Veiledning til kraftberedskapsforskriften

Del denne sidenDel på e-post

§ 7.14 Særskilte krav til driftskontrollsystemer i klasse 2

Virksomheter med driftskontrollsystem i klasse 2 skal oppfylle tilleggskravene som er omtalt her.

Foruten de generelle krav til beskyttelse av driftskontrollsystemet, skal virksomheter med driftskontrollsystem i klasse 2 oppfylle følgende tilleggskrav:

a. Sikkerhetskopier

Virksomheten skal jevnlig teste at gjenoppretting av elektroniske sikkerhetskopier fungerer etter hensikten

b. Sikkerhetsrevisjon

Virksomheten skal jevnlig gjennomføre en sikkerhetsrevisjon og kontroll av pålagte beskyttelsestiltak i driftskontrollsystemet. Revisjonens formål skal være å påse at tiltakene faktisk er etablert og fungerer etter sin hensikt

c. Overvåking og logging

Virksomheten skal ha automatisk overvåking, logging, analyse og varsling ved uautorisert bruk, forsøk på uautorisert tilgang, unormal datatrafikk eller annen aktivitet som ikke er autorisert i driftskontrollsystemet

d. Utilgjengelig driftssentral

Dersom driftssentralen blir utilgjengelig, skal virksomheten kunne betjene og manuelt styre anlegg som inngår i virksomhetens driftskontrollsystem. I tillegg skal virksomheten ha planer for alternativ drift dersom driftssentralen blir utilgjengelig over lengre tid.

e. Bemanning av driftssentral

Virksomheten skal sørge for at alle påregnelige ekstraordinære situasjoner eller hendelser i energisystemet eller i driftskontrollsystemet umiddelbart oppdages og håndteres uten unødig opphold

Virksomheten skal senest innen én time kunne bemanne driftssentralen.

Virksomheten skal ha en vaktordning som til enhver tid sikrer rask opptrapping av bemanningen ved behov.

 f. Ekstern tilkobling til driftskontrollsystemet

Ved tilkobling fra leverandører skal driftssentralen være bemannet

Virksomheter skal ha kontrollordning for korrekt verifisering av de brukere som er godkjent til å benytte ekstern tilkobling for tilgang til driftskontrollsystemet. Det er ikke tillatt at én brukeridentitet deles mellom flere personer eller systemer.

Virksomheter skal sørge for at ekstern tilkobling utføres fra et sted med tilstrekkelig sikre omgivelser. Virksomheter skal utarbeide interne regler for hva som er et sikkert sted.

Den eksterne tilkoblingen skal kun åpnes når det er behov for å få tilgang til driftskontrollsystemet. Tilkoblingen skal være lukket når den ikke er i bruk.

Det skal foreligge en egen skriftlig prosedyre for ekstern tilkobling.

Dersom KBO-enheten kan foreta styring av anlegg i kraftforsyningen gjennom ekstern tilkobling, skal styringen kun skje etter tillatelse eller retningslinjer fra bemyndiget person.

Enhver påkobling til driftskontrollsystemet gjennom ekstern tilkobling skal loggføres.

g. Systemredundans 

Samband i driftskontrollsystemet skal fungere uavhengig av funksjonssvikt i offentlige elektroniske kommunikasjonstjenester eller kommunikasjonsnett

Driftskontrollsystemet frem til anlegg i klasse 2 og 3 skal være redundant frem til det lokale kontrollanlegget. I det lokale kontrollanlegget skal virksomheten vurdere behovet for redundans.

Redundante føringsveier for samband og redundante komponenter i driftskontrollsystemet skal være fysisk adskilte og uavhengige slik at én enkelt feil eller hendelse ikke medfører tap av viktige funksjoner. 

