IT-säkerhet är ett mycket omtalat ämne inom energisektorn, men för många energibolag har det hittills varit oklart hur man rent konkret ska börja utveckla IT-säkerheten. I sommar kom två nyheter inom EU som kommer att förtydliga myndighetskraven och göra det enklare att planera sina nästa steg. Standarder kan erbjuda vägledning om hur informationssäkerheten kan hanteras i den dagliga verksamheten.

EU:s första direktiv om IT-säkerhet antogs av Europeiska parlamentet i början av juli: NIS-direktivet (direktivet om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen) trädde i kraft i augusti 2016 och ska införlivas i nationell lagstiftning inom 21 månader.

Direktivet innebär att vissa energibolag på nationell skala ska klassas som operatörer av kritisk infrastruktur. Dessa bolag ska införa rutiner för att förebygga risker och rapportera allvarliga incidenter till nationella myndigheter. Direktivet kräver att medlemsstaterna identifierar dessa aktörer inom sex månader.

Parallellt med detta har Smart Meter Co-ordination Group (SM-CG), en arbetsgrupp inrättad av de europeiska standardiseringsorganisationerna CEN, CENELEC och ETSI gett ut en lista med minimikrav för IT-säkerhet i AMI-komponenter. Listan sammanställdes i samarbete med den europeiska branschorganisationen ESMIG och består av nio krav som omfattar alla AMI-komponenter från smarta mätare till Head End-system. Kraven formulerades utifrån en genomgång av totalt 300 nationella säkerhetskrav.

Informationsgrafik: EU:s ramverk för IT-säkerheten i smarta nät.

”En hög nivå på dataskydd och sekretess är viktig för att allmänheten ska acceptera smarta mätare, vilket ofta avgör hur väl en lansering lyckas. SM-CG:s minimikrav är ett bra exempel på framgångsrikt samarbete mellan företag, branschorganisationer och offentliga aktörer. Listan erbjuder ett utmärkt ramverk för de medlemsstater som ännu inte fastställt egna krav på smarta mätare och garanterar den säkerhetsnivå som nätbolagen och deras kunder efterfrågar och förtjänar”, säger John Harris, Vice President and Head Governmental and Regulatory Affairs på Landis+Gyr.

Det nya direktivet och säkerhetskraven erbjuder ett bra underlag för utveckling av energibolagens IT-säkerhet, men det förutsätter kontinuerligt arbete på organisationsnivå. Industristandarder kan hjälpa organisationer att utveckla IT-säkerheten på ett systematiskt sätt. ISO/IEC 27001 fastställer kraven på ett ledningssystem för informationssäkerhet och hjälper företagen att skydda känslig information.

Integrera IT-säkerhet i din organisation

Utveckling av IT-säkerheten i smarta nät är en kontinuerlig process som börjar med analys av utgångsläget, identifiering av svagheter och sammanställande av en förbättringsplan. Att förstå sårbarheter och garantera tillräckliga förebyggande åtgärder är helt avgörande. IT-säkerhet handlar om mer än den tekniska lösningen – även människor, processer och företagets övergripande IT-infrastruktur måste beaktas. Utvecklingsinsatser kan riktas in på samtliga fokusområden. För mer information, läs vår artikel om IT-säkerhet: ‘Weaving AMI cybersecurity into the fabric of your organization’.

Vad sägs om säkerhet i Gridstream -lösning? Läs mer från vår gratis e-bok: