Tilbake

NEK 850 – digital sikkerhet for moderne kraftsystemer

Tekst: Thea Martine Samer, rådgiver forretningsutvikling

Digitaliseringen av kraftsystemet har ført til økt behov for standardiserte løsninger for cybersikkerhet. NEK utviklet NEK 850 som en samlet tilnærming til sikkerhet i kraftforsyningens kommunikasjons- og kontrollsystemer. Standarden bygger på den internasjonale serien IEC 62351.

Bakgrunn for NEK 850 – behovet for struktur og anvendbarhet

IEC 62351 er en omfattende serie med mange delstandarder. Disse dekker i hovedsak sikring av kommunikasjonsprotokoller i kraftsystemet, blant annet gjennom bruk av kryptering og autentisering. Samtidig kan serien oppleves som fragmentert og lite oversiktlig for aktører som skal implementere kravene i praksis.

For å gjøre dette mer anvendbart i norsk sammenheng, har NEK samlet og strukturert relevante deler i NEK 850. Dette gjør det enklere for virksomheter å forholde seg til en helhetlig standard fremfor en rekke enkeltstående dokumenter.

Utvidet fokus – fra kommunikasjon til helhetlig sikkerhet

Mens IEC 62351 primært fokuserer på sikring av kommunikasjon mellom systemer, utvider NEK 850 perspektivet til også å omfatte andre kritiske områder.

Et sentralt eksempel er rollebasert tilgangskontroll. Dette handler ikke bare om selve kommunikasjonsprotokollene, men om hvordan tilgang til systemer og utstyr administreres i praksis. I kraftanlegg finnes det ofte et stort antall PC-er og kontrollsystemer – i damanlegg, kraftstasjoner og koblingsanlegg – som er fysisk beskyttet, men likevel potensielt tilgjengelige.

Dette stiller krav til bevissthet rundt tilgangsstyring. Hver bruker må ha en individuell identitet, og det bør benyttes mekanismer som tofaktorautentisering og andre sikkerhetstiltak. Erfaring viser at slike forhold ikke alltid er tilstrekkelig ivaretatt i administrative prosesser, noe NEK 850 søker å adressere.

Konsekvenser for hele IT- og OT-miljøet

Implementering av NEK 850 påvirker ikke bare enkeltkomponenter, men hele IT- og OT-installasjonen i kraftsystemet. Standarden må sees i sammenheng med eksisterende teknologier og standarder, som IEC 61850, som brukes for kommunikasjon i kraftsystemer.

Videre er det en tydelig kobling til regulatoriske krav. Veilederen til Kraftberedskapsforskriften åpner for bruk av relevante standarder for å sikre informasjons- og kommunikasjonsprotokoller, og det vises til NEK 850 som et grunnlag.

NEK 850 er forankret i norsk standardisering

Arbeidet med NEK 850 er forankret i det norske fagmiljøet, blant annet gjennom komite NK 57, med bidrag fra bransjeaktører, myndigheter og NEKs administrasjon. NVE har også støttet arbeidet.

En viktig motivasjon har vært å gjøre det enklere for virksomheter å forholde seg til kravene: det er mer hensiktsmessig å vise til en samlet standard enn til en rekke ulike dokumenter.

Struktur -. krav og veiledning

NEK 850 er strukturert slik at den skiller mellom normative og informative deler. Grovt sett kan dette beskrives som:

  • Del A: Krav og mekanismer som brukes direkte i implementering av sikkerhetstiltak
  • Del B: Veiledninger, testmetoder og støtte for etterlevelse

Denne inndelingen gjør det tydelig hva som er obligatoriske krav, og hva som er støtte for implementering og verifikasjon.

Leverandørstøtte og praktisk implementering

For at NEK 850 skal fungere i praksis, er det avgjørende at leverandører av systemer og utstyr støtter de relevante standardene. De mest etablerte leverandørene i markedet har i økende grad implementert støtte for mekanismene som beskrives i IEC 62351 og relaterte standarder.

Dette gjør det mulig å ta i bruk standardene i nye og eksisterende anlegg, og bidrar til en mer ensartet og robust sikkerhetsarkitektur i kraftsystemet.

Les mer om NEK 850