Strategi och verktyg för säkerhet

Publicerat av: Emma Johansson ·

Säkerhet och resiliens handlar om förmåga att möjliggöra och återställa tjänster för att uppnå verksamhetsmål. Strategi och verktyg för säkerhet syftar till att stödja energiföretagens ledning och säkerhetsfunktion med frågor kopplat till säkerhet för robust och redundant energiförsörjningen.  Målet är att skapa resiliens genom att undvika störningar men också ha förmåga att snabbt återhämta sig när händelser sker i fredstida kriser såväl som under höjd beredskap och krig.

 

Vad behöver vi göra? – minsta gemensamma nämnarna

Energiförsörjning är en viktig samhällsfunktion som måste fungera under såväl normala förhållanden i fredstida kriser som vid höjd beredskap och ytterst krig. Dagens hot och utmaningar känner varken organisatoriska gränser eller nationsgränser. Det går inte att isolera en kris vilket understryker vikten av att vi måste arbeta mer gräns- och sektorsöverskridande.

Utgångspunkten för Energiföretagens strategi i säkerhet- och resiliens för energisektorn är ett systematiskt arbete baserat på minsta gemensamma nämnarna utifrån de legala säkerhetskraven. Nedan presenteras 12 strategiska punkter för verksamhetsutövare att göra:

  1. Beskriva verksamheten – genom att kartlägga och beskriva nät- och informationssystem, anläggningar, elnät- och rörsystem samt inventera personella och materiella resurser.
  2. Beskriva beroenden i leveranskedjor – genom att kartlägga och inventera resurser och leverantörsberoenden på lokal, regional och nationell nivå likväl som på internationell nivå.
  3. Genomför en riskanalys – som syftar till att visa vilka hot, risker och sårbarheter som finns mot företaget under hela hotskalan från fredstida kriser till höjd beredskap och ytterst krig.
  4. Genomför en ”Business Impact Analysis” – hantera risker och sårbarheter medvetet genom att undvika – lindra – acceptera eller ignorera risken. Ett totalförsvarsperspektiv skall ingå i analysen genom påverkan på verksamhetens resiliens, robusthet och redundans.
  5. Uppfyll informationssäkerhetskrav – som omfattar bland annat dokumentation, informationsklassning och spårbarhet. Skapa ett ledningssystem för informationssäkerhet (LIS) med roller och ansvar.
  6. Vidta säkerhets- och beredskapsåtgärder – inom nätverk- och informationssystem, fysiskt skydd och personell säkerhet. Införa åtgärder som antingen sänker ett riskvärde eller uppfyller ett säkerhetskrav enligt legal lagstiftning.
  7. Förebygg incidenter – genom monitorering av hot och härdning av utrustning. Samt genom utbildning och övningar uppnå ständiga förbättringar för att vara förberedd för olika typer av händelser.
  8. Hantera incidenter – dela information om säkerhetsbrister och incidenter. Att kunna rapportera incidenter och spara uppgifter för forensiska analyser.
  9. Upprätta en beredskapsplan för kontinuitetshantering och resiliens vid fredstida kriser såväl som under höjd beredskap och krig.
  10. Upprätta en krigsorganisation – genom analys av personalbehov och kompetensförsörjning samt behov av placering av personal under allmän tjänsteplikt vid aktivering av höjd beredskap.
  11. Utbildning och övning – regelbundet utbilda och öva personal i säkerhetsmedvetenhet och förmågor att hantera hela hotskalan från tillbud, kriser, hybridhot och ett väpnat angrepp.
  12. Ledningens ansvar – genom att ha bra ordning på kritiska resurser och tillgångar samt besluta om säkerhets- och beredskapsåtgärder för att minska sårbarheter och stärka robusthet, redundans samt reparationsförmåga i verksamheten och samhället. Följ upp!

Dokument för säkerhetsarbetet

Föreslagna checklistor och ramverk kan tillämpas inom alla organisationer, oavsett storlek och verksamhet.

Säkerhetsskydd

Säkerhetsskyddsanalys enkel mall.xlsx

Checklista för personalsäkerhet.pdf

Att säkerhetsskyddsklassificera skyddsvärda uppgifter.pdf

Cybersäkerhet

Strategi för säkerhet i 7-punkter. pdf 

Checklista för informationssäkerhet.pdf

Riskanalys enkel mall.xlsx

Klassning av information.pdf

GAP-analys av 27001.pdf

Gap-analys av 27002.pdf

NIS2 direktiv efterlevnad genom kontroller enligt ISO IEC27001-2-2022.pdf

Standarder inom ISO 27000-serien är en uppsättning standarder för ledningssystem inom informations- och cybersäkerhet, avsedda att hjälpa organisationer att effektivt strukturera och förbättra sin interna kontroll över informationssäkerheten.

ISA/IEC 62443 standard för automations- och kontrollsystems (SCADA) 

Beredskap

Strategi för säkerhet och resiliens i 12-punkter.pdf

Handbok för kontinuitetshantering S-22304 2023.pdf 

Mall för elberedskapsplan.pdf

Mall Förmågeinventering HB.xlsx

Mall Förmågeinventering Verksamhet.xlxs