Forsvarsdepartementet Levert elektronisk på: www.regjeringen.no/id2412260 Saksbeh./tlf.nr.: Kjetil Sørli/23904335 Deres ref./deres dato: 2013/00552-260/FD V 3/GCB/PAF / 19.05.2015 Vår ref.: 15/01141-2 Vår dato: 18.08.2015 Statnetts svar på "Høring - forslag til endringer i sikkerhetsloven" Viser til Forsvarsdepartements høring på forslag til endringer i sikkerhetsloven. Departementets høringsbrev er datert 19. mai med høringsfrist satt til 20. august. Statnett SF er en av høringspartene. I det følgende gis Statnetts høringssvar. Innledning Om Statnett og selskapets relevans til ny 29a Statnett SF eier og driver hoveddelen av sentralnettet (hovednettet i strømforsyningen) i Norge. I tillegg er Statnett systemansvarlig i det norske kraftsystemet. Videre er selskapet inne i en periode med store anskaffelser og investeringsprosjekter. I løpet av en ti-årsperiode er det planlagt investeringer i sentralnettet på mellom 50-70 milliarder kroner. I løpet av de neste årene vil Statnett også ta over de delene av sentralnettet som vi per i dag ikke eier. Statnetts anlegg og systemer er kritisk infrastruktur. Selskapet er ikke underlagt sikkerhetsloven, men energilovens sikkerhet- og beredskapsbestemmelser på blant annet områder som informasjons- og objektsikkerhet. Statnett er et statsforetak opprettet i henhold til statsforetaksloven og eid av staten ved Olje- og energidepartementet. Innledning til høringsnotatet Statnetts svar omhandler forslaget til ny 29a. Anskaffelser til kritisk infrastruktur. Statnett er positiv til at det gis anledning til å vurdere en leverandørs sikkerhetsmessige skikkethet, og at det på lovmessig grunnlag gis anledning å nekte en anskaffelse i kritisk infrastruktur. Samtidig vises det til at Statnett allerede er underlagt et detaljert og omfangsrikt sikkerhets- og beredskapsregelverk i energilovens beredskapsforskrift. Statnett ser det som uheldig å splitte opp regelverket knyttet til sikkerhet og beredskap i to ulike lover med to ulike forvaltningsmyndigheter. Side 1 av 5
Det er vårt syn at underleggelse av deler av sikkerhetsloven vil føre til en uoversiktlig og kompliserende situasjon, og at fremtidige utvidelser og endringer derfor må skje innenfor energiloven. Videre advares det mot å etablere en prosess som vil utsette kostbare, kompliserte og kritiske anskaffelser. Dette vil få uhensiktsmessig store økonomiske konsekvenser. Statnett savner også en mer detaljert analyse av forholdet til reglene om offentlige anskaffelser. Mulige konsekvenser for Statnett ved å bli underlagt forslag til ny 29a i sikkerhetsloven Hvilke systemer i Statnett kan tenkes å bli omfattet av ny 29a. - Driftskontrollsystemet o Består at et større antall IKT-systemer inkludert landsdekkende samband - ERP-systemet (dokumentasjonshåndtering av anleggsdokumentasjon, ROS-analyser, beredskapsplaner m.m.) Totalt er anskaffelsesverdiene for overnevnte systemer flere milliarder kroner med tilhørende vedlikeholdsavtaler på flere hundre millioner kroner. Alle anskaffelser og avtaler gjennomgås nøye for å oppnå gevinster på sikkerhet, funksjonalitet og pris. Store anskaffelser skjer i et globalt leverandørmarked med tilhørende underleverandører, også de i et globalt marked. Det norske leverandørmarkedet er i hovedsak ikke i stand til å levere produkter og tjenester på kritiske leveranser for disse systemene. Vi ser også at mange leverandører velger å sette ut tjenester til land med høy kompetanse, men med lave utviklingskostnader. Dette er typisk land som Statnett antar at Norge ikke har et sikkerhetsmessig samarbeid med. Mulige konsekvenser for tid, kost og kvalitet Anskaffelser i Statnett gjennomføres i henhold til lov om offentlige anskaffelser og forsyningsforskriften. Det er en grundig og kvalitetssikret prosess. På de aller største og kritiske anskaffelsene tar dette flere år, og et suksesskriterium er at anskaffelsene leveres med planlagt kvalitet og til riktig tid og kost. Med underleggelse av ny 29a, ser Statnett en risiko for: - at mulige forsinkende tilleggsprosesser vil kunne øke kostnadene uforholdsmessig mye på allerede store og kostbare anskaffelser - stor uforutsigbarhet for leverandørene og mulig økte kostnader til tilbudsutarbeidelse - at det må ansettes ekstra personell for å håndtere tilleggskrav I tillegg er det en reell utfordring at manglende