DSO Entity
DSO Entity är en organisation som företräder unionens 2 000 elnätsbolag i kontakten med EU-kommissionen.
DSO Entity ska inte förväxlas med en fristående lobbyorganisation utan är ett formellt rådgivande organ till EU-kommissionen.
Organisationen har spelat en aktiv roll i utformandet av EU:s nätkoder tillsammans med ENTSO-E.
Cyberangrepp har blivit en mer aktuell fråga för den europeiska säkerhetsordningen – och energisektorn är inget undantag. Nyligen stod Energiföretagen värd för en viktig sammankomst på området, nämligen projektmötena för organisationerna ENTSO-E och DSO Entity. ENTSO-E organiserar EU:s 41 Transformer System Operators, motsvarande Svenska kraftnät, medan DSO Entity är en sammanslutning för unionens över 2 000 elnätsbolag.
Energiföretagens vd Åsa Petterson inledde dagarna med att välkomna de europeiska cybersäkerhetsexperterna, och berättade om Energiföretagens och Sveriges utmaningar i dagens och morgondagens energisystem när landet elektrifieras. Seminarierna omgärdades av en hel del sekretess då det var viktiga frågor för unionens cybersäkerhet som dryftades.
Emma Johansson, ansvarig för säkerhetsfrågor på Energiföretagen, stod som arrangör.
– Vi är väldigt stolta över att få ha stått som värdar för en så viktig sammankomst och inom ett så aktuellt ämne som cybersäkerhet, säger Emma Johansson och fortsätter:
– En rad intressanta föredrag kombinerades med ett Stockholm som verkligen visade upp sig från sin bästa sida. Besökarna fick till och med chansen att se norrsken.
Nätkoder för cybersäkerhet
Ett av de viktigaste ämnena som avhandlades rörde DSO Entitys arbete med EU:s nätkoder för cybersäkerhet. Detta rör sig om kommande lagstiftning som syftar till att höja den europeiska energisektorns basnivå av cybersäkerhet kopplad till gränsöverskridande elutbyten.
– Cyberangrepp mot elnäten i en viss medlemsstat ska inte leda till kaskadeffekter som sprider sig till andra länder, säger Anders Åhlgren, mångårig cybersäkerhetsexpert och vice ordförande för DSO Entitys expertgrupp för cybersäkerhet.
De exakta detaljerna i de kommande nätkoderna får vi veta först under kommande månader. Men Anders Åhlgren målar upp de breda dragen av vad vi kan vänta oss.
– Elnätsbolag som bedöms som kritiska för gränsöverskridande elutbyten kommer behöva uppfylla en rad nya krav, främst kopplade till rapporteringsskyldigheter, metoder för riskanalys, säkerhetscertifieringar och leverantörskontroll, och strukturer vid cyberangrepp och krishändelser. Dessutom kommer man behöva genomföra regelbundna övningar, säger Anders Åhlgren.
– Det är betydande förmågehöjningar det handlar om. Bara att öva regelbundet är en stor förändring gentemot idag.
De allra minsta elnätsbolagen lär inte omfattas. Men många medelstora bolag och uppåt kommer troligtvis att göra det."
Oklart vilka som omfattas
Ett av frågetecknen rör vilka elnätsbolag som bedöms som tillräckligt kritiska för att omfattas av nätkoderna. Frågan är särskilt aktuell för svensk del, då vi sticker ut i en europeisk kontext genom att många elnätsbolag i förhållande till vår befolkningsstorlek.
– Det är en av utmaningarna med att utforma gemensam europeisk lagstiftning på det här området. De allra minsta elnätsbolagen lär inte omfattas. Men många medelstora bolag och uppåt kommer troligtvis att göra det, säger Anders Åhlgren.
Han tillägger att DSO Entity föreslagit att de nationella myndigheterna ska kunna välja att räkna ihop ett antal mindre elnätsbolag som en större grupp, som därmed blir stor och systemkritisk nog för att behöva uppfylla de nya säkerhetskraven.
– Annars kommer vårt elsystem fortfarande vara för sårbart, säger Anders Åhlgren.
På frågan om vi i Europa nu börjat ta cybersäkerhet på tillräckligt allvar är han skeptisk.
– Det finns fortfarande väldigt mycket som borde göras. På sina håll betraktas cybersäkerhet tyvärr fortfarande som något it-avdelningarna sysslar med snarare än en viktig ledningsfråga, säger Anders Åhlgren.
– Det finns många duktiga cybersäkerhetsspecialister där ute. Men de behöver få mandat och resurser uppifrån för att genomföra tillräckliga förändringar.
Konstant hotbild
Han menar att man måste vara medveten om att cyberangrepp pågår hela tiden. Även när det verkar förhållandevis lugnt i omvärlden så arbetar aktörer från en rad olika stater med att förbereda cyberangrepp mot svenska och europeiska intressen, utifall behovet skulle dyka upp i framtiden.
– Det kan handla om att placera bakdörrar eller skadlig kod hos företag som kan ligga oupptäckta i åratal. Sedan en vacker dag vill en viss aktör genomföra ett cyberangrepp, och då är det bara att trycka på knappen. Så detektion är ett jätteviktigt område, säger Anders Åhlgren.
För svensk del är jag orolig för angrepp där man skapar störningar i vårt elsystem genom att slå till mot några olika elnätsbolag samtidigt
Resiliens är ett annat område han pekar ut som viktigt, alltså att kunna leverera fast man blir angripen. Detta menar han illustreras av Ukrainakriget.
– Ryssarna har genomfört många framgångsrika cyberattacker, men ukrainarna har varit duktiga på att snabbt få elsystemet på fötter igen. De har visserligen fått mycket hjälp med detta av västerländska cybersäkerspecialister, men ändå, säger Anders Åhlgren.
– För svensk del är jag orolig för angrepp där man återkommande skapar störningar i vårt elsystem genom att slå till mot några olika elnätsbolag samtidigt. Vi vet att rysk strategi avseende länder som Sverige är att göda misstro mot stat och myndigheter bland befolkningen. Och angrepp av den här karaktären skulle kunna åstadkomma precis detta om Sverige misslyckas med att skydda sig, säger Anders Åhlgren.
EU:s nätkoder för cybersäkerhetKommande EU-lagstiftning innehåller en rad detaljerade krav för elbolag som bedöms som viktiga för det gränsöverskridande elutbytet inom EU.Syftet är att effekterna av ett cyberangrepp mot en viss medlemsstat inte ska sprida sig till fler länder. Övrig cybersäkerhet inom energisektorn lämnas till medlemsländerna att sköta själva utifrån, exempelvis det så kallade NIS-direktivet.Lagstiftningen bearbetas för närvarande av EU-kommissionen. Ett färdigt förslag väntas presenteras av EU-kommissionen under det andra kvartalet 2023. Efter att lagen klubbats igenom i EU får svenska myndigheter ansvara för genomförandet i Sverige. Genomförandeprocessen lär ta ett par år.För svensk del rör de största frågetecknen hur många elbolag som kommer omfattas av reglerna.
Linus Olin
