Enti Rregullator i Energjisë me qëllim krijimin e një tregu të brendshëm të sigurt, ka rishikuar rregulloren e vitit 2020 për sigurinë kibernetike të infrastrukturave kritike në sektorin e energjisë elektrike, ndërsa ka përcaktuar edhe operatorët që do të duhet të pajisen me certifikatë sigurie.
Qëllimi i kësaj rregulloreje, sipas ERE-s, është të përcaktojë rregullat dhe masat që duhet të ndërmerren nga subjektet e licencuara nga ERE edhe në sektorin e gazit natyror, krahas atij të energjisë, të cilët kanë përgjegjësi të garantojnë sigurinë kibernetike në infrastrukturat kritike që zotërojnë dhe operojnë.
Në rregullore përcaktohet që operatorët e infrastrukturave kritike në sektorin e energjisë elektrike dhe gazit natyror të pajisen me certifikimin me standartin e sigurisë ISO 27001 brenda 18 muajve nga hyrja në fuqi e kësaj rregulloreje.
Operatorët e Infrastrukturave Kritike të Informacionit, përfshirë Kurum International sh.a, Dragobia Energy, Prell Energy sh.p.k, Power Elektrik Slabinje, Seka Hydropower, Devoll Hydropower sh.a dhe Trans Adriatic Pipeline (TAP), detyrohen të pajisen me certifikimin sipas standardit të sigurisë ISO 27001 brenda 18 muajve nga hyrja në fuqi e këtyre ndryshimeve të rregullores.
Detyrimi përfshin Operatorin e Sistemit të Shpërndarjes së Energjisë Elektrike, Termocentralin Vlorë sh.a dhe HEC Vlushe, të cilët po ashtu detyrohen të pajisen me certifikimin sipas standardit të sigurisë ISO 27001 brenda 18 muajve nga hyrja në fuqi e këtyre ndryshimeve të rregullores.
Në rregulloren e re përcaktohet se operatorët e infrastrukturës kritike të informacionit (OIKI) në sektorin e energjisë elektrike dhe gazit natyror do të raportojnë menjëherë dhe jo më vonë se 4 orë nga momenti i zbulimit të incidentit të sigurisë për çdo rast që përbën një shkelje/ndërhyrje e cila ka cënuar sigurinë kibernetike të infrastrukturave kritike që i licencuari zotëron ose operon, si dhe të çdo shërbimi tjetër që operatori ka në përdorim nga palë të treta.
ERE, me paraqitjen e informacioneve nga të licencuarit në rast të incidenteve të raportuara, do të shqyrtojë rastin e raportuar me të licencuarin për të vlerësuar nëse incidenti ka ndodhur për shkak të veprimeve apo mosveprimeve të operatorit.
Po ashtu, do të diskutohet mbi nevojën për rishikimin e akteve rregullatore apo nevojën për mbështetje nga institucionet e tjera ligjzbatuese për veprimet e propozuara me qëllim shmangien, parandalimin apo uljen e numrit të incidenteve.
Brenda 30 ditëve nga ndodhja e një incidenti në infrastrukturat kritike, operatori duhet të paraqesë një raport të përgjithshëm për ERE.
Nëdrsa brenda 90 ditëve nga ndodhja e incidentit në infrastrukturat kritike, operatori duhet të paraqesë në ERE një raport të detajur të hetimit të incidentit.
ERE gjithashtu mund të kërkojë OIKI të dorëzojnë raporte të audituara në lidhje me hetimin e një incidenti të sigurisë kibernetike.
