CNR Institutional Research Information System

Energy regulators have a unique role to play in the field of cybersecurity. While the implementation of cybersecurity measures is typically the responsibility of power system operators, regulators have an obligation to ensure that investments made in the name of cybersecurity are reasonable, prudent, and effective. These guidelines are intended to assist regulators in defining tariffs by establishing a regulatory approach to enhance the cybersecurity stance of their power systems, and are based on literature and current practices. They attempt to answer the following questions: oWhich regulatory frameworks are best suited to evaluate the prudency of cybersecurity expenditures? oHow can regulators identify and benchmark cybersecurity costs? oHow can regulators identify good countermeasures for cybersecurity? oHow can regulators assess the reasonableness of the costs associated with these countermeasures? oIs it possible to evaluate the effectiveness of cybersecurity investments? oWho should identify, benchmark, measure and evaluate the countermeasures in different regulatory frameworks? As power systems modernize, digitize, and integrate, they are increasingly exposed to additional vulnerabilities that can be exploited by cyberattacks. Attacks on the power grid can have devastating effects on a nation's security, economy, and public welfare, and are a potent threat to all nations worldwide. These guidelines are a first-of-their-kind resource to empower energy regulators to support and encourage grid resilience by ensuring prudent and effective investments in cybersecurity by their regulated entities. The guidelines, melting competencies and wisdom from different disciplines, strive to provide space for concepts, processes and methods rather than prescriptive lists or ready-to-use formulas. These guidelines were developed by CNR-Ircres for the National Association of Regulatory Utility Commissioners (NARUC) with funding support from the United States Agency for International Development (USAID) as part of the Europe and Eurasia Cybersecurity Partnership. USAID and NARUC launched their work on cybersecurity in December 2016 in an effort to equip energy regulators from Armenia, Georgia, Moldova, and Ukraine with the tools and technical capacity to work with utilities in preventing and mitigating cyberattacks and to improve and safeguard overall energy security in the region. While these guidelines were developed for the Europe and Eurasia region, much of their content can be applied universally.

I regolatori dei settori energetici hanno un ruolo unico da giocare nel campo della cybersicurezza. Sebbene l'attuazione delle misure di sicurezza informatica sia in genere responsabilità degli operatori del sistema energetico e, più in generale delle infrastrutture critiche, i regolatori hanno l'obbligo di garantire che gli investimenti effettuati in nome della cybersicurezza siano ragionevoli, prudenti ed efficaci. Queste linee guida hanno lo scopo di aiutare le autorità di regolamentazione nella definizione delle tariffe stabilendo un approccio regolatorio per migliorare la protezione dei loro sistemi elettrici; esse sono basate sulla letteratura e sulle pratiche attuali. Tentano di rispondere alle seguenti domande: o Quali quadri approcci di regolamentazione sono più adatti per valutare la prudenza delle spese per la sicurezza informatica? o In che modo i regolatori possono identificare e valutare i costi della sicurezza informatica? o In che modo i regolatori possono identificare le migliori contromisure per la sicurezza informatica? o In che modo i regolatori possono valutare la ragionevolezza dei costi associati a queste contromisure? o È possibile valutare l'efficacia degli investimenti in sicurezza informatica? o Chi dovrebbe identificare, valutare, misurare e valutare le contromisure in diversi quadri di regolamentazione? Mentre i sistemi elettrici si modernizzano, digitalizzano e diventano sempre più integrati, essi diventano sempre più esposti a vulnerabilità che possono essere sfruttate dagli attacchi informatici. Gli attacchi alla rete elettrica possono avere effetti devastanti sulla sicurezza, l'economia e il benessere pubblico di una nazione e rappresentano una potente minaccia per tutte le nazioni del mondo. Queste linee guida sono una risorsa unica nel suo genere per mettere i regolatori dell'energia di supportare e incoraggiare la resilienza della rete, garantendo investimenti prudenti ed efficaci nella sicurezza informatica da parte degli enti da loro regolamentate. Le linee guida, fondendo le competenze e le conoscenze di diverse discipline, si sforzano di lasciare spazio a concetti, processi e metodi, piuttosto che fornire elenchi prescrittivi o formule pronte per l'uso. Queste linee guida sono state sviluppate dal CNR-Ircres per la National Association of Regulatory Utility Commissioners (NARUC) con il sostegno finanziario della United States Agency for International Development (USAID) nell'ambito del Europe and Eurasia Cybersecurity Partnership. USAID e NARUC hanno lanciato il loro progetto sulla sicurezza informatica nel dicembre 2016, nel tentativo di dotare i regolatori dell'energia di Armenia, Georgia, Moldavia e Ucraina degli strumenti e della capacità tecnica necessari per lavorare con le utility per prevenire e mitigare gli attacchi informatici e migliorare e salvaguardare la sicurezza energetica globale nella regione. Anche se queste linee guida sono state sviluppate per tale regione, gran parte del loro contenuto può essere applicato universalmente.

