Companiile de utilități din Germania își desfășoară activitatea în cadrul unuia dintre cele mai exigente cadre de reglementare din Europa. Infrastructura lor IT nu este doar esențială pentru desfășurarea activității: aceasta este clasificată drept infrastructură critică națională în conformitate cu KRITIS, fiind supravegheată de BSI și, în cazul energiei electrice și al gazelor naturale, și de BNetzA. Orice modificare semnificativă adusă acestor sisteme are implicații care depășesc cu mult aspectele legate de costuri sau performanță.
Cu toate acestea, menținerea platformelor de facturare, a portalurilor pentru clienți sau a sistemelor de gestionare a pieței pe o infrastructură locală implică costuri pe care companiile de utilități nu le mai pot ignora. Sisteme vechi de cincisprezece ani, planuri teoretice de recuperare în caz de dezastru și echipe IT ocupate cu întreținerea echipamentelor hardware, în loc să genereze valoare pentru afacere.
Dilema legislativă privind serviciile cloud în sectorul utilităților
KRITIS impune operatorilor de infrastructuri critice să demonstreze că sistemele lor asigură disponibilitatea, integritatea și confidențialitatea în orice circumstanță, inclusiv în cazul furnizorilor externi. BSI C5 (Catalogul criteriilor de conformitate pentru cloud computing) definește măsurile de control pe care un furnizor de servicii cloud trebuie să le îndeplinească pentru a fi admis în sectoarele KRITIS. EnWG și MsbG adaugă cerințe specifice privind suveranitatea datelor și trasabilitatea pentru procesele de pe piețele de energie electrică și gaze naturale.
Concluzia: migrarea către cloud în sectorul utilităților nu este doar un proiect tehnic. Este un proiect de natură normativă care trebuie să se alinieze la cerințele BSI, BNetzA și ale echipei de audit intern încă din prima zi.
Strategia de migrare în cloud pentru companiile de utilități
Principal33 aplică o abordare în patru etape, concepută special pentru mediile KRITIS. Prima etapă este evaluarea conformității cu reglementările: clasificarea fiecărui sistem în funcție de impactul KRITIS, identificarea măsurilor de control BSI C5 aplicabile și analiza suveranității datelor (regiuni europene obligatorii, criptare cu chei controlate de client).
A doua etapă constă în proiectarea unei arhitecturi cloud cu conformitate integrată: criptare a datelor stocate și a celor în tranzit cu ajutorul unui modul HSM, separarea datelor sensibile, jurnal de audit complet, soluții validate de backup și recuperare în caz de dezastru, precum și monitorizare non-stop, în conformitate cu cerințele de raportare ale BSI.
A treia fază constă într-o migrare treptată, începând cu sistemele cu un nivel mai scăzut de importanță din punct de vedere al reglementării. Fiecare fază include validarea integrității, testarea disponibilității sub sarcină și o evaluare efectuată de echipa de securitate înainte de trecerea la mediul de producție.
A patra etapă este pregătirea pentru audit: documentația privind schimbările, dovezile de conformitate cu standardul BSI C5, procedurile operaționale actualizate și planul de gestionare a incidentelor, aliniate la termenele de notificare prevăzute de KRITIS.
Caz real: o companie regională de utilități din Germania
O companie de utilități cu 1,5 milioane de clienți din nordul Germaniei își desfășura activitatea prin intermediul unei platforme de facturare și al unui portal pentru clienți care funcționau pe o infrastructură locală veche de doisprezece ani. Costurile anuale depășeau 720.000 de euro, planul de recuperare în caz de dezastru (DR) nu fusese testat de patru ani, iar cel mai recent audit al BSI a identificat două observații legate de disponibilitatea portalului în perioadele de vârf ale cererii.
Principal33 a realizat migrarea către Azure (Frankfurt) pe parcursul a treisprezece luni, cu o echipă formată din unsprezece persoane: un arhitect cloud senior cu experiență în KRITIS, un specialist BSI C5, doi ingineri cloud, doi dezvoltatori pentru integrările SAP IS-U și EDIFACT, un inginer de securitate, doi specialiști de nivel mediu și un manager de proiect.
Rezultate după 14 luni de funcționare: costurile de infrastructură s-au redus cu 40 % (de la 720.000 la 430.000 de euro pe an), disponibilitatea portalului a ajuns la 99,95 % față de 98,7 % anterior, planul de recuperare în caz de dezastru (DR) a fost validat cu un timp de restabilire (RTO) de trei ore și un punct de recuperare (RPO) de cincisprezece minute, nu s-au constatat nicio neregulă în cadrul auditului ulterior efectuat de BSI, iar timpul de răspuns al portalului pentru clienți s-a redus cu 50 %.
De ce Principal33
Migrarea companiilor de utilități către cloud necesită combinarea unei arhitecturi cloud certificate cu o cunoaștere aprofundată a cadrului legislativ german. Principal33 pune la dispoziție arhitecți AWS și Azure cu experiență în domeniul KRITIS, specialiști în BSI C5, EnWG și MsbG, echipe hibride de tip nearshore cu sediu la Düsseldorf, certificări ISO 9001 și ISO 27001, precum și o experiență dovedită în colaborarea cu companiile de utilități din Germania.
Platforma ta esențială este pregătită pentru cloud?
Echipa noastră din Düsseldorf oferă o evaluare gratuită a gradului de pregătire pentru migrarea în cloud destinată companiilor de utilități: evaluarea sistemului, analiza conformității cu standardele KRITIS și BSI C5, precum și un plan de migrare. Fără obligații.
Principal33 – Partener IT „near-shore” pentru companii germane. Birouri în Düsseldorf, Cluj-Napoca, Brașov, Târgu Mureș și Valencia.
