§ 6.2 Kraftsensitiv informasjon
Kraftberedskapsforskriftens bestemmelser om kraftsensitiv informasjon er under revisjon. Utkastet til veileder som ble publisert i høringsdokumentet finner du her: Utkast til veileder for kbf. § 6-2.
Denne er ikke gjeldende før nye forskriftsbestemmelser trer i kraft, men vi vurderer at den er nyttig for brukerne allerede nå.
Kraftsensitiv informasjon er underlagt taushetsplikt etter § 9-3 i energiloven.
Med kraftsensitiv informasjon menes spesifikk og inngående opplysninger om kraftforsyningen som kan brukes til å skade anlegg, system eller annet eller påvirke funksjoner som har betydning for kraftforsyningen, herunder:
- Alle system som ivaretar viktige driftskontrollfunksjoner, herunder også nødvendig hjelpeutstyr som samband
- Detaljert informasjon om energisystemet, herunder enlinjeskjema, med unntak av enlinjeskjema for mindre viktige produksjonsanlegg
- Detaljert informasjon om klassifiserte transformatorstasjoner med tilhørende koblingsanlegg, herunder anleggets oppbygning og drift
- Oversikt over fordelingsnett til samfunnsviktige funksjoner. Oversikt over rørnett for fjernvarme til samfunnsviktige funksjoner
- Nøyaktig kartfesting av jordkabler. Nøyaktig kartfesting av rørnett i fjernvarmeanlegg med varmesentraler i klasse 2
- Forebyggende sikkerhetstiltak mot bevisst skadeverk
- Lokalisering av reserve driftssentraler og andre særskilte beredskapsanlegg for ledelse og drift
- Detaljerte analyser av sårbarhet som kan brukes til bevisst skadeverk.
- Beredskapsplaner for å håndtere bevisst skadeverk
- Samlet oversikt over reservemateriell, reserveløsninger eller reparasjonsberedskap av betydning for håndtering av bevisst skadeverk
Bestemmelsen krever skjønnsmessig vurdering av informasjonseier eller behandler. Bestemmelsen
- inneholder en generell definisjon av hva som er å anse som kraftsensitiv informasjon
- inneholder en ikke-uttømmende liste med konkrete eksempler på typer informasjon som er kraftsensitiv i bokstav a-j
- innebærer også at annen informasjon enn den som er opplistet i bokstav a-j kan være kraftsensitiv. Det vil da måtte avgjøres etter den generelle definisjonen i annet ledd første setning
- innebærer også at sammenstilling av ulik informasjon som ellers ikke omfattes av bestemmelsen til sammen kan gi så spesifikk og inngående kjennskap at den må anses som kraftsensitiv etter den generelle definisjonen
Taushetsplikt for kraftsensitiv informasjon
Bestemmelsen viser til taushetsplikten for kraftsensitiv informasjon etter energiloven § 9-3. Denne taushetsplikten gjelder for enhver og lyder:
Energiloven § 9-3 (Informasjonssikkerhet) annet ledd
«Enhver plikter å hindre at andre enn rettmessige brukere får adgang eller kjennskap til sensitiv informasjon om kraftforsyningen.»
Enhver betyr alle som får tilgang eller kjennskap til kraftsensitiv informasjon, både fysiske og juridiske personer. At informasjonen er underlagt taushetsplikt, betyr at man skal sørge for at ikke andre enn rettmessige brukere får tilgang til kraftsensitiv informasjon. Dette innebærer blant annet at informasjonen ikke skal være søkbar på internett, tilgjengelig for ikke autoriserte brukere eller publisert offentlig.
Hva omfattes av den generelle definisjonen?
Det er kun informasjon som utgjør «spesifikk og inngående opplysninger om kraftforsyningen som kan brukes til å skade anlegg, system eller annet eller påvirke funksjoner som har betydning for kraftforsyningen,» som er kraftsensitiv informasjon.
