Anskaffelsestips: Tenk informasjonssikkerhet tidlig

Kraftberedskapsforskriften kapittel seks omhandler informasjonssikkerhet knyttet til kraftsensitiv informasjon og utfyller reglene i energiloven § 9-3 som pålegger nettselskapene å identifisere hvilken informasjon som er sensitiv, hvor den befinner seg og hvem som har tilgang til den. Det skal også etableres effektiv avskjerming og beskyttelse av sensitiv informasjon, herunder hindre at andre enn rettmessige brukere får adgang eller kjennskap til slik informasjon.

Kraftsensitiv informasjon er nærmere definert i beredskapsforskriften § 6-2. Nettselskapene skal ha system og rutiner for effektiv avskjerming og beskyttelse av slik informasjon (§ 6-3) herunder utarbeid en sikkerhetsinnstruks (§ 6-4).

Videre har nettselskapene ansvaret for at disse bestemmelsene ivaretas i anskaffelser jf. beredskapsforskriften § 6-5. Dette innebærer å påse at leverandører er forpliktet til å etterleve bestemmelsene om informasjonssikkerhet og taushetsplikt, samt at nettselskapene på avtalemessig grunnlag har rett til å kontrollere og revidere leverandørens etterlevelse av reglene.

Avtalebestemmelser som gir nettselskapene slik rett bør absolutt være en del av konkurransegrunnlaget allerede fra utlysningen, og det er derfor viktig at nettselskapene har rutiner for å vurdere allerede tidlig i planleggingsfasen om en konkurranse omfatter håndtering av kraftsensitiv informasjonen.

Vi gjør også oppmerksom på at forskriften § 6-6 gir adgang til å benytte begrenset anbudsinnbydelse når det er nødvendig for å hindre at sikkerhetsgradert eller kraftsensitiv informasjon blir offentlig tilgjengelig gjennom anbudsdokumentene.