La Agencia de la Unión Europea para la Seguridad en Redes e Información (ENISA, por sus siglas del inglés), ha publicado el informe Certificación de seguridad de las redes inteligentes en Europa: retos y recomendaciones destinado a los Estados miembros, la Comisión, órganos de certificación y el sector privado.
El informe contiene información sobre varios métodos de certificación existentes en la UE y otros Estados miembros y países de la AELC. En concreto, describe la situación europea y analiza las ventajas y las dificultades que implicarían unas prácticas de certificación más armonizadas. El informe intenta atraer el interés de los expertos en redes inteligentes y recibir el apoyo de las autoridades de certificación sobre cuestiones pendientes en materia de certificación de la seguridad en entornos de redes inteligentes.
La creciente necesidad de contar con una certificación para redes inteligentes se deriva de la falta de control sobre la cadena de suministro energético (cables, paneles solares, turbinas eólicas, etc.) que ha provocado la automatización de la red inteligente.
En este contexto, ENISA ofrece diez recomendaciones a los Estados miembros y a la Comisión Europea:
- La Comisión Europea debería nombrar un comité directivo europeo para coordinar las actividades de certificación de las redes inteligentes: dicho comité debe estar compuesto por importantes actores del ámbito de las smart grids provenientes tanto del sector público como del privado, con el fin de coordinar las actividades de certificación de redes inteligentes en la UE.
- El comité directivo europeo debería facilitar directrices y un modelo de referencia para instaurar una cadena de confianza: siguiendo la propuesta realizada en el esquema que se presenta a continuación, el informe recomienda dotar de transparencia e incrementar la confianza en la cadena de abastecimiento de las smart grids.
- El comité directivo europeo debería llevar a cabo un ejercicio de recopilación de todas las normativas y los programas existentes en la UE: esto, según el texto, facilitará la adopción de los mismos por parte de los estados miembros, lo que servirá de palanca a los esfuerzos de estandarización existentes.
- El comité directivo europeo debería fomentar el reconocimiento internacional de esquemas como SOG-IS, para crear requerimientos y un marco de trabajo internacionales para la certifiación.
- El comité directivo europeo debería fomentar una validación proporcional a la aceptación del riesgo que implica cada caso de uso de las redes inteligentes: se pueden utilizar pruebas de conformidad, funcionales y de interoperabilidad para asegurar que se están cumpliendo los requisitos de seguridad específicos.
- El comité directivo europeo debería facilitar la flexibilidad en la actualización de los perfiles de protección, a fin de adaptarlos al cambiante panorama de las amenazas a la seguridad: los perfiles pueden ser actualizados con mayor frecuencia que los esquemas o estándares. Cualquier actividad hacia la armonización debe contar con la flexibilidad suficiente que le permita evolucionar con el tiempo y las necesidades de cada contexto.
- Los Estados miembros deberían utilizar los perfiles nacionales como especificaciones detalladas de las normativas internacionales, con el fin de cubrir los casos de uso específicos a nivel nacional, así como los métodos y pruebas de certificación aplicados localmente.
- La Comisión Europea debería solicitar a los comités técnicos, en colaboración con las asociaciones energéticas europeas, la creación de perfiles europeos. Los perfiles deben ser creados por subgrupos de Comunidades Técnicas con alcance en toda la UE y en colaboración con asociaciones relevantes en torno a las redes inteligentes (como ESMIG y Eurelectric), pero se puede basar en las iniciativas nacionales publicadas (como el perfil de pasarela inteligente y la característica de seguridad CPA49).
- El comité directivo europeo debería facilitar herramientas acordes con el marco de certificación propuesto, mientras que los comités técnicos nacionales deberían facilitar herramientas preevaluativas para programas específicos.
- Por último, la décima recomendación del informe, aconseja que la Comisión Europea y los Estados miembros deberían promover el cumplimiento y la armonización como ventajas económicas y como una medida de reducción de costes.
El informe está basado en las conclusiones a las que se llegaron en el taller sobre certificación de seguridad de los componentes de las redes inteligentes celebrado en Bruselas en 2012 y organizadopor ENISA en colaboración con la Dirección General de Redes de Comunicación, Contenido y Tecnologías (CONNECT).
El mensaje clave es que Europa necesita unas prácticas de certificación deseguridad de redes inteligentes más armonizadas para permitir una reducción de los costes de certificación. El informe también es el resultado de las consultas realizadas a expertos encertificación de seguridad de redes inteligentes, y fue validado por expertos en seguridad en un taller celebrado en Heidelberg en septiembre de 2014.