Beredskapsforskriften og krav om utlevering av informasjon – terror og sikkerhet

Vi i SVW bistår en rekke norske nettselskaper med problemstillinger knyttet til informasjonssikkerhet og beredskap. I den forbindelse publiserte vi 26. november 2021 et nyhetsbrev i tilknytning til krav om informasjon fra Nkom, som du kan lese her: Nkom og beredskapsforskriften — SVW Nettjuss

Siden den gang har Russland på brutalt vis invadert Ukraina, og senest denne uken har det (tilsynelatende) vært et sabotasjeangrep på gassledningene Nord Stream 1 og 2 i Østersjøen. SVW har de siste månedene opplevd et voldsomt trykk knyttet til sikkerhetsmessige sider ved nettdriften, hva gjelder alt fra ansettelser til krav og forespørsler om utlevering av kraftsensitiv informasjon.

I dette nyhetsbrevet går vi fra et overordnet perspektiv noe tettere inn på den sistnevnte problemstillingen. Vi presiserer imidlertid at emnet trenger en langt grundigere behandling for å bli presentert i sin fulle bredde. Fremstillingen nedenfor er således kun ment å være "til hjelp for tanken" for de vurderingene hvert enkelt nettselskap må gjøre.

Samfunnets viktigste infrastruktur

Tenk det følgende scenariet: En terrororganisasjon vil fullstendig lamme et samfunn. Hva går man da etter? Veier? Fly? Jernbane? Regjering og parlament? Internett? Vann og kloakk? Sykehus og barneskoler?

Svaret er såre enkelt: Slå ut strømforsyningen på høyere nettnivå, så lammes "alt" nesten umiddelbart. Uten strøm stanser alt opp i "neste sekund". Mange som jobber i norske nettselskaper har kanskje ikke fullt ut tatt inn over seg at bransjen forvalter det moderne samfunnets klart viktigste infrastruktur.

Da er det kanskje ikke unaturlig å tenke seg at et eventuelt terrorangrep fort vil kunne rette seg mot knutepunkter i norsk elektrisitetsforsyning.

Energiloven med forskrifter har av den grunn inngående reguleringer knyttet til beskyttelse av nøkkelinformasjon knyttet til elektrisitetsforsyningen. Samtidig ser vi en litt urovekkende utvikling ved at en rekke andre regler stiller krav om utlevering av kraftsensitiv informasjon.

Et eksempel er bredbåndsutbyggingsloven som ble omtalt i ovennevnte nyhetsbrev. Men vi ser også slike krav og forventninger fra andre kanter; eksempelvis uttakskunder som selv eller via konsulenter ønsker å foreta effekt- og kapasitetsberegninger, journalister som ønsker aggregert overordnet informasjon, kommuner, Statens vegvesen og offentlige organer for å nevne noen.

Enkelte av disse henvendelsene er enkle å avvise, men ved (tilsynelatende) kolliderende regelverk kan svaret fremstå mer komplekst.

Vi kommer nærmere inn på de nærmere vurderingene nedenfor, men SVWs klare overordnede råd er som følger:

1)      Ved motstrid mellom energilovens[1] og beredskapsforskriftens[2] bestemmelser knyttet til utlevering av kraftsensitiv informasjon, og annet regelverk går alltid førstnevnte regelverk foran.

2)      Vi anbefaler nettselskapene å innta en restriktiv holdning til utlevering av kraftsensitiv informasjon. Med andre ord: kraftsensitiv informasjonen skal ikke utleveres med mindre det foreligger hjemmel for utlevering.

Energilovens utgangspunkt

Energiloven § 9-3 har følgende ordlyd[3]:

§ 9-3. (Informasjonssikkerhet)

Alle enheter i KBO skal vurdere sikkerheten ved all behandling av informasjon om kraftforsyningen. Enhetene skal kartlegge hvilken informasjon som er sensitiv, hvor den befinner seg og hvem som har tilgang til den. Det skal etableres effektiv avskjerming og beskyttelse av sensitiv informasjon.

Enhver plikter å hindre at andre enn rettmessige brukere får adgang eller kjennskap til sensitiv informasjon om kraftforsyningen.

