regione Europa ed Eurasia, in particolare nei paesi del Mar Nero in Armenia, Georgia, Moldavia e Ucraina, si tratta di una questione di notevole importanza, data la sensibilità dei consumatori di fronte ad aumenti tariffari. Anche nel nostro paese cresce la richiesta di giustificare gli oneri di sistema, non direttamente connessi al consumo di energia.

CNR-Ircres ha decenni di esperienza nello studio dell'economia del sistema energetico, con un focus più recente sul tema specifico della sicurezza informatica. In particolare, il progetto ESSENCE (Emerging Security Standards to the EU power Network controls and other Critical Equipment, 2011-2014, funded by the EU CIPS Programme, http://essence.ceris.cnr.it/) ha condotto un esercizio di stima dei costi e dei benefici dell'attuazione di standard di sicurezza per proteggere le infrastrutture critiche dagli attacchi informatici. Uno studio simile non è mai stato ripetute in seguito e quindi rappresenta un punto di partenza unico per il lavoro sulle linee guida, sia per l'approccio metodologico sia come fonte di evidenze empiriche quantitative.

Lo sviluppo delle linee guida è stato condotto con il costante coinvolgimento di regolatori, operatori ed esperti, nonché fondendo competenze e conoscenze di diverse discipline. Il progetto include anche un'attività di assistenza finale che coinvolge direttamente i regolatori per personalizzare i risultati e preparare la strada per l'implementazione pratica.

 

The guidelines

Le guidelines "Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators" (by Elena Ragazzi (editor), Alberto Stefanini, Daniele Benintendi, Ugo Finardi, Dennis K. Holstein) hanno lo scopo di assistere i regolatori nella definizione delle tariffe, stabilendo un approccio regolatorio per migliorare il livello di cibersicurezza dei loro sistemi elettrici; esse sono basate sulla letteratura e sulle pratiche attuali. Tentano di rispondere alle seguenti domande:

  • Quali quadri regolatori sono più adatti per valutare la prudenza delle spese per la sicurezza informatica?
  • In che modo i regolatori possono identificare e confrontare i costi della sicurezza informatica dagli altri costi operativi sostenuti dagli operatori?
  • In che modo i regolatori possono identificare buone contromisure per la sicurezza informatica?
  • In che modo i regolatori possono valutare la ragionevolezza dei costi associati a queste contromisure?
  • È possibile valutare l'efficacia degli investimenti in sicurezza informatica?
  • Chi dovrebbe identificare, valutare, misurare e valutare le contromisure in diversi quadri normativi?

In conclusione, queste linee guida forniscono strumenti e approcci, discutendo spesso diverse alternative per ogni azione. Spesso viene discussa anche la filosofia alla base della loro applicazione, ma non vengono mai suggerite soluzioni chiavi in mano perché le strategie normative sono profondamente legate ai valori e agli obiettivi di ogni paese.

Queste linee guida sono una risorsa, unica nel suo genere, per mettere in grado i regolatori dell'energia di supportare e migliorare la resistenza e resilienza della rete garantendo investimenti prudenti ed efficaci nella sicurezza informatica da parte delle loro entità regolamentate. Le linee guida, che fondono capacità e conoscenze di diverse discipline, si sforzano di lasciare spazio a concetti, processi e metodi piuttosto che elenchi prescrittivi o formule pronte per l'uso.

Se queste linee guida sono state sviluppate per la regione Europa ed Eurasia, gran parte del loro contenuto può essere applicato universalmente.

Elena Ragazzi (ed.), Alberto Stefanini, Daniele Benintendi, Ugo Finardi, and Dennis K. Holstein (2020). Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators, NARUC, Washington DC.

E' disponibile anche una versione in lingua Russa

Elena Ragazzi (2020). Costs and benefits of cybersecurity regulation. The terms of a complex assessment, Appendix 1 to "Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators", NARUC, Washington DC.

Elena Ragazzi (ed), Ugo Finardi, Alberto Stefanini (2020). Summary of the main results of the ESSENCE project, Appendix 2 to "Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators", NARUC, Washington DC.

Ugo Finardi, Elena Ragazzi, Alberto Stefanini (2020). EPRI cybersecurity metrics, Appendix 3 to "Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators", NARUC, Washington DC.

