Nätkoder för cybersäkerhet

EU-kommissionen har antagit EU:s första nätföreskrifter för cybersäkerhet inom elsektorn (slututgåva från 11 mars 2024, svensk utgåva se längst ned). Denna delegerade akt, som föreskrivs i elförordningen (EU) 2019/943 (artikel 59) och i EU:s handlingsplan från 2022 för att digitalisera energisystemet, är ett viktigt steg för att förbättra cyberresiliensen hos kritisk energiinfrastruktur och kritiska energitjänster inom EU. Beslutet stödjer en hög, gemensam cybersäkerhetsnivå för gränsöverskridande elflöden i Europa. Förordningen träder i kraft den 13 juni 2024. Tidsramen för hela processen sträcker sig över flera år, men varje enskilt steg bör bidra till en hög gemensam nivå av cybersäkerhet i sektorn och en reducering av cybersäkerhetsriskerna.

Entiteter som identifieras som entiteter med stor påverkan och kritisk påverkan kommer att behöva inrätta ett riskhanteringssystem för cybersäkerhet, om det inte redan finns på plats. Förordningen kräver att entiteter med stor påverkan och kritisk påverkan inrättar ett sådant ledningssystem för informationssäkerhet för att hantera cybersäkerhetsriskerna och genomförandet av cybersäkerhetskontroller, beroende på typen av enheter. De allmänna kraven på ett ledningssystem, är huvudsakligen härlett från ISO/IEC 27001-standarden, men det kräver inte att enheter följer specifikt denna standard eller certifieras mot standarden.

Nätkoden omfattar också flöden för informationsutbyte om cybersäkerhet för att säkerställa information i rätt tid, främja snabba och samordnade reaktioner från berörda parter och tillhandahålla regler för incidenthantering och krishantering. Dessutom omfattar nätföreskrifterna en ram för cybersäkerhetsövningar för att förbättra alla operatörers beredskap, regler för skydd av informationsutbyte och en ram för övervakning, riktmärkning och rapportering.  

En svensk version av nätkoden för cybersäkerhet finns att läsa här.