Ny veileder skal styrke cybersikkerheten i kraftbransjen
Reguleringsmyndigheten for energi i NVE (RME) og NVE lanserer nye veiledere for å styrke internkontroll og informasjonssikkerhet i kraftsektoren. Veilederne skal hjelpe blant annet nettselskaper og kraftprodusenter med å møte økte digitale trusler og krav til sikkerhet.
– Digitaliseringen i kraftsektoren gir store muligheter, men øker også risikoen for digitale angrep. Med de nye veilederne ønsker vi å gi bransjen konkrete verktøy for å styrke internkontrollen og sikre at kravene til informasjonssikkerhet etterleves i praksis, sier Tore Langset, direktør for RME.
Veiledere for økt sikkerhet
De nye veilederne gir praktisk støtte til nettselskaper og kraftprodusenter i arbeidet med informasjonssikkerhet. Veilederen for sikkerhet i AMS-infrastruktur beskriver hvordan virksomheter kan gjennomføre risikovurderinger, teknisk testing og sikkerhetsrevisjon. Veilederen for internkontroll gir en trinnvis prosess for å etablere og drifte et system for internkontroll innen informasjonssikkerhet, tilpasset virksomheter med ulik modenhet.
– Vi ser at mange virksomheter har behov for konkrete råd om hvordan de kan håndtere økt digital risiko. Veilederne gir praktiske sjekklister og eksempler, og kan være et nyttig hjelpemiddel, særlig for selskaper med begrensede ressurser, sier Langset.
Betydning for bransjen
Veilederne er en støtte for virksomheter som er usikre på hvordan kravene til informasjonssikkerhet og AMS-sikkerhet kan etterleves. Målet er å bidra til at kraftsektoren står bedre rustet mot digitale trusler, og at virksomhetene har god kontroll på egen teknologi og risikobilde.
- Veilederne er utviklet som et nyttig supplement i sikkerhetsarbeidet, men de erstatter ikke virksomhetenes egne vurderinger eller tiltak. De gir et godt utgangspunkt, men det er nødvendig å tilpasse arbeidet til eget risikobilde og modenhet, sier Langset.
Bakgrunn
Digitaliseringen i kraftsektoren har ført til økt avhengighet av digitale løsninger og en større angrepsflate. Samtidig benytter trusselaktører stadig mer sofistikerte metoder. Dette stiller økte krav til virksomhetenes evne til å ha oversikt over egne risikoer og sårbarheter. RME og NVE har derfor utarbeidet veiledere som skal hjelpe virksomhetene med å etablere og videreutvikle en helhetlig internkontroll, som understøtter systematisk arbeid med informasjonssikkerhet, etterlevelse av regelverk og kontinuerlig forbedring.
