Informasjonssikkerhet etter damsikkerhetsforskriften § 7-8

Del denne sidenDel på e-post

Om krav til informasjonssikkerhet

Formålet med bestemmelsen om informasjonssikkerhet er å hindre at sensitiv informasjon om vassdragsanlegg blir tilgjengelig for uvedkommende. Spesifikk informasjon om vassdragsanlegg og deres funksjoner kan brukes til å påføre anleggene skader eller forårsake feilmanøvrering, som kan få store konsekvenser. Bestemmelsen klargjør for hvilken informasjon det må være tilgangskontroll og hvordan kontrollen skal være.

Ansvarlige

Kravene til informasjonssikkerhet kan grovt sett deles i to typer:

  1. Taushetsplikten gjelder for enhver som omfattes av forskriften, se veiledning steg 3.
  2. Pliktene til å sikre tilgangskontroll består av flere ulike krav som skal være oppfylt for ethvert vassdragsanlegg i konsekvensklasse 2, 3 og 4, se veiledning steg 1-4.

Utforming av veilederen

Oppbygning og struktur

Der det står eller skal i veilederen viser det direkte til krav stilt i damsikkerhetsforskriften. Dette er absolutte krav. Der det i veilederen står skal som minimum, minimumskrav eller tilsvarende, angir dette et minimumsnivå for å oppfylle krav i damsikkerhetsforskriften. Disse kravene må da etterleves.

Der det står kan eller bør i veilederen er dette anbefalinger, forslag eller eksempler på hvordan bestemmelser kan oppfylles.

Forskriftstekstens deler står før hver forklaring og er innrammet slik at den skiller seg fra øvrig tekst. Der det i veilederen er henvist til en paragraf (§), uten å vise til en konkret lov eller forskrift, gjelder dette bestemmelser i damsikkerhetsforskriften. Dersom det henvises til annet regelverk, er dette spesifisert. Den etterfølgende teksten er veiledning som gir utfyllende kommentarer til hvordan forskriftens bestemmelser kan oppfylles.

Dersom det er spørsmål til forskriftsbestemmelsene, eller innholdet i denne veilederen, bør NVE kontaktes for konkret veiledning.

Definisjoner

Sensitiv informasjon om vassdragsanlegg: Med sensitiv informasjon om vassdragsanlegg menes spesifikk informasjon og inngående kjennskap om vassdragsanlegget som kan brukes til å skade anlegget eller påvirke funksjoner som har betydning for sikkerheten.

KSI – Kraftsensitiv informasjon: Med kraftsensitiv informasjon menes spesifikk og inngående opplysninger om kraftforsyningen som kan brukes til å skade anlegg, system eller annet eller påvirke funksjoner som har betydning for kraftforsyningen, jf. kraftberedskapsforskriften § 6-2.

IKT (Informasjon- og kommunikasjonsteknologi): Omfatter all teknologi som innhenter, overfører, bearbeider, lagrer og presenterer informasjon. Informasjons- og kommunikasjonsteknologi – Store norske leksikon (snl.no)

BIM (Bygningsinformasjonsmodell/modellering): Med bygningsinformasjonsmodell menes en delbar digital representasjon av en konstruksjon, samt all informasjon tilknyttet denne. Med bygningsinformasjonsmodellering menes arbeidsprosessen som følger av å bruke en bygningsinformasjonsmodell.

KBO (Kraftforsyningens beredskapsorganisasjon): Norges kraftforsyningsberedskap er organisert gjennom KBO, og består av Norges vassdrags- og energidirektorat (NVE) og de virksomheter som står for kraftforsyningen. NVE har ansvaret for å samordne beredskapsplanleggingen, og skal lede landets kraftforsyning under beredskap og i krig. Kraftforsyningens beredskapsorganisasjon (KBO) - NVE

Lovverk

Hva er sammenhengen mellom lovverkene?

Hensikten med å omtale sammenhengen mellom lovverk og type informasjon er for å gi brukeren en bedre oversikt over hvilke lovhjemler som ligger til grunn for beskyttelse av informasjon. Sammenhengen mellom lovverkene er avhengig av hvilken type informasjon det er snakk om, og følgelig hvordan informasjonen skal merkes avhengig av nivå.

