Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators
Acronimo
Naruc
Anno di inizio
2018 Chiuso
Responsabile scientifico
Ragazzi Elena
Capofila
Ircres
Committente
NARUC National Association of Regulatory Utility Commissioners (USA)Soggetto finanziatore: U.S. Agency for International Development (USAID)
Abstract
L’Ircres ha sviluppato per conto del NARUC il volume di Guidelines “Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators“, concepito come uno strumento pratico che I regolatori possono usare per rafforzare I loro sistemi elettrici contro I cyberattacchi.
Il progetto mira ad affrontare la cybersicurezza dei sistemi elettrici dei paesi dell’area del Mar Nero (Armenia Georifa, Moldavia e Ucraina). Malgrado ciò la maggior parte del loro contenuto ha valenza universale.
Lo sviluppo delle Guidelines è avvenuto con il costante coinvolgimento di regolatori, operatori ed esperti, ed è il frutto della diffusione delle competenze e conoscenze di diverse discipline
Maggiori informazioni
The guidelines
Le guidelines “Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators” (by Elena Ragazzi (editor), Alberto Stefanini, Daniele Benintendi, Ugo Finardi, Dennis K. Holstein) hanno lo scopo di assistere i regolatori nella definizione delle tariffe, stabilendo un approccio regolatorio per migliorare il livello di cibersicurezza dei loro sistemi elettrici; esse sono basate sulla letteratura e sulle pratiche attuali. Tentano di rispondere alle seguenti domande:
- Quali quadri regolatori sono più adatti per valutare la prudenza delle spese per la sicurezza informatica?
- In che modo i regolatori possono identificare e confrontare i costi della sicurezza informatica dagli altri costi operativi sostenuti dagli operatori?
- In che modo i regolatori possono identificare buone contromisure per la sicurezza informatica?
- In che modo i regolatori possono valutare la ragionevolezza dei costi associati a queste contromisure?
- È possibile valutare l’efficacia degli investimenti in sicurezza informatica?
- Chi dovrebbe identificare, valutare, misurare e valutare le contromisure in diversi quadri normativi?
In conclusione, queste linee guida forniscono strumenti e approcci, discutendo spesso diverse alternative per ogni azione. Spesso viene discussa anche la filosofia alla base della loro applicazione, ma non vengono mai suggerite soluzioni chiavi in mano perché le strategie normative sono profondamente legate ai valori e agli obiettivi di ogni paese.
Queste linee guida sono una risorsa, unica nel suo genere, per mettere in grado i regolatori dell’energia di supportare e migliorare la resistenza e resilienza della rete garantendo investimenti prudenti ed efficaci nella sicurezza informatica da parte delle loro entità regolamentate. Le linee guida, che fondono capacità e conoscenze di diverse discipline, si sforzano di lasciare spazio a concetti, processi e metodi piuttosto che elenchi prescrittivi o formule pronte per l’uso.
Se queste linee guida sono state sviluppate per la regione Europa ed Eurasia, gran parte del loro contenuto può essere applicato universalmente.
- Elena Ragazzi (ed.), Alberto Stefanini, Daniele Benintendi, Ugo Finardi, and Dennis K. Holstein (2020). Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators, NARUC, Washington DC.
E’ disponibile anche una versione in lingua Russa - Elena Ragazzi (2020). Costs and benefits of cybersecurity regulation. The terms of a complex assessment, Appendix 1 to “Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators”, NARUC, Washington DC.
- Elena Ragazzi (ed), Ugo Finardi, Alberto Stefanini (2020). Summary of the main results of the ESSENCE project, Appendix 2 to “Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators”, NARUC, Washington DC.
- Ugo Finardi, Elena Ragazzi, Alberto Stefanini (2020). EPRI cybersecurity metrics, Appendix 3 to “Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators”, NARUC, Washington DC.
- Daniele Benintendi and Alberto Stefanini, Elena Ragazzi (2020). Implementing a cybersecurity regulation: the OFGEM approach, Appendix 4 to “Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators”, NARUC, Washington DC.
