The organization should assess and document the need for redundancy in its operational control system. The assessment should be based on a risk analysis that considers local conditions and the potential consequences of system failure. This ensures that critical operations can be maintained even if parts of the system fail.

Common failure points like shared service providers or physical conduits should be identified. Operational control systems for class 2 and 3 facilities must be redundant up to the local control facility to address identified points of failure. Redundant communication paths should be physically separated to prevent a single incident from affecting both .

The organisation should therefore assess the need for redundancy for components within the local control facility. This assessment should identify potential single points of failure and determine what measures are necessary to ensure the continued operation of critical functions in the event of a failure.

The organisation should create a written procedure for external connections to the operational control system. The procedure should include, at a minimum:

• Rules for opening and closing connections based on need.
• A definition of what constitutes a secure location for external connections.
• The requirement for the operations center to be staffed during supplier connections.
• A process for obtaining permission from an authorized person before controlling facilities.
• A prohibition on sharing user identities.

The organisation should establish and document security measures for class 1 facilities. Measures should ensure facilities are designed to a normal security level, damage and loss of function are detected within reasonable time, and repairs and function restoration occur without undue delay.

Specific requirements apply to the following facility types:

• Substations, switching stations, power stations, and district heating: Access-controlled zones with standard physical security and fire protection, separate access-controlled zones for control/management/communication rooms, and emergency power with minimum 24-hour runtime.
• Operational control systems: Standard fire and burglary protection with alarm systems, 24-hour emergency power (UPS and mobile generator), backup plans for critical functions, and communication systems secured against foreseeable threats.
• Power lines: Risk-based security and preparedness measures tailored to local conditions and societal importance.

Alternative measures are acceptable if equivalent security is documented.

Organisations running Class 2 facilities should document security measures in place for providing medium-high protection, limiting loss of vital functions, and prompting restoration after damage.

Specific requirements apply to the following facility types:

• Substations and switchgear: Alarms with response, structural protection, access-controlled control rooms, enclosed transformers, redundant station power and components, redundant emergency power (≥2 days).
• Power stations: Secured perimeter with lockable steel gates, solid buildings, fire compartments, redundancy (except turbines/generators), 2-day emergency power, ≥1 black-start generator.
• Operational control systems: Fire/burglary-resistant operations centres in separate access-controlled fire compartments, redundancy, two independent power sources with 6-hour UPS and 2-day total runtime (up to 14 days for inaccessible sites), alternative systems for critical functions, secured communications.
• Power lines and cables: Risk-based security measures, protection or secure storage of critical cable components, and prompt restoration of lost functionality.
• District heating: Special protective requirements may apply as set by the emergency response authority.

Alternative measures are permitted if an equivalent security level can be documented.

The organisation should establish and document security measures for class 3 facilities. Measures should ensure facilities are designed to a high security level, vital functions are maintained in extraordinary situations, and functionality is restored without undue delay.

Specific requirements apply to the following facility types:

• Substations and switching stations: Effective detection and rapid response, physical perimeter security at sufficient distance from non-restricted areas, high-security protection of critical components, main transformers shielded with double-reinforced concrete, redundant independent cable runs, redundancy for primary components, redundant station power (two subsystems with 6-hour UPS, 3-day stationary generator, quick-connect mobile generator), and mitigation of geomagnetically induced currents.
• Power stations: Vital components in protective rock caverns within a high-security perimeter, high fire resistance and compartmentalisation, separate access-controlled control rooms, redundant independent cable runs, redundant station power (two subsystems with 6-hour UPS, 3-day stationary unit, quick-connect mobile generator), and at least one black-start and island-operation capable unit.
• Operational control systems: Solid fire/burglary-resistant control centres as separate access-controlled fire compartments, fully redundant components and pathways, redundant station power (two subsystems with 6-hour UPS, 3-day stationary generator, quick-connect mobile generator), emergency operations room or alternative location for critical functions, and robust communication systems with 3-day emergency power runtime (up to 30 days for inaccessible sites).
• Power lines and cables: Risk-based security measures, protection or secure storage of critical cable components with spare cable available, and prompt restoration of lost functionality.

Redundancy should be achieved through electronic, electrical, and physical separation where possible. Alternative measures are acceptable if an equally high security level can be documented. Usage of Norwegian standards in compliance processes should be documented where relevant.

The organisation should establish and document a process to ensure that only authorised personnel perform operational control functions. This process must explicitly prohibit external suppliers, who are not designated as KBO entities, from performing these functions. This restriction should be enforced through supplier agreements and technical access controls.

The organisation should establish and maintain documented security rules for its operational control system. These rules are necessary to ensure that the monitoring and control of the power supply is performed securely.

The rules should be reviewed at least annually and should cover aspects such as:

• Use
• Development
• Operation
• System maintenance
• Securing the system

Rules should be reviewed at least annually to ensure they support compliance and adequately protect the operational control system.

