Høringssvar NOU 2023:17 Nå er det alvor - Totalberedskapskommisjonen
Forum for informasjonssikkerhet i kraftforsyningen (FSK) viser til at Justis- og beredskapsdepartementet den 16. juni 2023 sendte NOU 2023:17 – Nå er det alvor, Totalberedskapskommisjonen på offentlig høring.
Rapporten beskriver resultatet av Totalkommisjonens arbeid med å vurdere hvordan de samlede beredskapsressursene kan benyttes best mulig for å videreutvikle samfunnssikkerhet og beredskap.
Innledningsvis vil vi si at dette er en omfattende rapport som har potensial til å være et godt verktøy for å få kjennskap til hvordan de samlede beredskapsressursene kan benyttes best mulig. Vi lar oss imponere over arbeidet som er lagt ned, og mener rapporten gir en god beskrivelse av virkeligheten til norsk kraftsektor, både når det gjelder muligheter og utfordringer. Innholdsfortegnelsen er oversiktlig og gir en god oversikt over hvordan rapporten er delt opp.
Det er en viss risiko at rapporten ikke vil bli lest eller forstått tilstrekkelig da det krever fokus og kapasitet til å sette seg inn i innholdet og til å få et godt nok bilde av helheten. Dette kan løses ved å innlede hvert kapittel med en kort oppsummering over hva kapittelet inneholder. Noe som vil gi et raskt innblikk i kapitlene man ellers ikke ville satt seg inn i.
· Kommisjonen argumenterer for at KBO-ordningen bør omfatte flere virksomheter, og i den forbindelse trekkes særlig aktører i forsyningskjeden som bidrar til reparasjonsberedskapen frem. Det er ellers uklart hvilke aktører eller virksomheter kommisjonen mener bør omfattes av KBO-ordningen, samt hva det bør innebære å være «omfattet» av KBO-ordningen. Det er viktig at eventuelle krav til aktører i forsyningskjeden ikke resulterer i at leverandører velger bort KBO-enheter for å slippe unna fordyrende forpliktelser.
· Det bør tilrettelegges for tettere samarbeid eller samkjøring mellom aktører i kraftforsyningen og beredskapsorganisasjoner i andre sektorer som sørger for kritiske samfunnsfunksjoner, inkludert funksjoner som understøtter KBO-enes evne til å opprette kraftforsyningen på en effektiv måte, f.eks. aktører i EKOM-sektoren. For å sikre effektiv samhandling i krise er det viktig at aktørene har tilgang på felles kommunikasjonsløsninger på tvers av sektorer som er egnet til samhandling og deling av relevant informasjon.
· Når det gjelder strømrasjonering og prioritering av særskilte brukere i distribusjonsnettet, påpekes det at slik prioritering i dag begrenses av mangelfull informasjon om den enkelte bruker/kunde, samt manglende retningslinjer fra myndighetene med hensyn til gjennomføring av prioritering. Eksempelvis, har man ingen systematisk eller utfyllende informasjon om alle kunder som muligens bør prioriteres fremfor andre kunder på grunn av hensynet til liv og helse (f.eks. hvilken risiko for liv/helse som står på spill, antall beboere/klienter/pasienter, evne til egenberedskap, etc.), og foretar derfor i dag en eventuell prioritering basert på de største, kjente brukerne (større sykehus, etc.). NVE bør være svært forsiktige med å legge opp til en regulering der det skal være nettselskapets rolle å samle inn slik informasjon eller ta beslutninger basert på slik informasjon, og at myndighetene på generelt grunnlag bør oppfordre kunder med høy risiko for liv og helse ved lengre avbrudd til å ha tilstrekkelig egenberedskap.
· Kommisjonen trekker frem innføringen av smarte strømmålere som en ny mulighet til å differensiere rasjonering. Det er allerede foreslått for NVE å legge bedre til rette for dette i forbindelse med forslag til ny rasjoneringsforskrift. Bruk av AMS-måler til differensiering av rasjonering bør imidlertid ikke resultere i en løsning som legger opp til at nettselskapene må samle inn særlige kategorier av personopplysninger fra kunder for å kunne ta beslutninger om prioritering. Løsning for prioritering må basere seg på enkle og generelle kriterier som raskt og enkelt kan iverksettes når nettselskapet må iverksette rasjonering.