Contenuti
1 CONTEXT AND PURPOSE OF THE GUIDELINES
2 INTRODUCTION: PRELIMINARY CONCEPTS FOR CORRECTLY USING THESE GUIDELINES
2.1 Enhancing cyber preparedness in different regulatory frameworks
2.1.1 Performance-Based regulation (PBR)
2.1.2 Cost-of-service regulation (cost-plus)
2.1.3 Regulatory framework – conclusions
2.2 New threats require new defense strategies
3 EVALUATING CYBER-RELATED EXPENDITURES INCURRED BY UTILITIES: COST IDENTIFICATION AND BENCHMARKING
3.1 From cost identification to cost calculation
3.2 Identifying priorities
3.3 Benefit analysis
3.4 Costs and benefits of cybersecurity countermeasures
3.5 Security areas
3.5.1 The governance of cybersecurity
3.5.2 Hardening
3.6 Estimating the cost of countermeasures
3.6.1 The costs calculated in the ESSENCE project
3.6.2 How to transfer ESSENCE results to other contests?
4 EFFECTIVENESS METRICS
4.1 Identifying good effectiveness indicators
4.2 What is effectiveness? The concepts of output, outcome, and impact
4.3 The governance of metrics
4.4 Cybersecurity metrics
4.4.1 Maturity metrics
4.4.2 The EPRI metrics: the most comprehensive and mature approach to assess general cybersecurity performance
4.4.3 A critical issue of the EPRI metrics: data aggregation
4.5 Comparative assessment and conclusions
5 AN APPROACH TO INVESTMENTS IN CYBERSECURITY
5.1 Background
5.2 Types of measures and actions
5.3 Building cybersecurity scenarios starting from cybersecurity objectives
5.4 Cybersecurity scenarios
5.4.1 Scenario 1: a compliance-based approach in cost-plus
5.4.2 Scenario 2: a semi-participatory approach in cost-plus
5.4.3 Scenario 3: a participatory approach in cost-plus
5.4.4 Scenario 4: experimenting with incentives to enhance the maturity level
5.4.5 Scenario 5: relying on companies’ strategies without relying on metrics
5.4.6 Comparison among scenarios
6 CONCLUSIONS
7 REFERENCES
Presentazione video delle linee guida
June 17, 2020
Una presentazione delle linee guida è stata ospitata in un webinar nella serie organizzata congiuntamente da USAID / NARUC / ERRA / CEER Implications of the Global Pandemic on Tariff Design and Utility Finances. L’obiettivo di questa serie di webinar è esaminare le implicazioni a breve e lungo termine per i regolatori della pandemia globale COVID-19 sul settore energetico, in relazione alla definizione delle tariffe e allo stato finanziario delle utility.
Il webinar The Regulatory Role in Supporting Cybersecurity Investments è stato incluso in questa serie perché gli esperti hanno segnalato un aumento delle minacce alla sicurezza informatica. Infatti, la pandemia di COVID-19 crea nuove opportunità per attacchi informatici. Anche le vulnerabilità sono aumentate, parallelamente alla limitazione delle risorse e alla minore frequenza degli aggiornamenti del software. Pertanto, è ancora più importante che le autorità di regolamentazione e per gli operatori cooperino ulteriormente e realizzino gli investimenti di cybersicurezza necessari durante questo periodo, nonostante i vincoli finanziari e non di questa fase. In questo webinar, il NARUC ed Elena Ragazzi hanno presentato il rapporto fondativo Evaluating the Prudency of Cybersecurity Investments: Guidelines for Energy Regulators, finanziato dall’Agenzia statunitense per lo sviluppo internazionale (USAID).
October 22, 2020 – 9:30 am to 10:30 am EDT
Speakers
Michael Colao
Manager of Data Protection and Assurance
Arizona Public Service (APS)
Riconoscimenti
Questa pubblicazione è stata possible grazie al generoso supporto del popolo americano per mezzo della United States Agency for International Development (USAID). I contenuti sono responsabilità della National Association of Regulatory Utility Commissioners (NARUC) e degli autori e non riflettono necessariamente la visione di USAID o del Governo degli Stati Uniti.
Questa pubblicazione è stata realizzata con il finanziamento della Energy and Infrastructure Division of the Bureau for Europe and Eurasia.
NARUC e Ircres desiderano ringraziare i seguenti esperti per i loro apprezzati suggerimenti e per il tempo e la professionalità offerta nel disegno, revisione ed edizione di questo documento:
Stefano Bracco, Security Officer and Knowledge Manager, European Agency for the Cooperation of Energy Regulators (ACER)
Geoff Marke, Chief Economist, Missouri Office of Public Counsel
Commissioner Ann Rendahl, Washington Utilities and Transportation Commission
Commissioner Dan Scripps, Michigan Public Service Commission
Mohammed Zumla, Head NIS Competent Authority, Office of Gas and Electricity Markets
Paul Stack e Crissy Godfrey (precedentemente impiegati presso il NARUC)
Hisham Choueiki e Colleen Borovsky, NARUC
NARUC e Ircres desiderano anche ringraziare le seguenti autorità regolatorie nazionali per il loro contributo:
Public Services Regulatory Commission of the Republic of Armenia (PSRC)
Georgian National Energy and Water Supply Regulatory Commission (GNERC)
National Agency for Energy Regulation of the Republic of Moldova (ANRE)
National Energy and Utilities Regulatory Commission, Ukraine (NEURC)
Il gruppo di lavoro
Elena Ragazzi (project leader)
Elena Ragazzi è ricercatrice senior presso il CNR-Ircres, dove lavora dal 1989. È anche professore esterno presso il Politecnico di Torino. È autrice di oltre 250 prodotti scientifici di economia applicata e valutazione delle politiche. È stata project leader di numerosi progetti, sia europei che nazionali, coordinando l’azione di numerosi partner, integrando gruppi di lavoro multidisciplinari e gruppi misti di ricercatori e professionisti. Ha organizzato e presieduto sessioni speciali sulla valutazione dell’impatto e sui metodi controfattuali. La sua attività di ricerca negli ultimi anni si è concentrata sul tema della valutazione di politiche e regolamentazioni pubbliche. Una delle principali linee di ricerca riguarda il sistema elettrico e, in particolare, la sua protezione dagli attacchi informatici.
Alberto Stefanini (esperto nel sistema elettrico e negli standard di sicurezza)
Alberto Stefanini si è laureato con lode in Ingegneria Elettronica presso l’Università di Bologna, nel 1974. Attualmente è in pensione e effettua attività di consulenza. Dal 2008 ha avviato diversi progetti europei, tra cui: FM BIASED, ESSENCE, SESAME e GRID. In precedenza ha lavorato con il Centro comune di ricerca della CE sulle minacce alla sicurezza informatica nei confronti del sistema energetico e con il CESI sulla diffusione e l’adozione dei risultati della ricerca sul sistema elettrico. È stato molto attivo con il programma quadro europeo sin dagli anni ’70 e ha contribuito a lanciare un gran numero di progetti europei su diversi argomenti: diagnostica industriale, interfaccia uomo-macchina, supporto decisionale e ciclo di vita dell’automazione industriale.
Daniele Benintendi (expert in regulation)
Dennis K. Holstein (expert in cybersecurity)
Ugo Finardi (expert in innovation policies)
Ugo Finardi (MSc in Industrial Chemistry, Ph.D. in Materials Sciences and Technologies, discussing a thesis on the Technology Transfer practices in Nanotechnologies) is at present Researcher at CNR-IRCrES, the Research Institute on Sustainable Economic Growth of the National Research Council of Italy. He has been working previously at the University of Torino. His main research interests are: the socio-economic impact of technologies and innovation and of technology transfer; the organisation of universities and public research bodies; bibliometric assessment of the state and evolution of research. He has published more than 70 works among articles and book chapters in international and national journals and books, congress contributions, working papers and research and technical reports.