The organisation should create and maintain a comprehensive overview of all security measures implemented for the operational control system. This documentation should be kept up to date and detail the technical, physical, and organisational controls in place to protect the system. The overview serves as a central reference for audits, incident response, and system maintenance.

The organisation should establish a process to manage changes in operational control systems. This process should ensure that all changes are assessed, tested, and approved before implementation to prevent unintended errors and new vulnerabilities. All changes, including their assessment and approval, should be documented.

Changes to operational control systems can relate to, for example:

• User access
• Supplier and component/equipment delivery
• Communication systems
• Redundancy and backup configurations
• EMP/EMI vulnerability management
• Backup control centres

The organisation should assess the vulnerability of its operational control systems to electromagnetic pulse (EMP) and electromagnetic interference (EMI). Based on the assessment, the organisation should decide on and implement necessary security or contingency measures.

The organisation should implement measures to prevent a single systematic error from affecting all duplicated systems that use identical technology. This requires establishing procedures to ensure that changes, such as software updates, patches, or configuration adjustments, are deployed in a staggered manner and never applied to identical systems simultaneously.

The organisation should implement protective measures for at least one communication path to critical facilities controlled by the operational control system. Measures can include using shielded cables, placing equipment in shielded enclosures, or ensuring proper grounding to protect against electromagnetic pulses and interference.

The organisation should establish and maintain a backup control center for operational control systems. This center must be located at a safe physical distance from the primary control center to ensure a single incident cannot affect both.

The backup center should be fully equipped to operate independently and handle all necessary operational control functions. Its readiness for use must be maintained at all times.

The organisation should annually assess the staffing needs for the operational center to ensure staffing can be maintained on a 24/7 basis. This review must also evaluate whether current staffing and on call arrangements are sufficient for a rapid escalation. The assessment should be documented, including any decisions made to increase personnel or modify duty arrangements.

The organisation should establish a mobile radio network for critical operations, security, and recovery tasks, functioning independently of public communication services and as a backup for other communication systems.

The network must support:

• Sufficient coverage for all facilities
• Device-to-device communication, group broadcasting, and common calls
• At least 48 hours of emergency power with automatic-start backup
• Equipment should be maintained to be in a continuous state of operational readiness

The plan should include maintenance procedures, spare parts and expertise availability, and personnel training.

Digital or IP-based radio networks must be secured against unauthorized access, malware, and hostile takeovers through appropriate technical and organisational controls. Where the network shares facilities with classified operational control systems, applicable protection requirements must be met.

The organisation should ensure that communication paths for class 3 operational control systems are designed to be secure and robust. This includes implementing redundancy with sufficient physical distance between paths to mitigate risks from events like fire, bad weather, or major technical failures.<(/p>

For each class 3 facility, the organisation must maintain full control and authority over at least one complete communication path and ensure it is adequately protected. Redundancy and distance requirements should apply to communication paths as well as other redundant subsystems.

Varmista, että kaikki lääkinnälliset laitteet ja hyvinvointiteknologiat, jotka käsittelevät terveys- tai henkilötietoja, on täysin integroitu organisaation tietoturvan ja yksityisyyden hallintaan. Tähän sisältyy:

• Riskinarviointien tekeminen
• asianmukaisen pääsynvalvonnan toteuttaminen
• muutoksenhallintamenettelyjen soveltaminen
• selkeiden käyttömenettelyjen käyttöönotto

Näitä teknologioita on hallinnoitava samojen turvallisuus- ja yksityisyydensuojavaatimusten mukaisesti kuin kaikkia muitakin tietojärjestelmiä.

Organisaation olisi laadittava prosessi internetiin liitettyjen laitteiden, kuten lääkinnällisten laitteiden, hallintaa varten. Prosessilla olisi varmistettava, että tällaiset laitteet sisällytetään riskinarviointeihin ja että tarvittavat turvatoimet toteutetaan. Tähän kuuluu pääsynvalvonnan, käyttömenettelyjen, teknisten suojatoimien ja kirjaamisen käyttöönotto, jotta estetään tietojen luvaton käyttö ja luovuttaminen.

Organisaatio tarvitsee käytännöllisiä palautusmenetelmiä operatiivisen teknologian ympäristöihin, joissa käytettävyyden ylläpitäminen on tärkeää. Nämä menetelmät auttavat varmistamaan, että OT-järjestelmät voidaan palauttaa nopeasti ja turvallisesti häiriöiden ilmetessä, mikä tukee liiketoiminnan yleistä jatkuvuutta.

