Statnetts høringssvar - Digital Sårbarhet - sikkert samfunn (NOU 2015:13)

Like dokumenter
Statnetts svar på "Høring - forslag til endringer i sikkerhetsloven"

Deres ref Vår ref Dato 15/ /

NVEs høringssvar på forslag til EU-direktiv om sikkerhet i nettverk og informasjonssystemer (NIS-direktivet)

Dokument 3:16 ( )

Statnetts svar på høring - Samling for sikkerhet - NOU 2016:19

Sikkerhet innen kraftforsyningen

FOREBYGGENDE SIKKERHET OG BEREDSKAP I DET DIGITALE KRAFTSYSTEMET. Eldri Naadland Holo Seksjonssjef beredskap, NVE

Høringsnotat. Forslag til endring av energiloven 9-5 (innhenting av politiattest)

Norges vassdrags- og energidirektorat

Spørsmål ved revisjon Informasjonssikkerhet kapittel 6

Høringssvar fra NVE - Høring av forslag til forskrifter til ny sikkerhetslov

Høringsuttalelse vedrørende forslag til endring i beredskapsforskriften.

VTFs Vårmøte juni, Oslo. Orientering om kraftforsyningsberedskap. seksjonssjef Arthur Gjengstø, beredskapsseksjonen, NVE

Høringssvar fra Agder Energi til NVEs forslag til endringer i beredskapsforskriften

Innspill til uttalelse fra Distriktsenergi til NVEs høringsforslag til endringer i beredskapsforskriften.

Oppsummeringsrapport: Endring i energilovforskriften

IKT-SIKKERHET I ALLE LEDD ORGANISERING OG REGULERING AV NASJONAL IKT SIKKERHET

Høring NOU 2016:19 Samhandling for sikkerhet

IKT-sikkerhetsutvalget. NOU 2018: 14 IKT-sikkerhet i alle ledd

Olje- og energidepartementet

Høringssvar endringer i beredskapsforskriften

Anbefalinger om åpenhet rundt IKT-hendelser

STRATEGI FOR NVE

RAPPORT. Oppsummeringsdokument: Endringer i beredskapsforskriften - Krav til IKT-sikkerhet m.m. Nr 92/2018

AMS Markedskonferansen Ole Haugen

NASJONAL SIKKERHETSMYNDIGHET

KS'BedriftEnergi. Høring - beredskapsforskriften. Norges vassdrags- og energidirektorat Postboks 5091 Majorstuen 0301 Oslo

Cisco Systems Norway AS Philip Pedersens vei Lysaker Lysaker, 28. september 2018

Felles driftssentral for flere nettselskaper energilovens krav til ordningen

Veiledning for å forebygge og håndtere pandemisk influensa i kraftforsyningen

1. Sektormyndigheten må ha ansvaret for egen sektor, også for uønskede villede handlinger

NOU 2015: 13. Digital sårbarhet sikkert samfunn

Merknader til foreslått revidering av Energilovsforskriften av 7. desember 1990 nr. 959 (ref. nr )

Hvordan sikre seg at man gjør det man skal?

Sikker deling av data for pan-europeiske nettberegninger. Gerard Doorman NVE Energidagene,

Uttalelse til utredning av forslag til endringer i beredskapsforskriften. Krav til IKT-sikkerhet m.m.

Er forvaltningspraksis i harmoni med energilovens formål?

EBL-konferansen Amsterdam mars NVEs prioriteringer de kommende årene. Agnar Aas Vassdrags- og energidirektør

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE

Innspill fra Distriktsenergi til NVE-notat om felles driftssentraler for flere nettselskaper.

om informasjonssikkerhet og tilgjengeliggjøring av data Bjørn Lytskjold / seksjonssjef Geoinformasjon / NVE bel@nve.no

NOU 2015: 13 Lysne-utvalgets anbefalinger til redusert digital sårbarhet i vannforsyningen

Regelrådets uttalelse. Om: Forslag til endring i forskrift om systemansvaret i kraftsystemet Ansvarlig: Norges vassdrags- og energidirektorat (NVE)

Kraftforsyningens Distriktssjef (KDS)

