Regelverket må følge teknologien
- Vi ser at dagens regelverk i stor grad er dekkende og i samsvar med internasjonale standarder og praksis, men at det er behov for ytterligere presiseringer i regelverket slik at virksomheter og systemer i energisektoren beskyttes mot nye digitale trusler. I bunn og grunn handler det jo om at vi har en sikker strømforsyning til deg og meg som strømkunde, sier avdelingsdirektør Ingunn Åsgard Bendiksen ved Tilsyns- og beredskapsavdelingen i NVE.
Gjennomgangen kan leses i NVE-rapporten «Regulering av IKT-sikkerhet», som også er en oppfølging av Lysne-utvalgets anbefaling til NVE om å gjennomgå sektorregelverket og se på funksjonsbasert regelverk og bruk av standarder. I arbeidet med rapporten har NVE sett på nasjonalt og internasjonalt regelverk på området, samt internasjonale standarder.
Hovedanbefalingene i rapporten er:
- At NVE utarbeider krav til informasjonssikkerhet i henhold til et overordnet sikkerhetsregime, som plasserer informasjonssikkerhet som en del av det helhetlige arbeidet med forebyggende sikkerhet og beredskap i energiforsyningen.
- Tydeliggjøring av den generelle sikringsplikten mot uønskede hendelser og handlinger i dagens krav. Det bør stilles krav til grunnsikring for alle digitale informasjonssystemer hos aktører som har anlegg eller system av vesentlig betydning for produksjon, omforming, overføring, omsetning eller fordeling av elektrisk energi eller fjernvarme i energiforsyningen.
- At driftskontrollsystemer har strengere sikringskrav enn grunnsikring, og at det tas hensyn til driftskontrollsystemenes særegenhet med krav til særlig integritet og tilgjengelighet. Dette innebærer at systemer som overvåker og styrer energiforsyningen, for eksempel dagens driftskontrollsystemer, beholder dagens høye sikkerhetsnivå for driftskontrollsystemer.
- At lages en veileder på IKT-sikkerhet knyttet til beredskapsforskriften der NVE i større grad enn i dag henviser til og bruker begreper fra internasjonale standarder.
- Norge har i dag god forsyningssikkerhet. Men vi ser at både driftskontrollsystemer og administrative IT-systemer er del av digitale verdikjeder som kan krysse landegrensene. I fremtiden kan energiforsyningen bli enda mer automatisert. Vi ønsker med gjennomgangen som er gjort, og påfølgende regelverksoppdatering, å være så forberedt som vi kan slik at energibransjen, og i ytterste ledd strømkundene, skal være beskyttet mot bredden av digitale trusler, sier Bendiksen.
Ønsker innspill fra bransjen
Underveis i prosessen har energibransjen, leverandører og interesseorganisasjoner gitt innspill til gjennomgangen. NVE ønsker nå kommentarer og innspill til rapporten. Kommentarene blir behandlet før arbeidet med forskriften startes opp i NVE.