2009年11月23日までに、「10 CFR Part 73.54」に従ってレビューと承認を実施するため、全ての運転中の原子力事業者は、CSPを提出し、実施スケジュールをNRCに提出した。NRCは全ての提出済みである原子力事業者のCSPと実施スケジュールをレビューし認可している。
これらのサイバーセキュリティ規則を実施するため、各原子力発電所は以下の要求事項(マイルストン)をNRCから課されている。
2012年12月31日までに、米国の原子力発電所は、上記1〜7の「マイルストン」を達成しなければならなかった。なお、8の「マイルストン」の達成目標期日は、各原子力発電所の特性に応じて異なる日程が設定された。当該マイルストンには、燃料取替停止を必要とするものも含め、全てのサイバー・インシデントからの復旧活動の設計を完了することも含まれている。
サイトごとに2014年から2017年に対応を実施しなければならなかったが、各原子力事業者はマイルストン8の完了が予定通りに終わらないことについて、NRCと折衝を行った。NRCは、計画対応の遅延に関する報告を規則通りに行うことにより、マイルストン8の完了遅延を認めた。これにはマイルストン2のCDAの識別において、想定より多くのCDAが識別され、それに対する対応策が必要になったことによるものである。このため、NEIはNEI13-10をNRCのインスペクションで指摘された内容に従って改訂を行っている。
最新版の「NEI13-10 Rev.5」は2017年2月に公表されており、現在Rev.6の改訂作業も進められている。NRCは対応を完了したサイトから順次検査を実施している。その結果はNRC、NEI、原子力事業者の間で共有されている。
その後、2013年1月、NRCは、原子力事業者のCSPの運用に対する検査を開始した。検査は2014年後半に開始されたが、当初の予定である2017年末までにすべての原子力発電所の検査は完了しなかった。その後、2018年に18原子力発電所の検査の完了を予定しており、2019年に24か所、2020年に13か所の検査を予定している。
NRCによる、原子力事業者のCSPの運用に対する検査は次のような手順で進められている。
それぞれの時期で提出される情報の一部は以下のようなものがある。
NRCは、2015年7月にNRCは原子力事業者が「10CFR Part 73.54」(デジタル・コンピュータおよびコミュニケーション・システム・ネットワークの保護)を順守するために、「10CFR Part 73.77」(サイバーセキュリティ・イベントの届出:Cyber security event notifications)を発行した。これにより、原子力事業者はサイバーセキュリティ・イベントが発生した場合、NRC本部オペレーションセンターに緊急時通報システム(the Emergency Notification System:ENS)を用いて通報することとなった。またNRCは、この10CFR Part 73.77をガイドする規制ガイダンスを「Regulatory Guide 5.83」(RG 5.83)として発行した。このガイダンスでは、NRCの見解および要求されている通報時間ごとのサイバーセキュリティ・インシデントの例が示されている。
一方NEIは、原子力事業者が「10CFR Part 73.77」を順守するためのツールとして「NEI15-09 Rev.0」を開発し、2016年2月にNRCから承認を受けている。NEI15-09は、原子力事業者がサイバーセキュリティ・インシデントを届け出るための意思決定プロセスを合理化するために開発された。届出はNRCからDHSに通知することを目標とする一方で、届出の一貫性を提供し、事業者とNRCのサイバー攻撃のレベルまで達しないイベントの届出からの負担を最小限に抑えることになる。これは大統領政策令(PPD-41)に対応していることとなっている。
また、2016年に実施されたNRCおよび業界のワークショップを通じ、2010年に制定された「NEI08-09 Rev.6」(原子力発電所のサイバーセキュリティ計画)の明確化が必要であることが教示された。具体的には、Rev.6の内容の一部を、ワークショップで得られた知見に基づいて変更する必要であるとの結論に至った。
こうした変更点を盛り込むために、下記の3つの領域でNRCと業界とのワークショップで検討が行われた。その後作成された補遺版は、2017年3月にNRCにより承認されている。ただ、この補遺の変更を実施しようとする場合、事業者は既にNRCに承認しているサイバーセキュリティ計画の変更を再申請しなければならないこととなる。
Copyright © ITmedia, Inc. All Rights Reserved.