NVE gir råd om bedre risikostyring av IKT-sikkerhet
NVE har gjennomført en studie av hvordan virksomheter i kraftforsyningen styrer IKT-sikkerhet og -risiko i praksis. Studien undersøker god praksis i bransjen og peker på 20 konkrete råd i risikostyringsprosessen. Involvering av riktig ledernivå er en av de viktige anbefalingene.
Risikostyring handler om å bruke de ressursene som er tilgjengelig på en mest mulig effektiv måte. NVE har nå utgitt en ny studie om risikostyring, som konkluderer med en rekke råd for å forbedre risikostyringen.
– NVE har inntrykk av at det er krevende med risikostyring av IKT-sikkerhet i leverandørkjeder. Vi håper at rapporten kan bidra til en bedre forståelse for risikostyring på dette området, sier seksjonssjef Eldri Holo, ved beredskapsseksjonen i NVE.
20 råd om risikostyring
Fire hovedtemaer er gjennomgående i rapporten; risikovurderinger, beredskap, risikostyring og leverandørkjeder. Rapporten bygger på intervjuer med utvalgte selskaper i kraftforsyningen.
De 20 rådene er en kombinasjon av praksis som foregår i virksomheter i dag og refleksjoner om hva virksomhetene burde gjøre for å oppnå en god praksis. Rådene er knyttet til ulike deler av risikostyringsprosessen; risikoidentifisering, risikoanalyse, beredskapsplan, etablere beredskapsstrukturer og ressurser, øvelse og evaluering. Arbeidet må også tilpasses gjeldende rammer for virksomhetens økonomi og ressurser.
Dette arbeidet inngår i NVEs oppfølging av Riksrevisjonens rapport om NVEs arbeid med IKT-sikkerheten i kraftforsyningen. Resultatene fra studien inngår i det videre oppfølgingsarbeidet.