§ 7.15 Særskilte krav til driftskontrollsystem klasse 3
Foruten de generelle kravene samt særskilte krav til beskyttelse av driftskontrollsystem i klasse 2, skal virksomheter med driftskontrollsystem i klasse 3 oppfylle følgende tilleggskrav:
a. Reserve driftssentral
Virksomheter skal ha reserve driftssentral som skal plasseres i sikker avstand til ordinær driftssentral, slik at ikke samme hendelse kan ramme begge.
Reserve driftssentral skal til enhver tid være klar til bruk og være utstyrt slik at den kan fungere helt uavhengig av ordinær driftssentral og kunne ivareta alle driftskontrollfunksjoner.
Virsomheter skal minimum årlig vurdere om det er behov for å øke bemanningen eller omfanget av vaktordningen for rask opptrapping av bemanning, jf. § 7-9, annet ledd.
b. Bemanning av driftssentral
Driftssentralen skal være døgnbemannet.
Opptrapping av bemanningen skal kunne skje innen én time etter at påkalling er gjort.
Virksomheten skal minimum årlig vurdere om det er behov for å øke bemanningen eller omfanget av vaktordningen for rask opptrapping av bemanning, jf. § 7-9, andre ledd.
c. Ekstern tilkobling til driftskontrollsystemet
Kobling i nettanlegg eller styring av øvrige anlegg gjennom ekstern tilkobling er ikke tillatt.
d. Systemredundans
Sambandsveiene i driftskontrollsystemet skal utføres så sikre og robuste og med en slik redundans og avstand at ikke samtidige eller påfølgende hendelser som uvær, brann eller omfattende teknisk svikt hindrer eller skader begge føringsveier og andre redundante delsystem.
Frem til alle anlegg i klasse 3 skal virksomheten ha kontroll og råderett over alle komponenter og andre tekniske løsninger i minst én sambandsvei, og beskytte disse, jf. kapittel 5.
e. Beskyttelse mot EMP og EMI
Det skal gjennomføres sikringstiltak for beskyttelse av utrustning som nevnt i § 7-13 mot EMP og EMI for minst én sambandsvei til anlegg i klasse 3 som driftskontrollsystemet styrer. Beredskapsmyndigheten kan i særskilte tilfeller godkjenne beredskapstiltak som alternativ til sikringstiltak.
I sambandsvei til anlegg i klasse 2 som driftskontrollsystemet styrer, skal det gjennomføres sikrings- eller beredskapstiltak.
f. Fastsettelse av særlige krav til bemanning
For spesielt viktige driftskontrollsystemer kan beredskapsmyndigheten fastsette særlige krav, også til bemanning, jf. § 5-7.
Hvordan oppfylle kravet
Kravene i §7-15 er detaljerte tilleggskrav til klasse 3 driftskontrollsystemer. Disse kravene kommer i tillegg til grunnkrav som er oppstilt tidligere i kapittel 7 i forskriften og krav som er stilt til klasse 2 driftskontrollsystemer i § 7-14.
Bokstav a
Bestemmelsen stiller krav til en operativ fysisk reservedriftssentral som virksomheten kan ta i bruk på kort varsel. Den skal plasseres i så lang avstand at samme hendelse ikke rammer begge sentralene. Med hendelser mener NVE ekstraordinære hendelser, se ellers § 2-5 for eksempel på hendelser. Sentralen må derfor ha egnet utstyr og tilstrekkelig bemanning i tillegg til egen fysisk lokasjon. Redundanskravet til servere, front-end og samband kan oppfylles ved at ett system er plassert på samme sted som driftssentralen, og det andre systemet der reservedriftssentralen er plassert.
Bokstav b
Bestemmelsen stiller krav til kapasitet (døgnbemannet) og å være operativ med økt kapasitet innen en time. Bemanningsbehovet skal vurderes minimum årlig.
