Tidningen Energi 1
Cybersäkerhet SKÄRPTA KRAV FÖR ENERGIFÖRETAG Nu s
kärps kraven på cybersäkerhet i energibranschen. EU-direktivet NIS 1.0 ersätts av NIS 2.0 som innehåller omfattande skyldigheter och sanktioner inom cybersäkerhet. Men vad innebär detta för svenska energiföretag? TEXT: PIERRE EKLUND U tan större medial uppmärksamhet trädde det nya EUdirektivet NIS 2.0 i kraft i början av januari 2023 med nya åtgärder för en hög gemensam nivå på säkerhet i nätverk och informationssystem inom hela EU. Senast den 17 oktober 2024 ska medlemsländerna ha införlivat NIS 2.0 i sin nationella lagstiftning. – Det nya direktivet skärper kraven på cybersäkerhet och omfattar nu även verksamheter med fjärrvärme och fjärrkyla. Den största förändringen är att det införs en omfattande tillsyns och sanktionskatalog, där sanktioner drabbar både organisationer och personer i ledande ställning, säger advokat Viktor Robertson på advokatbyrån Kahn Pedersen som är specialiserad på digitala affärer och säkerhetsfrågor i privat och offentlig sektor. Cybersäkerhet är en ständigt aktuell fråga. För att stärka säkerheten i nätverk och informationssystem i EU infördes NIS 1.0 under 2016. Två år senare införlivades direktivet i den svenska rättsordningen som en ny lag. Lagen, som innehåller krav på informationssäkerhet och incidentrapportering för leverantörer av samhällsviktiga och digitala tjänster, omfattar sju samhällsviktiga sektorer, bland annat energi. Det finns flera skäl till att det behövs ett nytt direktiv. Sedan NIS 1.0 trädde i kraft har den digitala omställningen och sammankopplingen av samhället accelererat, bland annat genom 5Gutvecklingen och Internet of things, vilket har ökat sårbarheten och de interna beroendena mellan sektorer och landsgränser. En översyn av NIS 1.0 visade dessutom att införandet av bestämmelserna har tolkats på olika sätt mellan medlemsländerna. – Ett företag som var verksam i två olika medlemsländer kunde hamna i den bisarra situationen att den bröt mot NIS 1.0 i ett medlemsland trots att deras verksamhet var förenlig med direktivet i ett annat medlemsland. 36 NR 2 2023 TIDNINGEN ENERGI Hittills har det varit få anmälda NIShändelser, men nu finns tydliga sanktioner om anmälan saknas eller inte görs i tid. Viktor Robertson på advokatbyrån Kahn Pedersen I översynen av NISdirektivet identifierade man att medlemsländernas nuvarande tillsynsprocess var ineffektiv, vilket har medfört att NIS 2.0 innehåller tydligare riktlinjer och högre krav på samarbete mellan medlemsländernas tillsynsmyndigheter. I Sverige är det sex olika myndigheter som har tillsynsansvar för de samhällsviktiga sektorerna. Energimyndigheten har tillsynsansvar för energisektorn. – Numera är cyberhot sällan riktade mot ett och samma land utan angriparna exploaterar sårbarheter i hela unionen. I det nya direktivet finns en skyldighet för medlemsländernas tillsynsorgan att meddela varandra när de stöter på cyberhot, förklarar Viktor Robertson. Till skillnad från det första direktivet, som har en otydlig kravbild vad gäller cybersäkerhetsåtgärder, innehåller NIS 2.0 en åtgärdskatalog med elva tydliga punkter inom ramen för cybersäkerhetsåtgärder. Här ryms bland annat ett ökat fokus på leverantörskedjan för att säkerställa god cybersäkerhet. – Förutom att jobba med den egna organisationens kryptering och personalsäkerhet behöver energiföretagen vid upphandling och val av leverantör säkerställa att leverantören tillämpar EU:s bestämmelser, säger Viktor Robertson. – Alla som levererar en tjänst omfattas även av en ny upplysningsskyldighet där tjänstens användare måste upplysas om nuvarande och kommande cyberhot och hur de ska anpassa sig efter dem. Incidenter som orsakar störningar med betydande inverkan på kontinuiteten i den samhällsviktiga tjänsten ska rapporteras till MSB, Myndigheten för samhällsskydd och beredskap, och med det nya direktivet är det mer tydligt vad som ska rapporteras inom 24 och 72 timmar respektive en månad. – Syftet med det här är att myndigheterna ska vidarebefordra information till sina systerorganisa