Behov for styrket IKT-kompetanse i kraftbransjen

Oversikt over energibransjen

Innbydelse til deltakelse i utredning av Effektivt Sluttbrukermarked for Kraft (ESK)

IKT-sårbarhet i norsk kraftforsyning. Janne Hagen Forsker (PhD) og medlem av Lysne-utvalget

Med AMS fra 2011 til AMS i Norge - Temadag 25. Mai 2011

Informasjon om håndtering av IKT-sikkerhetshendelser

Knut Styve Hornnes, Stig Løvlund, Jonas Lindholm (alle Statnett)

Forventninger og informasjon til KBO for 2019

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Regelrådets uttalelse. Om: Høring forskrifter til ny sikkerhetslov Ansvarlig: Forsvarsdepartementet

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Forslag til endringer i forskrift om måling, avregning, fakturering av nettjenester og elektrisk energi, nettselskapets nøytralitet mv.

IKT sikkerhet, regelverk og teknologi. Hvordan gjør Glitre Energi Nett det? Energidagene 2016

Samling for Norges beste beredskapsteam - KBO i Molde mai

Nødvendige avklaringer og presiseringer før opphandling av AMSutstyr

Prop. 101 L. ( ) Proposisjon til Stortinget (forslag til lovvedtak) Endringer i energiloven 9-5 (innhenting av politiattest)

1,7JUL2012. Helgelandskraft AS nettilknytning av Reingardsåga kraftverk DET KONGELIGE OLJE- OG ENERGIDEPARTEMENT

Vår dato :

Virksomhetsstrategi Justis- og beredskapsdepartementet

Lysneutvalget

Oversendelse av revisjonsrapport - ISE Nett AS

Forskrift om systemansvaret i kraftsystemet - FosWeb/Efos - Overføringsgrenser - Idriftsettelse av anlegg. Roar Kristensen Systemfunksjonalitet

Næringslivets Sikkerhetsråd Mot kriminalitet - for næringsliv og samfunn

Geir Magnus Walderhaug NA Region øst Frokostmøte 6. mars 2018

Vår oppfatning er at de foreslåtte endringer er i tråd med NordREGs anbefalinger for et harmonisert nordisk sluttbrukermarked.

Bevisstgjøring og ledelse - utfordringer for sikkerhetsstyring av IKT-systemer i norsk kraftforsyning

Status for arbeidet med AMS

Felles journal. Fra et samfunnssikkerhets- og beredskapsperspektiv. avdelingsdirektør

Oversending av revisjonsrapport Fredrikstad Fjernvarme AS

Konsesjon for tilrettelegging av kraftutveksling med andre nordiske land

F orsvarsdepartementet

Oversending av revisjonsrapport - Andøy Energi AS

Fagdag sikring Ny sikkerhetslov og arbeidet med nye forskrifter. Svein Anders Eriksson Leder for sikring og standardisering Ptil

Strategi for nasjonale felleskomponenter og -løsninger i offentlig sektor. Strategiperiode

Norges vassdrags- og energidirektorat

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Handlingsplan for NVEs tilsynsvirksomhet i 2016

Et strømmarked i endring "

Samarbeidsløsninger knyttet til beredskap i Nordland

Olje- og energidepartementet Departementenes høringsportal Oslo,

Fjernvarmeberedskap. Kilde: Norsk fjernvarme

Veiledning for å forebygge og håndtere pandemisk influensa i kraftforsyningen

1. Generelt om tilsynene

Kraftsystemutredninger -dagens praksis og fremtidenes utfordringer. Plenumsmøte 2008 Anne Sofie Ravndal Risnes Nettseksjonen NVE

Hvilke grep gjør NVE for å bidra til politisk måloppnåelse innenfor energisektoren

Risikopersepsjon og bevissthet - utfordringer for sikkerhetsstyring av informasjons- og kommunikasjonsteknologi (IKT)-systemer i kraftforsyning

Innst. S. nr ( ) Innstilling til Stortinget fra kontroll- og konstitusjonskomiteen. Dokument nr. 3:16 ( )

hvor står vi og hvor går vi?

EU-regelverk og sikkerhet i norsk energiforsyning

Motiv: Oslofjorden Foto: Vann- og avløpsetaten. Informasjon om sikkerhetsgraderte anskaffelser

Beredskap i kraftforsyninga

Oversending av revisjonsrapport - Harstad Varmesentral, Statkraft Varme AS

Utarbeidet av: Jan Henning /TB Handlingsplan for tilsyn 2017

Tema for tilsyn 2011

Høringsnotat. Forslag til opphevelse av kompetanseforskriften og endringer i energilovforskriften

Sikring av kritiske samfunnsfunksjoner Erfaringer fra Norge

Transkript:

Justis og beredskapsdepartementet Levert elektronisk på: www.regjeringen.no/id2466319 Saksbeh./tlf.nr.: Kjetil Sørli/23904335 - Eirik Pettersen/23904158 Deres ref./deres dato: 15/8216 / 09.12.2015 Vår ref.: 15/02372-2 Vår dato: 08.02.2016 Statnetts høringssvar - Digital Sårbarhet - sikkert samfunn (NOU 2015:13) Det vises til departementets høringsbrev om "Digital sårbarhet sikkert samfunn" (NOU 2015:16). Departementets høringsbrev er datert 9. desember 2015 med høringsfrist satt til 15. mars 2016. I det følgende gis Statnetts høringssvar. Statnett ser viktigheten av og er positive til at det er avgitt en egen utredning om digital sårbarhet og at energiforsyningen er viet et eget kapittel i utredningen (kapittel 13). Statnett er anleggseier og planansvarlig for sentralnettet, og systemansvarlig i det norske kraftsystemet. Disse rollene understøttes av informasjons- og kommunikasjonsteknologi. Digital sårbarhet og risiko knyttet til dette er et område med høy oppmerksomhet i Statnett. I høringsuttalelsen avgrenses våre tilbakemeldinger til kapittel 13, og spesielt til utvalgets anbefalinger: Side 1 av 6

Statnetts tilbakemeldinger på utvalgets anbefalinger Utvalgets anbefalinger står i en boks, mens Statnetts kommentar står under: 13.7.1 Styrke tilsyn og veiledning i IKT-sikkerhet Disse forholdene legges til grunn for utvalgets forslag om å styrke NVE betraktelig på området tilsyn og veiledning.[ ] Det er et generelt utviklingstrekk at det legges opp til stadig tettere koblinger mellom driftskontrollsystemer og forretningssystemer. Utvalget mener at dette er en utfordring som må møtes med gode og gjennomgripende tiltak knyttet til teknisk arkitektur, transaksjonskontroller og hensiktsmessig soneinndeling. På dette området mener utvalget at NVE bør kunne spille en viktig rolle i å formidle beste praksis og forøvrig veilede berørte virksomheter i sikker implementering. [ ] NVE i fellesskap med interesseorganisasjoner og bransjen bør utarbeide veiledere og krav til tjenesteutsetting i kraftbransjen. Utvalget anbefaler sektoren å se på internasjonale standarder. [ ] Energisektoren har sine egne særegne utfordringer knyttet til IKT-sikkerhet. Det er derfor viktig å møte en regulator som kjenner disse utfordringer. Statnett stiller seg positiv til ytterligere å styrke NVE i deres tilsyns- og veiledningsrolle i IKT-sikkerhet for energisektoren. 13.7.2 Stimulere til større og mer ressurssterke fagmiljøer innen IKT-sikkerhet Utvalget mener at NVE i samarbeid med interesseorganisasjonene bør stimulere til større og mer ressurssterke fagmiljøer på IKT-sikkerhet i KBO-enhetene. Statnett har et etablert fagmiljø innen IKT-sikkerhet, og ser viktigheten av å stimulere til større og mer ressurssterke fagmiljøer for de mindre selskapene i energiforsyningen, gjerne i form av at det utvikles felles kompetansemiljøer hos disse. Bransjeorganisasjonene bør kunne bidra med å organisere kurs innenfor IKT-sikkerhet, gjerne i samarbeid med andre organisasjoner, eller henvise til NVE, andre myndigheter eller undervisningsinstitusjoner der det er hensiktsmessig. Det bør også utvikles kurs og studieretninger innenfor prosesstyring, systemintegrasjon og IKT, noe som kan bidra til at bransjen får den kompetansen som trengs for å drifte systemene i fremtiden. Side 2 av 6

Etter Statnett sin vurdering vil kurs og utdanning bli klart best ivaretatt ved å benytte akademiske miljøer og større virksomheter som arbeider med og har konkret og omfattende ansvar for IKTsikkerhet. Et eksempel på dette er Statkrafts og Statnetts langsiktige og strategisk samarbeid med Center for Cyber and Information Security (CCIS) på Gjøvik. Utvalget anbefaler at NVE gjennom sin veiledningsrolle er pådriver for flere øvelser på IKTsikkerhetsområdet både i sektoren og opp mot andre sektorer det er naturlig å samarbeide med. Statnett legger stor vekt på og ser nytten av øvelser som et verktøy for å håndtere ekstraordinære hendelser. I dette arbeidet har NVE vært en pådriver og en god samarbeidspart. NVE har de siste 5-10 årene bygget opp og etablert egen kompetanse på øvelser. Statnett vil derfor understreke viktigheten av NVEs rolle for energiforsyningen med å tilrettelegge og spille bransjen god gjennom øvelser, også når det gjelder øvelser på IKT-sikkerhetsområdet. Statnett ønsker generelt at IKTsikkerhet i større grad blir en del av de mer tradisjonelle øvelsene i kraftbransjen. 13.7.3 Bygge et sterkt operativt fagmiljø for IKT-hendelseshåndtering Utvalget støtter ideen om å videreutvikle KraftCERT som et sterkt fagmiljø innen operativ hendelseshåndtering. NVE må tydeliggjøre krav om tilknytning til et operativt fagmiljø for hendelseshåndtering, enten mot KraftCERT eller mot andre miljøer. KraftCERT AS ble opprettet i 2015 med Statnett, Statkraft og Hafslund som eiere. Det er organisert som et ideelt aksjeselskap som leverer IKT-sikkerhetstjenester til bransjen. Eventuelt overskudd avsettes til videreutvikling av organisasjon og tjenester. KraftCERT er finansiert gjennom medlemsavgift. Statnett registrerer at det er både kompetansemessig og finansielt krevende for mindre selskaper å delta i KraftCERT, men også at det er uheldig at selskaper i bransjen kan stå utenfor ordningen. Statnett stiller seg derfor bak utvalgets anbefaling om en tydeliggjøring fra NVE om tilknytning. Samtidig må det legges til rette for at de mindre selskapene er i stand til å finansiere egen deltagelse. Videre at det må legges til rette for at de har tilstrekkelig kompetanse til å håndtere informasjon fra KraftCERT. Dagens finansieringsmodell gjør også KraftCERT sårbar ved endringer hos energiselskapene, for eksempel ved sammenslåinger mellom to eller flere energiselskaper. Det vil føre til et inntektstap, og dermed til dårligere eller utilstrekkelige leveranser til bransjen. Side 3 av 6

Utvalget skriver at tilknytning burde skje mot KraftCERT eller mot andre miljøer. Statnett ser det som mest hensiktsmessig å samle et eksternt operativt fagmiljø for hendelseshåndtering ett sted, og ikke dele det opp mellom ulike miljøer. En oppdeling mellom ulike miljøer vil samlet sett kunne føre til mindre effektiv håndtering hvis mange energiselskaper blir rammet samtidig. Dette vil også bidra til en mer uforutsigbar finansiell ramme for KraftCERT. Det er Statnetts syn at videreutvikling av KraftCERT ikke bare må ivareta en tydeliggjøring av krav til selskaper i energiforsyningen, men også må ivareta en finansieringsmodell som gjør de mindre energiselskapene i stand til å delta, og som gir KraftCERT en forutsigbar inntektsmodell for å kunne sikre tilstrekkelig kvalitet på leveransene. 13.7.4 Vurdere de sikkerhetsmessige forhold ved å behandle og lagre kraftsensitiv informasjon i utlandet Utvalget anbefaler at NVE ser på hele verdikjeden og identifiserer hvilken informasjon i denne som må være under nasjonal kontroll. Statnett er usikker på hvor hensiktsmessig det er at NVE skal identifisere hvilken informasjon som må være under nasjonal kontroll. Med et internasjonalt leverandørmarked, og med økt integrasjon med nordiske og europeiske land, vil ikke hovedspørsmålet være hvilken informasjon som skal være under nasjonal kontroll, men hvordan og med hvem vi kan dele sensitiv informasjon med. Statnett kan ikke se at energiloven i tilstrekkelig grad ivaretar behandling og lagring av kraftsensitiv informasjon utenfor landets grenser. Statnett opplever utfordringer rundt det å skulle forholde seg til forskjellige lovgivninger i Europa og i Norge. Det er særlig tre utfordringer knyttet til dette. For det første; utvikling, drift og vedlikehold av driftskontrollsystemer av utenlandske leverandører. Det vil i den sammenheng kunne reises spørsmål om en utenlandsk leverandørs sikkerhetsmessige skikkethet til å håndtere driftskontrollsystemer i norsk energiforsyning. Energilovens beredskapsforskrift har i 7-6 (Kontroll med utstyr i driftskontrollsystemet) hjemmel til å i særskilte tilfeller forby bruk av utstyr i driftskontrollsystemet. Samtidig er ikke Statnett kjent med at det er etablerte rutiner eller kompetanse hos Norges vassdrags- og energidirektorat (NVE) som regulator og beredskapsmyndighet til å følge dette opp. For det andre; utvikling, drift og vedlikehold av ERP-systemer (dokumentasjonshåndtering). Her er det vanlig at leverandører etablerer seg i lavkostland, og hvor disse i praksis har full tilgang til informasjon som kan misbrukes til å skade anlegg og funksjoner i norsk energiforsyning. En liknende problemstilling er at utenlandske leverandører leverer prosjekteringstjenester til norske energiselskaper. Denne leverandøren vil da ha alle detaljer om anlegget de prosjekterer. Dette kan igjen misbrukes til å skade anlegg og funksjoner hvis informasjonen kommer på avveie. Heller ikke her ligger det klare føringer i energiloven med hensyn til utenlandske leverandørers sikkerhetsmessige skikkethet. For det tredje; informasjonsdeling innenfor nordisk og europeisk samarbeid. Med økt integrasjon både forvaltningsmessig og teknisk med Norden og med EU/EØS, er det behov for felles spilleregler med hensyn til å skjerme kraftsensitiv informasjon. Per i dag løses dette for Statnett Side 4 av 6

med sikkerhetsavtaler og taushetserklæringer i tråd med energilovens beredskapsforskrift. Dette er ikke hensiktsmessig da forvaltningen av disse er arbeidskrevende samtidig som vi stiller spørsmåltegn ved effekten av å stille særnorske krav gjennom bilaterale sikkerhetsavtaler og taushetserklæringer. 13.7.5 Gjennomføre risiko- og sårbarhetsanalyse for utvidet bruk av AMS Utvalget anbefaler at NVE gjennomfører nødvendige risiko- og sårbarhetsanalyser for utvidet bruk av AMS inn mot driftskontrollsystemene. Statnett ser viktigheten av entydige og tydelige sikkerhetskrav fra NVE til bransjen med hensyn til utvidet bruk av AMS. Statnett har ikke AMS hos alminnelige sluttbrukere, men vil fra første halvdel av 2017 sette i drift en database for måleverdier og markedsprosesser for det norske kraftmarkedet (Elhub). Statnett gjennomfører risiko- og sårbarhetsanalyser i forbindelse med utviklingen av denne. Statnett er per i dag ikke direkte berørt av forslaget. Samtidig vurderer Statnett gjennom egne FoUprosjekter mulighetene for å samarbeide med nettselskapene om AMS-systemer for laststyring hos sluttkunder. AMS hos sluttkunder vil da kunne bli benyttet for å opprettholde balansen ved anstrengt drift av kraftsystemet. 13.7.6 Utarbeide en oppdatert analyse av kraftforsyningens avhengighet av ekom Utvalget anbefaler derfor NVE og bransjen å foreta en ny gjennomgang for å etterprøve om dagens krav gir den «uavhengigheten» som regelverket krever. Statnetts ekom-systemer for overvåkning og drift av kraftsystemet fungerer uavhengig av kommersielt tilgjengelige tjenester. Samtidig øker avhengigheten av markedsinformasjon for driften av kraftsystemet. Deler av denne informasjonen kommer fra aktører som er avhengig av kommersielt tilgjengelige ekom-tjenester. Dette er en problemstilling som Statnett følger med på. Statnett ønsker derfor velkommen en bredere gjennomgang fra NVE og bransjen. Side 5 av 6

Andre kommentarer Bakgrunnssjekk I utvalgets kapittel 13 om energiforsyningen adresseres en rekke digitale sårbarheter, og det gis begrunnede forslag for å redusere disse. Etter Statnetts syn er det mange gode og relevante anbefalinger. Samtidig ser Statnett det som en mangel at utvalget ikke tar opp energibransjen manglende hjemler til å gjennomføre bakgrunnssjekk av eget personell, leverandører og deres personell som får tilgang til sensitiv informasjon og kritiske systemer. I beredskapsforskriftens 6-7 er det hjemlet at personer som vil kunne få tilgang til informasjon som er sikkerhetsgradert etter sikkerhetsloven skal sikkerhetsklareres, men det utelukker bakgrunnssjekk av personer som har tilgang til kraftsensitiv informasjon og kritiske systemer. Eksempelvis er det ikke hjemmel til å bakgrunnssjekke personell som drifter et driftskontrollsystem, eller som gjennomfører koblinger i høyspentnett. Denne problemstillingen er tatt opp av Statnett med NVE, også ved revisjon av energilovens beredskapsforskrift i 2012. Forholdet mellom energiloven og sikkerhetsloven Utvalget viser kort til at de har observert at det er uenighet mellom Olje- og energidepartementet og Forsvarsdepartementet knyttet til utpeking av skjermingsverdige objekter i energiforsyningen etter sikkerhetsloven. Ut over det er det ikke en spesifikk diskusjon knyttet til hvilke sikkerhetsmessige forhold som eventuelt burde reguleres i henholdsvis energiloven og sikkerhetsloven. Da utvalgets anbefaling under punkt 13.7.4 om sikkerhetsmessige forhold ved å behandle og lagre kraftsensitiv informasjon i utlandet kan føre til en diskusjon om energiforsyningens forhold til sikkerhetsloven, ønsker Statnett å knytte noen kommentarer til dette forholdet. Statnett er underlagt et detaljert og omfangsrikt sikkerhets- og beredskapsregelverk i energilovens beredskapsforskrift. NVE som regulator og sektormyndighet har kompetanse på og fører aktivt tilsyn med sikkerhet og beredskap i energiforsyningen. I tillegg har de som sektormyndighet kompetanse på sektorens særegne forhold. Det vil derfor være riktig å holde eventuelle utvidelser og endringer i sikkerhetslovgivningen for energisektoren innenfor det som allerede er etablert av sikkerhets- og beredskapsregelverk i energiloven. Oppstykking mellom to ulike regulatorer og to ulike lover vil kunne være krevende å håndtere for en virksomhet. Det kan bli oppfattet som dobbeltregulering, og det er et potensial for at det kan oppstå motstridende forventinger fra to myndighetsorganer til én enkelt virksomhet. Ved å fortsatt beholde eventuelle lovendringer i energiloven, vil det sikres en helhetlig og samlet vurdering fra et myndighetsorgan som har erfaring og kompetanse på å regulere sikkerhet og beredskap i norsk energiforsyning. Faktafeil Avslutningsvis ønsker vi å gjøre oppmerksom på at det har sneket seg inn en faktafeil på side 131 i utvalgets utredning. Det står at Statnett drifter om lag 1 000 km med høyspentlinjer. Det riktige er at vi eier og drifter om lag 11 000 km. Med vennlig hilsen Øivind K. Rue (sign.) Konserndirektør Side 6 av 6

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding