Mindre energibolag och kraven från myndigheterna - var börjar man?

Mikael Pettersson 22 oktober, 2020

Jag har full förståelse för att mindre aktörer i energibranschen känner sig både tveksamma och konfunderade inför de krav som ställs som en följd av NIS-direktivet. Inte sällan möts jag av resonemang i stil med;

Vänta lite nu. Vi är ju ett litet bolag.
”Ska vi efterleva samma krav som det stora jättarna? Att dra i gång ett ledningssystem är ju inget som görs på en kafferast.

Jag säger inte emot. Jag är väl medveten om utmaningen som mindre energibolag ställs inför på grund av att de levererar samhällsviktiga tjänster.

Levererade tjänster för den här typen av bolag är kanske inte av den digniteten att det har påverkan på Sveriges säkerhet enligt Säkerhetsskyddslagen, men ändå så viktiga för det närliggande samhällets vitala funktioner. Gällande lagstiftning är tydlig på att varje leverantör av samhällsviktiga tjänster ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete. Dessutom med stöd av de etablerade standarderna för informationssäkerhet ISO 27001 och ISO 27002. ”Hur i allsindar ska vi börja” blir ju en befogad fråga.

Vi har full förståelse för de utmaningar som väntar de mindre energibolagen i sin resa mot att efterleva gällande krav.
Det är lätt hänt att vi; ”inte ser skogen för alla träd

Mitt råd är att inledningsvis inte fokusera på standarder och ledningssystem. Fokusera i stället på det som det handlar om. Nämligen informationssäkerheten. Vägen mot ett systematisk och riskbaserat arbete börjar med att steg för steg höja nivån på informationssäkerheten. Två steg som är en utmärkt början är att göra dels en nulägesanalys (GAP-analys), dels en riskanalys. GAP-analysen visar mognadsgraden för din organisation i förhållande till vald standard, medan riskanalysen syftar till att visa vilka hot och sårbarheter mot era informationstillgångar. Dessa visar vilka delar som just din organisation behöver fokusera på i arbetet med informationssäkerhet. Därifrån får ni en bra uppfattning om vägval som är bra för er och hur ni kan gå vidare utifrån er ambition och förmåga i vägen mot ett LIS.

Med hög sannolikhet är det så att ni som sitter i mindre energibolag får en betydligt smidigare och kortare resa mot att efterleva gällande lagkrav tack vare att verksamhetsprocesserna är mindre både till antalet och till sin komplexitet.

Behöver ni hjälp? Kontakta Secify som tillsammans med er utformar en tjänst som passar specifikt för era behov.

Mikael Pettersson