§ 6.5 Anskaffelser
KBO-enheter har ansvaret for at bestemmelsene om informasjonssikkerhet og taushetsplikt for kraftsensitiv informasjon ivaretas i anskaffelser. KBO-enheter skal i anskaffelser påse at leverandører er forpliktet til å etterleve bestemmelsene om informasjonssikkerhet og taushetsplikt for kraftsensitiv informasjon.
Det skal i avtale sikres at KBO-enheter gis rett til å kontrollere, herunder revidere, leverandørens etterlevelse av disse bestemmelsene.
Plikten til å påse innebærer at det skal iverksettes system og rutiner for å undersøke, og om nødvendig, følge opp at reglene om informasjonssikkerhet og taushetsplikt etterleves.
Bestemmelsene i første og annet ledd gjelder tilsvarende når KBO-enheter setter ut oppdrag for prosjektering, installering, vedlikehold og feilretting av driftskontrollsystemet.
Ordforklaring
Revidere | Se kritisk igjennom og foreta nødvendige rettelser og forandringer |
Påse | Sørge for |
Driftskontrollsystemet | Se § 7.1 |
Hvordan oppfylle kravet?
Bestemmelsen plasserer ansvaret for å sikre at leverandører etterlever kravene om informasjonssikkerhet og taushetsplikt for kraftsensitiv informasjon i KBO-enheten. Kravene kan oppfylles på følgende måte:
- KBO-enhetene må i anskaffelsesdokumentene og i avtalen med leverandøren gjøre det tydelig at leverandøren er forpliktet til å beskytte kraftsensitiv informasjon og etterleve taushetsplikten. Se henvisning til mal nedenfor
- KBO-enheten må i avtalen med leverandøren sørge for at de har rett til å kontrollere leverandørens etterlevelse av kravene til å beskytte kraftsensitiv informasjon. NVE godtar at etterlevelse kan sjekkes gjennom at KBO-enheten får innsyn i og sjekker tredjepartsrevisjonsrapporter av IKT-sikkerheten hos leverandøren
- KBO-enheten skal ha rutiner for hvordan de følger opp leverandøren. KBO-enheten kan gjennomføre egen revisjon av leverandøren eller se gjennom og vurdere tredjeparts revisjonsrapporter om IKT-sikkerhet hos leverandøren. KBO-enheter som benytter samme leverandør, kan samarbeide om dette dersom det er hensiktsmessig
KBO-enheter trenger ikke inngå sikkerhetsavtale med andre KBO-enheter fordi disse allerede er underlagt forskriftens krav.
Eksempel: Leverandør går konkurs Vannkraft AS har benyttet en IT-leverandør som behandler informasjon til et stort antall KBO-enheter. IT-leverandøren går konkurs, det blir oppnevnt bobestyrer og konkursboet blir raskt solgt til et annet selskap. Bobestyrer og deretter ny eier får dermed tilgang til kraftsensitiv informasjon. Digitale data er lagret på servere hos IT-leverandøren og dens underleverandør. Data som ikke i kontrakten er uttrykkelig eid av Vannkraft AS, inngår i konkursboet og er solgt. IKT-sikkerhetskoordinatoren kontakter NVE for å be om råd. NVE ber ham sjekke eierskap til data og kontraktbetingelsene med vekt på sikring av kraftsensitiv informasjon. NVE tar videre kontakt med bobestyrer for å avklare spørsmål om hvordan kraftsensitiv informasjon er beskyttet, og hvem som har tilgang. NVE presiserer at energiloven § 9-3 om taushetsplikt gjelder for enhver, altså også konkursboet og bobestyrer. NVE informerer relevante aktører i KBO om hendelsen og gir samtidig råd om tiltak. |
Eksempel: Leverandørrevisjon
Varmekraft AS har bestemt seg for å gjennomføre revisjon hos noen av sine leverandører. De velger ut en norsk IT-leverandør og en skytjeneste-leverandør. IKT-sikkerhetskoordinatoren tar kontakt med begge leverandørene og får avtalt revisjonsmøte med den norske IT-leverandøren. Skytjenesteleverandøren er et stort globalt selskap med kontor i Norge. IKT-sikkerhetskoordinatoren ber om å få se leverandørens revisjonsrapporter som er laget av uavhengige revisjonsfirma (tredjepartsrevisjon).
Maler
Informasjonssikkerhetsavtale NVE-avtale mal på norsk og engelsk se NVE maler
NVEs mal for taushetserklæring på norsk og engelsk se NVE maler
Standarder
NS-EN ISO/IEC 27001 Ledelsessystemer for informasjonssikkerhet
Veiledere
Nye råd skal gi tryggere datasentertjenester - Nasjonal sikkerhetsmyndighet
Om "Internkontroll i praksis - informasjonssikkerhet" | Digdir
Anskaffe skytjenester | markedsplassen for skytjenester (anskaffelser.no)
Sjekkliste for IKT-sikkerhet i anskaffelser og tjenesteutsetting i norsk kraftforsyning (norsk)
Sjekkliste for IKT-sikkerhet i anskaffelser og tjenesteutsetting i norsk kraftforsyning (engelsk)
FSK-Veilder-for-skytjenester-Final-PDF.pdf (fsk-forum.no)
Krysskoblinger
- § 2.I0 Internkontrollsystem
- § 6.1 Identifisering av kraftsensitiv informasjon og rettmessige brukere
- § 6.2 Kraftsensitiv informasjon
- § 6.3 Beskyttelse, avskjerming og tilgangskontroll
- § 6.4 Informasjon om taushetsplikt i sikkerhetsinstruks og signering av taushetserklæring
- § 6.6 Begrenset anbudsinnbydelse
- § 6.9 Digitale informasjonssystemer