Debatt | 2 okt 2023

DEBATT: EU-direktiv kan leda till en dubbelsmäll för energisektorn

Energisektorn löper redan stor risk att drabbas av cyberangrepp, och inom kort dessutom stora bötesbelopp om man inte anpassar sig till de striktare kraven som kommer när NIS2-direktivet blir svensk lagstiftning nästa år. Det skriver Fredrik Olsson på cybersäkerhetsföretaget NTT Security.

DEBATT: EU-direktiv kan leda till en dubbelsmäll för energisektorn
Fredrik Olsson, NTT Security. Foto: NTT

Det oroande säkerhetspolitiska läget, framför allt med sabotaget mot gasledningen Nordstream, har gjort att Sveriges och Europas energiförsörjning hamnat i fokus. Flera myndigheter, däribland Säpo och Myndigheten för samhällsskydd och gemenskap (MSB), har uppmanat branschen till ökad uppmärksamhet och att rapportera eventuella försök till cyberattacker eller annat sabotage. MSB har även startat, i samarbete med Energiföretagen, en samverkansgrupp som fokuserar på cybersäkerheten kopplad till energisektorn.

När ekonomiska incitament tidigare varit den främsta drivkraften bakom angrepp ser vi, med det rådande omvärldsläget där Sverige inte längre ses som ett neutralt land, allt fler attacker som främst syftar till att åstadkomma maximal skada. Detta bidrar i sin tur till den markant ökade volymen av attacker och ställer nya krav på hur energisektorn ska skydda sig själva.

Många aktörer inom energisektorn måste öka takten i sitt cybersäkerhetsarbete

Som en blivande del av Nato är Sverige ett svagt och tacksamt offer för de angripare som letar efter lätta byten inom alliansen, med vår föga smickrande femtonde plats i Internationella teleunionens (ITU) Global Cybersecurity Index. Sverige ligger långt efter många av våra europeiska grannar inom cybersäkerhet. För många organisationer inom energisektorn måste stora förändringar till för att uppfylla kraven i NIS2-direktivet, det vill säga den EU-omfattande lagstiftningen om cybersäkerhet.

För många organisationer inom energisektorn måste stora förändringar till för att uppfylla kraven i NIS2-direktivet, det vill säga den EU-omfattande lagstiftningen om cybersäkerhet. Foto: Istockphoto

När NIS2 blir svensk lagstiftning under nästa år införs strängare säkerhetskrav och skyldigheter såsom att implementera metoder för riskhantering och snabb incident­rapportering, garantera säkerheten i system och regelbundet bedöma och förbättra sin säkerhet. Om inte den nya regleringen följs riskerar svenska organisationer upp till tio miljoner euro eller två procent av den totala omsättningen i böter.

Tidigare i år dömde Post- och telestyrelsen (PTS) ett bolag till en sanktionsavgift på 12,5 miljoner kronor för brott mot säkerhetsskyddslagen. NIS2 kommer att medföra betydligt högre bötesbelopp än vad brott mot säkerhetsskyddslagen kan orsaka i dag. Det mest utmanande för att uppfylla säkerhetskraven är att skaffa sig förmågan att upptäcka och stoppa cyberattacker innan de tagit sig in i organisationens system. Rent konkret innebär det att kunna säkerställa följande:

  • En inledande behovsanalys och kartläggning av känslig och skyddsvärd data inom den egna verksamheten och närliggande organisationer
  • Tillgång till högkvalificerad personal som kan övervaka och utvärdera larm dygnet runt, samt vidta nödvändiga åtgärder för att stoppa angrepp vid allvarliga incidenter och genomföra incidentrapportering enligt kravet på inom 24 timmar
  • En teknisk plattform med artificiell intelligens som kan sortera i den enorma mängd larm som genereras och därmed ge nödvändiga förutsättningar för de människor som behöver hantera attackerna
  • Möjligheten att processa data inom verksamhetens och landets gränser samtidigt som man tillåts dra nytta av globala trenddata

Många aktörer inom energisektorn är i dag mycket långt från att uppfylla dessa kriterier och de har inte råd att invänta den svenska lag­stiftningens utformning utan måste öka takten i sitt cybersäkerhetsarbete. Annars riskerar de en dubbelsmäll.

Text: Fredrik Olsson, Nordenchef NTT Security

Publicerad 2 oktober 2023

På nytt jobb

Fredrik Engdahl är ny vd för Beulco Holding i Helsingborg. Han kommer från Assemblin ventilation där han var affärsutvecklingschef.
Peter Sedvall är ny vd för Fastighetsautomation & VVS Projektering i Stockholm. Han kommer från den egna verksamheten PSE i samma stad.
Christian Wingård är ny regionchef Mitt på Francks kylindustri. Han kommer från WSP där han var marknads- och försäljningschef.
Magnus Hårde är ny OEM försäljningschef för Sverige på Geberit. Han kommer från Dahl där han senast var tillförordnad divisionschef vvs.

Föreningen för branschens proffs

Tillsammans skapar vi ett hållbart samhälle där både människor och miljö mår bra. Aktiviteterna, utbildningarna och verktygen du behöver för att utvecklas i din yrkesroll. Gå med i EMTF du också.

Läs mer om fördelarna av medlemskap i EMTF

Nyhetsbrev från Energi & Miljö

Nyheterna, reportagen, forskningen och frågorna för oss som jobbar för god innemiljö och energieffektiva byggnader.
Gratis varje vecka direkt i din inkorg.

jag godkänner att energi-miljo.se sparar och hanterar mina kontaktuppgifter.