Cybersäkerhet är en fråga kommit allt mer på tapeten till följd av de hackerattacker och andra cyberangrepp som utförts mot organisationer och privatpersoner under de senaste åren. Sådana angrepp kan bli särskilt allvarliga om de riktas mot samhällskritiska tjänster, vilket är bakgrunden till NIS-lagstiftningen som trädde i kraft 2018. Denna ställer en rad krav på säkerhet i nätverken och informationssystemen för leverantörer av samhällsviktiga tjänster i allmänhet.
Konkreta direktiv
Nu lanserar Energimyndigheten dock en rad nya föreskrifter som riktar sig specifikt till energisektorn och som ska träda i kraft den 1 mars. Föreskrifterna, som gäller för leverantörer av både el och värme, ställer ett antal grundläggande informationssäkerhetskrav och ger dessutom vägledning till till hur energiaktörer ska fortsätta utveckla sitt säkerhetsarbete.
– Vi vill uppnå en hög nivå av cyber- och informationssäkerheti sektorn. Men det har varit svårt för aktörerna att veta vad som är tillräckligt bra när det saknats konkreta direktiv att förhålla sig till, säger Titti Norlin, chef för sektionen för robusta energisystem på Energimyndigheten.
I föreskrifterna ingår att energiaktörer ska genomföra riskanalyser på sina nätverk och informationssystem samt tilldela riskvärden beroende på olika riskers sannolikheter samt vad konsekvenserna skulle bli om de ägde rum.
– Syftet är att göra aktörernamedvetna om riskerna de har i just sina verksamheter och på vilka områden det bör läggas mest krut på att fortsätta utveckla sitt informationssäkerhetsarbete, säger Titti Norlin.
Tydliga regler kring fjärråtkomst
Föreskrifterna innehåller även en lång rad konkreta informationssäkerhetskrav. Bland annat ska det genomföras inventarier av vilken mjukvara och hårdvara som används och vilka av dessa som är mest verksamhetskritiska. Energiaktörer ska också minimera användandet av administratörsrättigheter, säkerhetskopiera viktiga applikationer och information, samt fastställa och upprätthålla regler kring fjärråtkomst till nätverk och informationssystem.
– Säkerhet rörande fjärråtkomst till systemen blir ännu viktigare i och med den ökade mängden distansarbete i spåren av pandemin. Så kommande uppdateringar av föreskrifterna kan möjligen lägga ännu mer fokus på detta.
Energibolagen kommer att påverkas olika mycket av de nya föreskrifterna, menar Titti Norlin. Det råder stor skillnad mellan hur långt olika energiföretag redan kommit i sitt säkerhetsarbete och vilka risker de tampas med.
– Föreskrifterna kan leda till ökade kostnader för vissaenergiaktörer. Men dessa får ju vägas mot vad det skulle kunna uppstå för kostnader och andra konsekvenser vid ett lyckat cyberangrepp, säger Titti Norlin.
Energimyndigheten ska under våren lansera en webbsida där aktörer i energisektorn ska kunna få mer information om cyberssäkerhet.
Under tiden går det att läsa mer om föreskrifterna på Energimyndigheten.se
Linus Olin
