2025能源行业网络安全重要趋势

2025能源行业网络安全重要趋势能源行业首席信息安全官肩负着前所未有的信息技术安全职责kpmg.com/cn© 2025 毕马威华振会计师事务所(特殊普通合伙) — 中国合伙制会计师事务所，毕马威企业咨询 (中国) 有限公司 — 中国有限责任公司，毕马威会计师事务所 — 澳门特别行政区合伙制事务所，及毕马威会计师事务所 — 香港特别行政区合伙制事务所，均是与毕马威国际有限公司(英国私营担保有限公司)相关联的独立成员所全球组织中的成员。版权所有，不得转载。2对于全球能源企业而言，其网络安全状况正因一系列影响因素而悄然发生变化。这些因素包括首席信息安全官职责的扩大、人工智能和物联网等信息技术的广泛应用，以及建立具有韧性的企业文化和网络环境的迫切需求。在当前复杂且相互关联的环境下，该行业许多首席信息安全官正着力提升员工的数字意识，以应对面临的前所未有的挑战和机遇。为此，他们必须承担起网络安全倡导者的角色，在组织的各个层面激励和鼓舞员工将认知付诸行动。在能源行业中，首席信息安全官的职责不再局限于传统的信息技术安全范围。事实上，毕马威的调查显示，该行业70%的受访首席执行官认为，网络犯罪和网络安全问题将在未来三年影响企业发展。1 随着信息技术和运营技术的融合，首席信息安全官如今肩负着保护从管理到生产的整个技术生态系统的职责。履行新的职责需要具备新的技能。首席信息安全官必须有效地让高级管理层认识到网络安全对企业的影响，确保获得足够的预算，并在内部打造具有韧性的企业文化。我们看到许多积极迹象表明，企业在如何进一步将网络安全融入自身组织方面取得了进展。我们的调查发现，在能源行业中，59%的受访者表示他们通常在技术投资决策初期就已将网络安全纳入考虑范围并予以高度重视。2该行业特有的挑战增加了首席信息安全官工作的复杂性。能源行业在技术、网络安全和环境方面面临着若干复杂的监管要求，例如，欧盟《网络安全措施的指令》（ NIS2指令）、 北美电力可靠性公司关键基础设施保护标准和欧盟人工智能法案等。首席信息安全官在确保合规的同时，还要处理地缘政治问题和日益增多的网络攻击，这些问题都可能对企业的自身运营、利益相关方乃至更广泛的社会造成严重影响。2024年4月，北美电力可靠性公司指出，美国电网风险点数量正以每天约60个的速度增加。3在欧洲，丹麦的关键基础设施在2023年5月遭受了有史以来最严重的网络攻击，几天之内多达22家公司遭到入侵，部分企业被迫完全断开与外界的网络连接，转而采用离线运行模式。4要在这种环境中实现繁荣发展，首席信息安全官必须采取积极主动的战略性思维。应提早从业务层面开展漏洞管理，并根据风险对企业的潜在影响提供战略指引，从而通过基于风险的方法引领实施。除战略引领外，首席信息安全官的重要职责还包括打破信息技术和运营技术团队之间的传统壁垒，确保双方团队紧密合作，共同构建持久的韧性。在本报告中，我们探讨了能源行业在网络安全方面的重要趋势，并提供了许多真知灼见和务实建议，涵盖我们认为业内首席信息安全官在当前环境中应优先考虑的诸多领域。1 《毕马威2024年全球首席执行官展望》2 《毕马威2024年全球技术报告》3 《KnowBe4报告指出， 关键基础设施的网络攻击风险激增30%》，Industrial Cyber，2024年8月28日4 《针对丹麦关键基础设施的攻击》，SektorCERT，2023年11月© 2025 毕马威华振会计师事务所(特殊普通合伙) — 中国合伙制会计师事务所，毕马威企业咨询 (中国) 有限公司 — 中国有限责任公司，毕马威会计师事务所 — 澳门特别行政区合伙制事务所，及毕马威会计师事务所 — 香港特别行政区合伙制事务所，均是与毕马威国际有限公司(英国私营担保有限公司)相关联的独立成员所全球组织中的成员。