NVE gikk igjennom alle endringene, men med hovedfokus på kapittel 6 - informasjonssikkerhet og kapittel 7 - beskyttelse av driftskontrollsystem, hvor det er flest endringer. Noen hovedpunkter er:
- Selskap må ha kontroll på IT-systemer som direkte eller indirekte berører forsyningssikkerheten
- Alle selskap må ha et styringssystem for informasjonssikkerhet som bygger på Nasjonal Sikkerhetsmyndighets (NSM) grunnprinsipper for IKT-sikkerhet
- Forskriften stiller krav til grunnsikring for digitale informasjonssystemer
Digitaliseringen endrer trusselbildet og det må vi forholde oss til
IT-sikkerhet og personsikkerhet er svært viktig å opprettholde for å drive en sikker virksomhet.
Nye krav til AMS og bryterfunksjonalitet skapte gode diskusjoner i salen. Disse kravene legger vekt på å sikre både fysiske og tekniske faktorer ved bryterfunksjonalitet, og fjernstyring. Tilgangskontroll på dette området er vektlagt i kraftberedskapsforskriften, og brukerne selskapene må ha tilgangskontroll over er både personer og applikasjoner som er i kontakt med driftssentral.
Generelt er det gjennom hele kraftberedskapsforskriften gjort et godt arbeid med å forenkle budskapet og tydeliggjøre språket. NVE ønsker å tydeliggjøre at disse forskriftene ikke er laget for at selskapene skal komme seg godt igjennom tilsyn. De er laget for at selskapene under kraftberedskapsforskriften er sikret for sin egen og sine kunders del.
Det er laget en foreløpig tilleggsveileder til kraftberedskapsforskriften, denne skal per nå brukes sammen med veilederen fra 2013. NVE ønsker tilbakemeldinger på tilleggsveilederen, og vil etter tilbakemeldingene ha en fullstendig veileder klar i 2019. Vi vil distribuere denne veilederen når den blir tilgjengelig.
Felles styringssystem for informasjonssikkerhet i Nettalliansen
Forskriftsendringene viser at IKT-sikkerhet er et svært viktig fokusområde og selskap må ta høyde for stadige endringer i trusselbildet.
Nettalliansen ønsker å etablere et styringssystem for informasjonssikkerhet på vegne av alle eierselskapene. Det er planlagt gjennomført et IKT-sikkerhetsprosjekt for å sikre at alle krav i forskriften blir ivaretatt. I tillegg vil prosjektet legge til rette for å øke kompetansen på IKT-sikkerhet i hvert enkelt selskap.
Vi jobber med å planlegge hvordan et slikt prosjekt kan gjennomføres på best mulig måte, og vi vil informere mer om innhold og gjennomføring når det er klart. Det er en stor fordel om vi går sammen om å bli gode på IKT-sikkerhet.
Her finner du mer informasjon om endringene i forskriften