Departementet kan gi nærmere forskrifter om informasjonssikkerhet i kraftforsyningen og om taushetsplikten.

Det er viktig å merke seg det prinsipielle utgangspunktet i loven; sensitiv informasjon skal per definisjon skjermes fra omverden. Spørsmålet i enkeltsaker vil med andre ord ikke være om det finnes hjemmel til å unnta sensitiv informasjon, men om det finnes hjemmel til å utlevere.

Med "rettmessige brukere" menes fysiske eller juridiske personer som har et begrunnet behov for kraftsensitiv informasjon. Vi kommer tilbake til dette nedenfor knyttet til beredskapsforskriften § 6-1.

For å komme lenger ned i detaljene må vi imidlertid inn i forskriften, som loven viser til i siste ledd:

Beredskapsforskriften[4]

Beredskapsforskriften bygger videre på og bygger ut prinsippene i energiloven. Det er naturlig å begynne i § 6-1:

§ 6-1. Identifisering av kraftsensitiv informasjon og rettmessige brukere

KBO-enheter skal etter energiloven § 9-3 første ledd identifisere hva som er kraftsensitiv informasjon, hvor denne befinner seg og hvem som har tilgang til den.

Identifiseringen av hva som er kraftsensitiv informasjon og hvor denne befinner seg, skal omfatte oppbevaring på papir, lagring i elektronisk form eller lagring på annen måte.

Med rettmessig bruker menes fysiske eller juridiske personer som har tjenstlig behov for kraftsensitiv informasjon. Den enkelte KBO-enhet skal selv avgjøre hvem som har tjenstlig behov for kraftsensitiv informasjon innenfor sin virksomhet.

Den enkelte KBO-enhet kan avgjøre om det er tjenstlig behov for å videreformidle kraftsensitiv informasjon til andre utenfor egen virksomhet. Den som har fått tilgang til kraftsensitiv informasjon av en KBO-enhet kan ikke videreformidle den kraftsensitive informasjonen til andre. Beredskapsmyndigheten kan i tvilstilfeller avgjøre hvem som er rettmessig bruker.

Den enkelte KBO-enhet har selv ansvaret for å avgjøre hvem som har begrunnet behov for kraftsensitiv informasjon innenfor sin virksomhet¸ og utenfor. Beredskapsmyndigheten kan i tvilstilfeller avgjøre hvem som er rettmessig bruker. Rettmessige brukere vil primært være selskapets egne ansatte, innleide leverandører og myndigheter med tilsynsansvar på området.

I sin veileder til beredskapsforskriften presiseres dette av NVE på følgende måte:

Det er viktig å legge merke til at det klare utgangspunktet er at det kun er selskapets egne ansatte, og eksterne aktører som det foreligger et samarbeid med, som skal ha tilgang.

Beredskapsforskriften § 6-2 definerer nærmere hva som er å anse som kraftsensitiv informasjon:

§ 6-2. Kraftsensitiv informasjon

Kraftsensitiv informasjon er underlagt taushetsplikt etter § 9-3 i energiloven.

Med kraftsensitiv informasjon menes spesifikk og inngående opplysninger om kraftforsyningen som kan brukes til å skade anlegg, system eller annet eller påvirke funksjoner som har betydning for kraftforsyningen, herunder:

a.         Alle system som ivaretar viktige driftskontrollfunksjoner, herunder også nødvendig hjelpeutstyr som samband.

b.         Detaljert informasjon om energisystemet, herunder enlinjeskjema, med unntak av enlinjeskjema for mindre viktige produksjonsanlegg.

c.         Detaljert informasjon om klassifiserte transformatorstasjoner med tilhørende koblingsanlegg, herunder anleggets oppbygning og drift.

d.         Oversikt over fordelingsnett til samfunnsviktige funksjoner. Oversikt over rørnett for fjernvarme til samfunnsviktige funksjoner.

e.         Nøyaktig kartfesting av jordkabler. Nøyaktig kartfesting av rørnett i fjernvarmeanlegg med varmesentraler i klasse 2.

f.          Forebyggende sikkerhetstiltak mot bevisst skadeverk.

g.         Lokalisering av reserve driftssentraler og andre særskilte beredskapsanlegg for ledelse og drift.

h.         Detaljerte analyser av sårbarhet som kan brukes til bevisst skadeverk.

i.          Beredskapsplaner for å håndtere bevisst skadeverk.

j.          Samlet oversikt over reservemateriell, reserveløsninger eller reparasjonsberedskap av betydning for håndtering av bevisst skadeverk

Etter vår oppfatning er dette en bred definisjon som omfatter svært mye informasjon, og som nettselskapene i dagens situasjon bør fortolke og anvende restriktivt.