Daniele Benintendi and Alberto Stefanini, Elena Ragazzi (2020). Implementing a cybersecurity regulation: the OFGEM approach, Appendix 4 to "Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators", NARUC, Washington DC.

 

Contenuti

1 CONTEXT AND PURPOSE OF THE GUIDELINES

2 INTRODUCTION: PRELIMINARY CONCEPTS FOR CORRECTLY USING THESE GUIDELINES

2.1 Enhancing cyber preparedness in different regulatory frameworks

2.1.1 Performance-Based regulation (PBR)

2.1.2 Cost-of-service regulation (cost-plus)

2.1.3 Regulatory framework – conclusions

2.2 New threats require new defense strategies

3 EVALUATING CYBER-RELATED EXPENDITURES INCURRED BY UTILITIES: COST IDENTIFICATION AND BENCHMARKING

3.1 From cost identification to cost calculation

3.2 Identifying priorities

3.3 Benefit analysis

3.4 Costs and benefits of cybersecurity countermeasures

3.5 Security areas

3.5.1 The governance of cybersecurity

3.5.2 Hardening

3.6 Estimating the cost of countermeasures

3.6.1 The costs calculated in the ESSENCE project

3.6.2 How to transfer ESSENCE results to other contests?

4 EFFECTIVENESS METRICS

4.1 Identifying good effectiveness indicators

4.2 What is effectiveness? The concepts of output, outcome, and impact

4.3 The governance of metrics 

4.4 Cybersecurity metrics

4.4.1 Maturity metrics

4.4.2 The EPRI metrics: the most comprehensive and mature approach to assess general cybersecurity performance

4.4.3 A critical issue of the EPRI metrics: data aggregation 

4.5 Comparative assessment and conclusions

5 AN APPROACH TO INVESTMENTS IN CYBERSECURITY

5.1 Background

5.2 Types of measures and actions

5.3 Building cybersecurity scenarios starting from cybersecurity objectives

5.4 Cybersecurity scenarios

5.4.1 Scenario 1: a compliance-based approach in cost-plus

5.4.2 Scenario 2: a semi-participatory approach in cost-plus

5.4.3 Scenario 3: a participatory approach in cost-plus

5.4.4 Scenario 4: experimenting with incentives to enhance the maturity level

5.4.5 Scenario 5: relying on companies’ strategies without relying on metrics

5.4.6 Comparison among scenarios

6 CONCLUSIONS

7 REFERENCES

 

Presentazione video delle linee guida

June 17, 2020

Una presentazione delle linee guida è stata ospitata in un webinar nella serie organizzata congiuntamente da USAID / NARUC / ERRA / CEER Implications of the Global Pandemic on Tariff Design and Utility Finances. L'obiettivo di questa serie di webinar è esaminare le implicazioni  a breve e lungo termine per i regolatori della pandemia globale COVID-19 sul settore energetico, in relazione alla definizione delle tariffe e allo stato finanziario delle utility.

Il webinar The Regulatory Role in Supporting Cybersecurity Investments  è stato incluso in questa serie perché gli esperti hanno segnalato un aumento delle minacce alla sicurezza informatica. Infatti, la pandemia di COVID-19 crea nuove opportunità per attacchi informatici. Anche le vulnerabilità sono aumentate, parallelamente alla limitazione delle risorse e alla minore frequenza degli aggiornamenti del software. Pertanto, è ancora più importante che le autorità di regolamentazione e per gli operatori cooperino ulteriormente e realizzino gli investimenti di cybersicurezza necessari durante questo periodo, nonostante i vincoli finanziari e non di questa fase. In questo webinar, il NARUC ed Elena Ragazzi hanno presentato il rapporto fondativo Evaluating the Prudency of Cybersecurity Investments: Guidelines for Energy Regulators, finanziato dall'Agenzia statunitense per lo sviluppo internazionale (USAID).

 

October 22, 2020 - 9:30 am to 10:30 am EDT

webinar on: The Relationship Between Regulators and Power Utilities: Evaluating the Prudency of Cybersecurity Investments

Speakers
Elena Ragazzi
Researcher
CNR-IRCRES
Michael Colao
Manager of Data Protection and Assurance
Arizona Public Service (APS)

 

 

Riconoscimenti

Questa pubblicazione è stata possible grazie al generoso supporto del popolo americano per mezzo della United States Agency for International Development (USAID). I contenuti sono responsabilità della National Association of Regulatory Utility Commissioners (NARUC) e degli autori e non riflettono necessariamente la visione di USAID o del Governo degli Stati Uniti.

