Kraftberedskapsforskriften: § 6.5 Anskaffelser

KBO-enheter har ansvaret for at bestemmelsene om informasjonssikkerhet og taushetsplikt for kraftsensitiv informasjon ivaretas i anskaffelser. KBO-enheter skal i anskaffelser påse at leverandører er forpliktet til å etterleve bestemmelsene om informasjonssikkerhet og taushetsplikt for kraftsensitiv informasjon.

Det skal i avtale sikres at KBO-enheter gis rett til å kontrollere, herunder revidere, leverandørens etterlevelse av disse bestemmelsene.

Plikten til å påse innebærer at det skal iverksettes system og rutiner for å undersøke, og om nødvendig, følge opp at reglene om informasjonssikkerhet og taushetsplikt etterleves.

Bestemmelsene i første og annet ledd gjelder tilsvarende når KBO-enheter setter ut oppdrag for prosjektering, installering, vedlikehold og feilretting av driftskontrollsystemet.

Ordforklaring

Revidere	Se kritisk igjennom og foreta nødvendige rettelser og forandringer
Påse	Sørge for
Driftskontrollsystemet	Se § 7.1

Hvordan oppfylle kravet?

Bestemmelsen plasserer ansvaret for å sikre at leverandører etterlever kravene om informasjonssikkerhet og taushetsplikt for kraftsensitiv informasjon i KBO-enheten. Kravene kan oppfylles på følgende måte:

KBO-enhetene må i anskaffelsesdokumentene og i avtalen med leverandøren gjøre det tydelig at leverandøren er forpliktet til å beskytte kraftsensitiv informasjon og etterleve taushetsplikten. Se henvisning til mal nedenfor
KBO-enheten må i avtalen med leverandøren sørge for at de har rett til å kontrollere leverandørens etterlevelse av kravene til å beskytte kraftsensitiv informasjon. NVE godtar at etterlevelse kan sjekkes gjennom at KBO-enheten får innsyn i og sjekker tredjepartsrevisjonsrapporter av IKT-sikkerheten hos leverandøren
KBO-enheten skal ha rutiner for hvordan de følger opp leverandøren. KBO-enheten kan gjennomføre egen revisjon av leverandøren eller se gjennom og vurdere tredjeparts revisjonsrapporter om IKT-sikkerhet hos leverandøren. KBO-enheter som benytter samme leverandør, kan samarbeide om dette dersom det er hensiktsmessig

KBO-enheter trenger ikke inngå sikkerhetsavtale med andre KBO-enheter fordi disse allerede er underlagt forskriftens krav.

Eksempel: Leverandør går konkurs

Vannkraft AS har benyttet en IT-leverandør som behandler informasjon til et stort antall KBO-enheter. IT-leverandøren går konkurs, det blir oppnevnt bobestyrer og konkursboet blir raskt solgt til et annet selskap. Bobestyrer og deretter ny eier får dermed tilgang til kraftsensitiv informasjon. Digitale data er lagret på servere hos IT-leverandøren og dens underleverandør. Data som ikke i kontrakten er uttrykkelig eid av Vannkraft AS, inngår i konkursboet og er solgt.

IKT-sikkerhetskoordinatoren kontakter NVE for å be om råd. NVE ber ham sjekke eierskap til data og kontraktbetingelsene med vekt på sikring av kraftsensitiv informasjon. NVE tar videre kontakt med bobestyrer for å avklare spørsmål om hvordan kraftsensitiv informasjon er beskyttet, og hvem som har tilgang. NVE presiserer at energiloven § 9-3 om taushetsplikt gjelder for enhver, altså også konkursboet og bobestyrer. NVE informerer relevante aktører i KBO om hendelsen og gir samtidig råd om tiltak.

Eksempel: Leverandørrevisjon

Varmekraft AS har bestemt seg for å gjennomføre revisjon hos noen av sine leverandører. De velger ut en norsk IT-leverandør og en skytjeneste-leverandør. IKT-sikkerhetskoordinatoren tar kontakt med begge leverandørene og får avtalt revisjonsmøte med den norske IT-leverandøren. Skytjenesteleverandøren er et stort globalt selskap med kontor i Norge. IKT-sikkerhetskoordinatoren ber om å få se leverandørens revisjonsrapporter som er laget av uavhengige revisjonsfirma (tredjepartsrevisjon).