Sensitiv informasjon om vassdragsanlegg er en bestemmelse i damsikkerhetsforskriften, som er hjemlet i vannressursloven. Kraftsensitiv informasjon er en bestemmelse i kraftberedskapsforskriften, som er hjemlet i energiloven. Sammenhengen er illustrert under.

Det finnes mange begreper innen informasjonssikkerhet i lovverket som kan forveksles. Dette kan være begreper som sensitiv informasjon, skjermingsverdig informasjon, unntatt offentlighet, konfidensielt etc.

Tabellen illustrerer sammenhengen mellom ulike lovverk og type informasjon hjemlet i § 7-8 om informasjonssikkerhet. Sensitiv informasjon om vassdragsanlegg skal hovedsakelig beskyttes etter damsikkerhetsforskriften § 7-8 og offentleglova § 13. Informasjon som identifiseres som sikkerhetsgradert informasjon skal behandles etter lov om nasjonal sikkerhet (sikkerhetsloven).  

Hva er forskjellen på sensitiv informasjon om vassdragsanlegg og kraftsensitiv informasjon?

Damsikkerhetsforskriften § 7-8 har til hensikt å beskytte informasjon om vassdragsanlegg. Brudd på et vassdragsanlegg i konsekvensklasse 2, 3 eller 4 vil skape lokalt store ødeleggelser som kan medføre fare for liv og helse, men behøver ikke nødvendigvis å påvirke kraftforsyningen. Samtidig kan informasjon om vassdragsanlegg i konsekvensklasse 1 være kraftsensitiv informasjon etter kraftberedskapsforskriften § 6-2 dersom vassdragsanlegget har betydning for kraftforsyningen. Veileder for klassifisering (Veileder for klassifisering av vassdragsanlegg - NVE) kapittel 3.2.3 omtaler klassifisering etter kraftberedskapsforskriften og damsikkerhetsforskriften.

Figuren under illustrerer grovt sett virkeområdene til kraftberedskapsforskriften og damsikkerhetsforskriften når det gjelder informasjonssikkerhet.

Damsikkerhetsforskriften § 7-8 gjelder for informasjon om dam og vannvei med tilhørende konstruksjoner i konsekvensklasse 2, 3 og 4. Den grønne boksen representerer dette.

Kraftberedskapsforskriften kapittel 6 om informasjonssikkerhet gjelder alle komponenter med betydning for kraftforsyningen. Den oransje boksen representerer dette. Dette kan også gjelde vassdragsanlegg uavhengig av konsekvensklasse. Den stiplede oransje linjen representerer dette.

Eksempel: Hvis en dam i konsekvensklasse 1 etter damsikkerhetsforskriften er knyttet til et kraftverk klassifisert etter kraftberedskapsforskriften § 5-2 kan detaljert informasjon om dammen være kraftsensitivt.

kraftberedskapsforskriften § 6-2. Kraftsensitiv informasjon

Forskrift om sikkerhet og beredskap i kraftforsyningen (kraftberedskapsforskriften) - Lovdata

Offentleglova § 13

Offentleglova § 13 første ledd slår fast at opplysninger som er underlagt taushetsplikt i lov eller i medhold av lov, er unntatt fra innsyn. Til forskjell fra de andre unntakene i offentleglova, som bare gir en rett til å nekte innsyn, innebærer § 13 første ledd at et forvaltningsorgan har en plikt til å nekte innsyn i opplysninger som er underlagt taushetsplikt.

Offentleglova § 13 første ledd inneholder ikke selv regler om hvilke typer opplysninger som er underlagt taushetsplikt. Taushetsplikt for bestemte opplysninger følger altså av andre lover og forskrifter, for eksempel damsikkerhetsforskriften og energiloven/kraftberedskapsforskriften.

https://lovdata.no/lov/2006-05-19-16/§13 

Offentleglova § 24, tredje ledd

https://lovdata.no/lov/2006-05-19-16/§24 

Lov om nasjonal sikkerhet (sikkerhetsloven)

https://lovdata.no/lov/2018-06-01-24 

Andre relevante lovverk

Veiledere og standarder