Glavni problem koji je identifikovan u studiji kibernetičke sigurnosti o energetskom sektoru u Energetskoj zajednici je generalno slab ili nedostajući fokus na energetskim sektorima u nacionalnim strategijama kibernetičke sigurnosti i implementiranom zakonodavstvu. „Ovo je posebno zabrinjavajuće, jer energetski sektor zahtijeva posebne komunikacione i operativne tehnologije, kritične vremenske okvire i osjetljivost na kaskadne efekte“, navodi se u studiji koju je objavio Sekretarijat Energetske zajednice. Između ostalog, studija je utvrdila da se operateri prenosnih sistema (kako za struju, tako i za prirodni gas) izlažu visokom nivou rizika za većinu vrsta pretnji.
„Kibernetička sigurnost kritične infrastrukture, posebno u energetskom sektoru, postaje sve važnija za sigurnost i proizvodnju energije, distribuciju, prenos i skladištenje energije, kao i za stabilnost jedinstvenog evropskog tržišta energije“, piše u studiji.
Na osnovu rezultata ove studije može se zaključiti da je pravni i politički kontekst složen i fragmentiran. Postoji nedostatak odredbi koje se odnose na kritičnu infrastrukturu i identifikaciju osnovnih usluga u ugovornim stranama, a samim tim i praznine u zakonodavnim zahtevima koji se odnose na planove bezbijednosti operatera i mehanizme komunikacije i izvještavanja.
Sve ugovorne strane prioritet su davale sajber-bezbjednosti na nacionalnom nivou i u procesu su razvoja mjera podrške. Međutim, to se često radi na horizontalnom nivou bez fokusiranih aktivnosti u energetskom sektoru. Ugovorne strane imaju specifične i različite nivoe rizika koji u velikoj mjeri zavise od njihove geopolitičke situacije. Pitanja energetske sigurnosti često se rešavaju samo na nivou države, održavajući, na primer, nacionalni fokus, ne uzimajući u obzir složenost međuzavisnosti ugovornih strana iz Energetske zajednice i država članica EU u više aspekata energetske oblasti, uključujući kibernetičku sigurnost. Uz to, postoji potreba za stvaranjem javno-privatnih partnerstava prilikom dijeljenja informacija. Prema postojećem zakonodavstvu, zahtevi za kibernetičku sigurnost se razlikuju između identifikovanih javnih i privatnih zainteresovanih strana, spomenula je studija.
Studija kaže da ugovorne strane u Energetskoj zajednici imaju različite nivoe rizika koji u velikoj meri zavise od njihove geopolitičke situacije. Prvu grupu zemalja pretežno čine one sa zapadnog Balkana – Albanija, Bosna i Hercegovina, Kosovo, Srbija, Crna Gora i Severna Makedonija – koje sve imaju mala energetska tržišta po EU standardima i bave se sličnim, ako ne i istim, pitanjima kibernetičke sigurnosti (rizici, incidenti).
Prema stepenu zrelosti za sajber-bezbjednost, dvije najnaprednije zemlje u ovoj grupi – Srbija i Crna Gora – mogle bi mnogo da doprinesu nivou kibernetske bezbjednosti u cijelom regionu aktivnom saradnjom sa svojim susjedima i tako smanjenjem rizika za cijelu grupu. „Jednom kada se uspostavi i proširi regionalna saradnja sa saradnim timovima za reagovanje na energetske incidente zajedničkim vježbama i sistemom ranog upozoravanja, regionalni rizici će se smanjiti na prihvatljiviji nivo“, objasnila je studija.
Na osnovu preporuka na nivou Energetske zajednice i onih koje su razvijene za ugovorne strane u Energetskoj zajednici, u studiji su razmatrane opšte preporuke za sve ugovorne strane iz Energetske zajednice. Dakle, studija sugeriše da bi nacionalne vlasti za kibernetičke sisteme, zajedno sa regulatornim agencijama, trebale razviti i propisati šemu sertifikovanja zahteva za zainteresovane strane u energetskom sektoru. Ugovorne strane bi takođe trebale uspostaviti bilateralnu saradnju na nivou timova za reagovanje na energetske incidente i centara za razmjenu i analizu informacija sa susjednim zemljama radi rješavanja kaskadnih rizika. Za kompanije iz energetskog sektora, potpun i uspješan završetak procesa razdvajanja i primena interkonekcija, kao i integracija IT i operativnih tehnoloških sistema u skladu sa savremenim standardima i praksom kibernetičke sigurnosti je od izuzetnog značaja za uspješno upravljanje kibernetičkom sigurnošću. Pored toga, operatori sistema (i struja i gas) trebalo bi da nastave da primenjuju IS27000 okvir u svojim sopstvenim procesima i uspostave kontinuirano upravljanje rizicima na osnovu godišnje redovne procjene, naglasila je studija.
Albanija
Prema studiji, Albanija je poslednjih godina postigla značajan napredak u sajber bezbjednosti. Zakon o kibernetičkoj sigurnosti zajedno sa pratećim propisima i odlukama donijetim na osnovu ‘Digitalne agende Albanije 2015-2020’ i ‘Političkog dokumenta o sajber bezbjednosti 2015–2017’ pruža čvrstu osnovu za dalje unapređenje zaštite kritične energetske infrastrukture . Međutim, treba napomenuti da postojeće zakonodavstvo pokriva samo kritičnu informatičku infrastrukturu o električnoj energiji, dok sektor gasa nije spomenut u zakonodavstvu.
Bosna i Hercegovina
Nedostatak strateških dokumenata u oblasti kibernetičke sigurnosti u Bosni i Hercegovini (BiH) ogleda se u nedostatku zakonodavstva. Treba napomenuti da politički sistem zahtijeva konsenzus i sve odluke se moraju koordinirati i dogovarati, što stvara izazov u smislu implementacije izmjena u zakonodavni sistem, prihvatanja strateških dokumenata, kao i institucionalne organizacije i saradnje između entiteta i na državnom nivou, čime se uvodi dodatna složenost u implementaciji kibernetičke sigurnosti u BiH.
Kosovo
Kao deo vladinog programa za period 2015-2018, Kosovo je usvojilo Nacionalnu strategiju za sajber bezbjednost 2016-2019 u svrhu razvoja i jačanja sposobnosti kibernetičke sigurnosti u skladu sa međunarodnim smernicama i praksom. Takođe je izrazila spremnost za saradnju s drugim zemljama kako bi doprinijela višem nivou sajber-bezbjednosti na globalnom nivou.
Crna Gora
Crna Gora je naglo napredovala u oblasti kibernetičke sigurnosti od 2010. godine kada je usvojen Zakon o sigurnosti informacija zajedno sa Uredbom o mjerama bezbjednosti informacija.
Sjeverna Makedonija
Jedna od glavnih briga Sjeverne Makedonije u pogledu nacionalne i regionalne bezbjednosti su prijetnje, rizici i izazovi koji se odnose na sajber-napade i bezbjednost informacija. Sjeverna Makedonija nema opšti zakon koji se bavi isključivo sajber-bezbjednošću.
Srbija
Na osnovu Strategije razvoja informatičke bezbjednosti za period 2017-2020, Srbija je većinu svog kritičnog zakonodavstva o infrastrukturi i bezjbednosti informacija uskladila sa zakonodavstvom EU o kibernetičkoj sigurnosti u periodu od 2016. do 2018.