§ 2.2 Organisasjon og funksjon
KBO-enheter skal ha følgende funksjoner, som utpekes av leder for virksomheten:
a) Beredskapsleder. Denne skal sørge for nødvendig planlegging og utøvelse av beredskapsarbeidet.
b) Beredskapskoordinator. Denne skal ha oversikt over beredskapsarbeidet i virksomheten og være administrativt kontaktpunkt til beredskapsmyndigheten.
c) IKT-sikkerhetskoordinator. Denne skal ha oversikt over IKT-sikkerhetsarbeidet i virksomheten og være faglig kontaktpunkt til beredskapsmyndigheten vedrørende IKT-sikkerhet.
NVE betrakter funksjonene beredskapsleder, beredskapskoordinator og IKT-sikkerhetskoordinator som en del av virksomhetens kjernevirksomhet innenfor området beredskap. Funksjonene kan altså ikke tjenesteutsettes eller deles mellom ulike virksomheter. NVE har praktisert et unntak der konsernet kan inneha IKT-sikkerhetskoordinatorfunksjonen, på vegne av datterselskapene, som beskrevet i § 2-2.
Formålet med å utpeke funksjonene er at KBO-enheten skal utvikle og bevare viktig kompetanse og kapasitet til å håndtere uønskede situasjoner, ulykker, skader og andre ekstraordinære situasjoner som utgjør en fare eller trussel for viktige anlegg og systemer. KBO-enhetene må ta hensyn til at kritisk viktige medarbeidere kan være forhindret fra å stille opp i en ekstraordinær situasjon og at en pågående situasjon kan vare over tid. Det må være utpekt stedfortredere som kan fylle de nevnte funksjonene slik at de alltid er operative. Når det ikke er tillatt å for eksempel dele IKT-sikkerhetsrollen mellom ulike virksomheter, så handler det også om at IKT-sikkerhetskoordinatoren ikke skal bli satt i en interessekonflikt mellom flere virksomheter. Effektiv beredskap krever klare ansvarslinjer. Dette kommer i tillegg til kravene i energilovforskriften § 3-6 om tilgang til personell.
KBO-enhetene er selv ansvarlig for å holde NVE oppdatert om hvem som har de ulike funksjonene. Informasjon om funksjoner må oppdateres når det er en endring inn i en felles digital løsning i Altinn. Daglig leder i virksomheten har redigeringstilgang gjennom sin rolle i Brønnøysundregistrene. Daglig leder kan delegere rettighetene internt i sin virksomhet.
Om KBO-enheten skifter eller oppretter nytt organisasjonsnummer ved f.eks. konsesjonsoverdragelse, så må dette opplyses om særskilt til NVE sitt postmottak. Beredskapsseksjonen i NVE er en av mottakerne av denne informasjonen. Sett alltid seksjonssjef i beredskapsseksjonen på kopi.
Hvordan KBO-enhetene fyller ut kontaktinformasjon i Altinn, finnes på NVE sine nettsider: www.nve.no/kbo. Oppdatert kontaktinformasjon er viktig for at NVE til enhver tid skal kunne nå hele KBO, i beredskapssituasjoner.
Etter § 1-4 er det virksomhetens leder som er ansvarlig for at kravene i § 2-2 oppfylles. Virksomhetens leder er alltid daglig leder oppgitt i Brønnøysundregistrene. Dette betyr at:
Daglig leder iht. Brønnøysundregistrene skal:
- utpeke beredskapsleder, beredskapskoordinator og IKT-sikkerhetskoordinator i sin virksomhet
- være ansvarlig for at NVE blir holdt løpende oppdatert om hvem som til enhver tid fyller de ulike funksjonene
- være ansvarlig for at henvendelser og vedtak fattet av NVE blir fulgt opp av virksomheten, (jf. § 1-4)
- utpeke nødvendige stedfortredere
Virksomhetsleder bør i tillegg:
- kjenne til kravene i energiloven, energilovforskriften og kraftberedskapsforskriften
- sørge for at ansatte har kompetanse i hvordan kravene skal forstås og håndteres
- sørge for at beredskapsfunksjonene har eller får tilført kompetanse
Beredskapsleder skal:
- kunne dokumentere at planene for beredskapsarbeidet er dimensjonert for virksomhetens ansvarsområde
- kunne dokumentere utøvelsen av beredskapsarbeidet
- ha god oversikt over virksomhetens beredskapsorganisasjon
Beredskapsleder bør i tillegg:
- ha kjennskap til forebyggende sikkerhet og beredskap i kraftforsyningen, inkludert kravene i kraftberedskapsforskriften
- ha kjennskap til kraftforsyningen og om tilgrensende KBO-enheter