Det skal etableres reparasjonsberedskap for alt samband, jf. kapittel 4 og § 7-8.

h. Særskilt om dublering 

Ved dublering som benytter identiske teknologier og løsninger i driftskontrollsystemet, må virksomheten innrette seg slik at samme systemfeil ikke rammer alle dublerte system samtidig, jf. § 7-7

i. Beskyttelse mot EMP og EMI

Det skal gjennomføres sikrings- eller beredskapstiltak for beskyttelse av utrustning som nevnt i § 7-13 mot EMP og EMI for minst én sambandsvei til anlegg i klasse 2 og 3 som driftskontrollsystemet styrer

j. Sikker tidsreferanse 

Driftskontrollsystem som er avhengig av eksakt tidsreferanse, skal ha sikre kilder for tidsangivelse

k. Krav til leverandører 

For leveranser til driftskontrollsystemer tillates kun utenlandske leverandører fra land som er medlem i EFTA, EU eller NATO. En leveranse omfatter levering av utstyr, komponenter, programvare, data, programmeringstjenester, oppdateringer, feilretting, service og vedlikehold

Hvordan oppfylle kravet

Kravene i bestemmelsen er detaljerte tilleggskrav til klasse 2 driftskontrollsystemer. Disse kravene kommer i tillegg til grunnkrav som er oppstilt tidligere i kapittel 7 i forskriften.

Bokstav a

7-8, se også § 4-1 Reparasjonsberedskap, § 7-3 Dokumentasjon av driftskontrollsystemet og § 6-8 Sikkerhetskopi.

Bokstav b

7-14 b. Sikkerhetsrevisjon skal gjennomføres jevnlig for å teste at pålagte tiltak faktisk er etablert og fungerer. NVE anbefaler at sikkerhetsrevisjon gjøres årlig og inngår i virksomhetens årsplan.

Bokstav c

Logger knyttet til brukeraktivitet bør lagres i minst 2 år av hensyn til etterforskning av uønskede hendelser der en angriper kan skjule sin aktivitet i systemet i lengre tid. Hensikten med bestemmelsen er at virksomheten ved tidlig varsling til KraftCERT (se § 6-9 bokstav c) om uautorisert bruk, forsøk på uautorisert tilgang, unormal datatrafikk eller annen aktivitet kan hindre tap av funksjon i driftskontrollsystemet eller få satt i gang feilsøking og feilretting raskest mulig.

Virksomheten må ha et system som automatisk overvåker trafikk i nettverk og som gir alarm eller varsler ved unormal aktivitet. Bestemmelsen må ses i sammenheng med kravet om å etablere effektive reaksjonsrutiner for å håndtere feil, sårbarheter og sikkerhetsbrudd i driftskontrollsystemet i § 7-7. Håndtering av feil, sårbarheter og sikkerhetsbrudd.

Installering, konfigurering og innstillinger av alarmer og monitoreringsparametre i overvåkingssystem eller i brannmurer eller svitsjer kan være komplisert, og øker i kompleksitet med størrelse og omfang på driftskontrollsystemet. Blir systemene konfigurert feil, risikerer man å få mange falske alarmer, men også at systemene stopper «lovlig» trafikk i driftskontrollsystemet eller ikke beskytter systemet som tiltenkt.

NVE anbefaler at virksomheten samarbeider med leverandøren av driftskontrollsystemet når virksomheten skal etablere automatiske overvåkings- eller beskyttelsessystem i driftskontrollsystemet. På den måten kan man unngå at funksjonalitet i driftskontrollsystemet blir forstyrret eller hindret ettersom overvåkingssystemene også kan forstyrre normal datatrafikk.

Hvis systemet krever at man utplasserer sensorer i nettverket, må man passe på at disse ikke forstyrrer signalene for å overvåke og styre anleggene. En måte å gjøre det på, kan være å plassere sensorer utenfor selve driftskontrollsystemet slik at man ikke foretar analyse i datanettverket til driftskontrollsystemet.

Bokstav d

Virksomheter med klasse 2 driftssentraler skal kunne drifte systemet selv om driftssentralen blir utilgjengelig. Kravene bygger videre på kravet i § 7-8 Beredskap ved svikt i driftskontrollsystemet og gir flere føringer for løsningen.

Bokstav e

Bestemmelsen stiller detaljert krav til bemanning og styrking av driftssentral i klasse 2 driftskontrollsystemer. Kravet kommer i tillegg til § 7-9 Bemanning av driftssentral.

