Nya föreskrifter med säkerhetskrav på energibranschen

Publicerat av: Julia Hörnell ·

Energimyndigheten har tagit fram sektorsspecifika föreskrifter om informationssäkerhet för energisektorn, som en del i genomförandet av NIS-direktivet. Föreskrifterna träder i kraft 1 mars 2021 och innehåller bl.a. nya krav på kartläggning av hur IT- och OT-tjänster kommunicerar med varandra samt sju handfasta krav på skyddsåtgärder.

Energimyndigheten har utarbetat sektorsspecifika föreskrifter och allmänna råd om riskanalys och säkerhetsåtgärder för nätverk och informationssäkerhetssystem inom energisektorn (STEMFS 2021:3). Föreskrifterna har tagits fram i dialog med ESG – Energibranschens säkerhetsgrupp.

Vilka berörs av den nya föreskriften?

Energimyndighetens föreskrift STEMFS 2021:3 är framtagen specifikt för energisektorn. Alla leverantörer av samhällsviktiga tjänster inom energisektorn, som omfattas av NIS-lagstiftningen, berörs av denna nya föreskrift.

Föreskriftens syfte och omfattning

Informationssäkerhet handlar om att bli medveten om vilka risker och hot som finns, om hur information ska hanteras och vilka åtgärder som på bästa sätt skyddar informationen. Den nya föreskriften avser en leverantörs nätverk och informationssystem som leverantören använder för att tillhandahålla samhällsviktiga tjänster, så som ett SCADA-system.

– Föreskriften har tagits fram för att öka cybersäkerheten i energibranschen. Med den ska säkerhetsarbetet hos de energiföretag som omfattas bli mer tids- och kostnadseffektivt, eftersom varje enskilt företag initialt inte själva behöver fundera på vilka skyddsåtgärder som måste vidtas, säger Emma Johansson, ansvarig för säkerhetsfrågor på Energiföretagen Sverige.

Krav på en femstegsprocess som ökar informationssäkerheten

Vägen mot ett systematisk och riskbaserat arbete börjar med att steg för steg höja nivån på informationssäkerheten. Nedan sammanfattas den femstegsprocess som presenteras i Energimyndighetens nya föreskrift (STEMFS 2021:3). Nytt för föreskriften är kravet på kartläggning av hur IT- och OT-tjänster kommunicerar med varandra under punkt 2) samt punkt 3) som innehåller sju handfasta krav på skyddsåtgärder.

1) Genomför en riskanalys – syftar till att visa vilka hot och sårbarheter som finns mot företagets informationstillgångar utifrån riskernas sannolikhet och konsekvens. Leverantören ska även bedöma hur de identifierade riskerna kan påverka leveransen av den samhällsviktiga tjänsten.

2) Uppfyll informationssäkerhetskrav – omfattar bland annat dokumentation och spårbarhet genom loggning för spårning av aktiviteter. Leverantören ska även upprätta en systemförteckning över sina IT- och OT-tjänster, som bland annat beskriver hur dessa kommunicerar med varandra.

3) Vidta skyddsåtgärder – skydda nätverk och informationssystem genom att:

  1. segmentera ditt nätverk och filtrera trafiken mellan olika nätverkssegment,
  2. minimera användandet av administrationsrättigheter,
  3. installera säkerhetsuppdateringar enligt vedertagna metoder,
  4. använda proportionella autentiseringsmetoder,
  5. om möjligt använda antivirusprogram på enheter som är uppkopplade mot IT och OT (styr- och övervakningssystem),
  6. begränsa fysisk tillgång till IT och OT, samt
  7. fastställ och upprätthåll regler och metoder för fjärråtkomst till leverantörens nätverk och informationssystem.

4) Förebygg incidenter – genom härdning av utrustning samt hantering av förändringar och av historik.

5) Vidta säkerhetsåtgärder – inför säkerhetsåtgärd som antingen sänker ett riskvärde eller uppfyller ett informationssäkerhetskrav.

Läs föreskriften i sin helhet på Energimyndighetens hemsida.

 

Kontakta mig om du vill veta mer

Emma Johansson

Emma Johansson

Ansvarig säkerhetsfrågor
Enhet: Energisystem
Telefon: 08-677 25 05
E-post: emma.johansson@energiforetagen.se