Høringsuttalelse vedrørende forslag til endring i beredskapsforskriften.

Like dokumenter
Høringssvar endringer i beredskapsforskriften

Høringssvar fra Agder Energi til NVEs forslag til endringer i beredskapsforskriften

FOREBYGGENDE SIKKERHET OG BEREDSKAP I DET DIGITALE KRAFTSYSTEMET. Eldri Naadland Holo Seksjonssjef beredskap, NVE

Høringsnotat. Forslag til endring av energiloven 9-5 (innhenting av politiattest)

Forslag til endringer i beredskapsforskriften. Krav til IKT-sikkerhet m.m. HØRINGSDOKUMENT

Spørsmål ved revisjon Informasjonssikkerhet kapittel 6

Oppsummeringsdokument: Endringer i forskrift om måling, avregning, fakturering av nettjenester og elektrisk energi, nettselskapets nøytralitet mv.

Uttalelse til utredning av forslag til endringer i beredskapsforskriften. Krav til IKT-sikkerhet m.m.

Driftsentralsamarbeid i Nordland

RAPPORT. Oppsummeringsdokument: Endringer i beredskapsforskriften - Krav til IKT-sikkerhet m.m. Nr 92/2018

NY KRAFTBEREDSKAPSFORSKRIFT (KBF)

Statnetts høringssvar - Digital Sårbarhet - sikkert samfunn (NOU 2015:13)

Oppsummeringsrapport: Endring i energilovforskriften

Høringssvar fra Distriktsenergi til høringen om endringer i leveringskvalitet og kontrollforskriften

HØRINGER GLITRE ENERGI NETT AS KOMMENTARERTIL NVE S FORSLAG TIL ENDRINGER AV BEREDSKAPSFORSKRIFTEN

NORSK LOVTIDEND Avd. I Lover og sentrale forskrifter mv. Utgitt i henhold til lov 19. juni 1969 nr. 53.

Olje- og energidepartementet

KS'BedriftEnergi. Høring - beredskapsforskriften. Norges vassdrags- og energidirektorat Postboks 5091 Majorstuen 0301 Oslo

Fjernvarmeberedskap. Kilde: Norsk fjernvarme

Innspill til uttalelse fra Distriktsenergi til NVEs høringsforslag til endringer i beredskapsforskriften.

Program for overvåking av nettselskapets nøytralitet

Regelrådets uttalelse. Om: Forslag til endring i forskrift om systemansvaret i kraftsystemet Ansvarlig: Norges vassdrags- og energidirektorat (NVE)

Sikkerhet innen kraftforsyningen

Forslag til endring i kontrollforskriften og avregningsforskriften vedrørende plusskundeordningen

Svar på NEAS uttalelse til revisjonsrapport.

VTFs Vårmøte juni, Oslo. Orientering om kraftforsyningsberedskap. seksjonssjef Arthur Gjengstø, beredskapsseksjonen, NVE

Felles driftssentral for flere nettselskaper energilovens krav til ordningen

HØRINGSDOKUMENT

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

HØRINGSUTTALELSE OM FORSLAG TIL ENDRING I FORSKRIFT FOR UTØVELSE AV SYSTEMANSVARET I KRAFTSYSTEMET

Høringsuttalelse NVE - Forskrift om måling, avregning og samordnet opptreden ved kraftomsetning og fakturering av nettjenester.

Overordnet IT beredskapsplan

NVEs høringssvar på forslag til EU-direktiv om sikkerhet i nettverk og informasjonssystemer (NIS-direktivet)

Organisering av energisektoren og bredbånd. Ivar Munch Clausen Seniorrådgiver sluttbrukerseksjonen NVE Telefon Epost

Statnetts svar på "Høring - forslag til endringer i sikkerhetsloven"

ej/pb 303 KOMMENTARER TIL FORSLAG TIL ENDRING AV MODELLER FOR Å FASTSETTE KOSTNADSNORMER

Oversending av revisjonsrapport - Andøy Energi AS

Oversending av revisjonsrapport Fredrikstad Fjernvarme AS

Program for overvåking av nettselskapets nøytralitet

Merknader til foreslått revidering av Energilovsforskriften av 7. desember 1990 nr. 959 (ref. nr )

3.1 Prosedyremal. Omfang

HØRINGSDOKUMENT. Forslag til endring i energilovforskriften. Internkontroll for miljøkrav for anlegg med konsesjon etter energiloven kapittel 3

Oppsummeringsrapport: Forslag til endringer i forskrift og praksis for inntektsregulering

Vår dato :

Prop. 101 L. ( ) Proposisjon til Stortinget (forslag til lovvedtak) Endringer i energiloven 9-5 (innhenting av politiattest)

Svar på klage på tariffering i Trollheim - enkeltvedtak

Forslag til endringer i forskrift om måling, avregning, fakturering av nettjenester og elektrisk energi, nettselskapets nøytralitet mv.