Evaluating the prudency of cybersecurity investments: Guidelines for Energy Regulators

Alberto Stefanini;Ugo Finardi;
2020

Abstract

Energy regulators have a unique role to play in the field of cybersecurity. While the implementation of cybersecurity measures is typically the responsibility of power system operators, regulators have an obligation to ensure that investments made in the name of cybersecurity are reasonable, prudent, and effective. These guidelines are intended to assist regulators in defining tariffs by establishing a regulatory approach to enhance the cybersecurity stance of their power systems, and are based on literature and current practices. They attempt to answer the following questions: oWhich regulatory frameworks are best suited to evaluate the prudency of cybersecurity expenditures? oHow can regulators identify and benchmark cybersecurity costs? oHow can regulators identify good countermeasures for cybersecurity? oHow can regulators assess the reasonableness of the costs associated with these countermeasures? oIs it possible to evaluate the effectiveness of cybersecurity investments? oWho should identify, benchmark, measure and evaluate the countermeasures in different regulatory frameworks? As power systems modernize, digitize, and integrate, they are increasingly exposed to additional vulnerabilities that can be exploited by cyberattacks. Attacks on the power grid can have devastating effects on a nation's security, economy, and public welfare, and are a potent threat to all nations worldwide. These guidelines are a first-of-their-kind resource to empower energy regulators to support and encourage grid resilience by ensuring prudent and effective investments in cybersecurity by their regulated entities. The guidelines, melting competencies and wisdom from different disciplines, strive to provide space for concepts, processes and methods rather than prescriptive lists or ready-to-use formulas. These guidelines were developed by CNR-Ircres for the National Association of Regulatory Utility Commissioners (NARUC) with funding support from the United States Agency for International Development (USAID) as part of the Europe and Eurasia Cybersecurity Partnership. USAID and NARUC launched their work on cybersecurity in December 2016 in an effort to equip energy regulators from Armenia, Georgia, Moldova, and Ukraine with the tools and technical capacity to work with utilities in preventing and mitigating cyberattacks and to improve and safeguard overall energy security in the region. While these guidelines were developed for the Europe and Eurasia region, much of their content can be applied universally.
2020
Istituto di Ricerca sulla Crescita Economica Sostenibile - IRCrES
I regolatori dei settori energetici hanno un ruolo unico da giocare nel campo della cybersicurezza. Sebbene l'attuazione delle misure di sicurezza informatica sia in genere responsabilità degli operatori del sistema energetico e, più in generale delle infrastrutture critiche, i regolatori hanno l'obbligo di garantire che gli investimenti effettuati in nome della cybersicurezza siano ragionevoli, prudenti ed efficaci. Queste linee guida hanno lo scopo di aiutare le autorità di regolamentazione nella definizione delle tariffe stabilendo un approccio regolatorio per migliorare la protezione dei loro sistemi elettrici; esse sono basate sulla letteratura e sulle pratiche attuali. Tentano di rispondere alle seguenti domande: o Quali quadri approcci di regolamentazione sono più adatti per valutare la prudenza delle spese per la sicurezza informatica? o In che modo i regolatori possono identificare e valutare i costi della sicurezza informatica? o In che modo i regolatori possono identificare le migliori contromisure per la sicurezza informatica? o In che modo i regolatori possono valutare la ragionevolezza dei costi associati a queste contromisure? o È possibile valutare l'efficacia degli investimenti in sicurezza informatica? o Chi dovrebbe identificare, valutare, misurare e valutare le contromisure in diversi quadri di regolamentazione? Mentre i sistemi elettrici si modernizzano, digitalizzano e diventano sempre più integrati, essi diventano sempre più esposti a vulnerabilità che possono essere sfruttate dagli attacchi informatici. Gli attacchi alla rete elettrica possono avere effetti devastanti sulla sicurezza, l'economia e il benessere pubblico di una nazione e rappresentano una potente minaccia per tutte le nazioni del mondo. Queste linee guida sono una risorsa unica nel suo genere per mettere i regolatori dell'energia di supportare e incoraggiare la resilienza della rete, garantendo investimenti prudenti ed efficaci nella sicurezza informatica da parte degli enti da loro regolamentate. Le linee guida, fondendo le competenze e le conoscenze di diverse discipline, si sforzano di lasciare spazio a concetti, processi e metodi, piuttosto che fornire elenchi prescrittivi o formule pronte per l'uso. Queste linee guida sono state sviluppate dal CNR-Ircres per la National Association of Regulatory Utility Commissioners (NARUC) con il sostegno finanziario della United States Agency for International Development (USAID) nell'ambito del Europe and Eurasia Cybersecurity Partnership. USAID e NARUC hanno lanciato il loro progetto sulla sicurezza informatica nel dicembre 2016, nel tentativo di dotare i regolatori dell'energia di Armenia, Georgia, Moldavia e Ucraina degli strumenti e della capacità tecnica necessari per lavorare con le utility per prevenire e mitigare gli attacchi informatici e migliorare e salvaguardare la sicurezza energetica globale nella regione. Anche se queste linee guida sono state sviluppate per tale regione, gran parte del loro contenuto può essere applicato universalmente.
cybersecurity
regulation
power system
critical infrastructures
metrics
03.01 Monografia o trattato scientifico
File in questo prodotto:
Non ci sono file associati a questo prodotto.

I documenti in IRIS sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/20.500.14243/383078
Citazioni
  • ???jsp.display-item.citation.pmc??? ND
  • Scopus ND
  • ???jsp.display-item.citation.isi??? ND
social impact