Om krav til informasjonssikkerhet

Der det står må eller skal i veilederen viser det direkte til krav stilt i damsikkerhetsforskriften. Dette er absolutte krav. Der det i veilederen står skal som minimum, minimumskrav eller tilsvarende, angir dette et minimumsnivå for å oppfylle krav i damsikkerhetsforskriften. Disse kravene må da etterleves.

Der det står kan eller bør i veilederen er dette anbefalinger, forslag eller eksempler på hvordan bestemmelser kan oppfylles.

Forskriftstekstens deler står før hver forklaring og er innrammet slik at den skiller seg fra øvrig tekst. Der det i veilederen er henvist til en paragraf (§), uten å vise til en konkret lov eller forskrift, gjelder dette bestemmelser i damsikkerhetsforskriften. Dersom det henvises til annet regelverk, er dette spesifisert. Den etterfølgende teksten er veiledning som gir utfyllende kommentarer til hvordan forskriftens bestemmelser kan oppfylles.

Dersom det er spørsmål til forskriftsbestemmelsene, eller innholdet i denne veilederen, bør NVE kontaktes for konkret veiledning.

Sensitiv informasjon om vassdragsanlegg: Med sensitiv informasjon om vassdragsanlegg menes spesifikk informasjon og inngående kjennskap om vassdragsanlegget som kan brukes til å skade anlegget eller påvirke funksjoner som har betydning for sikkerheten.

KSI – Kraftsensitiv informasjon: Med kraftsensitiv informasjon menes spesifikk og inngående opplysninger om kraftforsyningen som kan brukes til å skade anlegg, system eller annet eller påvirke funksjoner som har betydning for kraftforsyningen, jfr. Kraftberedskapsforskriften § 6-2.

IKT (Informasjon- og kommunikasjonsteknologi): Omfatter all teknologi som innhenter, overfører, bearbeider, lagrer og presenterer informasjon. Informasjons- og kommunikasjonsteknologi – Store norske leksikon (snl.no)

BIM (Bygningsinformasjonsmodell/modellering): Med bygningsinformasjonsmodell menes en delbar digital representasjon av en konstruksjon, samt all informasjon tilknyttet denne. Med bygningsinformasjonsmodellering menes arbeidsprosessen som følger av å bruke en bygningsinformasjonsmodell.

KBO (Kraftforsyningens beredskapsorganisasjon): Norges kraftforsyningsberedskap er organisert gjennom KBO, og består av Norges vassdrags- og energidirektorat (NVE) og de virksomheter som står for kraftforsyningen. NVE har ansvaret for å samordne beredskapsplanleggingen, og skal lede landets kraftforsyning under beredskap og i krig. Kraftforsyningens beredskapsorganisasjon (KBO) - NVE

Hensikten med å omtale sammenhengen mellom lovverk og type informasjon er for å gi brukeren en bedre oversikt over hvilke lovhjemler som ligger til grunn for beskyttelse av informasjon. Sammenhengen mellom lovverkene er avhengig av hvilken type informasjon det er snakk om, og følgelig hvordan informasjonen skal merkes avhengig av nivå.

Det finnes mange begreper innen informasjonssikkerhet i lovverket som kan forveksles. Dette kan være begreper som sensitiv informasjon, skjermingsverdig informasjon, unntatt offentlighet, konfidensielt etc.

Tabellen illustrerer sammenhengen mellom ulike lovverk og type informasjon hjemlet i § 7-8 om informasjonssikkerhet. Sensitiv informasjon om vassdragsanlegg skal hovedsakelig beskyttes etter damsikkerhetsforskriften § 7-8 og offentleglova § 13. Informasjon som identifiseres som sikkerhetsgradert informasjon skal behandles etter lov om nasjonal sikkerhet (sikkerhetsloven).  

Sensitiv informasjon om vassdragsanlegg er en bestemmelse i damsikkerhetsforskriften, som er hjemlet i vannressursloven. Kraftsensitiv informasjon er en bestemmelse i kraftberedskapsforskriften, som er hjemlet i energiloven. Sammenhengen er illustrert under.

Kraftberedskapsforskriften § 6-2 beskriver ikke spesifikt informasjon om vassdragsanlegg som kraftsensitiv informasjon. Brudd på et vassdragsanlegg i høy konsekvensklasse vil kunne skape lokalt store ødeleggelser og fare for liv og helse, men behøver ikke nødvendigvis å påvirke kraftforsyningen i betydelig grad. Samtidig kan et vassdragsanlegg i lav konsekvensklasse utgjøre en betydelig trussel for kraftforsyningen uten å ha spesielt store lokale bruddkonsekvenser. Omtale av informasjonssikkerhet vil derfor ha ulik betydning, avhengig av hvilke konsekvenser informasjonen kan føre til ved tap eller misbruk. 

Forskrift om sikkerhet og beredskap i kraftforsyningen (kraftberedskapsforskriften) - Lovdata

Offentleglova § 13 første ledd slår fast at opplysninger som er underlagt taushetsplikt i lov eller i medhold av lov, er unntatt fra innsyn. Til forskjell fra de andre unntakene i offentleglova, som bare gir en rett til å nekte innsyn, innebærer § 13 første ledd at et forvaltningsorgan har en plikt til å nekte innsyn i opplysninger som er underlagt taushetsplikt.

Offentleglova § 13 første ledd inneholder ikke selv regler om hvilke typer opplysninger som er underlagt taushetsplikt. Taushetsplikt for bestemte opplysninger følger altså av andre lover og forskrifter, for eksempel damsikkerhetsforskriften og energiloven/kraftberedskapsforskriften.

https://lovdata.no/lov/2006-05-19-16/§13 

https://lovdata.no/lov/2006-05-19-16/§24 

https://lovdata.no/lov/2018-06-01-24 

• Lov om produksjon, omforming, overføring, omsetning, fordeling og bruk av energi m.m. (Energiloven) - Lov om produksjon, omforming, overføring, omsetning, fordeling og bruk av energi m.m. (energiloven) - Kap. 9. Beredskap - Lovdata

• NS-EN ISO 19650-5:2020 (Information management using building information modelling - part 5: Security-minded approach to information management) - ISO 19650-serien (standard.no)  
  
  
• Retningslinjer for dambruddsbølgeberegninger (utgave 3 – juni 2009) - Retningslinjer for dambruddsbølgeberegninger - NVE
  
  
• Veileder for melding om ulykke eller uønsket hendelse - Ulykke eller uønsket hendelse ved vassdragsanlegg - Melding til NVE