Hva om hvem som skal få tilgang til informasjon bør tas inn sikkerhetsinstruksen som er referert i § 6-4:

§ 6-4. Sikkerhetsinstruks

Virksomheter som har eller behandler kraftsensitiv informasjon skal utarbeide og praktisere en sikkerhetsinstruks som sikrer at kravene til informasjonssikkerhet ivaretas. Sikkerhetsinstruksen skal beskrive hvilke system, rutiner og tiltak som er iverksatt for å etterleve kravene til informasjonssikkerhet, herunder krav til beskyttelse, avskjerming og tilgangskontroll.

Sikkerhetsinstruksen skal omfatte informasjon til ansatte og andre rettmessige brukere om taushetsplikten etter energilovens § 9-3 annet ledd og stille krav til undertegning av taushetserklæring. Sikkerhetsinstruksen skal også omfatte informasjon om at taushetsplikten medfører at kraftsensitiv informasjon ikke skal offentliggjøres.

Det er vår erfaring at nettselskapene i liten grad har laget tydelige og klare retningslinjer for hvordan krav om innsyn skal håndteres. Dessverre fører det til en del uklarheter og ulik praksis, også innenfor hvert enkelt selskap.

Vi anbefaler at instruksen også inneholder, gjerne i et vedlegg, en detaljert beskrivelse av hvordan slike henvendelser skal håndteres. En måte å gjøre dette på er å definere ulike kategorier av henvendelse, gruppert på hvem som spør. I tillegg bør det være et internt system for å svare opp henvendelser som virkelig er tvilsomme, eksempelvis en form for referansegruppe.

Selv om dette nok er et forhold de fleste har et system rundt, påpeker vi også viktigheten av signert taushetserklæring fra alle som får tilgang.

Særlig om forholdet til ledningsregistreringsforskriften[5]

Ledningsregistreringsforskriften § 5, har følgende ordlyd (delvis sitert):

§ 5. Utlevering av opplysninger og påvisning av ledningsanleggets beliggenhet på stedet

Ledningseieren skal på forespørsel utlevere opplysninger om plassering av ledningsanlegget, og om påliteligheten av opplysningene, til utbyggeren eller andre som har et saklig behov for opplysningene. Dokumentasjonen skal blant annet omfatte kart som viser ledningsanleggets beliggenhet i grunnriss og høyde med koordinater i nasjonalt geodetisk grunnlag. Plikten omfatter også opplysninger om ledningsanlegg som er tatt ut av bruk.

Gjelder forespørselen ledningsanlegg som skal være dokumentert i henhold til kravene i § 4 eller § 6, skal opplysningene utleveres i henhold til standard utgitt av Statens kartverk eller likeverdig internasjonalt akseptert standard. Gjelder forespørselen ledningsanlegg som ikke er dokumentert i henhold til de forannevnte kravene, skal ledningseieren gi opplysninger om anlegget så langt dette er kjent.

Dersom ledningseieren mener at dokumentasjonen ikke er tilstrekkelig nøyaktig eller pålitelig til at vedkommende arbeid kan utføres uten fare for skade, skal ledningseieren påvise hvor ledningsanlegget er plassert. Plikten til påvisning gjelder ikke for stikkledning som ledningseieren ikke har ansvar for at fungerer og er i drift.

Opplysninger som er omfattet av taushetsplikt, skal bare overlates til personer som har saklig behov og er godkjent for tilgang til slik informasjon. Forespørsel om utlevering av opplysninger til bruk i forberedende planlegging, prosjektering og liknende, kan avslås helt eller delvis når opplysningene er omfattet av taushetsplikt.

