Veiledning til kraftberedskapsforskriften

Del denne sidenDel på e-post

§ 6.1 Identifisering av kraftsensitiv informasjon og rettmessige brukere

Virksomheten skal identifisere kraftsensitiv informasjon og rettmessige brukere.

KBO-enheter skal etter energiloven § 9-3 første ledd identifisere hva som er kraftsensitiv informasjon, hvor denne befinner seg og hvem som har tilgang til den.

Identifiseringen av hva som er kraftsensitiv informasjon og hvor denne befinner seg, skal omfatte oppbevaring på papir, lagring i elektronisk form eller lagring på annen måte.

Med rettmessig bruker menes fysiske eller juridiske personer som har tjenstlig behov for kraftsensitiv informasjon. Den enkelte KBO-enhet skal selv avgjøre hvem som har tjenstlig behov for kraftsensitiv informasjon innenfor sin virksomhet.

Den enkelte KBO-enhet kan avgjøre om det er tjenstlig behov for å videreformidle kraftsensitiv informasjon til andre utenfor egen virksomhet. Den som har fått tilgang til kraftsensitiv informasjon av en KBO-enhet kan ikke videreformidle den kraftsensitive informasjonen til andre. Beredskapsmyndigheten kan i tvilstilfeller avgjøre hvem som er rettmessig bruker.

 

Virksomheten plikter å identifisere hva som er kraftsensitiv informasjon:

  • KBO-enheter har en plikt til å identifisere hva som er kraftsensitiv informasjon. Det er virksomheten som er ansvarlig for å vurdere verdien på informasjon og hva som er kraftsensitiv informasjon
  • Kravet betyr at KBO-enhetene må ha rutiner og praksis der ansatte som behandler informasjon, gjør en selvstendig vurdering av hvilken informasjon som er å anse som kraftsensitiv, og hva som ikke er kraftsensitivt. Kraftsensitiv informasjon må merkes, se § 6-3


Virksomheten plikter å identifisere hvor kraftsensitiv informasjon befinner seg:

  • På samme måte som det er nødvendig å identifisere hva slags informasjon man skal beskytte, er det en forutsetning for å kunne iverksette gode tiltak, at man vet hvor informasjonen er lagret eller blir behandlet. Hvor betyr for eksempel i eget fysisk arkiv, egen fysisk eller virtuell server eller i ekstern lagrings- og behandlingstjeneste hos avtalepart. Vi viser til § 6-5. Se også Anskaffe skytjenester | markedsplassen for skytjenester (anskaffelser.no). Forum for sikkerhet i kraftforsyningen (FSK) har laget veiledning for skytjenester, anskaffelser og leverandørkjeder. Se Publikasjoner – Forum for informasjonssikkerhet i kraftforsyningen (fsk-forum.no).
  • Bestemmelsen er utformet slik at kravet omfatter ulike lagringsmåter for kraftsensitiv informasjon. Formuleringen «lagring på annen måte» understreker at oppbevaring på papir og lagring i elektronisk form ikke er en uttømmende liste. Eksempel på annen måte kan være videoopptak eller microfilm. KBO-enhetene skal ha system og rutiner for å håndtere all kraftsensitiv informasjon slik forskriften krever, uavhengig av hvor informasjonen er lagret. Når kraftsensitiv informasjon skal behandles av leverandører eller samarbeidspartnere, må KBO-enheten regulere denne informasjonsbehandlingen i en egen sikkerhetsavtale med leverandøren eller samarbeidspartnere, må KBO-enheten regulere denne informasjonsbehandlingen i en egen sikkerhetsavtale med leverandøren eller samarbeidspartneren.


Virksomheten plikter å identifisere hvem som har tilgang til kraftsensitiv informasjon. Det innebærer at de har oversikt over hvem som har fått tilgang til og oppbevarer kraftsensitiv informasjon som virksomheten er ansvarlig for. Tilgang til kraftsensitiv informasjon bør logges også når ansatte hos leverandør får tilgang. Virksomheten bør derfor stille krav til logging i avtaler med leverandør og kunne gjøre rede for hvem som har hatt tilgang, lest og endret informasjon, i en eventuell revisjon utført av virksomheten selv eller av tredjepart på vegne av virksomheten.

Det er KBO-enhetene som eier sin kraftsensitive informasjon og som har ansvaret for å vurdere hvem som er rettmessige brukere.

KBO-enhetene skal vurdere sikkerheten ved all behandling av kraftsensitiv informasjon. Dette innebærer blant annet å sørge for at ingen andre enn «rettmessige brukere» får tilgang eller kjennskap til sensitiv informasjon om kraftforsyningen», se § 6-4.