Bestemmelsen angir to kjennetegn, som begge må være til stede, for at informasjon vil være å anse som kraftsensitiv:
- Informasjonen må være «spesifikk og inngående». Med spesifikk menes konkret, for eksempel et konkret anlegg eller system. Med inngående menes detaljert. Dette stiller krav til at opplysningene må være mer enn kun oversiktspreget og ha en viss detaljeringsgrad. Bokstav a-j kommer nærmere inn på eksempler på hva som menes med spesifikke og inngående opplysninger i forskjellige tilfeller. Spesifikk og inngående opplysninger vil for eksempel kunne være en teknisk tegning eller bilde med detaljer av et klassifisert anlegg sammen med geografisk lokalisering eller navn på anlegget
- Informasjonen må videre være av en slik art at den «kan brukes til å skade anlegg, system eller annet eller påvirke funksjoner som har betydning for kraftforsyningen.» Dette innebærer at misbruk av opplysningene til sabotasjeformål har et skadepotensial. Virksomheten trenger ikke å vite med sikkerhet at skade vil oppstå eller at funksjoner faktisk blir påvirket dersom dette skjer, men det er tilstrekkelig at virksomheten anser det som sannsynlig at misbruk av opplysningene kan få slike følger. Når konstruktive detaljer og tilgjengeligheten til anlegget er synliggjort, er det både spesifikk og inngående informasjon. Også sammenstilling av opplysninger, som alene ikke anses som sensitive, kan gi så spesifikk eller inngående informasjon om kraftforsyningen eller anlegg at den kan brukes til å skade anlegg, system eller annet, eller påvirke funksjoner på en måte som har betydning for kraftforsyningen
Eksempel: Informasjon som ikke er kraftsensitiv
- Opplysninger av generell og oversiktspreget art om kraftforsyningen
- Kart over luftledninger med spenningsnivå
- Bilder av anlegg som kraftledninger, bygninger og infrastruktur som er synlige for allmennheten i terrenget. Merk at detaljinformasjon om de samme anleggene, eks. lås- og alarmsystem på bygg, er kraftsensitiv informasjon
Hva omfattes av listen i bokstav a – j?
Bokstav a-j gir eksempler, og disse eksemplene er ikke-uttømmende. KBO-enheten må i tillegg foreta en selvstendig og skjønnsmessig vurdering av om de har informasjon utover opplistingen som kan være sensitiv etter den generelle definisjonen.
Bokstav a) «Alle systemer som ivaretar viktige driftskontrollfunksjoner, herunder også nødvendig hjelpeutstyr som samband»
Systemer som ivaretar driftskontrollfunksjoner betraktes som kraftsensitiv når informasjonen om disse systemene også er spesifikke og inngående. Det ville innebære for eksempel opplysninger om leverandør, produktnavn, produktnummer, versjonsnummer, funksjonalitet og geografisk lokalisering.
Eksempel: Kraftsensitiv informasjon og besøk på driftssentral
IKT-sikkerhetskoordinator i Nett AS har fått en forespørsel fra sin leverandør av driftskontrollsystem om leverandøren kan ta med noen utenlandske kunder hos denne leverandøren på besøk. Nett AS har nylig bygget ny driftssentral med et moderne driftskontrollsystem, klasse 3. IKT-sikkerhetskoordinatoren vurderer at «systemer som ivaretar viktige driftskontrollfunksjoner», altså driftskontrollsystem er vidtrekkende. Det dekker eksempelvis koplingsbilder, skiftordning for personell, selve SCADA-systemet med skjermer, kommunikasjonssystem og full oversikt over nettanlegg, annet IT-utstyr på sentralen, fysisk låsesystem og soneinndeling, andre sikringstiltak, samt beredskapsrommet.
Tilgang til kraftsensitiv informasjon krever tjenstlig behov. Det er ikke tilfelle her. Besøket skal informere leverandørens kunder. Besøk på driftssentralen er også regulert i § 5-11. Nett AS kan ta imot besøk på et av møterommene hos virksomheten, men ikke ta med besøkende inn på driftssentralen i klasse 3. I forkant av møtet har Nett AS et internt møte der de forbereder hvilken informasjon som kan deles og hvordan besøkende skal tas imot og følges.
Bokstav b) «Detaljert informasjon om energisystemet, herunder enlinjeskjema, med unntak av enlinjeskjema for mindre viktige produksjonsanlegg»
Med detaljert informasjon om energisystemet menes informasjon om hvordan anlegg for produksjon, omforming, overføring, omsetning og fordeling av elektrisk energi og fjernvarme inngår i et system. Både enlinjeskjema og informasjon om hva det viser formidlet ved tekst, video eller tale, er kraftsensitiv informasjon.
Enlinjeskjema kan inneholde detaljer om anlegg og hvordan anleggene henger sammen i kraftsystemet, og vil derfor være å anse som sensitivt. Det er imidlertid en forutsetning at informasjonen er både «spesifikk og inngående».
Enkle og lite detaljerte oversikter over kraftnettet på et aggregert nivå, vil falle utenfor hva forskriften definerer som kraftsensitiv informasjon Det at oversikten er aggregert betyr at den ikke viser brytere og samleskinner eller annen informasjon som gjør det mulig å utlede sensitive opplysninger om kraftnettets funksjonalitet, som for eksempel koblingsmuligheter og alternative forsyningsveier. I en aggregert oversikt kan en transformator- eller koblingsstasjon presenteres som ett enkelt punkt og en ledning som én enkelt linje uten at dette er kraftsensitivt.
Dronefilmer over anlegg med geotagging kan derfor fort inneholde kraftsensitiv informasjon etter denne tolkningen.
Eksempel: Oversiktskart som ikke er kraftsensitivt
Nett AS planlegger å bygge om kraftsystemet inn til en større by i sitt forsyningsområde. På møte med berørte kommuner viser de en oversikt over nåværende og planlagte ledninger og transformatorstasjoner. Oversikten viser spenningsnivå på ledningene. Denne oversikten inneholder så få detaljer at den kan vises offentlig
Bildene nedenfor er eksempler på lite detaljerte oversikter over kraftnettet på et aggregert nivå.
Fra Statnetts konseptvalgutredning (KVU) «Nettplan Stor-Oslo» fra 2013 som per i dag er offentlig informasjon. Oversikten viser planlagt overordnet nettstruktur for transmisjonsnettet i Oslo og omegn.
Fra Statnetts KVU «Bedre leveringspålitelighet i kraftforsyningen til Nyhamna» fra 2015 som per i dag er offentlig informasjon. Kartet viser en oversikt over både transmisjons- og regionalnett i Møre og Romsdal. Transformatorstasjoner er representert som ett aggregert punkt (https://www.statnett.no/globalassets/for-aktorer-i-kraftsystemet/planer-og-analyser/konseptvalgutredning-nyhamna.pdf).
Forskriften angir at enlinjeskjema for mindre viktige produksjonsanlegg ikke er sensitivt. Mindre viktige produksjonsanlegg er produksjonsanlegg som verken har betydning for samfunnskritisk virksomhet eller forsyningssikkerheten til et stort antall kunder.
Bokstav c) «Detaljert informasjon om klassifiserte transformatorstasjoner med tilhørende koblingsanlegg, herunder anleggets oppbygging og drift»
Detaljert informasjon om klassifiserte transformatorstasjoner er sensitiv informasjon. Med detaljert informasjon om klassifiserte transformatorstasjoner menes anleggets klasse, tekniske egenskaper, informasjon om komponentene i stasjonen, beskrivelse av sikringstiltak og bygningstegninger.
Større transformatorer har lang reparasjonstid og lang leveringstid. Dette innebærer at informasjon som kan benyttes for å identifisere hvilke transformatorer som kan erstatte hverandre i nettet (reserver), er sensitiv informasjon.
