Nätkod för cybersäkerhet vid gränsöverskridande elflöden gäller nu

Nätkoden ska harmonisera regler mellan medlemsländerna för att förbättra samarbetet och hantera cyberhot effektivt. Här ingår även gränsöverskridande elflöden i sammankopplade digitaliserade kraftsystem. Förordningen betonar vikten av att hantera cybersäkerhetsrisker för säker elförsörjning och höga cybersäkerhetsnivåer inom energisektorn.

Behöriga myndigheter ska inom nio månader underrätta företag om att de identifierats som en ”entitet med stor påverkan eller kritisk påverkan”. Dessa behöver inrätta ett riskhanteringssystem för cybersäkerhet, om det inte redan finns. Nätföreskrifterna kräver ett sådant ledningssystem för informationssäkerhet och genomförandet av cybersäkerhetskontroller. De allmänna kraven på ledningssystem kommer främst från ISO/IEC 27001-standarden, men det krävs inte specifikt att följa denna standard eller certifieras mot standarden.

Nätkoden omfattar också flöden för informationsutbyte om cybersäkerhet för att säkerställa information i rätt tid, främja snabba och samordnade reaktioner från berörda parter och tillhandahålla regler för incidenthantering och krishantering. Dessutom omfattar nätföreskrifterna en ram för cybersäkerhetsövningar för att förbättra alla operatörers beredskap, regler för skydd av informationsutbyte samt en ram för övervakning och rapportering. 

NC CS-skyldigheterna är dock inledningsvis frivilliga för kandidaterna till entiteter med stor och kritisk påverkan. Överträdelser kan i nuläget inte resultera i ekonomiska sanktioner.

Energiföretagen Sveriges huvudbudskap

EU-kommissionens avsikt med NC CS är att reglera cybersäkerheten mellan medlemsländerna för elsektorn. Detta har inte reglerats tidigare.

Därför är det viktigt att:

1. Ökad cybersäkerhet kräver ökat samarbete. Det gäller både inom Europa, Sverige och inom industrin. Flera mindre företag i Sverige saknar egen kompetens – vilket kräver samordning mellan företag och leverantörer, där Energiföretagen har en naturlig roll att samla de svenska energiföretagen. 
2. Koden kräver att myndigheterna agerar från dag ett. Svenska energiföretag har ett gott samarbete med myndigheter, men vi önskar att myndigheterna skulle prioritera cybersäkerhet ännu mer, då cyberattackerna mot Sverige ökar och nätkoden är en del av att skydda såväl Sverige som europeiska intressen. 
3. Den nya nätkoden behöver resurser dygnet runt, och det är Energimyndigheten som ska avgöra vem som berörs av koden. Det kräver samordning mellan företag och myndigheter – en samordning som är nödvändig i en tid då cyberattackerna ökar i Europa. 

Påverkan under resans gång

Energiföretagen Sverige har bedrivit ett framgångsrikt påverkansarbete och fått igenom flera ändringar i den nya regleringen. Påverkan har skett löpande genom remissvar och inspel till Europakommissionen, Acer, Eurelectric och DSO Entity samt direkt till arbetsgrupp. Några av de viktigaste rekommendationerna har varit:

• Tillägg att konsekvenser av kaskadeffekter ska beaktas i riskanalys.
• Tillägg att nationella regleringar som säkerhetsskyddsklassificerade uppgifter ska skyddas och undantas.
• Borttagande av cyberhygienkrav som skulle innebära inkludering av samtliga aktörer.
• Borttagande av skall-krav angående 27001-certifiering.
• Aktsamhet och förtydligande hur aggregerad information ska skyddas vid analys, åtgärder och rapportering.
• Vikten av att återställningsplaner omhändertas i förlängningen.

– Digitalisering och cybersäkerhet är avgörande för att tillhandahålla samhällsviktiga tjänster och är av strategisk betydelse för kritisk energiinfrastruktur och civila försvaret. Jag ser fram emot fortsatt implementering av nätkoden i Sverige, där det är viktigt att vi som branschförening bevakar att de rekommendationer som föreskrivs följs, säger Emma Johansson, säkerhetsansvarig hos Energiföretagen Sverige.