Evaluating the Impact of the Revised Network and Information Security Directive on supply chain and supplier relationship risk management of Electricity Distribution System Operators
Pysyvä osoite
Kuvaus
Energy sector is one of the essential components of the critical infrastructure. Cyberattacks can pose catastrophic consequences for society. Cyber-attacks targeting the supply chain have been recognized as one major vulnerability factor, prompting European Union to revise the Network and Information Security directive (NIS2). The management of supply chain cyberse-curity risks is now integrated to NIS2 risk management measures.
This thesis considers the existing state of the operational landscape of the electricity distribu-tion system operators (DSOs) as well as the cybersecurity risk management measures utilized in the supply chains. The different methods for cybersecurity management are explored through two thematic levels which are supplier risk management and product risk manage-ment. The thesis aims to create a guideline for electricity distribution system operators (DSO) for the revised network and information security directive (NIS2) compliance by highlighting the special cybersecurity features in their supply chains.
This work focuses on analysing upcoming cybersecurity regulations from the perspective of electricity distribution operators. The research method is design science. The thesis is a case study case study focusing on two separate DSOs. The thesis provides a litetarure review on the topic. Data is gathered with interviews and surveys from the two DSOs and external ex-perts. The results are collated and analysed with the aim of providing applicable recommen-dations.
The recommendations given are that the DSO’s should assess the risks of managing the cy-bersecurity at the group company level. Secondly, they should ensure unified agreement of how the supplier and service provider list is done. DSO’s should enhance the cybersecurity practices integrated to risk assessment frameworks and tailor the frameworks suitable for assessing individual suppliers. DSO’s should also consider what frameworks their suppliers already use. The process for setting and documenting the requirements for cybersecurity in contracts should be unified. Additionally, a special focus should be on the component level cyber security when procuring products that have software. If and when possible, these activ-ities should be performed in cooperation with internal and external stakeholders to maintain the high security level of complete sector.
Energia-ala on yksi kriittisen infrastruktuurin olennaisista osista. Kyberhyökkäykset voivat aiheuttaa katastrofaalisia seurauksia yhteiskunnalle. Toimitusketjuun kohdistuvat ky-berhyökkäykset on tunnustettu yhdeksi suureksi haavoittuvuustekijäksi. Osittain tästä syystä Euroopan unioni on päättänyt uudistaa sen verkko- ja tietoturvadirektiiviä. Toimitusketjun kyberturvallisuusriskien hallinta on nyt integroitu uudistetun direktiivin riskienhallintatoi-menpiteisiin.
Tässä pro gradu -tutkielmassa tarkastellaan sähkönjakeluverkkoyhtiöiden toimintaympäris-tön nykytilaa sekä toimitusketjuissa hyödynnettäviä kyberturvallisuusriskien hallintatoimen-piteitä. Kyberturvallisuuden hallinnan eri menetelmiä tarkastellaan kahdella eri temaattisella tasolla, jotka ovat toimittajariskien hallinta ja tuoteriskien hallinta. Tutkielman tavoitteena on luoda sähkönjakeluverkkoyhtiöille ohjeistus uudistetun verkko- ja tietoturvadirektiivin nou-dattamiselle samalla ottaen huomioon heidän toimitusketjujensa kyberturvallisuuden eri-tyispiirteitä.
Tämä työ keskittyy tulevien kyberturvallisuusmääräysten analysointiin sähkönjakeluyritysten näkökulmasta. Tutkielma tehdään suunnittelutieteen menetelmällä. Tutkielma on tapaustut-kimus, joka keskittyy kahteen erilliseen verkonhaltijaan. Tutkielma sisältää kirjallisuuskat-sauksen, joka syventyy tutkielman aihepiiriin. Data kerätään kahden sähkönjakeluverkkoyh-tiön ja ulkopuolisten asiantuntijoiden haastatteluilla ja tutkimuksilla. Tulokset kootaan ja analysoidaan soveltuvien suositusten antamiseksi.
Annetut suositukset ovat, että jakeluverkkoyhtiöiden tulisi arvioida kyberturvallisuuden hal-linnan riskejä konserniyhtiötasolla. Toiseksi niiden tulisi varmistaa yhtenäinen näkemys siitä, miten tavarantoimittaja- ja palveluntarjoajaluettelo tehdään. Jakeluverkkoyhtiöiden tulisi tehostaa riskinarviointimalleihin integroituja kyberturvallisuuskäytäntöjä ja räätälöidä yksit-täisten toimittajien arviointiin soveltuvat viitekehykset. Jakeluverkkoyhtiöiden tulisi myös harkita, mitä kyberturvallisuuden hallinnan malleja heidän toimittajansa jo käyttävät. Myös sopimusten kyberturvallisuusvaatimusten asettamis- ja dokumentointiprosessi tulee yhte-näistää. Lisäksi komponenttitason kyberturvallisuuteen tulisi kiinnittää erityistä huomiota hankittaessa tuotteita, joissa on ohjelmistoa. Nämä toimet tulisi mahdollisuuksien mukaan toteuttaa yhteistyössä sisäisten ja ulkoisten sidosryhmien kanssa koko alan korkean turvalli-suustason ylläpitämiseksi.