Nätkod för cybersäkerhet – påverkar elsektorn

Via EU-kommissionen har ENTSO-E lagt fram ett förslag till nätkod för cybersäkerhetsaspekter på gränsöverskridande elflöden. Här finns regler om riskbedömningar, gemensamma minimikrav, planering, övervakning, rapportering och krishantering, samt en definition av olika aktörers roller och ansvar för varje verksamhet.

Energiföretagen Sverige ser positivt på att skydda elnätet mot ökade cyberangrepp, men vill även framföra skarp kritik. Förslaget är svårt att tillämpa, oproportionerligt, inte teknikneutralt, och saknar ansatser för informationshantering samt ambition att stärka hela det europeiska elnätets säkerhet. Förslaget riskerar också att få negativa konsekvenser, dels för den nationella säkerheten, dels för informationssäkerheten inom sektorn då det finns krav på informationstutlämning till EU.

Villkoren för nya nätkoden

Varför? Händelsebaserad utveckling med ökat antal cyberangrepp har lett till brådska att fastställa ett EU-omfattande ramverk för cybersäkerhet för elsektorn.

Hur? Legalt bindande.

Vilka omfattas? Elföretag enligt definitionen i artikel 2(57) i elmarknadsdirektivet.

När? Tidplanen är tajt. Efter att svar inkommit senast den 10 december i år till Entso-E är tanken att ta beslut redan under Q2 år 2022.

Innehåll? Punkter enligt följande:

• Riskhantering på unionsnivå och regional nivå som innebär bedömning av cybersäkerhetsrisker på gränsöverskridande elflöden.
• Cyberhygienkrav, för alla enheter inom nätkodens omfattning. Utvecklad i linje med ENISA:s riktlinjer. Entiteterna delas in i 3 grupper. Först hygienkrav av säkerhetsåtgärder för mikro- och små entiteter. Sedan cybersäkerhetsåtgärder tillämpliga på enheter med stor inverkan och sist avancerade cybersäkerhetskontroller, för enheter med kritisk påverkan.
• Riskanalys på medlemsstatsnivå samt riskhantering på enhetsnivå. Varje enhet med hög och kritisk påverkan ska upprätta ett ledningssystem baserat på en internationell standard, eller motsvarande, för cybersäkerhet. Där ingår bland annat att definiera och etablera policys, processer och tillräckliga resurser för effektiv drift.
• Harmonisering av produkt- och systemkrav samt verifiering med exempelvis penetrationstest.
• EU-gemensam krishantering och dokumentation av informationsflöden.
• Revision av ramverk för cybersäkerhet. 

Förslaget är inte färdigt i sin helhet, mycket arbete återstår. ENTSO-E och EU-DSO ska utifrån nationella och regionala förutsättningar under inflytande av ACER och EU-kommissionen samt NIS koordineringsgrupp arbeta vidare.

Mer utredning behövs – risk för höga samhällskostnader

Frågan om hur energibranschen skyddar sin verksamhet mot cyberattacker är högst aktuell. Avbrott i elförsörjning som beror på sårbarheter i cybersäkerhet kan ge stora samhällskostnader. Det är därför ytterst angeläget att nationella och EU-relaterade regelverk är träffsäkra, kostnadseffektiva och kan anpassas nationellt vid behov.

Förslagets konsekvenser bör utredas ytterligare av EU-kommissionen då ENTO-E:s förslag brister i helhetssyn och i konsekvensanalys, inte minst då nya krav i förslaget till nätkod träffar aktörer som redan har andra regelverk att följa. Det finns idag varken nationella myndighetsföreträdare eller offentliga regionala företrädare av Nätkod för cybersäkerhet. Energiföretagen önskar få detta till stånd för ökad samverkan i cybersäkerhetsarbetet.

Företagens åsikter är viktiga

Nätkod för cybersäkerhet påverkar många intressenter inom energisektorn och även gränsöverskridande cybersäkerhetsincidenter. Detta är den första nätkod som väntas påverka alla – små och stora företag, TSO:er, DSO:er och andra relevanta parter. Däremot har nätkoden ännu inte förtydligat vilka åtgärder som ska vidtas. Därför är företagens åsikter viktiga att delge, både direkt till ENTSO-E samt till Energiföretagen och dess säkerhetsgrupp ESG för att stärka förslaget.