funksjonalitet og reservedeler i aldrende kritiske systemer vil gjøre det tidskritisk å anskaffe nye systemer uten tidshemmende faktorer. I departementets høringsforslag fremgår det ikke hvor lang saksbehandlingstiden vil være etter en eventuell varsling iht. ny 29a. Som det fremkommer over, vil en saksbehandlingstid som trekker ut i tid, kunne føre til en ikke hensiktsmessig uforutsigbarhet når det gjelder tid, kost og kvalitet. Videre ser Statnett at nekting av en leverandør kan: - frata Statnett muligheter for å få ny og nødvendig funksjonalitet, og at dette må utvikles hos en annen leverandør fra bunnen av med tilhørende økte kostnader og økt tidsforbruk Side 2 av 5
- frata Statnett muligheten til å reforhandle og videreutvikle et allerede implementert system, noe som igjen vil føre til store utviklingskostnader og manglende funksjonalitet inntil et alternativt system er på plass. Statnett registrerer at det er gjort vurderinger fra et ekstern konsulentselskap med hensyn til økonomiske og administrative konsekvenser, men kan samtidig ikke se at disse forholdene er tilstrekkelig omtalt og vurdert. Varslingsplikt mulige konsekvenser Høringsnotatet viser til at det er den enkelte virksomhet som, basert på en samlet vurdering, må avgjøre hvorvidt det foreligger en anskaffelse som utløser varslingsplikt. Videre at veiledningsmateriale skal gjøres tilgjengelig for aktuelle virksomheter for at varslingsplikten skal kunne bli forutsigbar og mulig å praktisere, og uten at det utvikler seg en praksis med overdreven varsling. Statnett er usikker på om dette er tilstrekkelig for å unngå at det utvikler seg en praksis med overdreven varsling. Det vises i denne sammenheng til at det i forslag til ny lovtekst blant annet står: Dersom det foreligger risiko som nevnt i første ledd første punktum kan anskaffelsen nektes gjennomført, eller det kan settes vilkår. Dette gjelder også dersom det allerede er inngått avtale om anskaffelsen. Dette vil kunne innebære at det vil være naturlig å varsle for å sikre seg mot en eventuell fremtidig inngripen av Kongen i statsråd etter kontraktsinngåelse. Dette igjen for å unngå store kostnader ved et eventuelt fremtidig kontraktsbrudd på en allerede inngått kontrakt. Det er da naturlig å anta at uforholdsmessig mange anskaffelser blir varslet, og dermed trekker uforholdsmessig ut i tid. En annen effekt vil kunne være at antallet leverandører som ønsker å delta i en anskaffelsesprosess blir færre. Dette med tilhørende mulige konsekvenser for kost og kvalitet. Videre ønsker Statnett å vise til at det ikke foreligger noen reell mulighet for en eier av kritisk infrastruktur å gjennomføre en samlet vurdering. I høringsnotatet på side 31 står følgende: Det er den enkelte virksomhet som, basert på en samlet vurdering, må avgjøre hvorvidt det foreligger en anskaffelse som utløser varslingsplikt. Varslingsplikten utløses dersom anskaffelsen innebærer en «ikke ubetydelig risiko for rikets selvstendighet og sikkerhet eller andre vitale nasjonale sikkerhetsinteresser». I vurderingen vil det være sentralt hva som skal leveres, og til hvilke deler av infrastrukturen. Virksomheten skal ta stilling til om leveransen kan misbrukes til sikkerhetstruende virksomhet, forutsatt at leverandøren har ondsinnede intensjoner. Videre vil det være av sentral betydning hvilke leverandører som faktisk er aktuelle, og om leverandørene kommer fra land som Norge har et sikkerhetsmessig samarbeid med. I tilfeller der det foreligger en risiko, men denne er av en slik art at den kan håndteres tilfredsstillende av virksomheten selv, kan dette tilsi at varsling ikke er påkrevd. En samlet vurdering vil etter vårt skjønn innebære å ha informasjon og kompetanse om forhold som kun EOS-myndighetene innehar. For å gjennomføre en samlet vurdering som ivaretar disse forholdene, vil det med forslaget til ny lovtekst, kun være mulig å få dette til ved å varsle om Side 3 av 5
