EU-kommissionen vill stärka motståndskraften hos kritisk infrastruktur

Förberedelse av kriget i Ukraina inleddes redan 2015 med ett cyberangrepp som slog ut delar av landets elförsörjning. Nu sker attacker i princip dagligen mot landet med över 400 hackerattacker som drabbat Ukraina de senaste månaderna. Av det allvarligare slaget var ett angrepp mot landets elnät, som avvärjdes innan det hann göra 2 miljoner ukrainare strömlösa. Cyberhoten är här för att stanna och verksamhetsutövare måste hantera detta ständigt. Cybersäkerhet bör ha högsta prioritet hos alla energiföretag.

EU-kommissionen har nu föreslagit en plan med åtgärder för att stärka motståndskraften hos EU:s kritiska infrastruktur. Rekommendationen syftar till att maximera och påskynda arbetet med att skydda kritisk infrastruktur inom tre prioriterade områden som handlar om beredskap, insatser och internationellt samarbete. De viktigaste sektorerna som prioriteras är energi, digital infrastruktur, transport och rymden.

CER-direktivet om kritiska entiteters resiliens

Ett nytt EU-direktiv syftar till att säkerställa funktionaliteten. Förslaget är ett ramverk som ska stödja kritiska enheters förmåga att förebygga, motstå och hantera störningar eller avbrott i verksamheten. Detta ska gälla oavsett om störningen eller avbrottet har föranletts av klimatförändringar och naturolyckor, terroristattacker, pandemier, fysiska attacker och sabotage, cyberattacker, alternativt andra hybridattacker eller allvarliga händelser. 

CER-direktivet om kritiska entiteters resiliens som förväntas beslutas i december, finns nu att läsa nedan. CER-direktivet behandlar rekommendationer för att förbättra motståndskraften hos kritisk infrastruktur inom ett antal prioriterade sektorer, däribland energi.

Vad innebär direktivet för energisektorn?

• Arbete med risk- och sårbarhetsanalys (RSA), riskminimering och kontinuitetshantering
• Incidentrapportering och krishantering
• Sårbarhetsrapportering även om incidenter inte uppstår

Förslaget kan påverka närliggande svenska regler inom flera områden, som exempelvis säkerhetsskyddslagstiftningen och lagstiftning om krisberedskap och civilt försvar. Direktivet ska dock inte hindra att medlemsstaterna vidtar de åtgärder som de anser nödvändiga för att skydda den nationella säkerheten.

Detta gör Energiföretagen

Energiföretagen Sveriges uppgift är att bistå med råd och stöd till medlemmarna i det läge vi är nu. Samtidigt behöver vi ställa krav på våra myndigheter i samtal som gynnar medlemmarna och energibranschen, och som går hand i hand med Sveriges säkerhet.

Myndigheten för samhällsskydd och beredskap, MSB, genomför nu en aktivitet för att hjälpa till att öka säkerheten. Denna insats är temporär och en tillfällig åtgärd för att stärka Sveriges robusthet. Mötena ska ge omvärldsbevakning och råd på säkerhetsåtgärder i både IT-miljön och våra industriella styrsystem (operationella miljön, OT). Men det kan göras mer på området.

– Vi behöver ha en energi-CERT tjänst på plats året runt, dygnets alla dagar och timmar. Vi vill därför att staten går in och hjälper till att finansiera en energi-CERT som kan ge hot- och underrättelseinformation riktade mot energisektorn samt hjälpa till med råd och incidentrespons, säger Emma Johansson som ansvarar för säkerhetsfrågor hos Energiföretagen Sverige och lägger till:

– Många händelser kommer vi att vara totalt oförberedda på. Cybersäkerhet och resiliens handlar om gemensam förmåga att hantera händelser, väntade och oväntade, på kort och längre sikt för en robust energiförsörjning. Vi behöver bygga ett robust Sverige tillsammans.

Vidare läsning

EU-kommissionens rekommendation om stärkt motståndskraft hos infrastruktur

Säkerhetsunionen: Kommissionen välkomnande av nya regler för att stärka kritiska entiteters motståndskraft

Kommissionen välkomnar överenskommelse om nya regler om cybersäkerhet (NIS 2)

CER-direktivet från år 2020

MSB har samlat viktigt stödmaterial för den som arbetar systematiskt med att öka verksamhets informationssäkerhet och därmed bidrar till att stärka Sveriges cybersäkerhet.