NVE har i disse dager sendt brev til nesten 200 kraftselskaper hvor de informerer og påminner om viktigheten av, og forventningen til, beredskap og sikkerhet for norsk energiforsyning. Brevet er sendt til enheter i Kraftforsyningens beredskapsorganisasjon (KBO), det vil si alle nettselskaper, alle store produksjonsselskap inklusive vindkraft, store fjernvarmevirksomheter, samt vassdragsregulantene.
NVE varsler i brevet at de vil trappe opp tilsyn- og revisjonsvirksomheten av KBO-enheter, og at det kan bli aktuelt å ilegge overtredelsesgebyr for de som ikke oppfyller kravene som stilles til sikkerhet og beredskap.
Bakteppet for NVEs brev er at ny sikkerhetslov med forskrifter har trådt i kraft fra 1. januar 2019, og revidert kraftberedskapsforskrift trådte i kraft fra samme tidspunkt. Dette gir en tydeligere oppmerksomhet mot alle former for sikkerhet: IKT-sikkerhet, driftssikkerhet, sikring av anlegg og systemer, sikkerhet mot spionasje og sabotasje osv. Vi vil her trekke frem noen tiltak vi mener det er viktig at alle aktører har sørget for å ha gjennomført før NVE kommer på tilsyn.
Bilder på avveie?
Det eksisterer i dag et større antall bilder av driftssentraler og annet energirelatert som inneholder kraftsensitiv informasjon. NVE minner om at dette er brudd på bestemmelsene om informasjonssikkerhet og gir en tydelig oppfordring til alle som eier en driftssentral, at de skal fjerne slik informasjon fra internett. Hvis bildene er publisert av media eller leverandører, må eieren kontakte disse for fjerning.
Hjort har eksperter innenfor energisikkerhet, ikt-sikkerhet, personvern, samt ikt- og media som kan bistå selskaper som opplever å ha slike bilder på avveie.
Nye krav til leverandører
Både ny sikkerhetslov og kraftberedskapsforskriften stiller strengere krav til hvilke leverandører som kan brukes i visse anskaffelser. Etter sikkerhetsloven er det plikt om å varsle om anskaffelser hvor det er en ikke ubetydelig risiko for at verdien kan bli rammet av eller brukt til sikkerhetstruende virksomhet gjennom anskaffelsen. I kraftberedskapsforskriften er det krav om at leverandører til driftskontrollsystem skal være fra et land som er medlem i EFTA, EU eller NATO og at det skal være foretatt tilstrekkelig risikovurdering før anskaffelsen.
Hjorts anskaffelseseksperter har god erfaring i å bistå både leverandører og innkjøpere i energisektoren.
Kontroll av personell og adgang
Det er skjerpet krav til å ha kontroll på adgang til steder eller områder. Blant annet er det krav om bakgrunnssjekk for adgang til driftssentraler i driftskontrollsystemer i klasse 3 og alle som skal ha tilgang til sentralen med datarom skal gjennomgå personkontroll etter § 6-7. Kravet til personkontroll har også fått helt nytt innhold og stiller krav om risikovurderinger og kontroll ved ansettelser og for personer som skal ha tilgang til klassifiserte anlegg og systemer.
Hjort sine arbeidsrettseksperter bistår energiselskaper med mange ulike problemstillinger og kan sørge for at kravene til ansettelser etter sikkerhetsloven og kraftberedskapsforskriften blir ivaretatt.
Tilsyn og reaksjoner
I 2019 planlegger beredskapsseksjonen i NVE 55 revisjoner. NVE varsler at de øker antall tilsyn med driftskontrollsystemer, IKT-sikkerhet og informasjonssikkerhet sammenlignet med 2018. De aktuelle temaene for tilsyn er generell beredskap, reparasjonsberedskap, sikring av kritiske systemer, anlegg og komponenter, driftskontrollsystemer og informasjonssikkerhet.
Hjorts advokater kan hjelpe din bedrift med å få kontroll på etterlevelsen av de nye kravene til sikkerhet og beredskap og sådan være forberedt på tilsyn fra NVE.