NVE styrker veiledningen på digital sikkerhet i kraftbransjen
NVE har på kort tid gitt ut tre eksterne rapporter som skal gi NVE og bransjen bedre forutsetninger for å håndtere et stadig mer krevende, digitalt trusselbilde.
–Digital sikkerhet blir stadig viktigere, og dette gjelder spesielt i kritisk infrastruktur. Økende digitalisering, nye teknologiske løsninger og komplekse leverandørkjeder gjør det nødvendig med mer kunnskap, og god veiledning på hvordan kraftbransjen kan møte disse mulighetene og utfordringene, sier Kristian Markegård, direktør for tilsyn og beredskap i NVE.
DNV, Sintef og Safetec har på oppdrag fra NVE levert hver sin rapport som skal bidra til å styrke kunnskapen om digital sikkerhet hos leverandører, sikkerhet for skybasert operasjonell teknologi (OT) i kritisk infrastruktur, og beredskapsøvelser for å håndtere digitale hendelser. Arbeidet er en del av NVEs satsning på digital sikkerhet i kraftforsyningen, som også inkluderer oppbyggingen av et eget miljø innen området.
Tettere oppfølging av IT/OT-sikkerhet i hele leverandørkjeden
Tjenesteutsetting og sikkerhet i leverandørkjeder har blitt et spesielt viktig område etter flere alvorlige digitale angrep i de seneste årene, og er noe NVE har arbeidet med over lengre tid. Et tiltak for å møte disse utfordringene i Europa er å styrke regulering gjennom NIS-2 direktivet (EU-krav til sikkerhet i nettverks- og informasjonssystemer).
–Sett i lys av denne utviklingen har vi nå har fått hjelp av DNV til hvordan NVE kan regulere denne viktige delen av beredskapen på en bedre måte i fremtiden. og det er derfor viktig at NVE styrker kunnskapen på dette området, sier Markegård.
Mer kunnskap om bruk av skytjenester i kritisk infrastruktur
Bruk av skytjenester har mange fordeler, som bedre kostnadseffektivitet, skalerbarhet og sikkerhet. Samtidig åpner det opp nye sårbarheter som er nødvendig å forstå. NVE ønsker nå å se nærmere på de driftsmessige fordelene ved bruk av OT i sky, opp mot risikoen dette utgjør som en helhet for kraftforsyningen; spesielt i lys av den sikkerhetspolitiske situasjonen.
Kraftberedskapsforskriften stiller ingen direkte krav som utelukker bruk for skytjenester i klassifiserte driftskontrollsystemer, men den stiller en del indirekte krav som gjør det krevende å følge forskriften. Et eksempel på krav som er vanskelig å tilfredsstille er §7.3 i kraftberedskapsforskriften som stiller krav til at «virksomheter skal til enhver tid ha oppdatert dokumentasjon av driftskontrollsystemet». Siden dette gjelder på fysisk og logisk oppbygning, vil dette være vanskelig å etterleve. I tillegg til å se på konkrete krav i lovverket gir også rapporten noen brukstilfeller, og forutsetninger for sikker implementering av OT i sky.
-Vi vil nå ta med oss vurderingene fra Sintef inn i fremtidig utforming av kraftberedskapsforskriften, og se på behov for justeringer av dagens regelverk, sier Markegård.
Øving gir økt beredskap
Øvelser er gode for å teste om beredskapsplanene fungerer, og er med på å styrke virksomheters evne til å håndtere kriser. Det å lage gode øvingsscenarioer tar derimot tid og krever kompetanse. Nå gjør NVE dette enklere å planlegge øvelser med en
–Mange synes det er utfordrende å planlegge gode beredskapsøvelser med relevante scenarioer. Derfor har Safetec, på bestilling fra NVE, lagd en rekke øvingsscenarioer på digitale hendelser. Disse har vi nå publisert i en digital veileder, som skal gjøre det enkelt for de som ønsker å ta de i bruk. , sier Markegård.