Den som utleverer opplysninger om eller påviser ledning, skal opplyse om eventuell taushetsplikt og hvilket regelverk eller annet rettsgrunnlag som gjelder for behandlingen av opplysningene.

Plikten til utlevering gjelder ikke skjermingsverdig informasjon som er sikkerhetsgradert etter sikkerhetsloven.

Det er helt klart at informasjon som er kraftsensitiv etter beredskapsforskriften¸ også er "omfattet av taushetsplikt" etter § 5 i ledningsregistreringsforskriften. I den forbindelsen er det viktig å merke seg at utlevering i forbindelse med "planlegging, prosjektering og lignende" helt kan nektes i disse tilfellene.

Med andre ord: Nettselskapene vil i stor grad kunne nekte utlevering av detaljerte opplysninger om viktig infrastruktur, typisk høyspente jordkabler, til personer utenfor egen organisasjon.

Når det er sagt; i mange tilfeller vil det være i nettselskapets egen interesse å stedfeste kabler for "utenforstående". Et typisk eksempel vil være ved graving over eller i nærheten av høyspentkabler, hvor det selvsagt vil være ønskelig å unngå skader og store KILE-kostnader. Selv om forskriften legger opp til utlevering av koordinater og lignende, er det klart at dersom dette er informasjon som også er omfattet av beredskapsforskriften så må nettselskapet avgjøre spørsmålet etter sistnevnte forskrift og eventuelt nekte utlevering.

Det må således vurderes i hvert enkelt tilfelle om den som ber om dokumentasjonen har et "tjenstlig behov", slik beredskapsforskriften § 6-1 stiller krav om. Dersom svaret etter nettselskapets oppfatning er nei, så skal ikke dokumentasjonen utleveres. Det fremkommer direkte av forskriften at det er hver enkelt KBO-enhet som avgjør om dette vilkåret er oppfylt[6]. En praktisk vei gjennom dette kan være å påvise kabel i grunnen gjennom avmerking, og ikke utgi dokumentasjon som kan spres videre.

Oppsummering

Spesialbestemmelsene i energiloven med forskrifter overstyrer alle andre regler knyttet til informasjonssikkerhet og utgivelse av kraftsensitiv informasjon. Det innebærer at dersom det fremsettes krav om innsyn/dokumentasjon med hjemmel i andre lover og forskrifter, eller på mer "uhjemlet grunnlag", og beredskapsforskriften ikke hjemler utlevering av dokumentasjon – så skal dokumentasjonen ikke utleveres.

Med utgangspunkt i den særdeles spente internasjonale situasjonen anbefaler vi i SVW en restriktiv forståelse og fortolkning av det energirettslige regelverket knyttet til informasjonssikkerhet.

Videre anbefaler vi at det utarbeides en detaljert sikkerhetsinstruks etter beredskapsforskriften § 6-4. Denne må selvsagt utarbeides og praktiseres på en nøytral og likebehandlende måte slik at kravene i NEM-forskriften[7] § 4-14 tilfredsstilles.

Vi i SVW har lang erfaring med å bistå med utarbeidelse av slike sikkerhetsinstrukser, og andre problemstillinger knyttet til beredskap.

[1] Lov om produksjon, omforming, overføring, omsetning, fordeling og bruk av energi m.m. (LOV-1990-06-29-50)

[2] Forskrift om sikkerhet og beredskap i kraftforsyningen (LOV-1990-06-29-50)

[3] Alle understrekninger i nyhetsbrevet er innsatt av oss.

[4] NVE har som kjent laget en omfattende veileder til beredskapsforskriften, sist oppdatert 3. januar 2022, som er tilgjengelig her:

https://www.nve.no/energi/tilsyn/kraftforsyningsberedskap-og-kbo/veiledning-til-kraftberedskapsforskriften/

[5] Forskrift om innmåling, dokumentasjon og utlevering av geografisk informasjon om ledninger og annen infrastruktur i grunnen, sjø og vassdrag (FOR-2020-12-18-2986)-

[6] Denne beslutningen/vedtaket kan påklages til NVE.

[7] Forskrift om nettregulering og energimarkedet (FOR-2019-10-24-1413)