Nødvendig med kompetanse og bemanning i nettselskaper? Svein Eriksen KS Bedrift Trond Svartsund - EBL

Foreløpig tilleggsveileder til kraftberedskapsforskriften. Oppdateringer etter revisjon

Oversending av revisjonsrapport - Drammen Fjernvarme AS

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Med AMS fra 2011 til AMS i Norge - Temadag 25. Mai 2011

Oversendelse av revisjonsrapport - ISE Nett AS

Beredskap i kraftforsyninga

Tema for tilsyn 2011

HØRINGSSVAR- Forslag til endring i forskrift om kontroll av nettvirksomhet

1,7JUL2012. Helgelandskraft AS nettilknytning av Reingardsåga kraftverk DET KONGELIGE OLJE- OG ENERGIDEPARTEMENT

Oversending av revisjonsrapport Nordvest Nett AS

Kommentarer til høring av endringer i regelverket om anleggsbidrag

Oppfølging av Statnetts utøvelse av systemansvaret og etterlevelse av systemansvarsforskriften 12 om anstrengte driftsituasjoner - varsel om vedtak

Deres ref Vår ref Dato 15/ /

Høringsnotat. Forslag til opphevelse av kompetanseforskriften og endringer i energilovforskriften

Felles høringsnotat i forbindelse med OEDs forslag til endring i energiloven.

Oversending av revisjonsrapport og varsel om vedtak om retting, Nordkraft Nett AS

Høringssvar - endring i forskrift om kontroll av nettvirksomhet

Norges vassdrags- og energidirektorat

Hvordan sikre seg at man gjør det man skal?

Godkjenning av retningslinjer for 5, 6 8, 8a, 8b, 14a og 21 i forskrift om systemansvaret i kraftsystemet

Oversending av revisjonsrapport - Harstad Varmesentral, Statkraft Varme AS

Samling for Norges beste beredskapsteam - KBO i Molde mai

Dokument 3:16 ( )

NVEs beredskapskonferanse Nye måter å jobbe på for mindre selskap. Knut Lockert - Distriktsenergi

Norges vassdrags- og energidirektorat

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

«Ledningsdata i Eidsiva Energi AS» FAGDAG OM LEDNINGER I GRUNNEN GeoForum Hedmark Oppland Svein Arne Rakstang

Ny postregulering - høringsuttalelse

Høring av forslag til endring i kraftrasjoneringsforskriften. Innlemming av krav til innhold i rasjoneringsplaner HØRINGSDOKUMENT

Nettselskapenes muligheter for tjenesteutsetting EBLs syn. EBL drivkraft i utviklingen av Norge som energinasjon

Handlingsplan for NVEs tilsynsvirksomhet i 2016

OEDs kontaktmøte med kraftbransjen 29. oktober Agnar Aas. vassdrags- og energidirektør

Risikovurdering av AMS

IKT sikkerhet, regelverk og teknologi. Hvordan gjør Glitre Energi Nett det? Energidagene 2016

Høring - forslag om regulering av innholdet i mellomværende med statskassen og regnskapsmessig håndtering mellom statlige virksomheter

Oversending av revisjonsrapport - Sunndal Energi Kf

HØRING BILAVGIFTER SAKSNR: 2014/479448

Ny markedsmodell for sluttbrukermarkedet - Hva er bransjens posisjon? Ole Haugen, Energi Norge / Andreas Aamodt, ADAPT Consulting

Innspill fra Distriktsenergi til NVE-notat om felles driftssentraler for flere nettselskaper.

Oversending av revisjonsrapport og varsel om vedtak om retting, Haugaland Kraft AS

Svar på klage på NVEs vedtak av 15. august 2018 om fellesmåling - Kongensgate Skole AS

Forventninger og informasjon til KBO for 2019

Høring - forslag til regulering av innholdet i mellomværendet med statskassen og regnskapsmessig håndtering av refusjoner mellom statlige virksomheter

Høringssvar forslag til endringer i arbeidsmiljøforskriftene

Angrepet mot Helse Sør-Øst. Norsk sykehus- og helsetjenesteforening

Er forvaltningspraksis i harmoni med energilovens formål?

det er Ønskelig med konkurranse om tjenester knyttet til måling og avregning

Høringssvar fra NVE - Høring av forslag til forskrifter til ny sikkerhetslov

Forslag om nye bestemmelser i ny forskrift om offentlige anskaffelser og ny forskrift om innkjøpsregler i forsyningssektorene:

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

EBL-konferansen Amsterdam mars NVEs prioriteringer de kommende årene. Agnar Aas Vassdrags- og energidirektør

ERFARINGER FRA ØVELSER OG REELLE HENDELSER

Transkript:

Deres referanse Vår referanse Dato Anders Sivertsgård 20.03.17 Norges vassdrags- og energidirektorat Postboks 5091 Majorstua 0301 Oslo Høringsuttalelse vedrørende forslag til endring i beredskapsforskriften. Det vises til høringsdokument av desember 2017 angående forslag til endring i beredskapsforskriften (Bfe). Energi Norges høringsinnspill er gjengitt under. Energi Norge samler og representerer fornybarnæringen, og er en landsforening i NHO. Våre medlemsbedrifter driver kraftproduksjon, strømnett og strømsalg over hele Norge. Vår visjon er at Norge skal ta en global lederposisjon som det første fornybare og fullelektriske samfunn i verden. Medlemmenes oppdrag til oss er å fremme fornybarnæringens konkurranseevne, for å øke norsk verdiskaping. 1. SAMMENDRAG Beredskapsforskriften, som stiller krav som skal sikre at energiforsyningen opprettholdes og at normal forsyning gjenopprettes på en sikker og effektiv måte i ekstraordinære situasjoner, har vært utformet med tanke på krigs- og krisesituasjoner. Utviklingen i samfunnet bl.a med utvikling av globalt næringsliv og akselererende utvikling innenfor IKT stiller kraftforsyningen overfor nye sårbarheter og trusler også i fredstid. Energi Norge er derfor positiv til at NVE foreslår å inkludere bestemmelser i beredskapsforskriften knyttet til blant annet IKT-sikkerhet og personkontroll, selv om vi har merknader til enkelte deler av forslagene og redegjør konkret for dette senere i vår høringsuttalelse. Energi Norges hovedinnspill er: Det er positivt at forskriften tydeliggjør at det enkelte selskap er ansvarlig for etterlevelse av Bfe, men det er inkonsekvent samtidig å legge detaljerte føringer på hvordan og hvor hyppig selskapene skal utføre funksjoner. Innenfor driftskontrollsystemer og personkontroll er det behov for å tilpasse forslaget slik at det ikke medfører unødvendig administrativ byrde for å oppnå marginal reduksjon i sårbarhet. Selv om intensjonen i opprettelse av sektorvist responsmiljø er god, er gjennomføringen uklar og denne bør eventuelt skje gjennom separat høringsprosess. Det er behov for økt tydeliggjøring av forslaget, både gjennom presisering av sentrale begreper som "omsetning", "driftskontrollsystemer", "integrasjon" mv. samt mer presis begrepsbruk, f.eks "kraftsensitiv informasjon". De foreslåtte tiltakene medfører økte kostnader til rutiner, systemer og kompetanseoppbygging. Det er viktig at inntektsrammereguleringen i tilstrekkelig grad hensyntar økte kostnader for nettselskapene. Under følger konkrete innspill til de enkelte forslagene, organisert tematisk og etter strukturen i NVEs høringsdokument:

2. GENERELLE BESTEMMELSER 2 Endring av virkeområdet «Omsetning» er foreslått inkludert i 1-2 Virkeområde. Dette oppfatter vi å være i tråd med bestemmelsene i energiloven, og vi har ingen merknader til dette. Vi mener det likevel er blitt noe uklart hvem forskriften gjelder for ( 1-3), og hvilke deler av forskriften som skal gjelde for selskaper som ikke er KBO-enheter. NVE skriver i høringsforslaget at en ønsker å klargjøre hvilke krav som gjelder for alle virksomheter, og hvilke som kun gjelder for KBO-enheter, og endrer derfor forskriftens 1-3 (Hvem forskriften gjelder for). Dersom man sammenligner forslag til ny 1-3 første ledd med ordlyden i energiloven 9-1 første ledd, er det imidlertid vanskelig å se at ny 1-3 første ledd skal omfatte virksomheter som ikke etter energiloven, «defineres» som KBO-enheter. Energiloven 9-1 første ledd sier at: «Kraftforsyningens beredskapsorganisasjon (KBO) består av de enheter som eier eller driver anlegg eller annet som har vesentlig betydning for drift eller gjenoppretting av eller sikkerhet i produksjon, omforming, overføring, omsetning eller fordeling av elektrisk energi eller fjernvarme.» Vi mener dermed det er uklart hvorvidt endringen i 1-3 faktisk utvider omfanget av hvem forskriften gjelder for, utover omsetningsselskaper. Det fremstår også som noe uklart hvilke typer omsetningsvirksomhet som omfattes av utvidelsen. «Omsetning» omfatter både fysisk og finansiell krafthandel, samt videresalg til sluttkunde. Det bør presiseres om forskriften bare skal gjelde omsettere som har muligheten til å direkte påvirke forsyningen av elektrisk kraft (dvs. ivareta forsyningssikkerheten), eller også omsettere som driver med videresalg til sluttbrukere (dvs. ivareta hensynet til befolkningens informasjonsbehov i beredskapssituasjoner). Forskriften bør i større grad ta hensyn til at kraftleverandørene i stadig større grad er dem kundene kontakter, inkludert i krisesituasjoner. Med innføringen av gjennomfakturering har denne endringen skutt vesentlig fart. Fremtidig rolleendring mellom nettselskap og kraftleverandører ved at kraftleverandørene i økende grad vil være selskapet kundene kontakter ved avbrudd, bør reflekteres i Bfe. Dette betyr at alle kraftleverandører som driver med omsetning til sluttbrukere bør omfattes av forskriften, og at det dermed tas hensyn til at disse kraftleverandørenes rolle kommer til å endre seg etter hvert som vi beveger oss mot den såkalte leverandørsentriske modell. Vi vil foreslå at NVE: 1. Tydeliggjør i 1-3 i forskriften at strømleverandører omfattes av forskriften. 2. Endrer 2-8 i forskriften (ikke omfattet av denne høringen), slik at også relevante kraftleverandører sikres informasjon i ekstraordinære situasjoner: 2-8. Informasjonsberedskap KBO-enheter skal ha en informasjonsplan og en effektiv informasjonsberedskap i ekstraordinære situasjoner. Dette skal blant annet omfatte informasjon internt i enheten, til berørte myndigheter, samfunnskritiske virksomheter, andre relevante KBO-enheter, publikum og media, samt råd til kunder. Informasjonsplanen skal inngå som del av beredskapsplanverket, øves jevnlig og evalueres. 3. Presiserer at grunnleggende beredskap som definert i forskrift gjelder for alle som omfattes av forskriften. Dette bør tydeliggjøres av NVE i oppsummeringen av høringsuttalelsene, hvilke virksomheter en ser for seg er omfattet av forskriften og hvilke deler av forskriften som skal gjelde for selskaper som ikke er KBO-enheter.

Intern organisering og funksjoner Vi er positive til NVEs presisering i 1-4 av at det er leder for virksomheten som er ansvarlig for at virksomheten er organisert, og har funksjoner og ressurser til å oppfylle kravene. Videre har vi ingen kommentarer til foreslåtte endringer i 1-5 om beredskapsplan. Dette kravet er allerede gjeldende for de som i dag er underlagt Bfe. Foreslåtte endringer i 2-2 om intern organisering i KBO-enheter og presisering av funksjonskrav for beredskapsleder- koordinator og IKT sikkerhetskoordinator er vi positive til. Sammen med presiseringen i 1-4 er dette en tydeliggjøring av det enkelte selskaps ansvar. Vi merker oss likevel at endringene i 2-2 bare gjelder for KBO-enheter. Prinsipielt mener vi at alle selskaper som er underlagt Bfe bør møte de samme krav til intern organisering og funksjoner, jfr. merknaden ovenfor til 1-3 om behov for å tydeliggjøre hvilke selskaper som er underlagt Bfe og som ikke er KBO-enheter. Vi har ingen kommentarer til de foreslåtte endringene i 2-5 og 2-6 om varsling og rapportering, men det er positivt at NVE i 2.6.g erstatter begrepet "sentralnett" med "transmisjonsnett". NVE bør være gjennomgående konsekvent i begrepsbruk om nettnivå ved også å erstatte "regionalnett" med "distribusjonsnett". NVE foreslår videre en endring i 2-10 ved at det stilles krav til at KBO-enheter skal oppdatere internkontrollsystemet minst årlig. Det virker ulogisk at NVE på den ene siden tydeliggjør at det enkelte selskap er ansvarlig for å ivareta krav i Bfe, og samtidig på enkelte områder gir detaljerte instruksjoner om hvordan funksjoner skal utføres. Vi mener derfor ordlyden bør endres fra "Internkontrollsystemet skal holdes oppdatert og gjennomgås minst årlig" til at "internkontrollsystemet skal holdes oppdatert". Samarbeid med sikkerhetsmyndighet Ny 3-7 er en bestemmelse som bl.a. inneholder krav om at KBO-enheter skal samarbeide med sikkerhetsmyndigheten ved behov, og at beredskapsmyndigheten skal holdes orientert om samarbeidet. NVE begrunner bestemmelsen med at det kan være hensiktsmessig for KBO-enheter å ha direkte kontakt med sikkerhetsmyndigheten i forbindelse med oppdatering av trusselvurdering og ved varsling. Energi Norge er positiv til denne bestemmelsen. Klassifisering av produksjonsanlegg Vi har ingen merknader til foreslått heving av grensen for vannkraftanlegg klasse 1 eller endringer i 5-2 om klassifisering av vindkraftanlegg. 3 3. IKT-SIKKERHET Endringsforslagene innenfor IKT-sikkerhet er en vesentlig del av det totale forslaget. Disse forslagene omfatter informasjonssikkerhet, digitale informasjonssystemer, sektorvist responsmiljø, driftskontrollsystemer og brytersikring av AMS-funksjonen. Endringsforslagene er kommentert tematisk under: Informasjonssikkerhet (Bfe kapittel 6) For å unngå misforståelser f.eks i forhold til personsensitiv informasjon, bør det gjennomgående benyttes begrepet "kraftsensitiv informasjon" i kapittel 6. Vi har førøvrig ingen merknader til de konkrete endringsforslagene i 6-2. Digitale informasjonssystemer (Ny 6-9) Dette er en ny paragraf som inneholder bestemmelser om grunnsikring av digitale informasjonssystemer slik at konfidensialitet, integritet og tilgjengelighet ivaretas. De foreslått tiltakene bygger på NSMs grunnprinsipper for IKT-sikkerhet. Energi Norge er enig med NVE i at økt digitalisering i kraftsektoren i kombinasjon med at trusselaktører tar i bruk mer raffinerte metoder, øker behovet for å sikre digitale informasjonssystemer. Vi støtter derfor bestemmelsen om digital grunnsikring, men mener det bør være opp til selskapene selv å avgjøre hyppighet av oppdatering av dokumentasjon, samt gjennomføring av risiko og sårbarhetsanalyser og sikkerhetsrevisjon. Bestemmelsen om grunnsikring er foreslått å gjelde for alle virksomheter som er underlagt Bfe. Dette anser Energi Norge som naturlig.

4 For at digital grunnsikring skal fungere etter hensikten, er det også behov for å øke forståelsen av hvilken digital sårbarhet ulike funksjoner innen kraftsektoren står overfor. Dette vil kreve økt egeninnsats hos selskapene, men opprettelse av sektorvist responsmiljø kan være et hensiktsmessig supplement til øvrige aktører og myndighetsinstitusjoner. Forslag om sektorvist responsmiljø er kommentert under. Sektorvist responsmiljø Digitalt sårbarhetsutvalg foreslo opprettelse av sterke operative fagmiljøer med sektorvis kompetanse for styrke IKT-sikkerheten, særlig innen hendelseshåndtering. I kraftsektoren er KraftCERT etablert i 2015 av Hafslund, Statkraft og Statnett, støttet av NVE. KraftCERT tilbyr tjenester til hele sektoren. For å styrke sektorens evne til å håndtere stadig mer krevende cyberhendelser, foreslår NVE en ny hjemmel i Bfe om at beredskapsmyndigheten ved enkeltvedtak kan utpeke sektorvist responsmiljø (ny 3-6). Energi Norge ser at et sektorvist responsmiljø som foreslått vil kunne være en viktig brikke i å innhente og formidle kunnskap om digital sårbarhet og uønskede IKT-hendelser for sektoren. Bestemmelsen om sektorvist responsmiljø er imidlertid lite klar på hvilken rolle det sektorvise responsmiljøet skal ha, og hvilke forpliktelser dette kan pålegge selskaper som er omfattet av Bfe, utover at NVE foreslår at hendelser skal rapporteres til sektorvist responsmiljø. Det er flere aktører i tjenestemarkedet knyttet til cybersårbarhet, og dette markedet kan vokse fremover i takt med økende sårbarhet. Det er viktig at opprettelse av sektorvist responsmiljø ikke påvirker dette tjenestemarkedet på en negativ måte, med det resultat at det samlede tilbudet til kraftsektoren forringes. Videre må sektorvist resposmiljø sees i sammenheng med andre institusjoner og myndighetsorganer med tilgrensende og overlappene kompetanse. Det bør vurderes en separat høring om sektorvist responsmiljø sin funksjon og rolle. Klassifisering ( 5-2) og sikring av driftskontrollsystemer ( 7) Driftskontrollsystemer er IKT-systemer av særlig viktighet, og det gjelder bestemmelser for disse i eksisterende Bfe. NVE foreslår å endre klassifiseringen av klasse 2 og 3 anlegg fra enkeltvedtak til generelle kriterier basert på anleggstyper og "befolkning". "Befolkning" er en faktor selskapene har mindre presis oversikt over enn f.eks antall målepunkter. Vi foreslår at NVE endrer angivelse av omfang av driftskontrollsystem fra "befolkning" til en faktor selskapene har et mer presist forhold til. Det kan ikke utelukkes at driftskontrollsystemer som styrer mindre antall objekter/målepunkt likevel bør klassifiseres strengere enn dette ene kriteriet, hvis systemet styrer forsyning til samfunnskritiske funksjoner. Det bør derfor fremdeles være mulig for NVE å gjøre enkeltvedtak om klassifisering av driftskontrollsystem, hvis tungtveiende grunner tilsier dette. Det gjelder særskilte krav til adgangskontroll, sikring og beskyttelse av driftskontrollsystemer som foreslås skjerpet ytterligere. Driftskontrollsystemene er de mest virksomhetskritiske, og utgjør dermed også de mest sårbare systemene. NVE foreslår en endring i definisjonen av driftskontrollsystemer i 7-1. Risikoen knyttet til driftskontrollsystemer er knyttet til inntrengning og manipulering av systemer som overvåker og styrer anlegg i driftstimen. NVEs foreslåtte definisjon av driftskontrollsystemer i 7-1 går utover dette ved at blant annet "øvrige anlegg og rom" og tilhørende bygningstekniske konstruksjoner for driftskontrollfunksjoner er inkludert. Energi Norge mener dette er en for vid definisjon. Anleggstyper og tiltak som ikke kan medføre tilgang til systemer for overvåkning og styring i driftstimen bør ikke defineres som driftskontrollsystemer. Vi mener derfor NVEs definisjon av driftskontrollsystemer i 7-1 bør snevres inn. Angående 7-1 tredje ledd skal eksterne leverandører ikke utføre driftskontroll funksjoner i nettanlegg eller produksjonsanlegg. Men det er viktig ved f.eks. feilsituasjoner og gjenoppretting at leverandører kan utføre driftsstøttefunksjoner uten at dette faller inn under bestemmelse om driftskontroll. Kontroll med utstyr i driftskontrollanlegget ( 7-6) Det bør presiseres at denne bestemmelsen ikke gjelder for i forbindelse med leverandørers normale vedlikeholdsoppgaver, oppgraderinger og utvikling av driftskontrollsystemene. Slike aktiviteter er i seg selv viktige i for å sikre anleggene, ref også 6-5 om anskaffelser i energiforsyningen og forholdet mellom KBO-enhet og leverandører med hensyn til informasjonssikkerhet.

5 Integrasjon ( 7-12) Sikkerheten rundt driftskontrollsystemene ved integrasjon mot andre systemer er av stor viktighet. Samtidig vil ulike typer av integrasjon medføre ulik risiko for inntrengning i driftskontrollsystemet. Forslaget til nye 7-12 har ingen definisjon av begrepet integrasjon. Det er heller ikke redegjort for dette i bakgrunnen for forslaget. Det er derfor uklart om NVEs forslag hensyntar at ulike typer integrasjon medfører ulik sårbarhet. Vi mener det er nødvendig med en tydeligere definisjon av integrasjon. En effektiv driftskontroll er i dag avhengig av ulike systemer utover selve driftskontrollsystemet, eksempelvis DMS, AMS og sensorer i nettet. Disse er i dag i hovedsak adskilt fra driftskontrollsystemet og benyttes som beslutningsstøtte. I fremtiden vil det være mulighet for mer effektiv og avansert drift av anlegg og systemer gjennom økt automatisering og mer autonome funksjoner. Denne utviklingen, som vi oppfatter er ønsket også fra regulators side, vil kreve økende integrasjon mellom driftskontrollsystemet og andre IT-systemer. Det er viktig at sikkerhetskrav til integrasjon ikke utformes slik at de hindrer en ønsket utvikling mot å ta i bruk mer avanserte overvåknings- og styringsfunksjonalitet. Energi Norge mener derfor det må gjøres en mer spesifikk sårbarhetsanalyse ved ulike typer integrasjon, før det utarbeides forskriftsbestemmelse om integrasjon med driftskontrollsystemer. Bransjen er positiv til å delta i et slik arbeid. Det kan for eksempel være formålstjenlig at sikkerhetskravene settes til selve integrasjonsløsningen eller grensesnittet mellom de to systemene, og ikke til de integrerte systemene som helhet dersom de ikke er å anse som viktige for driftskontrollfunksjoner i driftstimen (sanntid). Vi har ingen øvrige merknader til foreslåtte endringer i 7. Brytersikring av AMS ( 6-10) Vi har ingen merknader til NVEs forslag utover at det bør presiseres at bestemmelsene gjelder i forhold til å bryte strømmen via AMS-måler, og ikke gjeninnkobling. 4. BESØKSRESTRIKSJONER (5-11) OG PERSONKONTROLL ( 6-7) Besøksrestriksjoner Vi forstår det slik at endringene vedrørende besøksrestriksjoner i forskriftens 5-11 ikke medfører restriksjoner utover dagens regulering. Ved å sørge for bakgrunnssjekk av evt. besøkende, dog avhengig av hvor omfattende denne blir, jf. merknader nedenfor til personkontroll, vil man i fremtiden også kunne gjennomføre besøk til driftssentraler i klasse 3, hvor det i dag er besøksforbud. Personkontroll Vi har forståelse for at NVE foreslår å stille krav til kontroll med egnetheten til de personer som får tilgang til klassifiserte anlegg, og er derfor positiv til at selskapene nå får en hjemmel i Bfe til å foreta personkontroll. Samtidig mener vi forslaget ikke treffer optimalt mht hva man ønsker å oppnå. Hovedårsaken til dette er at det ikke skilles mellom tiltak overfor egne ansatte og tjenesteleverandører med adgang til anlegg over tid, og tiltak overfor leverandørindustri i forbindelse med tidsbegrensede vedlikeholds- og oppgraderingsprosjekter o.l. Dette utdypes nærmere under: Egne ansatte og tjenesteleverandører med "permanent" tilgang: Vi anser det som fornuftig å gjennomføre en bakgrunnssjekk ved nyansettelser, og støtter dette. Kredittsjekk og politiattest kan være del av bakgrunnssjekk i forbindelse med nyansettelser slik NVE foreslår. NVE skriver for øvrig ikke noe om hvordan resultatet fra en kredittsjekk skal vurderes og benyttes ved konkludering av en persons egnethet, herunder antall og størrelse på evt. betalingsanmerkninger. Vi er enig i at det må være opp til det enkelte selskap å avgjøre hvordan informasjon fra kredittsjekk og eventuell politiattest skal benyttes og det totale grunnlaget for vurdering av egnethet både i forbindelse med nyansettelser og annen vurdering av egnethet, da det er virksomheten

6 selv som har ansvar for sikkerheten ved de aktuelle anlegg og i tillegg har arbeidsgiveransvaret. NVE kan eventuelt foreslå bruk av relevante bakgrunnssjekker ved oppdatering av veileder til forskriften. Å innta en bestemmelse i forskriften om at bakgrunnssjekk skal foretas hvert 5. år oppfattes som for rigid. Det bør være opp til selskapene å fastsette hyppigheten av personkontroll. Det kan være gode grunner til å differensiere hyppighet i vurdering av egnethet mellom ulike typer personell. Vi er enig med NVE i at det også bør gjøres kontroll av egnetheten av fast innleid personell, og det er naturlig med samme type kontroll for fast innleid personell som for egne ansatte med samme tilgang til anlegg. Men også her bør det være opp til det enkelte selskap på hvilket grunnlag og hvor hyppig vurdering av egnethet bør gjøres. Ved oppdatering av veileder kan NVE gi råd om anbefalt praksis. Tilgang for underleverandører med tidsbegrenset tilgang: Slik vi forstår NVE, er bestemmelsene i 6-7 ment å gjelde all tilgang til klasse 2 og 3-anlegg med unntak av det som kan klassifiseres som besøk etter 5-11. Bestemmelsen er dermed også tenkt å gjelde for innleid personell, entreprenører og underentreprenører i forbindelse med større og mindre rehabiliteringsprosjekter. Risikoen for at slikt personell med tidsbegrenset adgang skal kunne misbruke informasjon om eller tilgang til anlegg for å sette disse ut av spill er lavere enn for personell med permanent tilgang til anlegg i normal drift. I tillegg til kun å ha adgang til anleggene i et begrenset tidsrom vil anleggene som regel ikke være i drift i slike situasjoner, og heller ikke kunne settes ut av spill. Tiltak for personkontroll for personell som kun har adgang til anlegg i forbindelse med rehabilitering mv bør derfor sees i forhold til den reduserte risikoen. Rehabiliterings- og moderniseringsprosjekter gjennomføres konsentrert i tid, og det vil være flere titalls og i andre tilfeller hundretalls personer innleid på anleggsstedet. Krav om politiattest og eventuelt kredittsjekk for alt personell i forbindelse med slike situasjoner og bruk av slik informasjon til å vurdere egnethet til enkeltpersoner vil være administrativt svært krevende, og i verste fall svekke interessen fra leverandørmarkedet. Det vil føre til betydelig økte kostnader. Også disse leverandørmarkedene internasjonaliseres med i økende grad europeiske entreprenører og produksjon av materiell i Øst-Europa og Asia. Vi er tvilende til om bruk av kredittsjekk og evt. politiattest vil være praktisk mulig, godt egnet og treffsikkert. Slike tiltak vil for det alt overveiende av personell neppe ha stor betydning fordi man normalt ikke vil ha adgang til anlegg som er i drift, og derfor ikke vil kunne ramme anlegget. Vi tror også man må se i øynene at enkelte fremmede stater vil kunne "plante" personell hos leverandørbedrifter hvis man ønsker det, og denne risikoen vil ikke kredittsjekk og politiattest forhindre. Vi ønsker også å gjøre oppmerksom på at det med bakgrunn i forskrift om sikkerhet ved arbeid i og drift av elektriske anlegg (FSE), utarbeidet av DSB, allerede er etablert et system for håndtering av sikker adgang. Systemet bygger på kvalifisering og godkjenning av personell som gis ledsagerkompetanse som overvåker tilgang med personlige, tidsbegrensede sikkerhetskort for alle eksterne med tilgang til anlegg. Vi mener dette systemet, som allerede i dag stiller krav om risikovurdering, kan utvides til å ta opp i seg risikovurdering og -oppfølging av uegnet personell gjennom byggherres oppfølging av personell på anleggene fremfor at det etableres et nytt detaljert regime slik NVE foreslår. Det er også et spørsmål om ytterligere regler for personell med tilgang til anlegg kun under rehabilitering mv skal gjelde samtlige klasse 2 og 3 anlegg, eller om det er en bedre løsning at eventuelle ytterligere regler skal avgrenses til særlig kritiske deler av energisystemet. 5. AVSLUTTENDE KOMMENTARER Regelverket om kraftforsyningsberedskap er allerede i dag omfattende og spredt på dokumenter med ulik juridisk status. I tillegg til beredskapsforskrift med vedlegg har NVE utarbeidet en veileder med vedlegg som delvis inneholder "skal" og "må" krav. Energi Norge mener det er rom for tydeliggjøring gjennom opprydding i eksisterende forskrift og veileder og nærmere klargjøring av ulike bestemmelser og anbefalinger. Energi Norge kommer gjerne tilbake på hvilke deler av regelverket som oppfattes som uoversiktlig.

Forøvrig ser vi frem til videre dialog med NVE om våre høringsinnspill og stiller gjerne på møte for å utdype våre kommentarer ytterligere. 7 Vennlig hilsen Energi Norge Knut Kroepelien Direktør avdeling for marked og kunder Anders Sivertsgård Næringspolitisk rådgiver Kopi: Næringslivets sikkerhetsråd, OED

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding