NVE legg fram rettleiar for vurdering av digital risiko
Kraftforsyninga står ovanfor ei rekke digitale truslar. Då er risikovurderingar av informasjonsteknologi (IT) og operasjonell teknologi (OT) eit av dei viktigaste verktøya for å handtere dei rett. NVE gir no ut ein ny rettleiar i risikovurdering av IT og OT for små og mellomstore selskap i kraftforsyninga. Den skal hjelpe kraftsektoren med å betre si evne til å vurdere og handtere digital risiko.
Risikovurderingar av IT og OT er viktige for selskap i kraftforsyninga, som står ovanfor avanserte truslar. Ved å identifisere og handtere potensielle sikkerheitssårbarheiter kan risikovurderingane hjelpe selskapa å verne kritisk infrastruktur og sikre kontinuerleg drift. For å sikre at sikkerheitstiltaka er effektive og relevante må personar på alle nivå i kraftselskapa ha kunnskap og engasjement i desse prosessane.
Håper rettleiaren bidreg til å forenkle arbeidet med risikovurderingar
NVE har lenge sett behovet for ein rettleiar i risikovurderingar generelt og informasjonssikkerheit og digital sikkerheit i IT- og OT-system spesielt. Erfaringar viser at det er eit mangfald av metodar, rammeverk, og verktøy som blir nytta i sektoren. Dette kan føre til inkonsistens og varierande sikkerheitsnivå. Vi ønskjer å leggje til rette for ei meir einskapleg tilnærming som kan styrkje den samla digitale risikostyringskapasiteten til sektoren. NVE håpar denne rettleiaren bidreg til å forenkle arbeidet med risikovurderingar.
– Risikovurderingsmetoden i denne rettleiaren eignar seg også godt til risikovurderingar generelt, sjølv om døma er henta frå informasjonssikkerheit og digital sikkerheit i IT- og OT-system. Verksemdene vil få best nytte av denne rettleiaren for risikovurderingar ved å bruka han saman med den generelle rettleiaren for kraftberedskapsforskrifta, seier seksjonsleiar Eldri Holo.
Rettleiaren tek utgangspunkt i korleis små og mellomstore verksemder kan gjennomføre god risikovurdering for IT og OT. Rettleiaren har også gode døme for eit fiktivt kraftselskap Elvheim AS. Målet med rettleiaren er å bidra med ein konkret måte å gjennomføre risikovurderingar for IT og OT for verksemdene i kraftforsyninga. Rettleiaren er utarbeidd av konsulentselskapet KPMG på oppdrag frå NVE.
NVE ønskjer tilbakemelding og inviterer til digitalt seminar
NVE inviterer til digitalt seminar den 21.mars kl 10, der me presenterer rettleiaren.
NVE ønskjer og tilbakemeldingar på kva som fungerer og ikkje, slik at vi kan ta med oss dette i framtidige revisjonar. Har du forslag til endringar, ris eller ros? Ta kontakt eller send e-post til nve@nve.no merka med saksnummer 202317408.
Denne rettleiaren er den første ut i rekkja av rapportar og rettleiarar frå NVEs IT/OT-sikkerheitssatsing. Dei neste som kjem er ein rapport om korleis vi kan måla IT/OT-sikkerheitsstilstaden i heile sektoren, og korleis vi skal ha ei god leverandøroversikt for IT, OT og IT-sikkerheit.