版权所有，不得转载。3首席信息安全官角色不断演变智慧生态系统安全保障韧性设计：为企业与社会提供网络安全保障首席信息安全官应考虑的关键网络安全因素123© 2025 毕马威华振会计师事务所(特殊普通合伙) — 中国合伙制会计师事务所，毕马威企业咨询 (中国) 有限公司 — 中国有限责任公司，毕马威会计师事务所 — 澳门特别行政区合伙制事务所，及毕马威会计师事务所 — 香港特别行政区合伙制事务所，均是与毕马威国际有限公司(英国私营担保有限公司)相关联的独立成员所全球组织中的成员。版权所有，不得转载。41监管审查的加强和网络安全的战略重要性使首席信息安全官肩负着更大的责任，在某些情况下，他们还会面临个人法律责任的风险。如今，企业比以往任何时候都更加期望在网络安全保障方面能够取得成效。与此同时，传统的首席信息安全官职能也变得日益分散，许多安全和隐私职责已交由其他业务领导者负责，例如，首席安全官负责物理安全和欺诈管理，信息技术基础设施主管负责边界安全和身份及访问管理，首席数据官负责隐私管理等。因此，首席信息安全官的职责发生了巨大转变。他们必须明确自身职责范围，与其他业务领导者密切合作，并倡导职责共担文化，以适应这一新的现实。这需要企业领导层对持续进行网络安全投资给予大力支持。毕马威的调查发现，在能源行业中，72%的受访企业的首席执行官表示，他们已经为此增加网络安全投资，以保护业务和知识产权。5最终，首席信息安全官应从单一的网络安全守护者角色转变为负责打造稳健、灵活安全框架的架构师。主要挑战构建新的网络安全秩序在能源行业中，首席信息安全官不仅需应对快速发展的技术，还需面对新的、具有特殊挑战性的现实问题，例如气候危机以及随之而来的增强可持续发展和环境、社会和治理（ESG）价值的压力。此外，地缘政治紧张局势，如中东和乌克兰的持续冲突，也对供应链造成了严重影响，从而增加了监管负担。事实上，毕马威的研究表明，供应链风险是首席执行官们共同面临的最大威胁，6 而“电力、经济中心和贸易的结构性变化，以及供应链、资产和基础设施的多重威胁”，正在对能源企业产生重大影响。7因此，企业需要更多具备丰富经验和全面技能的资深安全专家，而不仅仅是技术人员，来应对这种充满不确定性的风险环境。将网络风险界定为业务风险首席信息安全官必须将网络风险界定为业务风险，以促进领导层和技术团队之间形成共识。战略思维、谈判技巧和卓越领导力是实现这一目标的关键因素。面对特定的行业挑战，如在保障运营连续性的同时保护数据和信息安全，获得董事会的信任至关重要。若网络安全措施（如定期安装补丁和部署适当控制）能够得到良好规划和有效实施，通常会对运营连续性产生积极影响。通过平衡网络安全的投入和价值产出，可以帮助董事会认识到相关投入对于增强安全性并缓解业务风险的重要性。首席信息安全官角色不断演变5 《毕马威2024年全球首席执行官展望》6 《毕马威2024年全球首席执行官展望》7 《毕马威2025年最大地缘政治风险》，2025年3月31日© 2025 毕马威华振会计师事务所(特殊普通合伙) — 中国合伙制会计师事务所，毕马威企业咨询 (中国) 有限公司 — 中国有限责任公司，毕马威会计师事务所 — 澳门特别行政区合伙制事务所，及毕马威会计师事务所 — 香港特别行政区合伙制事务所，均是与毕马威国际有限公司(英国私营担保有限公司)相关联的独立成员所全球组织中的成