Informasjonssikkerhet etter damsikkerhetsforskriften § 7-8

HøringsutkastSist endret 18.01.24

Del denne sidenDel på e-post

Om krav til informasjonssikkerhet

Formålet med bestemmelsen om informasjonssikkerhet er å hindre at sensitiv informasjon om vassdragsanlegg blir tilgjengelig for uvedkommende. Spesifikk informasjon om vassdragsanlegg og deres funksjoner kan brukes til å påføre anleggene skader eller forårsake feilmanøvrering, som kan få store konsekvenser. Bestemmelsen klargjør for hvilken informasjon det må være tilgangskontroll og hvordan kontrollen skal være.

Ansvarlige

Kravene til informasjonssikkerhet kan grovt sett deles i to typer:

  1. Taushetsplikten gjelder for enhver som omfattes av forskriften, se veiledning steg 3.
  2. Pliktene til å sikre tilgangskontroll består av flere ulike krav som skal være oppfylt for ethvert vassdragsanlegg i konsekvensklasse 2, 3 og 4, se veiledning steg 1-4.

Utforming av veilederen

Oppbygning og struktur

Der det står eller skal i veilederen viser det direkte til krav stilt i damsikkerhetsforskriften. Dette er absolutte krav. Der det i veilederen står skal som minimum, minimumskrav eller tilsvarende, angir dette et minimumsnivå for å oppfylle krav i damsikkerhetsforskriften. Disse kravene må da etterleves.

Der det står kan eller bør i veilederen er dette anbefalinger, forslag eller eksempler på hvordan bestemmelser kan oppfylles.

Forskriftstekstens deler står før hver forklaring og er innrammet slik at den skiller seg fra øvrig tekst. Der det i veilederen er henvist til en paragraf (§), uten å vise til en konkret lov eller forskrift, gjelder dette bestemmelser i damsikkerhetsforskriften. Dersom det henvises til annet regelverk, er dette spesifisert. Den etterfølgende teksten er veiledning som gir utfyllende kommentarer til hvordan forskriftens bestemmelser kan oppfylles.

Dersom det er spørsmål til forskriftsbestemmelsene, eller innholdet i denne veilederen, bør NVE kontaktes for konkret veiledning.

Definisjoner

Sensitiv informasjon om vassdragsanlegg: Med sensitiv informasjon om vassdragsanlegg menes spesifikk informasjon og inngående kjennskap om vassdragsanlegget som kan brukes til å skade anlegget eller påvirke funksjoner som har betydning for sikkerheten.

KSI – Kraftsensitiv informasjon: Med kraftsensitiv informasjon menes spesifikk og inngående opplysninger om kraftforsyningen som kan brukes til å skade anlegg, system eller annet eller påvirke funksjoner som har betydning for kraftforsyningen, jfr. Kraftberedskapsforskriften § 6-2.

IKT (Informasjon- og kommunikasjonsteknologi): Omfatter all teknologi som innhenter, overfører, bearbeider, lagrer og presenterer informasjon. Informasjons- og kommunikasjonsteknologi – Store norske leksikon (snl.no)

BIM (Bygningsinformasjonsmodell/modellering): Med bygningsinformasjonsmodell menes en delbar digital representasjon av en konstruksjon, samt all informasjon tilknyttet denne. Med bygningsinformasjonsmodellering menes arbeidsprosessen som følger av å bruke en bygningsinformasjonsmodell.

KBO (Kraftforsyningens beredskapsorganisasjon): Norges kraftforsyningsberedskap er organisert gjennom KBO, og består av Norges vassdrags- og energidirektorat (NVE) og de virksomheter som står for kraftforsyningen. NVE har ansvaret for å samordne beredskapsplanleggingen, og skal lede landets kraftforsyning under beredskap og i krig. Kraftforsyningens beredskapsorganisasjon (KBO) - NVE

Lovverk

Hva er sammenhengen mellom lovverkene?

Hensikten med å omtale sammenhengen mellom lovverk og type informasjon er for å gi brukeren en bedre oversikt over hvilke lovhjemler som ligger til grunn for beskyttelse av informasjon. Sammenhengen mellom lovverkene er avhengig av hvilken type informasjon det er snakk om, og følgelig hvordan informasjonen skal merkes avhengig av nivå.

Det finnes mange begreper innen informasjonssikkerhet i lovverket som kan forveksles. Dette kan være begreper som sensitiv informasjon, skjermingsverdig informasjon, unntatt offentlighet, konfidensielt etc.

Tabellen illustrerer sammenhengen mellom ulike lovverk og type informasjon hjemlet i § 7-8 om informasjonssikkerhet. Sensitiv informasjon om vassdragsanlegg skal hovedsakelig beskyttes etter damsikkerhetsforskriften § 7-8 og offentleglova § 13. Informasjon som identifiseres som sikkerhetsgradert informasjon skal behandles etter lov om nasjonal sikkerhet (sikkerhetsloven).  

Hva er forskjellen på sensitiv informasjon om vassdragsanlegg og kraftsensitiv informasjon?

Sensitiv informasjon om vassdragsanlegg er en bestemmelse i damsikkerhetsforskriften, som er hjemlet i vannressursloven. Kraftsensitiv informasjon er en bestemmelse i kraftberedskapsforskriften, som er hjemlet i energiloven. Sammenhengen er illustrert under.

Kraftberedskapsforskriften § 6-2 beskriver ikke spesifikt informasjon om vassdragsanlegg som kraftsensitiv informasjon. Brudd på et vassdragsanlegg i høy konsekvensklasse vil kunne skape lokalt store ødeleggelser og fare for liv og helse, men behøver ikke nødvendigvis å påvirke kraftforsyningen i betydelig grad. Samtidig kan et vassdragsanlegg i lav konsekvensklasse utgjøre en betydelig trussel for kraftforsyningen uten å ha spesielt store lokale bruddkonsekvenser. Omtale av informasjonssikkerhet vil derfor ha ulik betydning, avhengig av hvilke konsekvenser informasjonen kan føre til ved tap eller misbruk. 

kraftberedskapsforskriften § 6-2. Kraftsensitiv informasjon

Offentleglova §13

Offentleglova § 13 første ledd slår fast at opplysninger som er underlagt taushetsplikt i lov eller i medhold av lov, er unntatt fra innsyn. Til forskjell fra de andre unntakene i offentleglova, som bare gir en rett til å nekte innsyn, innebærer § 13 første ledd at et forvaltningsorgan har en plikt til å nekte innsyn i opplysninger som er underlagt taushetsplikt.

Offentleglova § 13 første ledd inneholder ikke selv regler om hvilke typer opplysninger som er underlagt taushetsplikt. Taushetsplikt for bestemte opplysninger følger altså av andre lover og forskrifter, for eksempel damsikkerhetsforskriften og energiloven/kraftberedskapsforskriften.

https://lovdata.no/lov/2006-05-19-16/§13 

Offentleglova §24, tredje ledd

Lov om nasjonal sikkerhet (sikkerhetsloven)

Andre relevante lovverk

Veiledere og standarder