Deloitte   Deloitte
Global > Sverige > Din bransch > Energy & Resources    
Skärpta krav på krisberedskap och informationssäkerhet kan påverka företag inom energi- och råvaruförsörjningen

Regeringen presenterade i mars 2008 en ny proposition rörande krisberedskap och de föreslagna lagförändringarna kan påverka företag framför allt inom energisektorn. Lagförslagets skärpta krav på informationssäkerhet i kombination med andra externa krav, som ökade miljökrav och socialt ansvar, kan göra att företagen behöver se över sina processer och om ledningssystem för informationssäkerhet bör implementeras.

Den 18 mars presenterade regeringen en ny proposition, Stärkt krisberedskap – för säkerhets skull, 2007/08:9. De föreslagna lagändringarna kan i förlängningen påverka företag verksamma inom energi- och råvaruförsörjning, då sådana företag enligt regelverken borde falla under rubriken Samhällsviktig verksamhet.

Skärpta krav på informationssäkerhet kan aktualisera behovet av att implementera ett Ledningssystem för informationssäkerhet i enlighet med standarden SS-ISO/IEC 27001. Samtidigt berörs dessa företag av andra externa krav, exempelvis i frågor som rör socialt ansvar, finansiell rapportering och bolagsstyrning. Det kan därför vara befogat att fundera över integrerade ledningssystem för att stärka bolagsstyrningen och effektivisera arbetet med att säkerställa att externa regelverk följs.

Ökad efterfrågan – minskande tillgångar
Med den ökning av efterfrågan på råvaror och energi som följer i globaliseringens spår och den snabba tillväxten i tidigare svaga ekonomier tvingas branschen säkra nya tillgångar och samtidigt upprätta strukturer för hållbar utveckling i hela produktions- och distributionskedjan. Två starka tendenser har präglat marknaden de senaste åren:

  1. Ökande investeringar i prospektering.
  2. Ökande aktiviteter för att nå strategiska förbättringar genom fusioner och uppköp.

Syftet i båda fallen är ofta att säkra tillgångar för att möta marknadens tilltagande efterfrågan. Det sker på en reglerad marknad, då närmare 80 procent av världens samlade tillgångar av olja och gas är i statlig ägo. Inte heller råvarutillgångar i privat ägo kan utvinnas utan den politiska maktens godkännande. Branschen är därför mycket exponerad för olika typer av politiska risker. Mot denna bakgrund kan vi summera förändringstrycket inom branschen på följande sätt:

Tendenser styrda av marknadens direkta krav och förväntningar

  • Ökad efterfrågan – minskande, ändliga tillgångar.
  • Prospektering för att lokalisera nya tillgångar respektive för att bättre nyttja befintliga tillgångar.
  • Fusioner och uppköp för att säkra råvarutillgångar och sänka produktionskostnader.

Tendenser styrda av indirekta, yttre krav

  • Strävan mot hållbar utveckling i enlighet med skärpta miljökrav.
  • Strävan mot hållbar utveckling i enlighet med skärpta krav på socialt ansvar.
  • Strävan mot utvecklad bolagsstyrning och riskhantering för att hantera kvalitetskrav i den finansiella rapporteringen och för att utveckla de ledningssystem som behövs för att klara övriga förändringsmål.

Krisberedskap och informationssäkerhet
Parallellt med dessa utvecklingar formuleras även en rad nya krav som har att göra med nationella säkerhetsintressen. Regeringar tillsätter kommissioner för att göra riskbedömningar och utreda i vilken mån nationella säkerhetsintressen hotas av störningar eller bortfall i energi- och råvaruförsörjningen. Åtgärdspaketen varierar från land till land men tendenserna är desamma – en ökad nervositet inför risken att ändliga naturresurser och ökande världsmarknadspriser ska hota det egna landets produktionskapacitet, men även för att sårbarhet i försörjningen kan nyttjas för att uppsåtligen vålla skada.

I Sverige har frågorna av inte ställts lika tidigt och tydligt som i de länder där hoten har upplevts som mer uppenbara. I USA har myndigheten Federal Regulation and Oversight of Energy (FERC) och av denna den bemyndigade organisationen North American Electric Reliability Corporation (NERC) rätt att föreskriva detaljerade regleringar som aktörer inom energisektorn måste följa.

Men under senare år har det även pågått ett arbete i Sverige med att definiera striktare ramar. InfoSäkutredningen vars ursprungliga uppdrag i juli 2002 handlade om signalspaning är ett exempel. Efter en delrapport år 2003 utökades utredningens uppdrag till att omfatta utformningen av en nationell strategi för informationssäkerhetsarbete. Med tiden har debatten vidgats till ett mer övergripande perspektiv, inkluderande nationell krisberedskap generellt.

De två delrapporterna från 2005, Säker information – förslag till informationssäkerhetspolitik (SOU 2005:42) och Informationssäkerhetspolitik – organisatoriska konsekvenser (SOU 2005:71), resulterade bland annat i de lagändringar som gav den år 2002 inrättade Krisberedskapsmyndigheten en rad nya befogenheter bland annat att aktivt granska IT-säkerheten. Dessa befogenheter användes i kartläggningen av hur domännamnsservrar (DNS) utnyttjades av svenska myndigheter och samhällsviktiga organisationer under hösten 2007. Resultaten presenterades i rapporten Nåbarhet på nätet, hälsoläget i .SE 2007. Kartläggningen visade exempelvis akuta säkerhetsbrister i 40 procent av alla svenska landsting. Även många börsnoterade företag undersöktes och visade sig ha allvarliga brister.