- ha oversikt over samfunnsviktige funksjoner i eget område
Beredskapskoordinator skal:
- være virksomhetens administrative kontaktpunkt mot NVE for alle henvendelser utenom IKT-relaterte utfordringer
- koordinere formidling av informasjon, henvendelser og vedtak fra NVE internt i virksomheten
- ha god oversikt over hvordan beredskapsarbeidet i virksomheten utøves i praksis
- koordinere planlegging, gjennomføring og oppfølging av virksomhetens beredskapsarbeid og ha oversikt over samfunnsviktige funksjoner i eget område
- bidra til at henvendelser fra NVE blir fulgt opp av virksomheten
Beredskapskoordinator bør i tillegg:
- ha inngående kunnskap om gjeldende lover og forskrifter innenfor forebyggende og konsekvensreduserende sikkerhet og beredskap i kraftforsyningen, inkludert kravene i kraftberedskapsforskriften
- ha god oversikt over interne krav til virksomhetens sikkerhets- og beredskapsarbeid
- god kjennskap til risiko- og sårbarhetsvurderinger, samt relevante farer og trusler mot sin virksomhet
IKT-sikkerhetskoordinator skal:
- være virksomhetens faglige kontaktpunkt mot NVE for IKT-relaterte utfordringer
- koordinere formidling av informasjon, henvendelser og vedtak fra NVE med betydning for IKT-sikkerhet internt i virksomheten
- ha god oversikt over interne krav til KBO-enhetenes IKT-sikkerhets- og beredskapsarbeid
- koordinere planlegging, gjennomføring og oppfølging av virksomhetens arbeid med beskyttelse av driftskontrollsystem, og virksomhetens øvrige IKT-system som inneholder kraftsensitiv informasjon eller informasjon av betydning for virksomhetens ledelse eller drift
- bidra til at henvendelser fra NVE om IKT-sikkerhet blir fulgt opp av virksomheten
IKT-sikkerhetskoordinator bør i tillegg:
- ha inngående kunnskap om gjeldende lover og forskrifter innenfor IKT-sikkerhet og beredskap i kraftforsyningen, inkludert kravene i kraftberedskapsforskriften
- ha god kunnskap om virksomhetens driftskontrollfunksjoner og administrative datasystemer, deres funksjonalitet, og hvordan de skal beskyttes
- ha god kjennskap til IKT-trusselbildet
- ha dialog eller informere KraftCERT om IKT-forhold som er utfordrende for KBO-enheten, eller forhold som kan være av interesse for KraftCERT sin IKT-oversikt over kraftsektoren
Om innrapportering av kontaktinformasjon i Altinn
Leder av virksomheten har ansvar for å innrapportere kontaktinformasjon ved organisasjons-, personal eller andre viktige kontaktinformasjonsendringer så raskt som mulig i Altinn. Se NVE sine hjemmesider for mer informasjon.
Om IKT-sikkerhetskoordinator og beredskapskoordinator i små virksomheter
I små virksomheter kan det være tilstrekkelig at en og samme person har ulike funksjoner. Forskriften gir ikke krav om at hver av funksjonene utgjør 100 % stillinger. Det viktigste er at virksomheten fyller funksjonen på en god måte.
Om plassering av forskriftsfestede roller i KBO
Roller skal som hovedregel legges til KBO-enhetene, ikke konsern. Konsernet er svært sjeldent KBO-enhet. Det å legge slike roller til konsernet gir økt avstand til de daglige utfordringene og kan resultere i lengre responstid der tid er essensiell. Konsernet kan ha flere datterselskap som er KBO-enheter. Det kan gi prioriteringskonflikter for de som innehar rollene om to eller flere av KBO-enhetene er berørt. Komplekse konsernstrukturer kan hindre god rolleforståelse for kjerneoppgavene den enkelte KBO-enhet har. NVE ser det som svært viktig at våre kontaktpunkter mot KBO-enheten har god rolleforståelse og god innsikt i virksomheten vedkommende representerer. Vi anbefaler derfor at rollene innehas av virksomheten som (eier og) driver i henhold til konsesjon eller områdekonsesjon.
Både pandemier, sikkerhetspolitiske eller andre langvarige situasjoner eller hendelser krever personell med god rolleforståelse og tilstrekkelig innsikt i sin virksomhet.
Vedtak
Vedtak om beredskapsmessig kommunikasjonsmidler i KBO av 16.12.2015. Unntatt offentlighet jf. Offl. § 21