Veiledning til kraftberedskapsforskriften

Del denne sidenDel på e-post

§ 2.3 Risikovurdering

Formålet med å gjennomføre risikovurderinger er å skaffe virksomheten et faglig grunnlag for å identifisere og håndtere risiko som virksomheten er utsatt for.

KBO-enheter skal gjennomføre risikovurdering knyttet til ekstraordinære forhold. Vurderingene skal ha et slikt omfang at enheten kan identifisere risiko og sårbarhet ved alle funksjoner, anlegg og tiltak av betydning for å oppfylle kravene i forskriften. Vurderingene skal minimum gjennomgås årlig og oppdateres ved behov. 

 

Gjennom risikoanalysen kan virksomheten identifisere farer og trusler, samt sårbarheter, og identifisere preventive tiltak som må iverksettes for å få ned risikoen til et akseptabelt nivå. Merk da at § 5-3 i denne forskrift stiller krav til at risikoen blir minst mulig. Akseptabelt nivå regnes da som minst mulig. Risikovurderingene bør inkludere gjennomførte tiltak og justere restrisiko i forbindelse med gjennomgangen. Videre skal konsekvensreduserende tiltak beskrives nærmere i beredskapsplanen for den restrisikoen som aksepteres. Vurderingene må minst gjennomgås årlig fordi omverdenen er i stadig endring.

Risikovurderingene må være av et slikt omfang at de gir en tilstrekkelig oversikt over risiko både på et overordnet og et mer detaljert nivå. Risikoanalyser anbefales å gjennomføres som både grovanalyse på et overordnet nivå, og som tematiske risikovurderinger på et detaljert nivå. Virksomheten må uansett gjennomføre en rekke risikovurderinger. Én overordnet fellesvurdering (grovanalyse) er ikke tilstrekkelig for å styre risikoen. Omfanget av risikovurderingene vil variere mellom ulike virksomheter alt ettersom hvor store og komplekse virksomhetene og deres omgivelser er. Små virksomheter kan der det er hensiktsmessig inkludere IKT-sikkerhet i overordnet risikoanalyse.

Alle situasjoner som ikke kan håndteres innenfor ordinær drift i KBO-enhetene, regnes for å være ekstraordinære. En ikke-uttømmende oversikt er listet opp i § 2-6 i kraftberedskapsforskriften. Hvilke situasjoner som regnes som ekstraordinære for KBO-enheten, skal framgå i de årlige risikovurderingene.

Eksempel: Et nettselskap bestiller risikovurderinger fra et eksternt firma.

Hva må hen passe på i prosessen?

  • Bestiller må ha bestillerkompetanse slik at virksomheten får grundige og oppdaterte vurderinger
  • Bestiller må ha kompetanse til å forstå innholdet i risikorapporten som leveres
  • Vurderingene og videre handlingsplaner må forankres i ledelsen
  • Innholdet i rapporten må være lett tilgjengelig og godt kjent av dem som skal bruke kunnskapen
  • Nye oppdaterte vurderinger må gjøres minimum årlig
  • Kraftsensitiv informasjon må beskyttes i henhold til kap. 6
  • Rapporten og oppfølging av rapporten må behandles rett i henhold til internkontrollsystemet (§ 2-10)

Standarder

Risikovurderinger bør bygge på siste oppdaterte standarder. Det anbefales å følge med på når nye oppdateringer kommer.
NS 5814 – Krav til risikovurderinger (om utilsiktede hendelser)
NS 5832– Sikringsrisikoanalyse (om tilsiktede handlinger)
NEK EN IEC 31010 Risk management – Risk assessment techniques
NEK EN IEC 60812 Failure models and effects analysis (FMEA an FMECA)
NEK EN 61025 Fault tree analysis (FTA)
NEK EN 61882 Hazard and operability studies (HAZOP studies) – Application guide
NEK EN 62502 Analysis techniques for dependability – Event tree analysis (ETA)
NEK EN IEC 62960 Dependability reviews during the life cycle

Bransjespesifikk veiledning til risikovurderinger

NVE Veileder 2/2024: Veiledning for risikovurdering av IT og OT

Nettseminar om NVEs veileder i risikovurdering av IT/ON

RENBLAD 8064 VEILEDNING TIL RISIKOVURDERING AV 0,23 KV - 24 KV NETT

Krysskobling 

§ 6.9 b) Digitale informasjonssystemer 

§ 5.8 Vurdering