Høringssvar fra Statkraft
Innspill til forskrifter til ny sikkerhetslov
Statkraft vil i dette høringssvaret fokusere på noen hovedpunkter:
- Styringssystem for sikkerhet
- Begrenset utvidelse av lovens virkeområde
- Eksisterende regelverk for forebyggende sikkerhet og beredskap i kraftsektoren
- Avhengighet av utenlandske leverandører
Styringssystem for sikkerhet
Statkraft mener det er en god tilnærming å sette krav til virksomhetenes styringssystem for sikkerhet basert på strukturen og de viktigste prinsippene i standarden ISO 27001.
Dette er en standard som er kjent for mange virksomheter og det vil være mulig å integrere sikkerhetsstyring inn i bedriftenes øvrige virksomhetsstyring. Denne tilnærmingen understøtter også prinsippet om funksjonelle krav ved at det er virksomhetene som vurderer tiltak for å nå forsvarlig sikkerhetsnivå, og prinsppet om kostnadseffektivitet ved at virksomhetene vurderer kostnaden ved sikringstiltak opp mot det som kan oppnås ved tiltaket.
Begrenset utvidelse av lovens virkeområde
I forarbeidene til sikkerhetsloven la Forsvarsdepartementet og sikkerhetsutvalget til grunn en «begrenset utvidelse» av lovens virkeområde.
For å sikre mulighet for en begrenset utvidelse av sikkerhetslovens virkeområde er det behov for å kunne beslutte at hele eller deler av sikkerhetsloven gjelder for hele eller deler av en funksjon eller virksomhet. Dette vil være viktig for selskaper som spenner over et stort virkeområde med aktivitet i flere land.
En utvidelse som omfatter alle funksjoner beskrevet i DSBs rapport «Samfunnets kritiske funksjoner» ville vært en betydelig utvidelse av sikkerhetslovens virkeområde og ikke i tråd med Forsvarsdepartementes føringer.
Eksisterende regelverk for forebyggende sikkerhet og beredskap i kraftsektoren
Vi har et regelverk for forebyggende sikkerhet for kraftsektoren i Norge hvor kraftselskapenes infrastruktur reguleres gjennom Energiloven, Forskrift om sikkerhet ved vassdragsanlegg og Forskrift om forebyggende sikkerhet og beredskap i energiforsyningen.
Statkraft mener at kraftsektorens beredskapsregelverk er velprøvd og dekkende for forebyggende sikkerhet.
Statkraft mener videre at redundansforholdene i kraftsystemet tilsier at enkeltkraftverk ikke er av vesentlig betydning for grunnleggende nasjonale funksjoner.
Erfaringen viser at dagens regelverk i kraftsektoren sikrer enhetlig implementering av forebyggende sikringstiltak og effektiv håndtering av uventede hendelser i norsk kraftsektor.
Regelverket ble evaluert av Forsvarets Forskningsinstitutt i 2016 som en del av forarbeidet til ny sikkerhetslov. Rapporten «Vurdering av forebyggende sikkerhet innenfor kraft, petroleum og luftfart» sier i kapittel 7.1:
«Kraftsektoren: Dagens sektorregelverk er i stor grad dekkende for forebyggende sikkerhet. Regelverket sikrer god håndtering av sektorens leveringssikkerhet. På noen områder er beredskapsforskriften og veilederen til forskriften for detaljert, noe som medfører at bransjen i begrenset grad inviteres til å finne gode løsninger. Regelverket regulerer tydelige ansvars- og myndighetsroller i beredskapsorganisasjonen. Dette er viktig og må beholdes.»
Avhengighet av utenlandske leverandører
Statkraft mener at sektormyndigheten må balansere hensyn til forsyningssikkerhet og annen forebyggende sikkerhet. Det er viktig at de typer klarering det settes krav om er differensiert basert på en risikovurdering, kan gjennomføres på en smidig måte, samtidig som bruk av utenlandsk personell fra de land som faktisk leverer tjenesten er mulig.
Kraftsektoren har i dag en internasjonal leverandørkjede. Svært lite av produksjonsutstyret og kontollsystemene leveres komplett fra Norge. For vannkraft er det en trend at spesialiserte design- og engineeringoppgaver utføres i land i Sentral-Europa, mens komponenter produseres i Øst-Europa og Asia. Dette er en utvikling det er svært krevende å påvirke. Detaljerte krav knyttet til forhåndsgodkjenning av utenlandske leverandører og enkeltindivider vil være svært krevende å gjennomføre.
De fleste vannkraftanlegg trenger også tilgang til et lokalt leverandørmarked, for eksempel ulike typer håndverkere. Ved krav om adgangsklarering for tilgang til det enkelte kraftanlegg kan det ta lenger tid fra et behov identifiseres til arbeidet gjennomføres.
Som en illustrasjon på omfanget av leverandører til kraftsektoren har Statkrafts kraftanlegg i Norge over 3100 ulike leverandører. Hvert enkelt kraftverk har i normal driftsfase typisk mellom 50 og 100 leverandører av ulike tjenester. Ved større oppgraderingsprosjekter kan det være 10-20 leverandører med leveranser direkte til byggeplass fra 10-15 ulike land og 300-600 individer av 10-15 nasjonaliteter gis adgang til anlegget.
Det er sannsynlig at et regelverk med for rigid leverandørklarering og adgangsklarering, vil føre til dårligere forsyningssikkerhet (på grunn av lengere reparasjonstider og redusert tilgjengelighet) og til redusert tilgang til kompetanse og kapasitet til norske vannkraftanlegg.
Øvrige kommentarer
Statkraft har i tillegg noen kommentarer til momenter som Forsvarsdepartementet har bedt om høringsinstansenes syn på;
|
Tema i høringsnotatet |
Kommentar |
|
Kapittel 3.2 om inndeling i forskrifter |
Statkraft støtter den foreslåtte tredelte strukturen i forskriftene, inkludert myndighetsforskriften. Strukturen gir en ønsket transparens og sikrer forutberegnelighet for virksomhetene. |
|
Kapittel 4.5.4 om klarering av utenlandske statsborgere og unntak fra krav om sikkerhetsklarering i særskilte tilfeller
|
Statkraft støtter behovet for §11 i myndighetsforskriften. Strukturen på de internasjonale leverandørkjedene omtalt over gjør at det kan være nødvendig å gi gradert informasjon til personer som på grunn sin nasjonalitet og manglende tilknytning til Norge ikke kan sikkerhetsklareres, selv om praksis med hensyn til sikkerhetsklarering mykes opp som beskrevet i kapittel 4.5.1. |
|
Kapittel 6.1.1 om kriterier departementene skal bruke for å beslutte et klassifiseringsnivå etter sikkerhetslovens § 7-1. |
Statkraft mener de foreslåtte kriteriene er tilstrekkelige. Statkraft oppfatter at kriteriene er utformet slik at departementene kan bruke sin sektorkunnskap til en presis risikovurdering og til å etablere sektorspesifikke kriterier som balanserer sikkerhetstiltak opp mot kostnader. |
|
Kapittel 6.3.1 om eventuell kompetanse til å pålegge tilknytning til varslingssystem for digital infrastruktur (VDI) |
Statkraft ser at en bredere VDI dekning vil gi en bedre oversikt over digitale angrep mot sentrale virksomheter. Eventuell påleggskompetanse for VDI-tilknytning bør legges til sektormyndighetene slik at det ikke etableres nye, parallelle kommandolinjer for dette området. |
Med vennlig hilsen
for Statkraft
Hilde Bakken
Konserndirektør