Med rettmessig bruker menes «fysiske eller juridiske personer som har tjenstlig behov for kraftsensitiv informasjon.» Utgangspunktet for vurderingen er hvorvidt KBO-enheten selv har tjenstlig behov for å dele kraftsensitiv informasjon for å kunne utføre sine oppgaver. Det er primært følgende grupper som, etter en konkret vurdering, er rettmessige brukere, jf. Prop 112 L(2010-2011):

  • selskapets egne ansatte som trenger tilgang for å utføre pålagt arbeid
  • leverandører og andre samarbeidspartnere som KBO-enheten har inngått avtale med
  • myndigheter med tilsynsansvar og etater med beredskapsansvar (medlemmer av fylkesberedskapsrådet m.fl.)

Nøyaktig kartfesting av jordkabler er informasjon som det kan være tjenstlig behov for å dele med kommuner og berørte parter etter plan- og bygningsloven § 2-3. Det er i KBO-enhetens interesse å unngå graveskader og kabelbrudd.

Dersom det foreligger et tjenstlig behov for å videreformidle kraftsensitiv informasjon, skal deling skje på en måte som gjør at uvedkommende ikke får tilgang til informasjonen. Informasjon kan deles over sikret nett eller i sikret tjeneste, eventuelt på åpen e-post der vedlegg som inneholder kraftsensitiv informasjon er kryptert, se også § 6-3.

Den som har fått tilgang til kraftsensitiv informasjon fra KBO-enheten, kan ikke dele denne informasjonen videre uten samtykke fra KBO-enheten. Dette følger av fjerde ledd.

Eksempel: Identifisering av kraftsensitiv informasjon

IKT-sikkerhetskoordinator i Kraftkonsernet AS er kjent med at virksomheten må identifisere kraftsensitiv informasjon etter kbf § 6-1. Denne informasjonen ligger i ulike systemer i virksomheten, på servere, i klienter og i fysisk arkiv, i databaser, i styringssystemer, i vedlikeholdssystemet, i administrative systemer.

Ved en stikkprøve viser det seg at ikke all kraftsensitiv informasjon er merket. IKT-sikkerhetskoordinatoren anbefaler for ledelsen at de kjører en intern kampanje på hva som er kraftsensitiv informasjon, hvordan den skal merkes, lagres og sikres i overføring mellom ulike tjenester og personer. Mange trenger tilgang til kraftsensitiv informasjon. Det inkluderer også eksterne, inklusive leverandører, og offentlige etater. Merking av informasjon er viktig for å vite hvilken informasjon som er underlagt taushetsplikt og som skal beskyttes.

Eksempel: Rettmessig bruker og sikring av kraftsensitiv informasjon

Nett AS får en forespørsel fra en forskningsinstitusjon om å bli med i et forskningsprosjekt på digitalisering av lokalkontrollanlegg. Dette innebærer at forskerne må få tilgang til kraftsensitiv informasjon. Ledergruppen anbefaler at Nett AS blir med i forskningsprosjektet fordi det har relevans og nytteverdi for virksomheten. IKT-sikkerhetskoordinator vurderer derfor at forskerne er rettmessige brukere av kraftsensitiv informasjon.

Nett AS inngår sikkerhetsavtale med forskningsinstitusjonen og bruker NVEs mal for sikkerhetsavtale. Her er det regulert hvordan kraftsensitiv informasjon skal behandles og beskyttes. En av forskerne i prosjektet er Nett AS sin egen nyansatte PhD-student. Han må signere taushetserklæring. Nett AS benytter NVEs mal for taushetserklæring.

Leverandører og andre som har fått tilgang til kraftsensitiv informasjon fra KBO-enheten, kan ikke dele denne videre uten samtykke fra KBO-enheten. Dette er fordi det er KBO-enheten som avgjør hvem som er rettmessige brukere. Dette forholdet må etter § 6-5 reguleres i en sikkerhetsavtale som skal inngås mellom KBO-enheten og leverandøren.

Eksempel: Videreformidling av kraftsensitiv informasjon

Nett AS er med i et forskningsprosjekt og har inngått avtale med et forskningsinstitutt. Forskningsinstituttet mister viktig kompetanse da en ansatt slutter, og det oppstår et behov for at forskningsinstituttet engasjerer en ekstern konsulent for å bistå i arbeidet videre. Forskningsinstituttet kan ikke overføre kraftsensitiv informasjon til konsulenten uten Nett AS sin godkjennelse. Den eksterne konsulenten må også inngå en avtale om behandling av kraftsensitiv informasjon med Nett AS. Konsulentselskapet har sin egen standardavtale. Denne kan brukes når den gir tilsvarende beskyttelse av kraftsensitiv informasjon som NVEs mal for sikkerhetsavtale.