anskaffelsen da et varsel utløser en mulig vurdering fra kompetente myndigheter. Det er per i dag heller ingen formalisert kanal for å få opplysninger om leverandør eller underleverandører kommer fra et land som Norge har et sikkerhetsmessig samarbeid med. Som eier av kritisk infrastruktur har ikke Statnett forutsetninger for å vurdere annet enn om anskaffelsen vil kunne innebære en "ikke ubetydelig risiko for rikets selvstendighet og sikkerhet eller andre vitale nasjonale sikkerhetsinteresser". Statnett ser således et potensial for at bestemmelsen ikke vil fungere som en sikkerhetsventil kun i sjeldne tilfeller, men vil kunne bli benyttet på en måte som kan omtales som en overdreven varsling. Vurdering av annet nasjonalt sikkerhetslovverk Energilovens beredskapsforskrift har i 7-6. Kontroll med utstyr i driftskontrollsystemet, hjemmel til å i særskilte tilfeller forby bruk av utstyr i driftskontrollsystemet. Samtidig er ikke Statnett kjent med at det er etablerte rutiner eller kompetanse hos Norges vassdrags- og energidirektorat (NVE) som regulator og beredskapsmyndighet til å følge dette opp ut over ved tilsyn. Det foreligger heller ingen varslingsplikt ut over en plikt om å melde hvilken klasse et driftskontrollsystem skal bygges etter (se beredskapsforskriften 5-2 og 5-9). Bestemmelsen gir heller ikke hjemmel til å forby utstyr eller programvare i et ERP-system. Statnett anser derfor at det per i dag ikke eksisterer et nasjonalt lovverk som fullt ut dekker formålet som ligger i ny 29a. Samtidig har NVE som regulator og sektormyndighet kompetanse på og fører tilsyn med sikkerhet og beredskap i kraftforsyningen. Det vil derfor være riktig å holde utvidelser og endringer i sikkerhetslovgivningen for kraftsektoren innenfor det som allerede er etablert av sikkerhets- og beredskapsregelverk. Oppstykking mellom to ulike regulatorer og to ulike lover vil kunne være krevende å håndtere for virksomheten. Det kan bli oppfattet som dobbeltregulering, og det er et potensial for at det kan oppstå motstridende forventinger fra to myndighetsorganer til én enkelt virksomhet. Det vil etter Statnetts syn derfor være riktig å ivareta formålet med 29a i energiloven, og ikke i sikkerhetsloven. At formålet allerede er delvis er regulert i energiloven (beredskapsforskriften 7-6) er med på å understreke dette. Forholdet til regelverket for offentlige anskaffelser Høringsnotatet behandler i svært liten grad forholdet til regelverket om offentlige anskaffelser, ut over å fastslå at det "etter departementets vurdering ikke i strid med EØS-avtalen", jf. høringsnotatet pkt. 25.3. Statnett savner en mer praktisk tilnærming til problemstillingen. På hvilket tidspunkt i anskaffelsesprosessen ser f. eks. departementet for seg at et varsel skal sendes? Statnett foreslår at dette senest bør være på kvalifikasjonsstadiet. Videre er det for Statnett uklart hvilket ansvarsforhold som skal ligge til grunn dersom en leverandør tildeles kontrakt som senere nektes gjennomført. Her bør departementet i mye større grad vurdere konsekvensene for leverandørene. Vil de f. eks. ha krav på negativ eller positiv kontraktsinteresse? Statnett mener det er hensiktsmessig at disse forholdene i størst mulig grad blir avklart før en eventuell implementering av forslaget, slik at vi forhindrer at disse spørsmålene må avklares i langvarige og dyre etterfølgende rettsprosesser. Side 4 av 5
Konklusjon Statnett er positiv til at det gis anledning til å vurdere en leverandørs sikkerhetsmessige skikkethet, og at det på lovmessig grunnlag gis anledning å nekte en anskaffelse. Samtidig ser Statnett at den praktiske håndteringen og oppfølgingen av saker som vil kunne falle inn under en ny 29a ikke er formålstjenlig. Dette vil tvert imot øke risikoen for at kritiske anskaffelser ikke vil bli levert på tid, kost og kvalitet. Statnett ser videre at det vil være uheldig å regulere sikkerhet og beredskap i kraftforsyningen i to ulike lovverk. Det vil være hensiktsmessig å la energiloven ivareta formålet med forslaget til ny 29a, og ikke sikkerhetsloven. Dette vil sikre en helhetlig og samlet vurdering fra et myndighetsorgan som har erfaring og kompetanse på å regulere sikkerhet og beredskap i norsk kraftforsyning. Det er Statnetts syn at de økonomiske og administrative konsekvenser ikke er tilstrekkelig utredet og vurdert. Videre at lovforslaget slik det fremstår ikke er formålstjenlig og vil kunne føre til mindre helhet i arbeidet med sikkerhet og beredskap. Med vennlig hilsen Svein Storstein Pedersen (sign.) Direktør Avdeling Beredskap, strategi og policy Kjetil Sørli (sign.) Seksjonsleder Seksjon for HMS og beredskap Kopi: - Olje og energidepartementet - Norges vassdrags- og energidirektorat Side 5 av 5