Bokstav f

Ekstern tilkopling til driftskontrollsystemet er tilleggskrav til § 7-10 Ekstern tilkopling. Kravene er detaljerte og gir flere føringer. Virksomheten må selv vurdere hva som er tilstrekkelig sikre omgivelser og sikkert sted. NVE vurderer offentlig rom (flyplasser, kjøpesentre, hoteller) som ikke-sikkert sted, fordi det ikke er begrensninger med hensyn til hvem som kan ha adgang. Dersom en må koble til driftskontrollsystemet utenfor leverandørens eller virksomhetens lokaler, er det viktig at det er iverksatt gode sikringstiltak som beskytter både opp- og nedkobling, samt overføring av data, mot avlytting og manipulasjon.

Bokstav g

Systemredundans kommer som tilleggskrav til § 7-11. Mens § 7-11 setter krav til å vurdere behovet og velge aktuelle tiltak for å håndtere risikoen, så er kravene i § 7-14g detaljkrav som styrker sikkerheten og begrenser valgfriheten. Kravet er spesielt strengt når det gjelder samband og redundans. Samband skal fungere uavhengig av svikt i det offentlige elektroniske kommunikasjonssystemer. NVE godtar at en sambandsvei i en redundant løsning går via offentlige elektroniske kommunikasjonsnett.

Bokstav h

Bestemmelsen bygger også videre på § 7-11 og detaljerer krav til å redusere risikoen for at samme feil rammer redundante systemer. Kravet er at sikringstiltak skal hindre at en feil, eksempelvis skadevare, smitter på reservesystemet. Dersom en ikke benytter ulike teknologier fra for eksempel ulike leverandører, må risikoen håndteres gjennom andre forebyggende tekniske og organisatoriske sikringstiltak. Eksempler er rutiner for uttesting av programvare før oppdatering, sikkerhetskopier, planlagt og testet backup, reserveløsninger og prosedyrer for manuell drift.

Bokstav i

Bestemmelsen bygger videre på § 7-13 og setter i tillegg krav til EMP- og EMI-sikring av minst en sambandsvei fra driftskontrollsystemet til anlegg i klasse 2 og 3.

All elektronikk, inkludert sambandsutstyr og datautrustning tilhørende driftskontrollsystemer, er i utgangspunktet meget sårbart for ekstreme elektromagnetiske hendelser som High Altitude EMP (HEMP) og Intentional EMI (IEMI). Kraftkomponenter (transformatorer mv), vern og instrumentering er langt mer hardføre, men overgangen til digitalt instrumenterte transformatorstasjoner i friluft, gir sårbarhet for vern og instrumentering. EMP- og EMI-beskyttelse vil begrense skadevirkningene dersom trusselen inntreffer. 

CE-merking av utstyr som tilfredsstiller EMC-direktivet innebærer ikke at utstyret er beskyttet mot påført HEMP og IEMI. EMC-direktivet regulerer deler av utsending av uønsket energi, pluss forstyrrelser i apparatenes funksjoner som ikke er direkte eller indirekte farlige. CE-merking innebærer at en prototype skal ha gjennomgått en EMC-test, der den skal ha blitt utsatt for stråling på 3 V/m på mange frekvenser, med forskjellige moduleringer. I disse testene skal funksjonene i prototypen ikke ha blitt forstyrret. Trusselen fra kjernefysisk EMP er definert til 50 kV/m som en puls som har energien fordelt i et frekvensområde fra 10 kHz til 1 GHz. Det krever en viss grad av skjerming for å redusere eller fjerne påvirkning fra denne type stråling.

Behovet for beskyttelse mot HEMP E1 er minimum 30 dB demping for frekvenser opp til 1 GHz. Behovet for beskyttelse mot HEMP E1 og IEMI kombinert er minimum 30 dB demping for frekvenser opp til 10 GHz.  

Beskyttelsesnivået vil ikke forhindre funksjonsfeil, forstyrrelser og mulig avbrudd, men forhindre varig skade på elektronisk utstyr og datautrustning.  

Anlegg med fjelloverdekning på minst 10 meter er naturlig sikret mot strålingsfelt fra HEMP E1 og IEMI, men behovet for vern mot transiente overspenninger på kabler og ledningsnett må vurderes.  

