Tidningen Energi 1
Tema Cybersäkerhet Vi får inte hamna i en situati
on där aktörerna får ägna mer tid åt att förstå vad som gäller än på att förbättra cybersäkerheten. Anders Åhlgren, Chief Information Security Officer, Jönköping Energi för nätkoden, menar att det är lätt att tro att nätkoden bara skulle gälla elnätsföretag men den spiller också över mot elproduktionsbolag och marknadsaktörer. – Eftersom nätkoden är mer specifik har den företräde före generell lagstiftning om den täcker samma område som den generella och NIS är på många sätt en generell lagstiftning. Detta bäddar för oklarheter, konstaterar hon. Anders Åhlgren påpekar att det därför är av största vikt att arbetet med nätkoden synkas med NIS 2.0. – Vi får inte hamna i en situation där aktörerna får ägna mer tid åt att förstå vad som gäller än på att förbättra cybersäkerheten. Redan idag sitter vi i Energiföretagens säkerhetsgrupp och undrar vad som gäller – NIS-direktivet eller den nationella säkerhetsskyddstiftningen. I Eftersom nätkoden är mer specifik har den företräde före generell lagstiftning som NIS och det bäddar för oklarheter. Kristina Blomqvist, arbetar med cybersäkerhetsfrågor på Vattenfall. 22 nfrastrukturdepartementet uppger att man är medveten om problemet och departementets press sekreterare skriver i ett mejl att den kommande nät koden om cybersäkerhet kommer behöva förhålla sig till NIS-direktivet, men utgångspunkten är att de inte ska överlappa. Emma Johansson på Energiföretagen menar att det finns stora problem med hur de nya NIS-direktiven och nätkoden idag är utformade. Bland annat föreslås en avgränsning för storleken på företag och organisationer på 50 anställda och en omsättning på tio miljoner euro. – I Sverige har vi cirka 160 elnätsföretag och de flesta har färre än 50 anställda och skulle inte omfattas. Vi menar att alla som bedriver en kritisk infrastrukturverksamhet ska ha en lägsta nivå för cybersäkerhet. Vi tror att det är oerhört viktigt att de nationella myndigheternas ansvar och roll förstärks och inte utarmas till fördel för EU, konstaterar hon. Anders Åhlgren pekar på risken med att utesluta de små aktörerna: – Om jag var en kvalificerad angripare skulle jag ge mig på dem. Om man lyckas slå ut elförsörjningen i till exempel 15 mindre kommuner är det inte bara en katastrof utan också en möjlighet för en angripare att samtidigt utöva påtryckning på exempelvis vår regering. I både arbetet med NIS 2.0 och nätkoden föreslår man också att företag och organisationer ska rapporteNR 4 2021 TIDNINGEN ENERGI MÅNGA NYA SÄKERHETSINITIATIV PÅ GÅNG I december 2020 presenterade EU riktlinjerna för en revidering av NISdirektivet (NIS 2.0) Här ingår CERdirektivet som är ett särskilt direktiv för samhällskritiska enheters operationella funktion. Direktiven förhandlas just nu. EU:s samlade tillsynsmyndigheter för energisektorn, ACER, presenterade i juli sina riktlinjer för nätkoden för cybersäkerhet. Den tar sikte på cybersäkerhet kopplade till gränsöverskridande elflöden och ska bli lag 2022. I juli presenterades slutbetänkandet för cybersäkerhetsutredningen, ”Sveriges säkerhet, behov av starkare skydd för nätverks och informationssystem.” Den bereds nu av Regeringskansliet. Myndigheten för samhällsskydd och beredskap är i färd med att starta ett nationellt cybersäkerhetscenter som ska samordna myndigheters arbete med cybersäkerhet. Samtidigt har forskningsinstitutet Rise startat Centrum för cybersäkerhet med syftet att stärka den tillämpade forskningen och utveckla kompetensen. ra olika sårbarheter, incidenter och känsliga tillgångar kopplade till näten till ett centralt EU-register. – Detta kan strida mot den svenska säkerhetsskyddslagstiftningen. Vi får inte rapportera säkerhetsklassade uppgifter hur som helst. I värsta fall kan det också innebära att det upprättas två register som man måste rapportera till. Att skapa gemensamma register innebär ju i sig själv en säkerhetsrisk. Jag är förvånad att det inte finns en större debatt om dessa kommande krav, säger Anders Åhlgren. Det växande hotet mot cybersäkerheten och de lagförslag som är på gång är en utmaning för energibranschen, konstaterar Emma Johansson. Man kommer att behöva förändra organisationer och göra investeringar, men samtidigt tror hon att företag och organisationer är redo att anta den. – På samma sätt som vi ligger långt fram i digitaliseringen av våra system är jag övertygad om att den svenska energibranschen kan ställa om och öka medvetenheten om cybersäkerhet och vidta rätt åtgärder. I det sammanhanget tycker jag att det är bra att ribban höjs i och med de nya direktiven och lagförslagen.