El Grupo de Trabajo de Ciberseguridad de AEE analiza una nueva propuesta normativa como posible estándar de ciberseguridad para el sector eólico con la colaboración de FORTINET

El Grupo de Trabajo de Ciberseguridad de AEE ha retomado recientemente su actividad con una reunión el pasado 3 de noviembre con el objetivo de analizar algunas novedades que han ido surgiendo en las últimas semanas relacionadas con la ciberseguridad, entre ellas, el análisis de la Norma SEC-ICSF:2021 como posible estándar de ciberseguridad para el sector eólico. En la reunión contamos también con la colaboración de FORTINET, empresa dedicada al desarrollo y la comercialización de software, dispositivos y servicios de ciberseguridad, que realizó una presentación sobre los retos en ciberseguridad en el sector eólico.

Entre los diferentes temas analizados en la reunión, AEE informó a los integrantes del GT que se ha inscrito en el Grupo de Expertos de Ciberseguridad Industrial OT que coordina el Comité Técnico de Normalización CTN 320 de Ciberseguridad y Protección de Datos (UNE). En este grupo de expertos se va a realizar una recopilación de la normativa y del estado del arte en Ciberseguridad Industrial OT, con el objetivo último de desarrollar un nuevo modelo de normalización en Ciberseguridad IOT en el año 2023. Desde AEE se irán distribuyendo los principales documentos y conclusiones a este grupo de trabajo.

También se analizó la aplicabilidad del RD 43/2020 al sector eólico, que desarrolla la Directiva NIS, donde se definían una serie de obligaciones en materia de ciberseguridad para los operadores de servicios esenciales e Infraestructuras Críticas. Una vez analizado su ámbito de aplicación, la principal conclusión es que las medidas y obligaciones establecidas en este RD no son de aplicación al conjunto de parques eólicos de nuestro país. Sí será de aplicación únicamente a aquellos agentes que hayan sido designados como operadores críticos, de acuerdo a la Ley PIC (Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas).

Se invitó a la reunión a OCA Global y Secure&IT, con el objetivo de presentar la Norma SEC-ICSF:2021, una norma específica sobre ciberseguridad industrial desarrollada por ellos mismos, y que ya están implementando en otros sectores energéticos renovables. Una de las principales ventajas de esta Norma es que simplifica enormemente los complejos procedimientos y controles establecidos en la IEC 62443, norma de referencia de ciberseguridad industrial, pero cuya implementación resulta muy compleja.

El objetivo es obtener un mayor conocimiento de esta Norma para analizar la posibilidad de utilizarlo como estándar de ciberseguridad para el sector eólico, que es uno de los objetivos establecidos en este grupo de trabajo. La norma presentada por Secure&IT y OCA Global puede ser un punto de partida sobre la que seguir trabajando.

Agustín Valencia de FORTINET realizó una presentación sobre los retos y soluciones de ciberseguridad en el sector eólico, que puedes consultar en este enlace.

Como próximos pasos, se trabajará para organizar reuniones monográficas para analizar aquellos elementos más críticos dentro de la arquitectura de un parque eólico.

Para consultar el acta de la reunión, pincha en este enlace.