NIS2 – det reviderte EU-direktivet for nettverks- og informasjonssikkerhet – utvider og skjerper kravene til sikkerhet for virksomheter i kritisk infrastruktur. Kraftsektoren er en av de sektorene som er eksplisitt nevnt i direktivet, og norske kraftselskaper og nettselskaper vil måtte forholde seg til kravene etter hvert som direktivet implementeres i norsk rett.
Implementeringen i Norge pågår, og det endelige regelverket er ikke fullt ut fastsatt. Men retningen er tydelig: kravene til sikkerhetsstyring, hendelsesrapportering og fysisk sikring vil bli strengere. Selskaper som begynner å forberede seg tidlig vil stå bedre rustet når de formelle kravene trer i kraft.
Kontakt oss for rådgivning om sikkerhet i kraftsektorenHva er NIS2?
NIS2 er en revisjon av det opprinnelige NIS-direktivet fra 2016 og ble vedtatt av EU i 2022. Direktivet pålegger virksomheter i utpekte sektorer å innføre tiltak for å styre risikoer knyttet til nettverks- og informasjonssikkerhet – og utvider dette til også å omfatte fysisk sikkerhet der denne er relevant for å beskytte kritiske systemer.
Kraftsektoren – inkludert produksjon, overføring og distribusjon av elektrisitet – er en av kjernesektorene som er nevnt i direktivet. Det betyr at kraftselskaper og nettselskaper vil falle inn under kravene, avhengig av størrelse og rolle i infrastrukturen.
Hva forventes av kraftselskaper?
Direktivet stiller krav innen flere områder som er relevante for kraftselskaper. På et overordnet nivå handler det om:
Risikostyring: Virksomheter må ha etablerte prosesser for å identifisere, vurdere og håndtere sikkerhetsrisikoer – både digitalt og fysisk. Dette inkluderer risikovurderinger av anlegg, systemer og leverandørkjeder.
Fysisk sikring av kritiske anlegg: Kraftstasjoner, nettstasjoner og tekniske anlegg må sikres mot uautorisert adgang. Krav til adgangskontroll, perimetersikring og overvåking vil bli tydeligere definert.
Hendelsesrapportering: Alvorlige sikkerhetshendelser – både digitale angrep og fysiske innbrudd – skal rapporteres til relevante myndigheter innen fastsatte frister.
Dokumentasjon og revisjonsspor: Virksomheter må kunne dokumentere at sikkerhetstiltakene er på plass, at de vedlikeholdes og at hendelser håndteres i henhold til etablerte prosedyrer.
Leverandørsikkerhet: Krav til sikkerhet strekker seg til leverandørkjeden. Selskaper som leverer tjenester eller utstyr til kritisk infrastruktur vil selv bli stilt overfor krav.
Fysisk sikkerhet som en del av NIS2
Et viktig aspekt ved NIS2 som ofte undervurderes er at direktivet eksplisitt inkluderer fysisk sikkerhet som en del av kravene til sikkerhetsstyring. Det er ikke tilstrekkelig å ha god cybersikkerhet dersom nettstasjoner og tekniske rom er tilgjengelige for uvedkommende.
For kraftselskaper betyr dette at adgangskontroll, kameraovervåking og perimetersikring av anlegg ikke lenger er valgfrie tiltak – de er en forventet del av sikkerhetsinfrastrukturen.
Relevant løsningHvorfor begynne å forberede seg nå?
Selv om det norske regelverket ikke er endelig fastsatt, er det gode grunner til å starte forberedelsene tidlig:
- Kartlegging av eksisterende sikkerhetstiltak tar tid og avdekker gjerne hull som krever planlegging og budsjett for å lukke
- Standardisering av plattformer og løsninger på tvers av anlegg er enklere å gjennomføre gradvis enn som et hasteprosjekt
- God dokumentasjon bygges over tid – ikke på noen måneder rett før en revisjon
- Leverandørmarkedet for sikkerhetsutstyr og installasjonstjenester kan bli presset når mange virksomheter skal gjøre det samme på kort tid
Solid Sikring og kraftsektoren
Solid Sikring leverer sikkerhetsløsninger til virksomheter med krav til sporbarhet, dokumentasjon og høy driftssikkerhet. Vi har erfaring med adgangskontroll, kameraovervåking og nøkkelhåndtering for tekniske anlegg der disse kravene er viktige – og vi kan bistå kraftselskaper med å kartlegge og styrke den fysiske sikkerhetsinfrastrukturen.
