GDPR løb med opmærksomheden: NIS sneg sig ind ad bagdøren
Energisektoren som mål for hacking har for nylig været et varmt emne, efter Center for Cybersikkerhed i en trusselsvurdering kaldte truslen fra cyberspionage ’meget høj’ og afslørede, at der i det seneste år har været forsøg på at kompromittere den danske energisektor.
I Danmark er IT-sikkerheden for en række samfundskritiske sektorer reguleret af lovgivning baseret på EU-direktivet Network and Information Security (NIS).
Det blev under helt utrolig lidt bevågenhed – GDPR stjal al opmærksomhed - omsat til dansk lov i maj. Regeringens strategi for cyber- og informationssikkerhed er også baseret på NIS-direktivet, der stiller krav om en national strategi på området.
Net1: Ikke alle kender det
Siden reglerne trådte i kraft, har forsyningsvirksomheder inden for elektricitet, naturgas og olie skulle leve op til skrappere regler gældende for cybersikkerhed. Det hilser sikkerheds- og teleselskabet Net1 velkomment.
- Vi ser det som en blåstempling af vores fokus på sikkerhed i forsyningen og de metoder, vi bruger. I bekendtgørelsen for el og naturgas nævnes, at man skal overveje segmentering af it-infrastrukturen. Det er netop, hvad vi gør, når vi adskiller forsyningens sårbare systemer fra nettet, siger direktør i Net1, René Kappelgård.
Men hos Net1 oplever man også, at ikke alle i forsyningsbranchen nikker genkendende, når snakken falder på NIS-direktivet.
- Fortællingen om NIS og den danske lovgivning er ikke nået ud i alle afkroge af forsyningen - og det er der nok ikke så meget at sige til. For det er stort, tungt og komplekst og den tilgængelige information sparsom. En del større aktører er opmærksomme på NIS, men for de mindre aktører kan det være svært at nå at følge med, siger René Kappelgård.
Meget detaljerede krav
Den danske lovgivning for el og naturgas baseret på NIS-direktivet er meget kompleks og detaljeret sammenlignet med kravene til andre sektorer, vurderer senioradvokat i Bird & Bird, Julie Bak-Larsen.
- Det giver mening ud fra den potentielle skade ved nedbrud. Men det stiller også meget store krav både til forsyningsvirksomheder og myndigheder, der skal forvalte reglerne, siger Julie Bak-Larsen.
Eksempelvis skal sikkerhedshændelser rapporteres til Energinet, som også har fået ansvar for at gennemse og godkende IT-beredskabsplaner, som forsyningsvirksomhederne skal lave.
- For en advokat som mig er det jo spændende, fordi det er komplekst, detaljeret og vigtigt. Men det er en tung administrativ og organisatorisk byrde at pålægge virksomhederne, der skal sætte sig ind i reglerne, følge op på dem og sørge for at alle leverandører lever op til dem. Det er en markant ændring, der medfører, at sikkerhed skal tænkes ind i forsyningsvirksomheders forretningsgange på en ny måde, siger hun.
Ingen vandforsyningsvirksomheder er omfattet af regler - endnu
Der er også lavet en bekendtgørelse om krav til sikkerheden i visse vandforsyningers net- og informationssystemer. Heri gennemgås regler og krav til vandforsyningers sikkerhed.
Men ingen vandforsyninger er omfattet af kravene, fordi Miljø- og Fødevareministeriet har vurderet, at forsyningssikkerheden ikke vil være truet ved brud på IT-sikkerheden, fordi de kan drives manuelt.
Men det kan ændre sig, hvis ministeriet vurderer, at der sker ændringer i driften af vandforsyningen, der betyder, at de skal leve op til reglerne. Det skal ministerierne som minimum tage stilling til hvert andet år.
Ny strategi på vej
I oktober 2017 skulle el- og naturgasforsyningsselskaberne aflevere en såkaldt risiko- og sårbarhedsvurdering til Energinet. For nylig havde selskaberne så den første deadline. Første september skulle de fremsende en opdateret version til Energinet. Fremover vil virksomhederne - afhængig af størrelse enten årligt eller som minimum hvert tredje år - skulle sende opdaterede vurderinger.
Herefter følger deadlines for, hvornår Energinet skal afholde it-beredskabsøvelser og lave en vurdering af it-relaterede risici og sårbarheder ved det sammenhængende el- og naturgasforsyningssystem.
Samtidig vil 2018 også byde på mere nyt på IT-sikkerhedsfronten for forsyningen. Energi- Forsynings- og Klimaministeriet skal nemlig senest med udgangen af 2018 at have udarbejdet en delstrategi for cyber- og informationssikkerheden i energisektorerne.
| Bonusinfo om lovgivningen baseret på NIS - Administrationen af reglerne er spredt ud på forskellige myndigheder i de enkelte sektorer. Eksempelvis er det for el og naturgas fordelt mellem Energinet og Energistyrelsen. - I Danmark er Center For Cybersikkerhed under Forsvarets Efterretningstjeneste den overordnet ansvarlige myndighed for at tilrettelægge arbejdet med it-sikkerhed. - I NIS-direktivet er der lagt op til, at myndigheder skal udpege bestemte aktører og virksomheder i de enkelte sektorer, som skal omfattes af reglerne. Det er atypisk i forhold til den måde, danske lovgivning oftest skrues sammen. I bekendtgørelsen for el- og naturgas har man i stedet lavet kategorier for hvilke typer virksomheder afhængig af slutbrugere og energimængder. Det er altså op til forsyningsvirksomhederne selv at vide, at de skal følge reglerne, og hvilken kategori, de tilhører. På vandforsyningsområdet forholder det sig omvendt. Her vil Miljø- og fødevareministeriet løbende vurdere, om der skal tilføjes virksomheder til listen over aktører, der skal leve op til kravene. |
Artiklen er en del af temaet Magasinet Energy Supply.