Eksempel: Generelle konsesjonssaker
NVE ber om kart/plantegninger over transformatorstasjoner i konsesjonssøknader. Disse legges ut offentlig i forbindelse med høringer, med mindre det er merket som kraftsensitivt. Det er derfor viktig at KBO-enheten merker dokumentene korrekt. Dokumenter med kraftsensitiv informasjon skal merkes Underlagt taushetsplikt etter energiloven § 9-3 se. kbf. § 6-2. Unntatt fra innsyn etter offentleglova § 13, se eller
§ 6-2. Når søkeren har merket dokumentet som angitt, vil NVE skjerme informasjonen.
Eksempel: BIM-modell
Vannkraft AS bygger ny transformatorstasjon. Entreprenøren har designet ny stasjon i BIM – Bygnings Informasjons Modellering. En slik BIM-modell av en transformatorstasjon kan inneholde kraftsensitiv informasjon da den er en digital speiling av en reell stasjon. BIM-modellen kan dermed ikke publiseres. Eksempelet gjelder også digitale tvillinger som blir kopier av kraftanlegg eller systemer.
Bokstav d) «Oversikt over fordelingsnett til samfunnsviktige funksjoner. Oversikt over rørnett for fjernvarme til samfunnsviktige funksjoner»
Formålet med dette kravet er at det ikke skal være enkelt hverken i terrenget, på et offentlig tilgjengelig kart eller på annen måte å se at fordelingsnett og rørnett forsyner en samfunnsviktig funksjon eller hvilken stasjon den kommer fra. Fordelingsnett betyr i denne sammenheng lokalt distribusjonsnett.
Eksempel: Fordelingsnett til sykehus
En utbygger i en kommune ber Nett AS om oversikt over fordelingsnettet til et sykehus lokalisert i nærhet av det planlagte anleggsområdet. Informasjon om fordelingsnettet til sykehus vil være kraftsensitiv informasjon og skal ikke publiseres. Slik informasjon må imidlertid deles med entreprenøren, teknisk etat i kommunen og beskyttes i samsvar med kravene i kraftberedskapsforskriften. Dette reguleres i en sikkerhetsavtale med leverandør og kommune.
Samfunnsviktige funksjoner inkluderer virksomheter med viktig betydning for samfunnets sikkerhet og beredskap. I en kommune kan dette inkludere kommunehuset under beredskap, helsehus, politistasjonen, lokalsykehuset og skolen når den er evakueringsplass. Dette vil også gjelde skjermingsverdige objekter og infrastruktur etter sikkerhetsloven. Det vil kunne variere over tid både hva som er samfunnskritisk virksomhet og hvor denne virksomheten er lokalisert.
Bokstav e) «Nøyaktig kartfesting av jordkabler. Nøyaktig kartfesting av rørnett i fjernvarmeanlegg med varmesentraler i klasse 2»
Nøyaktig kartfesting (spesifikk og inngående informasjon) av jordkabler og rørnett i fjernvarmeanlegg klasse 2 er kraftsensitiv informasjon. Ved å skjerme nøyaktig informasjon om jordkabler, sikrer man at allment tilgjengelig informasjon om luftledninger ikke nødvendigvis viser hele kraftsystemet.
Ved inntegning på offentlig kart kan ikke jordkabler og rørnett i fjernvarmeanlegg med varmesentraler i klasse 2 kartfestes nøyaktig. For at kartfesting ikke skal være nøyaktig, må den gjøres på følgende måte:
- Som hovedregel skal kartet ikke ha en større målestokk (mer detaljert) enn 1:2000
- Jordkabler og rørnett skal tegnes inn som én strek ikke smalere enn tilsvarende 3 meter i kartet, ved målestokk 1:2000. Slik unngår man at hver kabel i kabelsettet blir vist. En viss bredde på streken vil gi et visst slingringsmonn hvor kablene/rørene vil bli lagt
- Behov for mer nøyaktig kartfesting må vurderes i det enkelte tilfellet
Karteksempelet nedenfor viser målestokk 1:2000 og en trasébredde på cirka 3 meter.
Eksempel: Kartfesting av rørnett
Fjernvarme AS er bedt av kommunen om å kartfeste rørnettet i distribusjonsnettet til fjernvarmeanlegget som har varmesentral i klasse 2. Kommunen vil publisere denne informasjonen på kommunens nettside slik at den er lett tilgjengelig for allmenheten. Kartfestingen gjør de ved å tegne inn rørnettet med rett strek mellom to punkter i kartet. Kartet har en målestokk på 1:2000 og streken som er inntegnet er ikke smalere enn 3 meter i terrenget. På denne måten er det ikke detaljert kartfesting og ikke kraftsensitiv informasjon.
Bokstav f) «Forebyggende sikkerhetstiltak mot bevisst skadeverk»
Forebyggende sikkerhetstiltak mot bevisst skadeverk omfatter tiltak i forbindelse med forsterkninger av bygg, IKT-sikkerhetstiltak, vaktordninger, sikringsrutiner, lås, alarm- og overvåkningssystemer m.m. Eksempler er:
- Informasjon om systemer, planer og rutiner for overvåkning, alarm og reaksjon
- Lås- og adgangskontrollsystemer
- Bygningstekniske tiltak som forsterkning av dører, vinduer, transformatorceller og andre konstruksjoner
- Informasjon om IKT-sikkerhetstiltak og sikkerhetsarkitektur
- Rutiner for vaktordninger og planer for bemanning av anlegg
- Rutiner for innleid vekterselskap
- Beredskapsrom – lokalisering i bygget, adgangskontrollsystem og utforming
Bokstav g) «Lokalisering av reserve driftssentraler og andre særskilte beredskapsanlegg for ledelse og drift»
Lokalisering av reservedriftssentralen skal ikke være offentlig kjent. Dette gjelder uavhengig av om driftskontrollfunksjoner utøves fra et kontrollrom eller om driftskontrollen kan utøves ved hjelp av hjemmevaktordninger.
Med særskilte beredskapsanlegg menes eksempelvis:
- Mobile sambandscontainere
- Beredskapslager med kritiske komponenter
- Mobile nødstrømsaggregat
- Beredskapsrom og reserveanlegg
Listen er ikke-uttømmende. KBO-enhetene må selv vurdere hva som er særskilte beredskapsanlegg for ledelse og drift.
Eksempel: Reservedriftssentral
En journalist i lokalavisa har publisert en artikkel om den nye driftssentralen og beredskapsrommet til Vannkraft AS. Reportasjen om den nye driftssentralen formidler også at den gamle driftssentralen nå blir en reservedriftssentral. I artikkelen omtales også lokasjonen og fasilitetene til den gamle driftssentralen. Journalisten har fått opplysningene fra Vannkraft AS. Reportasjen inneholder kraftsensitiv informasjon og utgjør et brudd på taushetsplikten i energiloven § 9-3 og kraftberedskapsforskriften § 6-2.
Vannkraft AS kontakter lokalavisen og ber om at de fjerner artikkelen.
Bokstav h) «Detaljerte analyser av sårbarhet som kan brukes til bevisst skadeverk»
Virksomhetens risiko- og sårbarhetsvurderinger og andre detaljerte og spesifikke analyser av ekstraordinære og uønskede hendelser og tilhørende beredskapstiltak er kraftsensitiv informasjon.
Generelle begrunnelser i for eksempel konsesjonssaker, som at forsterking av nettet er nødvendig for å redusere generell sårbarhet, er ikke kraftsensitiv informasjon. Dersom man legger til detaljerte beskrivelser om utfall i tid eller sted koplet til konkrete scenarier, så er dette å anse som kraftsensitiv informasjon. Under dette punktet kommer også detaljerte analyser av kraftsektorens eller kraftsystemets sårbarhet, inkludert digital tvilling som gir spesifikk og inngående informasjon om anlegg eller system eller avslører systemsårbarhet.
Informasjonen som deles, må sikres i henhold til kravene i §§ 6-3 til 6-6.
Eksempel: Presentasjon på åpent brukermøte i regi av interesseorganisasjon
Vannkraft AS presenterer erfaringene etter en kritisk feil i et kontrollanlegg på et åpent brukermøte hos en interesseorganisasjon i bransjen. På brukermøtet er også journalister og leverandører til stede. Feilen er rettet av leverandøren og eksisterer ikke lenger. Vannkraft AS har derfor vurdert at den ikke lenger utgjør en detaljert sårbarhet. Vannkraft AS velger å ikke angi sted/navn på anlegg eller navn på leverandør, men vektlegger å formidle hvordan de oppdaget og håndterte denne hendelsen. Vannkraft AS velger å ikke lage plansjer med inngående og spesifikke opplysninger om dette anlegget. Informasjonsformidlingen her er tillatt og ikke et brudd på forskriftens krav om taushetsplikt.
Bokstav i) «Beredskapsplaner for å håndtere bevisst skadeverk»
De planene KBO-enheten har for å håndtere bevisst skadeverk, er kraftsensitiv informasjon. Uvedkommende skal ikke få kjennskap til nøyaktig hvilke konsekvenser ulike typer skadeverk får, og skal heller ikke få kjennskap til beredskapsplaner slik at de kan hindre eller forsinke KBO-enhetens håndtering og evne til rask gjenoppretting
Dersom andre hendelser har samme konsekvens som bevisst skadeverk, er også beredskapsplanene for slike hendelser å regne som kraftsensitiv informasjon. Mange tiltak, prosedyrer og ressurser benyttes uavhengig av hendelsesårsak.
Bokstav h er imidlertid ikke til hinder for at slik kraftsensitiv informasjon kan deles med berørte offentlige etater som kommuner, politi, brannetat, statsforvalter m.fl, eller med KraftCERT, andre KBO-enheter eller leverandører, når det foreligger et tjenstlig behov. Virksomheten kan gi generell informasjon om pågående uønskede hendelser og konsekvenser for kundene.
Eksempel: Beredskapsplan
Kraftkonsernet AS tar i bruk skyteknologi. Beredskapslederen lurer på om beredskapsplan og innsatsplan for ulike hendelser kan legges i skyen. IKT-koordinatoren sender epost til NVE. I svar fra NVE gis det informasjon om at dette er kraftsensitiv informasjon som må beskyttes, og at virksomheten må ha streng tilgangsstyring, godt passordregime og god beskyttelse av informasjonen i form av kryptering av data i ro og i transitt. NVE peker på viktigheten av å ha kontroll på krypteringsnøklene og minimere risikoen for at utenforstående får tilgang til disse, og ev. supplere med sikkerhetsprosedyrer som hindrer at ansatte hos leverandøren får tilgang til kraftsensitive data uten godkjenning fra Kraftkonsernet AS på forhånd.
I tillegg må Kraftkonsernet AS sikre at virksomheten alltid har tilgang til en lokal kopi av beredskapsplanen, også om skytjenesten ikke skulle fungere eller forbindelsen til serveren skulle bli brutt.
Eksempel: Database over samlet lagerbeholdning
Leverandør AS drifter en database for flere selskaper i bransjen over samlet lagerbeholdning av reservemateriell. Denne databasen inneholder dermed kraftsensitiv informasjon og må ha streng tilgangsstyring til data og beskyttelse av dataene.
Fra Statnetts konseptvalgutredning (KVU) «Nettplan Stor-Oslo» fra 2013 som per i dag er offentlig informasjon. Oversikten viser planlagt overordnet nettstruktur for transmisjonsnettet i Oslo og omegn.
Fra Statnetts KVU «Bedre leveringspålitelighet i kraftforsyningen til Nyhamna» fra 2015 som per i dag er offentlig informasjon. Kartet viser en oversikt over både transmisjons- og regionalnett i Møre og Romsdal. Transformatorstasjoner er representert som ett aggregert punkt (https://www.statnett.no/globalassets/for-aktorer-i-kraftsystemet/planer-og-analyser/konseptvalgutredning-nyhamna.pdf).
Eksempel på kartfesting av jordkabler som ikke er kraftsensitiv.