Utredningen gjordes mot bakgrund av de attacker som Estland utsattes för under våren 2007, en följd av den utrikespolitiska kris som beslutet att trots ryska protester flytta minnesmärken från sovjettiden skapade. Krisberedskapsmyndighetens kartläggning utredde hur väl Sveriges cyberförsvar skulle motstå liknande attacker.

Med Krisberedskapsmyndighetens rekommendationer, Basnivå för informationssäkerhet (BITS), finns lättillgängliga anvisningar som organisationer kan välja att följa för att förbättra informationssäkerheten. De är väsentligen en praktisk omsättning av standarden ISO/IEC 27001 (SS-ISO/IEC 17799), Ledningssystem för informationssäkerhet.

Viktiga grundförutsättningar finns således på plats – regelverk och rekommendationer som tydliggör vad man behöver göra samt verktyg och metoder som visar hur det kan göras, något som hjälper berörda organisationer att ta itu med arbetet. Däremot saknas fortfarande tydliga ramar som anger vilka organisationer som berörs, hur samhället ska övervaka att reglerna följs och vilka påföljder bristande förmåga att leva upp till kraven ska medföra.

InfoSäkutredningen konstaterade att det saknades en tydlig definition av vilken typ av verksamhet som måste anses vara samhällsviktig och föreslog att regeringen skulle definiera dessa så att de ”därmed kan bli föremål för särskilda åtgärder.” (SOU 2005:71).

Regeringens proposition från den 13 mars 2008, Stärkt krisberedskap – för säkerhets skull, regeringens proposition 2007/08:92, ger vissa svar:

”Med samhällsviktig verksamhet avses ur ett krisberedskapsperspektiv en verksamhet som uppfyller båda eller det ena av följande villkor:  
1. Ett bortfall av eller en svår störning i verksamheten kan ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid leda till att en allvarlig kris inträffar i samhället.
2. Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad allvarlig kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt. Med samhällsviktig verksamhet menas därmed t ex elförsörjningen, telekommunikationerna, livsmedelsförsörjningen, vissa IT-system, distributionen av radio- och TV-program och kommunaltekniska försörjningssystem som vatten- och avloppssystem och fjärrvärme. […] Vilken verksamhet som bör betraktas som samhällsviktig bör analyseras och uppdateras kontinuerligt.”

Vissa bolag som är verksamma inom energi- och råvaruförsörjningen kan därmed omfattas av framtida regleringar som rör samhällsviktig verksamhet.

Den nämnda propositionen föreslår att en ny myndighet inrättas, Myndigheten för samhällsskydd och beredskap, som ska samla ansvaret som nuvarande Krisberedskapsmyndigheten, Statens räddningsverk och Styrelsen för psykologiskt försvar omfattar. Dessa tre myndigheter läggs i så fall ner samtidigt som den nya myndigheten ges utökade befogenheter att inte bara rekommendera utan att även utfärda föreskrifter för att förbättra krisberedskapen och informationssäkerheten. Med den myndigheten skulle Sverige få en central myndighet med rätt att utfärda detaljerade föreskrifter av den typ som FERC/NERC står för i Nordamerika.

Upprättande av ledningssystem kan minimera risker
Med skärpta kvalitetskrav baserade på regelverk som inte omedelbart kan deriveras ur kärnverksamhetens egen logik kan företag som är verksamma inom energi- och råvaruförsörjningen vara hjälpta av att upprätta ledningssystem för att minimera de risker som bristande efterlevnad kan medföra.

Bland standarder som en organisation kan dra nytta av för att svara mot externa krav kan nämnas:

  • ISO 9001 – Ledningssystem för kvalitet
  • ISO 14001 – Miljöledningssystem
  • ISO/IEC 27001 – Ledningssystem för informationssäkerhet
  • SS 62 40 70 – Ledningssystem för kompetensförsörjning
  • AFS 2001:1 – Arbetsmiljöverkets föreskrift för Systematiskt arbetsmiljöarbete
  • ISO 26000, Social Responsibility, ett ramverk som ännu så länge bara finns i utkast men som förväntas vara klart för implementering senast 2010

När många olika regelverk påverkar verksamheten kan kostnaderna för implementering variera kraftigt beroende på hur problemet angrips. Det kan löna sig att sträva efter integrerade lösningar. Det handlar i alla dessa fall om system som syftar till effektiv bolagsstyrning. Ledningssystem av denna typ utgör typiskt en kombination av organisatoriska anpassningar, processer och anpassningar av informationssystem. Med samordning och integration kan effektivitetsvinster uppnås samtidigt som ansvariga ledningsgrupper och styrelser tar kontroll över förändringsarbetet.

Vad vi kan hjälpa ditt företag med
Deloitte bistår organisationer som strävar efter att implementera ledningssystem för informationssäkerhet respektive projekt som syftar till att integrera olika ledningssystem. För mer information kontakta Peter Tornberg, tfn 0768-47 21 59 eller Finn Frisch, tfn 0768-47 26 90.
Kontakta oss >
 
Senast uppdaterad: 31 mars 2008
Källa: Deloitte - Sverige (svenska)

Skriv ut    E-posta en kollega/vän
  Säkerhet | Legala frågor | Cookies och integritet    

Copyright ©2008 by Deloitte Touche Tohmatsu. All rights reserved.

Deloitte refers to one or more of Deloitte Touche Tohmatsu, a Swiss Verein, and its network of member firms, each of which is a legally separate and independent entity. Please see www.deloitte.com/se/omoss for a detailed description of the legal structure of Deloitte Touche Tohmatsu and its member firms.

Deloitte i Sveriges RSS-kanaler | Webbplatsöversikt