Etterlevelse av kraftberedskapsforskriften
Kan revisjon av sikkerhetstiltak automatiseres? En studie på datadrevet samsvarsvurdering opp mot krav til IKT-sikkerhet i kraftberedskapforskriften viser at dette så langt ikke er lett.
Virksomheter underlagt kraftberedskapsforskriften skal sikre sine digitale systemer og ha revisjoner av iverksatte sikringstiltak for å sikre at tiltakene er gjennomført og virker.
NVE har sett nærmere på muligheter for automatisert samsvarsjekk opp mot kraftberedskapsforskriften ved å ta utgangspunkt i eksisterende verktøy levert av Microsoft. Prosjektet har videre tatt utgangspunkt i krav til sikring av digitale informasjonssystemer, som bygger på grunnprinsippene for IKT-sikkerhet fra NSM (Nasjonal sikkerhetsmyndighet).
– Dette prosjektet har lært oss om muligheter for datadrevet samsvarsvurdering, men også om praktiske utfordringer. Sammenstilling av store mengder sensitiv sikkerhetsinformasjon krever ekstra oppmerksomhet med tanke på beskyttelse av denne informasjonen, sier Eldri Holo, seksjonsleder ved beredskapsseksjonen til NVE.
Basert på rapportens funn vil NVE ikke arbeide videre med å utvikle en mal for kraftberedskapsforskriften til bruk i Microsoft Compliance Manager, men følge med på framtidig utvikling på slike tjenester.