This publication è stata realizzata con il finanziamento della Energy and Infrastructure Division of the Bureau for Europe and Eurasia.

NARUC e Ircres desiderano ringraziare I seguenti esperti per I loro apprezzati suggerimenti e per il tempo e la professionalità offerta del disegno, revisione ed edizione di questo documento:

Stefano Bracco, Security Officer and Knowledge Manager, European Agency for the Cooperation of Energy Regulators (ACER)

Geoff Marke, Chief Economist, Missouri Office of Public Counsel

Commissioner Ann Rendahl, Washington Utilities and Transportation Commission

Commissioner Dan Scripps, Michigan Public Service Commission

Mohammed Zumla, Head NIS Competent Authority, Office of Gas and Electricity Markets

Paul Stack e Crissy Godfrey (precedentemente impiegati presso il NARUC)

Hisham Choueiki e Colleen Borovsky, NARUC

NARUC e Ircres desiderano anche ringraziare le seguenti autorità regolatorie nazionali per il loro contributo:

Public Services Regulatory Commission of the Republic of Armenia (PSRC)

Georgian National Energy and Water Supply Regulatory Commission (GNERC)

National Agency for Energy Regulation of the Republic of Moldova (ANRE)

National Energy and Utilities Regulatory Commission, Ukraine (NEURC)

 

Il gruppo di lavoro

Elena Ragazzi (project leader)

Elena Ragazzi è ricercatrice senior presso il CNR-Ircres, dove lavora dal 1989. È anche professore esterno presso il Politecnico di Torino. È autrice di oltre 250 prodotti scientifici di economia applicata e valutazione delle politiche. È stata project leader di numerosi progetti, sia europei che nazionali, coordinando l'azione di numerosi partner, integrando gruppi di lavoro multidisciplinari e gruppi misti di ricercatori e professionisti. Ha organizzato e presieduto sessioni speciali sulla valutazione dell'impatto e sui metodi controfattuali. La sua attività di ricerca negli ultimi anni si è concentrata sul tema della valutazione di politiche e regolamentazioni pubbliche. Una delle principali linee di ricerca riguarda il sistema elettrico e, in particolare, la sua protezione dagli attacchi informatici. http://www.ircres.cnr.it/index.php/it/staffircres/26-cv

Alberto Stefanini (esperto nel sistema elettrico e negli standard di sicurezza)

Alberto Stefanini si è laureato con lode in Ingegneria Elettronica presso l'Università di Bologna, nel 1974. Attualmente è in pensione e effettua attività di consulenza. Dal 2008 ha avviato diversi progetti europei, tra cui: FM BIASED, ESSENCE, SESAME e GRID. In precedenza ha lavorato con il Centro comune di ricerca della CE sulle minacce alla sicurezza informatica nei confronti del sistema energetico e con il CESI sulla diffusione e l'adozione dei risultati della ricerca sul sistema elettrico. È stato molto attivo con il programma quadro europeo sin dagli anni '70 e ha contribuito a lanciare un gran numero di progetti europei su diversi argomenti: diagnostica industriale, interfaccia uomo-macchina, supporto decisionale e ciclo di vita dell'automazione industriale. 

Daniele Benintendi (expert in regulation)

Dennis K. Holstein (expert in cybersecurity)

Ugo Finardi (expert in innovation policies).

Ugo Finardi (MSc in Industrial Chemistry, Ph.D. in Materials Sciences and Technologies, discussing a thesis on the Technology Transfer practices in Nanotechnologies) is at present Researcher at CNR-IRCrES, the Research Institute on Sustainable Economic Growth of the National Research Council of Italy. He has been working previously at the University of Torino. His main research interests are: the socio-economic impact of technologies and innovation and of technology transfer; the organisation of universities and public research bodies; bibliometric assessment of the state and evolution of research. He has published more than 70 works among articles and book chapters in international and national journals and books, congress contributions, working papers and research and technical reports.

We use cookies to improve our website and your experience when using it. Cookies used for the essential operation of this site have already been set. To find out more about the cookies we use and how to delete them, see our privacy policy.

  I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk