Justis og beredskapsdepartementet Levert elektronisk på: www.regjeringen.no/id2466319 Saksbeh./tlf.nr.: Kjetil Sørli/23904335 - Eirik Pettersen/23904158 Deres ref./deres dato: 15/8216 / 09.12.2015 Vår ref.: 15/02372-2 Vår dato: 08.02.2016 Statnetts høringssvar - Digital Sårbarhet - sikkert samfunn (NOU 2015:13) Det vises til departementets høringsbrev om "Digital sårbarhet sikkert samfunn" (NOU 2015:16). Departementets høringsbrev er datert 9. desember 2015 med høringsfrist satt til 15. mars 2016. I det følgende gis Statnetts høringssvar. Statnett ser viktigheten av og er positive til at det er avgitt en egen utredning om digital sårbarhet og at energiforsyningen er viet et eget kapittel i utredningen (kapittel 13). Statnett er anleggseier og planansvarlig for sentralnettet, og systemansvarlig i det norske kraftsystemet. Disse rollene understøttes av informasjons- og kommunikasjonsteknologi. Digital sårbarhet og risiko knyttet til dette er et område med høy oppmerksomhet i Statnett. I høringsuttalelsen avgrenses våre tilbakemeldinger til kapittel 13, og spesielt til utvalgets anbefalinger: Side 1 av 6
Statnetts tilbakemeldinger på utvalgets anbefalinger Utvalgets anbefalinger står i en boks, mens Statnetts kommentar står under: 13.7.1 Styrke tilsyn og veiledning i IKT-sikkerhet Disse forholdene legges til grunn for utvalgets forslag om å styrke NVE betraktelig på området tilsyn og veiledning.[ ] Det er et generelt utviklingstrekk at det legges opp til stadig tettere koblinger mellom driftskontrollsystemer og forretningssystemer. Utvalget mener at dette er en utfordring som må møtes med gode og gjennomgripende tiltak knyttet til teknisk arkitektur, transaksjonskontroller og hensiktsmessig soneinndeling. På dette området mener utvalget at NVE bør kunne spille en viktig rolle i å formidle beste praksis og forøvrig veilede berørte virksomheter i sikker implementering. [ ] NVE i fellesskap med interesseorganisasjoner og bransjen bør utarbeide veiledere og krav til tjenesteutsetting i kraftbransjen. Utvalget anbefaler sektoren å se på internasjonale standarder. [ ] Energisektoren har sine egne særegne utfordringer knyttet til IKT-sikkerhet. Det er derfor viktig å møte en regulator som kjenner disse utfordringer. Statnett stiller seg positiv til ytterligere å styrke NVE i deres tilsyns- og veiledningsrolle i IKT-sikkerhet for energisektoren. 13.7.2 Stimulere til større og mer ressurssterke fagmiljøer innen IKT-sikkerhet Utvalget mener at NVE i samarbeid med interesseorganisasjonene bør stimulere til større og mer ressurssterke fagmiljøer på IKT-sikkerhet i KBO-enhetene. Statnett har et etablert fagmiljø innen IKT-sikkerhet, og ser viktigheten av å stimulere til større og mer ressurssterke fagmiljøer for de mindre selskapene i energiforsyningen, gjerne i form av at det utvikles felles kompetansemiljøer hos disse. Bransjeorganisasjonene bør kunne bidra med å organisere kurs innenfor IKT-sikkerhet, gjerne i samarbeid med andre organisasjoner, eller henvise til NVE, andre myndigheter eller undervisningsinstitusjoner der det er hensiktsmessig. Det bør også utvikles kurs og studieretninger innenfor prosesstyring, systemintegrasjon og IKT, noe som kan bidra til at bransjen får den kompetansen som trengs for å drifte systemene i fremtiden. Side 2 av 6
Etter Statnett sin vurdering vil kurs og utdanning bli klart best ivaretatt ved å benytte akademiske miljøer og større virksomheter som arbeider med og har konkret og omfattende ansvar for IKTsikkerhet. Et eksempel på dette er Statkrafts og Statnetts langsiktige og strategisk samarbeid med Center for Cyber and Information Security (CCIS) på Gjøvik. Utvalget anbefaler at NVE gjennom sin veiledningsrolle er pådriver for flere øvelser på IKTsikkerhetsområdet både i sektoren og opp mot andre sektorer det er naturlig å samarbeide med. Statnett legger stor vekt på og ser nytten av øvelser som et verktøy for å håndtere ekstraordinære hendelser. I dette arbeidet har NVE vært en pådriver og en god samarbeidspart. NVE har de siste 5-10 årene bygget opp og etablert egen kompetanse på øvelser. Statnett vil derfor understreke viktigheten av NVEs rolle for energiforsyningen med å tilrettelegge og spille bransjen god gjennom øvelser, også når det gjelder øvelser på IKT-sikkerhetsområdet. Statnett ønsker generelt at IKTsikkerhet i større grad blir en del av de mer tradisjonelle øvelsene i kraftbransjen. 13.7.3 Bygge et sterkt operativt fagmiljø for IKT-hendelseshåndtering Utvalget støtter ideen om å videreutvikle KraftCERT som et sterkt fagmiljø innen operativ hendelseshåndtering. NVE må tydeliggjøre krav om tilknytning til et operativt fagmiljø for hendelseshåndtering, enten mot KraftCERT eller mot andre miljøer. KraftCERT AS ble opprettet i 2015 med Statnett, Statkraft og Hafslund som eiere. Det er organisert som et ideelt aksjeselskap som leverer IKT-sikkerhetstjenester til bransjen. Eventuelt overskudd avsettes til videreutvikling av organisasjon og tjenester. KraftCERT er finansiert gjennom medlemsavgift. Statnett registrerer at det er både kompetansemessig og finansielt krevende for mindre selskaper å delta i KraftCERT, men også at det er uheldig at selskaper i bransjen kan stå utenfor ordningen. Statnett stiller seg derfor bak utvalgets anbefaling om en tydeliggjøring fra NVE om tilknytning. Samtidig må det legges til rette for at de mindre selskapene er i stand til å finansiere egen deltagelse. Videre at det må legges til rette for at de har tilstrekkelig kompetanse til å håndtere informasjon fra KraftCERT. Dagens finansieringsmodell gjør også KraftCERT sårbar ved endringer hos energiselskapene, for eksempel ved sammenslåinger mellom to eller flere energiselskaper. Det vil føre til et inntektstap, og dermed til dårligere eller utilstrekkelige leveranser til bransjen. Side 3 av 6
Utvalget skriver at tilknytning burde skje mot KraftCERT eller mot andre miljøer. Statnett ser det som mest hensiktsmessig å samle et eksternt operativt fagmiljø for hendelseshåndtering ett sted, og ikke dele det opp mellom ulike miljøer. En oppdeling mellom ulike miljøer vil samlet sett kunne føre til mindre effektiv håndtering hvis mange energiselskaper blir rammet samtidig. Dette vil også bidra til en mer uforutsigbar finansiell ramme for KraftCERT. Det er Statnetts syn at videreutvikling av KraftCERT ikke bare må ivareta en tydeliggjøring av krav til selskaper i energiforsyningen, men også må ivareta en finansieringsmodell som gjør de mindre energiselskapene i stand til å delta, og som gir KraftCERT en forutsigbar inntektsmodell for å kunne sikre tilstrekkelig kvalitet på leveransene. 13.7.4 Vurdere de sikkerhetsmessige forhold ved å behandle og lagre kraftsensitiv informasjon i utlandet Utvalget anbefaler at NVE ser på hele verdikjeden og identifiserer hvilken informasjon i denne som må være under nasjonal kontroll. Statnett er usikker på hvor hensiktsmessig det er at NVE skal identifisere hvilken informasjon som må være under nasjonal kontroll. Med et internasjonalt leverandørmarked, og med økt integrasjon med nordiske og europeiske land, vil ikke hovedspørsmålet være hvilken informasjon som skal være under nasjonal kontroll, men hvordan og med hvem vi kan dele sensitiv informasjon med. Statnett kan ikke se at energiloven i tilstrekkelig grad ivaretar behandling og lagring av kraftsensitiv informasjon utenfor landets grenser. Statnett opplever utfordringer rundt det å skulle forholde seg til forskjellige lovgivninger i Europa og i Norge. Det er særlig tre utfordringer knyttet til dette. For det første; utvikling, drift og vedlikehold av driftskontrollsystemer av utenlandske leverandører. Det vil i den sammenheng kunne reises spørsmål om en utenlandsk leverandørs sikkerhetsmessige skikkethet til å håndtere driftskontrollsystemer i norsk energiforsyning. Energilovens beredskapsforskrift har i 7-6 (Kontroll med utstyr i driftskontrollsystemet) hjemmel til å i særskilte tilfeller forby bruk av utstyr i driftskontrollsystemet. Samtidig er ikke Statnett kjent med at det er etablerte rutiner eller kompetanse hos Norges vassdrags- og energidirektorat (NVE) som regulator og beredskapsmyndighet til å følge dette opp. For det andre; utvikling, drift og vedlikehold av ERP-systemer (dokumentasjonshåndtering). Her er det vanlig at leverandører etablerer seg i lavkostland, og hvor disse i praksis har full tilgang til informasjon som kan misbrukes til å skade anlegg og funksjoner i norsk energiforsyning. En liknende problemstilling er at utenlandske leverandører leverer prosjekteringstjenester til norske energiselskaper. Denne leverandøren vil da ha alle detaljer om anlegget de prosjekterer. Dette kan igjen misbrukes til å skade anlegg og funksjoner hvis informasjonen kommer på avveie. Heller ikke her ligger det klare føringer i energiloven med hensyn til utenlandske leverandørers sikkerhetsmessige skikkethet. For det tredje; informasjonsdeling innenfor nordisk og europeisk samarbeid. Med økt integrasjon både forvaltningsmessig og teknisk med Norden og med EU/EØS, er det behov for felles spilleregler med hensyn til å skjerme kraftsensitiv informasjon. Per i dag løses dette for Statnett Side 4 av 6
med sikkerhetsavtaler og taushetserklæringer i tråd med energilovens beredskapsforskrift. Dette er ikke hensiktsmessig da forvaltningen av disse er arbeidskrevende samtidig som vi stiller spørsmåltegn ved effekten av å stille særnorske krav gjennom bilaterale sikkerhetsavtaler og taushetserklæringer. 13.7.5 Gjennomføre risiko- og sårbarhetsanalyse for utvidet bruk av AMS Utvalget anbefaler at NVE gjennomfører nødvendige risiko- og sårbarhetsanalyser for utvidet bruk av AMS inn mot driftskontrollsystemene. Statnett ser viktigheten av entydige og tydelige sikkerhetskrav fra NVE til bransjen med hensyn til utvidet bruk av AMS. Statnett har ikke AMS hos alminnelige sluttbrukere, men vil fra første halvdel av 2017 sette i drift en database for måleverdier og markedsprosesser for det norske kraftmarkedet (Elhub). Statnett gjennomfører risiko- og sårbarhetsanalyser i forbindelse med utviklingen av denne. Statnett er per i dag ikke direkte berørt av forslaget. Samtidig vurderer Statnett gjennom egne FoUprosjekter mulighetene for å samarbeide med nettselskapene om AMS-systemer for laststyring hos sluttkunder. AMS hos sluttkunder vil da kunne bli benyttet for å opprettholde balansen ved anstrengt drift av kraftsystemet. 13.7.6 Utarbeide en oppdatert analyse av kraftforsyningens avhengighet av ekom Utvalget anbefaler derfor NVE og bransjen å foreta en ny gjennomgang for å etterprøve om dagens krav gir den «uavhengigheten» som regelverket krever. Statnetts ekom-systemer for overvåkning og drift av kraftsystemet fungerer uavhengig av kommersielt tilgjengelige tjenester. Samtidig øker avhengigheten av markedsinformasjon for driften av kraftsystemet. Deler av denne informasjonen kommer fra aktører som er avhengig av kommersielt tilgjengelige ekom-tjenester. Dette er en problemstilling som Statnett følger med på. Statnett ønsker derfor velkommen en bredere gjennomgang fra NVE og bransjen. Side 5 av 6
Andre kommentarer Bakgrunnssjekk I utvalgets kapittel 13 om energiforsyningen adresseres en rekke digitale sårbarheter, og det gis begrunnede forslag for å redusere disse. Etter Statnetts syn er det mange gode og relevante anbefalinger. Samtidig ser Statnett det som en mangel at utvalget ikke tar opp energibransjen manglende hjemler til å gjennomføre bakgrunnssjekk av eget personell, leverandører og deres personell som får tilgang til sensitiv informasjon og kritiske systemer. I beredskapsforskriftens 6-7 er det hjemlet at personer som vil kunne få tilgang til informasjon som er sikkerhetsgradert etter sikkerhetsloven skal sikkerhetsklareres, men det utelukker bakgrunnssjekk av personer som har tilgang til kraftsensitiv informasjon og kritiske systemer. Eksempelvis er det ikke hjemmel til å bakgrunnssjekke personell som drifter et driftskontrollsystem, eller som gjennomfører koblinger i høyspentnett. Denne problemstillingen er tatt opp av Statnett med NVE, også ved revisjon av energilovens beredskapsforskrift i 2012. Forholdet mellom energiloven og sikkerhetsloven Utvalget viser kort til at de har observert at det er uenighet mellom Olje- og energidepartementet og Forsvarsdepartementet knyttet til utpeking av skjermingsverdige objekter i energiforsyningen etter sikkerhetsloven. Ut over det er det ikke en spesifikk diskusjon knyttet til hvilke sikkerhetsmessige forhold som eventuelt burde reguleres i henholdsvis energiloven og sikkerhetsloven. Da utvalgets anbefaling under punkt 13.7.4 om sikkerhetsmessige forhold ved å behandle og lagre kraftsensitiv informasjon i utlandet kan føre til en diskusjon om energiforsyningens forhold til sikkerhetsloven, ønsker Statnett å knytte noen kommentarer til dette forholdet. Statnett er underlagt et detaljert og omfangsrikt sikkerhets- og beredskapsregelverk i energilovens beredskapsforskrift. NVE som regulator og sektormyndighet har kompetanse på og fører aktivt tilsyn med sikkerhet og beredskap i energiforsyningen. I tillegg har de som sektormyndighet kompetanse på sektorens særegne forhold. Det vil derfor være riktig å holde eventuelle utvidelser og endringer i sikkerhetslovgivningen for energisektoren innenfor det som allerede er etablert av sikkerhets- og beredskapsregelverk i energiloven. Oppstykking mellom to ulike regulatorer og to ulike lover vil kunne være krevende å håndtere for en virksomhet. Det kan bli oppfattet som dobbeltregulering, og det er et potensial for at det kan oppstå motstridende forventinger fra to myndighetsorganer til én enkelt virksomhet. Ved å fortsatt beholde eventuelle lovendringer i energiloven, vil det sikres en helhetlig og samlet vurdering fra et myndighetsorgan som har erfaring og kompetanse på å regulere sikkerhet og beredskap i norsk energiforsyning. Faktafeil Avslutningsvis ønsker vi å gjøre oppmerksom på at det har sneket seg inn en faktafeil på side 131 i utvalgets utredning. Det står at Statnett drifter om lag 1 000 km med høyspentlinjer. Det riktige er at vi eier og drifter om lag 11 000 km. Med vennlig hilsen Øivind K. Rue (sign.) Konserndirektør Side 6 av 6