§ 7.11 Systemredundans i driftskontrollsystemet
Virksomheter skal vurdere behovet for redundans i driftskontrollsystemet basert på lokale forhold og risikovurdering.
Ordforklaring
Redundans |
Reservekapasitet/dublering av kritiske komponenter og funksjoner for å øke påliteligheten til systemet |
Hvordan oppfylle kravet
Kravet betyr at virksomheten må vurdere behovet for redundans i driftskontrollsystemet. Vurderingen skal ta utgangspunkt i en risikovurdering av driftskontrollsystemet. Virksomheten må derfor kartlegge risiko for enkeltfeil og identifisere de tilfeller der enkeltfeil medfører uakseptabel konsekvens. I disse tilfellene skal redundans som forebyggende tiltak vurderes, men det er mulig å velge andre tiltak enn redundans.
Redundans kan oppnås ved å dublere kommunikasjonslinjer i risikoutsatte områder, ved å ha dublert kritiske komponenter eller prosessmaskiner. Redundans reduserer risikoen for alvorlig svikt i driftskontrollssystemet ved en enkelt feil i en enkelt komponent eller en maskin.
Dersom virksomheter med driftskontrollsystem i klasse 1 vurderer at det er behov for redundans, bør de iverksette tiltak som styrker redundansen. Dersom virksomheter med driftskontrollsystem i klasse 1 vurderer at det ikke er behov for redundans, er virksomheten likevel pålagt kompenserende tiltak i form av reparasjonsberedskap (se kapittel 4 og forskriftens vedlegg 1). For virksomheter i klasse 2 og 3 er kravet til redundans tydeligere, se § 7-14 g og h, og § 7-15 d.
Eksempel: Risikoanalysen viser behov for redundante kraftlinjer
Risikoanalysen til Kraftkonsernet AS viser at en av kraftinjene går i et rasutsatt område. I dag er det bare en kraftlinje til klasse 2 transformatorstasjon som forsyner mange med strøm. Risikoanalysen konkluderer med at risikoen for ras vil øke i tiden framover som følge av klimatiske endringer. Kraftkonsernets ledelse beslutter derfor å bygge en alternativ kommunikasjonslinje til denne transformatorstasjonen som går utenfor rasområdet. De setter i gang et arbeid med å utrede radiolinje eller bruk av offentlig mobilnett som redundant kommunikasjon til transformatorstasjonen.
På en annen strekning med kommunikasjon til en klasse 1 stasjon, er også risikoen høy. Her vurderer virksomheten å heller etablere reparasjonsberedskap.
Standarder
SP 800-82 Rev. 3, Guide to Operational Technology (OT) Security | CSRC
ISO/IEC 27019:2024 - Information security, cybersecurity and privacy protection — Information security controls for the energy utility industry
Veiledning
Guide to increased security in industrial control systems
Krysskoblinger
Kbf §§ 2.3, 5.8 og 6.9 c) stiller krav til risikovurdering, som vurdering av redundans er en del av Kbf § 2.10 Internkontroll.
Det kan være nyttig å se på kravene til redundans og dublering i vedlegg 2 og 3 til §§ 5.5 og 5.6 i forskriften. Vedleggene kommer bak i forskriften.
Klasse 2 og 3 driftskontrollsystemer har tilleggskrav om redundans i § 7.14 g).
Klasse 3 driftskontrollsystemer har tilleggskrav om redundans i § 7.15 a) og d).
Kapittel 4s krav til reparasjonsberedskap