Bokstav c
Bestemmelsen setter et tydelig forbud mot å kople eller styre øvrige anlegg gjennom ekstern tilkopling utenom driftssentralen. Det er forbud mot å styre nett og prosesser hjemmefra.
Bokstav d
Bestemmelsen skjerper ytterligere kravene til redundans i sambandsveiene i driftskontrollsystemet, både med hensyn til innbyrdes separasjon av sambandsveier og med hensyn til at virksomheten selv skal ha kontroll over minst én sambandsvei som også er sikret iht. kravene i kapittel 5.
Bokstav e
Bestemmelsen setter krav til EMI/EMP-sikringstiltak, og bygger videre på § 7-13 og § 7-14 bokstav i.
Tilleggskrav til klasse 3 driftskontrollsystem
Merk! Kravene til klasse 2 gjelder også
Grunn-krav |
Tilleggskrav klasse 2 og 3 § 7-14 |
Ytterligere tillegg for klasse 3 § 7-15 |
||||||
---|---|---|---|---|---|---|---|---|
§ 7-1 |
Foruten de generelle krav til beskyttelse av driftskontrollsystemet, skal virksomheter med driftskontrollsystem i klasse 2 oppfylle følgende tilleggskrav: |
Foruten de generelle kravene samt særskilte krav til beskyttelse av driftskontrollsystem i klasse 2, skal virksomheter med driftskontrollsystem i klasse 3 oppfylle følgende tilleggskrav: |
||||||
§7-8 |
Virksomheten skal jevnlig teste at gjenoppretting av elektroniske sikkerhetskopier fungerer etter hensikten. |
|
||||||
§ 7-2 |
Virksomheten skal jevnlig gjennomføre en sikkerhetsrevisjon og kontroll av pålagte beskyttelsestiltak i driftskontrollsystemet. Revisjonens formål skal være å påse at tiltakene faktisk er etablert og fungerer etter sin hensikt. |
|
||||||
§ 7-4 |
Virksomheten skal ha automatisk overvåking, logging, analyse og varsling ved uautorisert bruk, forsøk på uautorisert tilgang, unormal datatrafikk eller annen aktivitet som ikke er autorisert i driftskontrollsystemet. |
|
||||||
§ 7-8 |
Dersom driftssentralen blir utilgjengelig, skal virksomheten kunne betjene og manuelt styre anlegg som inngår i virksomhetens driftskontrollsystem. I tillegg skal virksomheten ha planer for alternativ drift dersom driftssentralen blir utilgjengelig over lengre tid. |
Virksomheter skal ha reserve driftssentral som skal plasseres i sikker avstand til ordinær driftssentral, slik at ikke samme hendelse kan ramme begge. Reserve driftssentral skal til enhver tid være klar til bruk og være utstyrt slik at den kan fungere helt uavhengig av ordinær driftssentral og kunne ivareta alle driftskontrollfunksjoner. Virksomheter skal minimum årlig vurdere om det er behov for å øke bemanningen eller omfanget av vaktordningen for rask opptrapping av bemanning, jf. § 7-9, annet ledd. |
||||||
§ 7-9 |
Virksomheten skal sørge for at alle påregnelige ekstraordinære situasjoner eller hendelser i energisystemet eller i driftskontrollsystemet umiddelbart oppdages og håndteres uten unødig opphold. Virksomheten skal senest innen én time kunne bemanne driftssentralen. Virksomheten skal ha en vaktordning som til enhver tid sikrer rask opptrapping av bemanningen ved behov. |
Driftssentralen skal være døgnbemannet. Opptrapping av bemanningen skal kunne skje innen én time etter at påkalling er gjort. Virksomheten skal minimum årlig vurdere om det er behov for å øke bemanningen eller omfanget av vaktordningen for rask opptrapping av bemanning, jf. § 7-9, andre ledd.
