Energiektorn - vad är nytt med NIS2?

Med ett bredare omfång av sektorer, strängare krav på riskhantering och incidentrapportering och hårdare påföljder för bristande efterlevnad är det nya NIS2-direktivet det mest omfattande europeiska cybersäkerhetsdirektivet hittills. Energisektorn har redan varit föremål för NIS1, men här är vad företag inom energisektorn behöver se upp för med det nya NIS2-direktivet.

November 9, 2023
Författare:
Reviewer:
Spread the word

El, olja, gas, fjärrvärme, vattenförsörjning och vätgas. På grund av sin status som kritisk infrastruktur är energisektorn högt prioriterad inom NIS2-direktivet. Sektorn tillhandahåller samhällsviktiga tjänster och är därför ett attraktivt mål för cyberattacker.

Även om energisektorn står inför flera allvarliga tekniska utmaningar – såsom sårbarheter i leverantörskedjor, föråldrad teknik och brister i industriella kontrollsystem (ICS) – räcker det inte att endast förlita sig på tekniska lösningar.
Som en starkt sammankopplad bransch behöver energisektorn också säkerställa att de anställda som arbetar i systemen är medvetna om cybersäkerhetsriskerna.

De mest specifika konsekvenserna av NIS2 för energisektorn inkluderar ökad säkerhet i energisystemen och den övergripande påverkan på energimarknaden, tillsammans med krav på efterlevnad och tillsyn enligt NIS2. Dessutom ställs högre krav på dataskydd och integritet, där konsumenter har rätt att informeras vid incidenter och att begära radering av sina personuppgifter.

Medvetenhetsträning – en av 10 grundläggande cyberhygienåtgärder

NIS2-direktivet kräver att energisektorn – liksom andra samhällsviktiga och viktiga verksamheter – implementerar 10 grundläggande säkerhetsåtgärder för att hantera olika former av cyberhot:

  • Riskbedömningar och säkerhetspolicyer för informationssystem
  • Rutiner för att utvärdera säkerhetsåtgärders effektivitet
  • Policys och rutiner för användning av kryptering
  • En plan för hantering av säkerhetsincidenter
  • Säkerhet vid upphandling, utveckling och drift av system
  • Rutiner för personal med tillgång till känslig eller viktig data
  • Plan för att hålla igång verksamheten under och efter en incident
  • Användning av multifaktorautentisering
  • Säkerhet i leverantörskedjan och relationer med direkta leverantörer
  • Cybersäkerhetsutbildning och digital hygien i praktiken

Cybersäkerhetsutbildning är inte bara en punkt på checklistan. Det är välkänt att medvetenhetsträning är avgörande för att bygga den säkerhetskultur som krävs för att uppfylla många av de övriga kraven i NIS2.
Utan kontinuerlig medvetenhetsträning riskerar många säkerhetsrutiner att fallera – på grund av den mänskliga faktorn.

Utbildningar som stärker efterlevnaden

Våra uppdaterade Informationssäkerhetsutbildningar för 2024 riktar sig till alla medarbetare, chefer, ledare och styrelser och är en viktig del i att uppnå NIS2-efterlevnad.

Eller varför inte kickstarta med vår kurs Introduktion till NIS2? Den ger ledningen en tydlig bild av vad som krävs för att er organisation ska leva upp till de nya kraven.

Senaste blogg om cybersäkerhet

May 27, 2024
Information Security

NIS2 och livsmedelssektorn – vad gäller nu?

NIS2 omfattar nu även livsmedelssektorn med nya krav på cybersäkerhet och incidentrapportering. Ta reda på vad som krävs och hur ni förbereder er.
Läs mer
November 14, 2023
Information Security

NIS2 och digital infrastruktur – vad gäller nu?

NIS2 innebär skärpta krav för aktörer inom digital infrastruktur. Ta reda på vad som förändras, vem som påverkas och hur ni förbereder er.
Läs mer
April 4, 2024
Phishing

Undvik andras varumärken i phishingsimuleringar

Att använda välkända varumärken i phishingsimuleringar kan skapa juridiska problem och underminera förtroendet. Här är riskerna – och alternativen.
Läs mer
Se alla