EU vil ta et nytt skritt for å styrke beskyttelsen av Europas strømforsyning
EUs energibyrå Agency for the Cooperation of Energy Regulators (ACER) har nå lansert en ny veiledning som skal gjøre det mulig å systematisk måle og sammenligne cybersikkerheten i det europeiske kraftsystemet.
Ordningen er knyttet til EUs nye Cybersecurity Network Code og skal gi myndighetene bedre oversikt over hvor utsatt strømnettet er for digitale angrep – særlig angrep som kan få konsekvenser på tvers av landegrensene.
Skal måle reell cyberrobusthet
Den nye veiledningen beskriver hvilke data aktører i kraftsektoren frivillig skal rapportere for å dokumentere sin operative cybersikkerhet. Målet er ikke å samle detaljer om enkeltangrep, men å etablere statistiske indikatorer som viser utvikling over tid.
ACER understreker at indikatorene skal brukes til å vurdere hvor effektivt selskapene beskytter sine digitale systemer og i hvilken grad de klarer å håndtere cyberrisiko som kan true forsyningssikkerheten i Europa.
Dette skal rapporteres
Ifølge veiledningen ber ACER om tre hovedtyper informasjon:
- antall rapporteringspliktige cybertrusler per år
- antall rapporteringspliktige cyberangrep per år
- antall utnyttede sårbarheter der sikkerhetsoppdateringer ikke var installert (såkalte «zero day»-sårbarheter)
Disse indikatorene er ment å gi et samlet bilde av både trusselnivået og modenheten i cybersikkerhetsarbeidet i kraftsektoren.
Hvem omfattes
Veiledningen retter seg mot hele verdikjeden i kraftmarkedet. Dette inkluderer:
Les også: Ukrainas desentraliserte energiløsning
- transmisjons- og distribusjonssystemoperatører
- kraftprodusenter
- kraftbørser og markedsoperatører
- balanseringsansvarlige aktører
- leverandører av kritiske IKT- og sikkerhetstjenester
ACER legger vekt på at cybersikkerhet i kraftsektoren ikke bare er et teknisk spørsmål, men et felles ansvar som omfatter både drift, marked og digitale leverandørkjeder.
Tidsplan og rapportering
Rapporteringen starter i 2027, da ACER åpner sitt første innrapporteringsvindu. Da skal aktørene levere data for året 2026. Deretter vil rapportering skje hvert tredje år, med data som dekker de tre foregående årene.
Innsendingen skal skje via et eget, sikkert nettverktøy som ACER vil stille til rådighet. Mer detaljerte tekniske retningslinjer skal publiseres i forkant av første rapporteringsrunde.
Del av bredere sikkerhetsskifte
ACER opplyser at dataene vil bli aggregert for å beskytte sensitiv informasjon, før de brukes i byråets treårige rapporter om energisystemets robusthet. Målet er å støtte EUs overordnede arbeid med å styrke motstandskraften i kritisk infrastruktur.
Bakgrunnen er økende bekymring for statlige og ikke-statlige cyberoperasjoner mot energisystemer, særlig i lys av krigen i Ukraina og økt bruk av digitale angrep som del av hybrid krigføring.
Med den nye ordningen får EU for første gang et felles rammeverk for å følge utviklingen i cybersikkerheten i kraftnettet – et område som i økende grad regnes som avgjørende for både økonomisk stabilitet og nasjonal sikkerhet.
Norske gründere vil overvåke strømnettet med selvladende droner på kraftlinjene