HEMP vil ramme mange anlegg samtidig. Beskyttelsen består i et tilstrekkelig robust kraftsystem som kan motstå skadevirkningene. IEMI er derimot en mulig trussel kun mot enkeltanlegg eller deler av driftskontrollsystemet. IEMI-trusselen kan antas å være størst for de mest kritiske anleggene, og mest relevant for anlegg med fri sikt og enkel adkomst med kjøretøy. Sårbarheten for IEMI-trusler er avhengig av redundansen i kraftsystemet, antatt skadeomfang og medgått tid for gjenoppretting av systemredundans. 

Krav om beskyttelse mot HEMP E1 omfatter i utgangspunktet alle installasjoner i driftskontrollsystemer i klasse 2 og 3, og alle lokalkontrollanlegg for kraftforsyningsanlegg i klasse 2 og 3. Tilleggsbeskyttelse mot IEMI bør omfatte alle installasjoner i driftskontrollsystemer og lokalkontrollanlegg med fri sikt og enkel adkomst. 

Tiltakene omfatter skjerming, jording og avledning, eventuelt i kombinasjon med soneinndeling. For planlegging, utførelse og testing henvises til relevante standarder og veiledere nedenfor. 

EMP-sikring vil vanligvis måtte omfatte:

  • Lokalkontrollanlegg for kraftforsyningsanlegg i klasse 2 og 3 
  • Minst én sambandsvei til kraftforsyningsanlegg i klasse 2 og 3. For sambandsvei til kraftforsyningsanlegg i klasse 2 kan EMP-beredskap aksepteres 
  • Datarom, sambandsrom og driftssentral (kontrollrom) for driftskontrollsystemer i klasse 2 og 3, inkludert systemer for sikkerhetskopiering og løsninger/installasjoner for alternativ drift. Utstyr som ikke befinner seg i EMP-sikre rom, må kunne erstattes raskt av utstyr som ikke er påvirket av den samme hendelsen   
  • Nødstrømsforsyning skal være EMP-sikret; under og etter en EMP- eller EMI-hendelse skal nødstrømanlegget inklusiv aggregatet virke.   
  • Adgangskontrollsystemer og systemer for elektronisk overvåkning 

Standarder

IEC 61000 serien om elektromagnetisk kompatibilitet  

IEC/TR 61000-1-3:2002: Electromagnetic compatibility (EMC) – Part 1-3: General – The effects of high-altitude EMP (HEMP) on civil equipment and systems.  

IEC/TR 61000-1-5:2004: Electromagnetic compatibility (EMC) – Part 1-5: General – High power electromagnetic (HPEM) effects on civil systems.  

IEC 61000-2-9:1996: Electromagnetic compatibility (EMC) – Part 2: Environment – Section 9: Description of HEMP environment – Radiated disturbance.  

IEC 61000-2-10: Electromagnetic compatibility (EMC) – Part 2-10: Environment – Description of HEMP environment – Conducted disturbance  

IEC 61000-2-11:1999: Electromagnetic compatibility (EMC) – Part 2-11: Environment – Classification of HEMP environments.  

IEC 61000-2-13:2005: Electromagnetic compatibility (EMC) – Part 2-13: High-power electromagnetic (HPEM) environments – Radiated and conducted.   

IEC 61000-4-23:2016: Electromagnetic compatibility (EMC) – Part 4-23: Testing and measurement techniques – Test methods for protective devices for HEMP and other radiated disturbances.  

IEC 61000-4-24:2015: Electromagnetic compatibility (EMC) – Part 4-24: Testing and measurement techniques – Test methods for protective devices for HEMP conducted disturbance.  

IEC 61000-4-25:20012001+A1:2012+A2:2019: Electromagnetic compatibility (EMC) – Part 4-25: Testing and measurement techniques – HEMP immunity test methods for equipment and systems.  

IEC/TR 61000-4-32:2002: Electromagnetic compatibility (EMC) – Part 4-32: Testing and measurement techniques – High-altitude electromagnetic pulse (HEMP) simulator compendium.  

IEC 61000-4-33:2005: Electromagnetic compatibility (EMC) – Part 4-33: Testing and measurement techniques – Measurement methods for high-power transient parameters.  

