Nätkoder för cybersäkerhet

Nätkoden om sektorspecifika regler för cybersäkerhetsaspekter av gränsöverskridande elflöden trädde i kraft den 13 juni 2024. Målet är att stärka säkerheten och motståndskraften i EU:s elsystem. Hantering av cybersäkerhetsrisker är central för en pålitlig elförsörjning och för att upprätthålla hög cybersäkerhet inom elsektorn. Energimyndigheten har utsetts av regeringen som ansvarig myndighet i Sverige. Den ansvariga myndigheten måste informera enheter med stor och kritisk påverkan som omfattas senast 9 månader efter förordningens ikraftträdande. För närvarande är NCCS-kraven frivilliga för kandidater till dessa enheter.

 

EU-kommissionen har antagit EU:s första nätföreskrifter för cybersäkerhet inom elsektorn (slututgåva från 11 mars 2024, svensk utgåva se längst ned). Denna delegerade akt, som föreskrivs i elförordningen (EU) 2019/943 (artikel 59) och i EU:s handlingsplan från 2022 för att digitalisera energisystemet, är ett viktigt steg för att förbättra cyberresiliensen hos kritisk energiinfrastruktur och kritiska energitjänster inom EU. Beslutet stödjer en hög, gemensam cybersäkerhetsnivå för gränsöverskridande elflöden i Europa. Förordningen träder i kraft den 13 juni 2024. Tidsramen för hela processen sträcker sig över flera år, men varje enskilt steg bör bidra till en hög gemensam nivå av cybersäkerhet i sektorn och en reducering av cybersäkerhetsriskerna.

Entiteter som identifieras som entiteter med stor påverkan och kritisk påverkan kommer att behöva inrätta ett riskhanteringssystem för cybersäkerhet, om det inte redan finns på plats. Förordningen kräver att entiteter med stor påverkan och kritisk påverkan inrättar ett sådant ledningssystem för informationssäkerhet för att hantera cybersäkerhetsriskerna och genomförandet av cybersäkerhetskontroller, beroende på typen av enheter. De allmänna kraven på ett ledningssystem, är huvudsakligen härlett från ISO/IEC 27001-standarden, men det kräver inte att enheter följer specifikt denna standard eller certifieras mot standarden.

Nätkoden omfattar också flöden för informationsutbyte om cybersäkerhet för att säkerställa information i rätt tid, främja snabba och samordnade reaktioner från berörda parter och tillhandahålla regler för incidenthantering och krishantering. Dessutom omfattar nätföreskrifterna en ram för cybersäkerhetsövningar för att förbättra alla operatörers beredskap, regler för skydd av informationsutbyte och en ram för övervakning, riktmärkning och rapportering.  

En svensk version av nätkoden för cybersäkerhet finns att läsa här

Filmer om Nätkod för cybersäkerhet (NCCS):

  1. Video series: Network Code Cybersecurity - Episode 1: General Overview (with Felipe Castro Barrigon) - YouTube
  2. Video series: Network Code Cybersecurity - Episode 2: Network Code risk assessment process (youtube.com)
  3. Video series: Network Code Cybersecurity - Episode 3: Common Electricity Cybersecurity Framework (youtube.com)
  4. Video series: Network Code Cybersecurity - Episode 4: Supply chain security (youtube.com)
  5. Video series: Network Code Cybersecurity - Episode 5: Cybersecurity Defence (youtube.com)