Во, местные сторожилы нам и помогут с выбором места :)

Вот это видно, вендор работает. Интересно, когда до отечественный вендоров необходимость такой работы дойдёт?

Опубликован eu cybersecurity act. 27 июня 2019 вступает в силу. Enisa переименовывается в EU Agency for cybersecurity с постоянным мандатом (у enisa был временный).

Всеевропейскай система сертификакации ИКТ(ICT) по требованиям безопасности информации начала создаваться.

Сертификация пока планируется добровольная, но с возможностью отдельными странами  или другими агентствами принять в качестве обязательной.

Пока планируется три уровня доверия (assurance) basic, substantial, high.

Системой сертификации будет заниматься 2 органа European Cybersecurity Certification Group (ECCG) и Stakeholder Cybersecurity Certification Group. Запланированы общественные обсуждения всех документов и запуск информационного сайта.

Статьи акта по штрафам и наказаниям вступают в силу 28 июня 2021.

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2019.151.01.0015.01.ENG&toc=OJ:L:2019:151:TOC

Сегодня cybersecurity act вступает в силу.

ну вот и европа вводит систему наказаний за нарушения в иб.

А уже есть их стандарты? Че то не могу нагуглить)

Есть определённые ограничения в приказе 1015 «Требования в отношении базовых (обязательных) функций и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики энергетического оборудования».

Но ходят слухи, что через какое то время минэнерго же может его отменить

Отменять думаю смысла нет, вот внести корректировки нужно. Для начала убрать аттестацию по 17 приказу.

Сегодня стартанул очередной семинар комитета CIGRE D2, посвящённый вопросам ИКТ и кибербезопасности

Обещают много интересного

Антон, это задублирование требований. Для не зокии рук субьекта должен сам определять как он организует безопасность

По мне, так это очень слабо проработанный с экспертным сообществом документ, который сильно не согласован с существующей нормативной базой

Не спорю, но в данном случае он помогает обратить внимание вендоров сумида на защиту данных систем. На практике вендора стараются минимизировать свои затраты на безопасность данных систем, всячески увиливая от требований.

это удорожание систем и только.. а орг требования становятся проблемой субьекта

Вот вам и Threat Information/Intelligence Sharing 😐

...Российские компании без ведома ФСБ передают данные о кибератаках на свои критические объекты за рубеж. В ведомстве предупредили, что информацией о состоянии защищенности инфраструктуры будут обладать иностранные спецслужбы...

https://www.rbc.ru/technology_and_media/27/06/2019/5d139b1e9a7947640a1ca807

Если убрать аттестацию и использование сертифицированных сзи то удоражания не будет. В большинстве вендора уже применяют сзи для данных систем. В части орг требований субъетк утак или иначе необходимо будет их выполнять. У крупных компаний в том или ином объеме уже присутствует орд, вопрос только в ее доработке.

Если говорить простым языком. Как докажите , какие функции ИБ реализованы и , что самое главное, как они реализованы? Какая-то форма оценки соответствия все равно нужна.

Должна быть, но кто мешает оформить ее в виде приемочных испытаний, если они скорректируют приказ.