• Tunnista OT-järjestelmät ja -komponentit, jotka vaativat nopeaa palautusta niiden toiminnallisen merkityksen ja liiketoiminnan jatkuvuuden tarpeiden perusteella.
• Luo ja ylläpidä luotettavia varmuuskopioita konfiguraatiotiedostoista, logiikasta, laiteohjelmistoversioista ja muista asetuksista, joita tarvitaan OT-laitteiden palauttamiseen ilman järjestelmän täydellistä uudelleenrakentamista.
• Toteuta asianmukaiset redundanssi- tai vikasietoisuusvaihtoehdot, kuten varajärjestelmät, peililaitteet tai valmiiksi konfiguroidut varalaitteet, jotka ovat valmiina käyttöönotettaviksi.
• Kehitetään yksinkertaisia ja nopeita palautusvaiheita, joiden avulla OT-tiimit voivat palauttaa laitteet tai järjestelmät verkkoon mahdollisimman pienellä seisokkiajalla.
• Testaa palautusmenetelmiä suunnitelluin väliajoin varmistaaksesi, että varmuuskopiot ovat käyttökelpoisia, että varajärjestelmät toimivat tarkoitetulla tavalla ja että palautusvaiheet ovat tarkkoja.
• Päivitä palautusmenetelmät aina, kun OT-järjestelmiin, laitekokoonpanoihin tai liiketoiminnan jatkuvuusvaatimuksiin tehdään muutoksia.

Näillä toimenpiteillä varmistetaan, että OT-ympäristöt säilyttävät korkean käytettävyyden ja että kriittiset toiminnot voivat palautua nopeasti vikojen tai häiriöiden aikana.

Organisaation tietoturvapolitiikassa on määriteltävä järjestelmän laajuus. Tietoturvapolitiikassa on määriteltävä erityisesti seuraavat asiat:

• keitä tietoturvapolitiikka koskee
• mitä omaisuuseriä se kattaa
• mitkä sijainnit kuuluvat politiikan piiriin
• mitä toimintoja se kattaa
• yhdennetyn hallinto- ja valvontajärjestelmän tietoverkkoturvallisuusnäkökohtien vastuut ja roolit.

Organisaatiolla olisi oltava tarkistusprosessi operatiivisten järjestelmiensä turvallisuustason arvioimiseksi. Arvioinnin olisi katettava sekä laitteistot että ohjelmistot, järjestelmäsuunnittelu, verkkorajapinnat ja tukisovellukset. Tarkoituksena on tunnistaa puutteet operatiivisten järjestelmien turvallisuudessa ja hahmotella tarvittavat muutokset ja parannukset. Prosessin olisi katettava myös uusien IACS-laitteiden valinta ja turvallinen käyttöönotto.

Organisaation olisi perustettava liiketoiminnan jatkuvuusryhmä, johon kuuluu nimetty ryhmän johtaja, yhdennetty hallinto- ja valvontajärjestelmäasiantuntija ja keskeisten prosessien omistajia muilta kriittisiltä alueilta.

Liiketoiminnan jatkuvuusryhmän vastuualueet olisi määriteltävä selkeästi merkittävän häiriötilanteen varalta, jotta varmistetaan, että sillä on valtuudet tehdä tärkeitä päätöksiä kriittisissä tilanteissa.

Vastuualueisiin tulisi kuulua esimerkiksi

• kriittisten toimintojen (tai järjestelmien) tärkeysjärjestyksen määrittäminen toiminnan jatkamista varten.
• päätösten tekeminen resurssien jakamisesta toiminnan palauttamista varten.
• yhteydenpito muihin osapuoliin

Johdon olisi määriteltävä sidosryhmäryhmän kokoonpano (esim. ne, jotka ovat vastuussa organisaation turvallisuuden tietyistä näkökohdista). Ryhmä tarvitsee myös asianmukaista asiantuntemusta sellaisilta aloilta, joihin yhdennetyn hallinto- ja valvontajärjestelmän turvallisuus vaikuttaa. Ryhmällä olisi oltava sekä tietoturvan että aihepiirin asiantuntemusta ja asianmukaiset valtuudet tehdä päätöksiä.

Organisaation olisi arvioitava ja dokumentoitava perusteet, joiden perusteella käyttöoikeudet myönnetään yksittäisten tilien ja ryhmätilien avulla teollisuuden ohjausjärjestelmäympäristössä. Arvioinnissa on otettava huomioon tavanomaisten tietoturvauhkien, -riskien ja -haavoittuvuuksien lisäksi myös laajemmat vaikutukset, kuten seuraavat:

• Virheellisiin tai liian laajoihin käyttöoikeuksiin liittyvät terveys-, turvallisuus- ja ympäristöriskit.
• Fyysiset turvavalvontatoimet, jotka voivat lieventää pääsyriskejä.
• vastuuvelvollisuus- ja jäljitettävyystarpeet (esim. yksittäisten toimien on oltava tarvittaessa tarkastettavissa).
• Hallinnolliset ja toiminnalliset rajoitukset (esim. hallinnoinnin helppous, henkilöstömuutokset, pääsy hätätilanteessa).