IEC/TR 61000-4-35:2009: Electromagnetic compatibility (EMC) – Part 4-35: Testing and measurement techniques – High power electromagnetic (HPEM) simulator compendium.  

IEC 61000-4-36:2020: Electromagnetic compatibility (EMC) – Part 4-36: Testing and measurement techniques – IEMI immunity test methods for equipment and systems.  

IEC/TR 61000-5-3:1999: Electromagnetic compatibility (EMC) – Part 5-3: Installation and mitigation guidelines – HEMP protection concepts.   

IEC/TS 61000-5-4:1996: Electromagnetic compatibility (EMC) – Part 5: Installation and mitigation guidelines – Section 4: Immunity to HEMP – Specifications for protective devices against HEMP radiated disturbance.   

IEC 61000-5-5:1996: Electromagnetic compatibility (EMC) – Part 5: Installation and mitigation guidelines – Section 5: Specification of protective devices for HEMP conducted disturbance.   

IEC/TR 61000-5-6:2002: Electromagnetic compatibility (EMC) – Part 5-6: Installation and mitigation guidelines – Mitigation of external EM influences.   

IEC 61000-5-7:2001: Electromagnetic compatibility (EMC) – Part 5-7: Installation and mitigation guidelines – Degrees of protection by enclosures against electromagnetic disturbances (EM code).   

IEC/TS 61000-5-8:2009: Electromagnetic compatibility (EMC) – Part 5-8: Installation and mitigation guidelines – HEMP protection methods for the distributed infrastructure.   

IEC/TS 61000-5-9:2009: Electromagnetic compatibility (EMC) – Part 5-9: Installation and mitigation guidelines – System-level susceptibility assessments for HEMP and HPEM.   

IEC/TS 61000-5-10:2017: Electromagnetic compatibility (EMC) – Part 5-10: Installation and mitigation guidelines – Guidance on the protection of facilities against HEMP and IEMI.   

IEC 61000-6-6:2003: Electromagnetic compatibility (EMC) – Part 6-6: Generic standards – HEMP immunity for indoor equipment.  

Veiledere 

SINTEF Energiforskning. EMP-sikring av kraftforsyningsanlegg: Håndbok. Lysaker: Energiforsyningens fellesorganisasjon, 2000    

Forsvarsbygg. EMP-handbok: Veiledning i sikring av kritisk infrastruktur mot elektromagnetiske effekter. Oslo: Forsvarsbygg, 2020. (Distribusjon ved henvendelse til Forsvarsbygg)  

Beskyttelse av elektroniske installasjoner i totalforsvaret mot elektromagnetisk puls (EMP), retningslinjer fastsatt av Samferdselsdepartementet 24.03.1998  

Krysskopling 

  • § 7.13 Beskyttelse mot elektromagnetisk puls og interferens

Bokstav j

Bestemmelsen setter krav til sikre kilder for tidsangivelse.  

Kraftsystemets funksjoner og tilstander kan ha behov for synkronisert tid i driftskontrollsystemet, blant annet for registrering av feil i kraftsystemet og pålitelig drift av datasystemer og kontrollanlegg.   

Behovet for nøyaktighet er moderat ( ̴10 ms), så lenge hensikten med systemtiden er begrenset til å synkronisere de ulike komponentene (tjenere, PCer, rutere, brannmurer, dataskjerm mv) i drifts-kontrollsystemet. Behovet øker ( ̴1 ms) når måleverdier og hendelser i kraftsystemet skal ha tidsstempel. Først med instrumentering og digital styring i henhold til IEC 61850 er synkronisering av datastrømmer og enheter et ubetinget krav. Ikke-konvensjonelle instrumenteringsløsninger og dynamisk systemovervåkning med høyoppløste digitale måleverdistrømmer krever eventuelt en nøyaktighet på bedre enn 1 μs.   

Den langt vanligste tidskilden i norske kraftforsyningsanlegg og driftskontrollsystemer er direkte synkronisering ved bruk av GPS-mottakere.  Spesielt relevant er derfor å redusere sårbarheten ved tap av GPS-signal.  

