Veileder til sikkerhetsvurdering for AMS

Del denne sidenDel på e-post

Om denne veilederen

AMS-infrastrukturen (avanserte måle- og styringssystem) håndterer måledata for fakturering og gir mulighet for fjernstyring av strøm til kunder.

Bakgrunn og formål

AMS-infrastrukturen (avanserte måle- og styringssystem) håndterer måledata for fakturering og gir mulighet for fjernstyring av strøm til kunder. Et kompromittert system kan ramme personvern, fakturering og i verste fall strømforsyningen.

Nettselskap skal sikre AMS mot uønsket tilgang, jf. forskrift om kraftomsetning og nettjenester § 4-6.1 Paragrafen krever at sikkerhet vurderes ved oppstart og ved endringer, og at sikkerhetsløsninger oppfyller kravene til digitale informasjonssystemer i kraftberedskapsforskriften. Kraftberedskapsforskriften (KBF) § 2-3, § 6-9 og § 6-10 stiller krav til risikovurderinger, grunnsikring og sikring av brytefunksjonalitet.2 Denne veilederen gir praktisk veiledning i hvordan slike sikkerhetsvurderinger kan gjennomføres.

Sikkerhetsvurderinger er systematiske gjennomganger for å identifisere og håndtere sikkerhetsrisiko i AMS-infrastrukturen, som risikovurderinger, sårbarhetsanalyser, sikkerhetsrevisjoner og penetrasjonstester.

Målgruppe

Veilederen er laget for personer i nettselskap som har ansvar for drift, IT-sikkerhet eller internkontroll knyttet til AMS. Den forutsetter ikke spesialistkompetanse innen cybersikkerhet, men gir praktisk veiledning som kan brukes direkte eller som grunnlag for dialog med leverandører og konsulenter.

Om kravene i veilederen

Veilederen skiller mellom:

  • MÅ-krav: Direkte lovpålagte krav som alle nettselskap skal oppfylle.
  • BØR-tiltak: Anbefalte tiltak fra NSMs grunnprinsipper. Disse er ikke direkte lovpålagte, men kan likevel være nødvendige for å oppnå forsvarlig sikkerhetsnivå etter en konkret vurdering.

Hva som er forsvarlig sikkerhetsnivå, vil variere. Nettselskap med høyere risiko eller mer kompleks infrastruktur vil normalt måtte gjennomføre flere av BØR-tiltakene for å oppfylle lovkravene.

Dokumentasjon

Resultatene fra sikkerhetsvurderingene skal dokumenteres i internkontrollsystemet. Se Veileder til internkontroll for informasjonssikkerhet, som beskriver hvordan virksomheten etablerer og drifter et internkontrollsystem.

 

Slik bruker man denne veilederen

  • Trenger virksomheten å vite hvor den skal starte? Se «Kom i gang»
  • Trenger virksomheten oversikt over krav og frister? Se «Oversikt og planlegging»
  • Skal virksomheten gjennomføre risikovurdering? Se «Gjennomføring av sikkerhetsvurderinger»
  • Skal virksomheten gjennomføre testing? Se «Følg opp og test»
  • Trenger virksomheten en mal? Se «Mal for risikovurdering»

 

AMS-infrastrukturen

Figuren under viser dataflyt og komponenter i AMS.

1. Målepunkt

Måleren registrerer strømforbruk og har bryterfunksjon for fjernstyring. Data sendes via radio, mobilnett eller i noen tilfeller over strømnettet (PLC).

2. Sentralsystem (HES)

Head-End System samler inn data fra målere, styrer målerne og lagrer måledata. Herfra sendes data til fakturasystem og Elhub.

3. Elhub

Nasjonal datahub som mottar måledata fra alle nettselskap og deler data med strømleverandører og andre aktører.

 

 

  1. Forskrift om måling, avregning, fakturering av nettjenester og elektrisk energi, nettselskapets nøytralitet mv
  2. Forskrift om sikkerhet og beredskap i kraftforsyningen (kraftberedskapsforskriften)