For spesielt viktige driftskontrollsystemer kan beredskapsmyndigheten fastsette særlige krav, også til bemanning, jf. § 5-7. |
||||||
§ 7-10 |
Ved tilkobling fra leverandører skal driftssentralen være bemannet. Virksomheter skal ha kontrollordning for korrekt verifisering av de brukere som er godkjent til å benytte ekstern tilkobling for tilgang til driftskontrollsystemet. Det er ikke tillatt at én brukeridentitet deles mellom flere personer eller systemer. Virksomheter skal sørge for at ekstern tilkobling utføres fra et sted med tilstrekkelig sikre omgivelser. Virksomheter skal utarbeide interne regler for hva som er et sikkert sted. Den eksterne tilkoblingen skal kun åpnes når det er behov for å få tilgang til driftskontrollsystemet. Tilkoblingen skal være lukket når den ikke er i bruk. Det skal foreligge en egen skriftlig prosedyre for ekstern tilkobling. Dersom KBO-enheten kan foreta styring av anlegg i kraftforsyningen gjennom ekstern tilkobling, skal styringen kun skje etter tillatelse eller retningslinjer fra bemyndiget person. Enhver påkobling til driftskontrollsystemet gjennom ekstern tilkobling skal loggføres. |
Kobling i nettanlegg eller styring av øvrige anlegg gjennom ekstern tilkobling er ikke tillatt. |
||||||
§ 7-11 |
Samband i driftskontrollsystemet skal fungere uavhengig av funksjonssvikt i offentlige elektroniske kommunikasjonstjenester eller kommunikasjonsnett. Driftskontrollsystemet frem til anlegg i klasse 2 og 3 skal være redundant frem til det lokale kontrollanlegget. I det lokale kontrollanlegget skal virksomheten vurdere behovet for redundans. Redundante føringsveier for samband og redundante komponenter i driftskontrollsystemet skal være fysisk adskilte og uavhengige slik at én enkelt feil eller hendelse ikke medfører tap av viktige funksjoner. Det skal etableres reparasjonsberedskap for alt samband, jf. kapittel 4 og § 7-8. |
Sambandsveiene i driftskontrollsystemet skal utføres så sikre og robuste og med en slik redundans og avstand at ikke samtidige eller påfølgende hendelser som uvær, brann eller omfattende teknisk svikt hindrer eller skader begge føringsveier og andre redundante delsystem. Frem til alle anlegg i klasse 3 skal virksomheten ha kontroll og råderett over alle komponenter og andre tekniske løsninger i minst én sambandsvei, og beskytte disse, jf. kapittel 5. |
||||||
§ 7-10 |
Ved dublering som benytter identiske teknologier og løsninger i driftskontrollsystemet, må virksomheten innrette seg slik at samme systemfeil ikke rammer alle dublerte system samtidig |
|
||||||
§ 7-13 |
Det skal gjennomføres sikrings- eller beredskapstiltak for beskyttelse av utrustning som nevnt i § 7-13 mot EMP og EMI for minst én sambandsvei til anlegg i klasse 2 og 3 som driftskontrollsystemet styrer. |
Det skal gjennomføres sikringstiltak for beskyttelse av utrustning som nevnt i § 7-13 mot EMP og EMI for minst én sambandsvei til anlegg i klasse 3 som driftskontrollsystemet styrer. Beredskapsmyndigheten kan i særskilte tilfeller godkjenne beredskapstiltak som alternativ til sikringstiltak. I sambandsvei til anlegg i klasse 2 som driftskontrollsystemet styrer, skal det gjennomføres sikrings- eller beredskapstiltak. |
||||||
|
Driftskontrollsystem som er avhengig av eksakt tidsreferanse, skal ha sikre kilder for tidsangivelse. |
|
||||||
|
For leveranser til driftskontrollsystemer tillates kun utenlandske leverandører fra land som er medlem i EFTA, EU eller NATO. En leveranse omfatter levering av utstyr, komponenter, programvare, data, programmeringstjenester, oppdateringer, feilretting, service og vedlikehold. |
|