Også atmosfæriske forhold kan forårsake tap eller degradering av GPS-signaler over et større geografisk område.  

GPS-mottakere med integritetsfunksjon gjør bruk av informasjon fra flest mulig satellitter for å vurdere gyldigheten av signalene. GPS-mottakere uten integritetsfunksjon er sårbare for støysendinger, og kan vanskelig skille mellom ekte og falske GPS-signaler.  

Radiointerferens kan være utilsiktet eller tilsiktet. Ved mistanke om utilsiktet radiointerferens, må den nasjonale frekvensmyndigheten (NKOM) https://www.nkom.no/ kontaktes, slik at kilden kan avdekkes og fjernes.  Se ellers §§ 2-5 og 2-6. 

Selv om driftskontrollsystemet hos en KBO-enhet ikke er avhengig av nøyaktig tid, så vil bortfall eller feilvisning av tid få driftsmessige konsekvenser. KBO-enheten bør derfor vurdere risiko og eventuelt treffe passende tiltak.   

De GPS-mottakerne som er mest utbredt i kraftforsyningen, leveres med kvartsklokker, og er utstyrt med kun enkle antenner og har få muligheter for konfigurering.  KBO-enhetene bør vurdere om de vanligste mottakerne er tilstrekkelig sikre og nøyaktige.   

Mulige tiltak er å:  

  • Utstyre GPS-mottakerne med bedre antenner som gir større signal og mindre støy-forhold. Dermed vil GPS-mottakerne bli mer resistente mot støysendinger og andre forstyrrelser av signalmottaket, herunder romvær og atmosfæriske forstyrrelser   
  • Konfigurere stasjonære GPS-mottakere med sin sanne posisjon, og sørge for alarm når posisjonsestimatet havner utenfor unøyaktighetsrommet   
  • Installere redundante mottakere, fordelt på GPS og Galileo. En viktig faktor er at GPS og Galileo benytter ulike frekvenser 
  • Samle inn og overvåke navigasjonsmeldingene som GPS-mottakerne behandler. Dermed kan eventuelle falske kodestrømmer avdekkes, og alarm gis   
  • Utstyre GPS-mottakerne med mer nøyaktige klokker slik at utfall av GPS-signaler kan tolereres over lengre tidsrom 
  • Ved bruk av GPS-klokker, ha tre kilder slik at dersom en klokke feiler, kan fortsatt to gi korrekt tid 
  • Andre klokker, for eksempel atom-ur 

Standarder 

IEC 61850-9-2:2011+A1:2020: Communication networks and systems for power utility automation - Part 9-2: Specific communication service mapping (SCSM) - Sampled values over ISO/IEC 8802-3  

IEC TR 61850-90-4:2020: Communication networks and systems for power utility automation - Part 90-4: Network engineering guidelines  

IEC/IEEE 61850-9-3:2016: Communication networks and systems for power utility automation - Part 9-3: Precision time protocol profile for power utility automation  


Veiledere

Norsk Romsenter, Vurdering av sårbarhet ved bruk av globale satelittnavigasjonssystemer i kritisk infrastruktur, Oslo, mars 2013. 

Bokstav k

Krav til leverandører  

Her settes krav til hvilke leverandører som får levere systemer til norsk kraftforsyning. Kravet gjelder komplette leveranser til driftskontrollsystemet, og ikke enkeltstående komponenter som utgjør en del av en helhet. Store globale leverandører har produksjon og forskning lokalisert i ulike deler av verden, og de er avhengige av leverandører og underleverandører. Å utelukke enkeltkomponenter er derfor ikke gjennomførbart i praksis. En sikker kraftforsyning inngår i NATOs sju basiskrav til vertsnasjoner som mottar NATO-støtte. Når det gjelder anskaffelse av driftskontrollsystemer er anskaffelse foretatt nært opp til sikkerhetslovens krav derfor å foretrekke. For virksomheter som ikke er underlagt sikkerhetsloven, vil dette kravet sammen med § 6-6 Begrenset anbudsinnbydelse gi virksomhetene noen verktøy. For ordens skyld presiserer vi at bestemmelsen ikke er ment å utelukke norske leverandører.