· Med hensyn til dimensjonering av beredskap, er det enighet om at det må iverksettes tiltak som gjør at samfunnet er bedre rustet for et trusselbilde som omfatter krig eller krigslignende forhold. «Krigslignende forhold» bør også omfatte visse typer av målrettede cyberangrep mot kraftforsyningen eller mot virksomheter/virksomhetstyper som leverer funksjoner som understøtter kraftforsyningen. Arbeidet med forbedring av beredskapsevne bør i større grad gjøre aktørene i kraftforsyningen (og samfunnet ellers) rustet til å håndtere samtidige hendelser – for eksempel forekomst av målrettet cyberangrep samtidig som man er i en situasjon med kraftig uvær, nødvendig med kraftrasjonering, etc. Kommisjonen påpeker at det kan være vanskelig å forberede seg på scenarier det er krevende å vurdere risiko for. Det er ønskelig at NVE og andre myndigheter i større grad veileder aktører i kraftforsyningen til hvordan man dimensjonerer beredskapen for scenarier (både enkeltvise og samtidige) hvor sannsynligheten for scenariene er ukjent. Denne typen øvelser bør ikke bare skje på departementsnivå, men det må også øves på samhandling og håndtering ute i selskapene og andre operative aktører. Ressurser satt av til å styrke evnen til håndtering av scenarier med sjelden historisk forekomst eller som man helst ikke ønsker skal skje, bør ikke være prisgitt den enkelte KBO-enhet sine sannsynlighetsvurderinger. Med knappe ressurser er det dessverre fare for at mer sannsynlige scenarier prioriteres i ressursallokeringen for beredskapsarbeid, og NVE bør i større grad etablere felles retningslinjer som beskriver hvordan man best mulig kan dimensjonere beredskapen for sjeldne scenarier med høye konsekvenser.
· Vi ønsker å understreke viktigheten av godt samarbeid, særlig knyttet til cybersikkerhet der det oppleves svært utfordrende å skaffe og beholde ressurser med tilstrekkelig dybdekompetanse til å håndtere svært alvorlige hendelser. Regelverket må ikke være til hindrer for slik samhandling, men legge til rette for at viktig informasjon og erfaringer kan deles på tvers innenfor relevante aktører, både de med ansvar for viktige samfunnsfunksjoner og de som utgjør leverandører/støttefunksjoner til disse.
· Reguleringsmyndighetene bør ta anbefalingene fra kommisjonen til følge og raskt sette i gang arbeid med å revidere relevante forskrifter og utarbeide veiledning for KBO-er for hvordan krav skal etterleves i praksis.
· Det anbefales at reguleringsmyndighetene utarbeider støttemateriell som beskriver hva som gjelder spesifikt for sin sektor, og hva en bør være spesielt oppmerksom på. På denne måten tror vi at rapporten vil gi enda større verdi for leserne.
· Med tanke på at det arbeides med en digitalsikkerhetslov basert på NIS direktivet, og som etter hvert sannsynligvis også vil bære preg av NIS2 direktivet, kunne det vært hensiktsmessig om man i totalberedskapsrapporten delte inn sektorene på samme måte som forannevnte direktiv.
Utover dette støtter FSK det omfattende arbeidet som er gjort. Rapporten, og etter hvert operasjonalisering av den, vil være viktige bidrag for å styrke totalberedskapen. Vi takker for muligheten vi har fått til å få være høringspartner.
Vennlig hilsen, Forum for informasjonssikkerhet i kraftforsyningen,
Forum for informasjonssikkerhet i kraftforsyningen (FSK) viser til at Justis- og beredskapsdepartementet den 16. juni 2023 sendte NOU 2023:17 – Nå er det alvor, Totalberedskapskommisjonen på offentlig høring.
Rapporten beskriver resultatet av Totalkommisjonens arbeid med å vurdere hvordan de samlede beredskapsressursene kan benyttes best mulig for å videreutvikle samfunnssikkerhet og beredskap.
Innledningsvis vil vi si at dette er en omfattende rapport som har potensial til å være et godt verktøy for å få kjennskap til hvordan de samlede beredskapsressursene kan benyttes best mulig. Vi lar oss imponere over arbeidet som er lagt ned, og mener rapporten gir en god beskrivelse av virkeligheten til norsk kraftsektor, både når det gjelder muligheter og utfordringer. Innholdsfortegnelsen er oversiktlig og gir en god oversikt over hvordan rapporten er delt opp.
Det er en viss risiko at rapporten ikke vil bli lest eller forstått tilstrekkelig da det krever fokus og kapasitet til å sette seg inn i innholdet og til å få et godt nok bilde av helheten. Dette kan løses ved å innlede hvert kapittel med en kort oppsummering over hva kapittelet inneholder. Noe som vil gi et raskt innblikk i kapitlene man ellers ikke ville satt seg inn i.
· Kommisjonen argumenterer for at KBO-ordningen bør omfatte flere virksomheter, og i den forbindelse trekkes særlig aktører i forsyningskjeden som bidrar til reparasjonsberedskapen frem. Det er ellers uklart hvilke aktører eller virksomheter kommisjonen mener bør omfattes av KBO-ordningen, samt hva det bør innebære å være «omfattet» av KBO-ordningen. Det er viktig at eventuelle krav til aktører i forsyningskjeden ikke resulterer i at leverandører velger bort KBO-enheter for å slippe unna fordyrende forpliktelser.
· Det bør tilrettelegges for tettere samarbeid eller samkjøring mellom aktører i kraftforsyningen og beredskapsorganisasjoner i andre sektorer som sørger for kritiske samfunnsfunksjoner, inkludert funksjoner som understøtter KBO-enes evne til å opprette kraftforsyningen på en effektiv måte, f.eks. aktører i EKOM-sektoren. For å sikre effektiv samhandling i krise er det viktig at aktørene har tilgang på felles kommunikasjonsløsninger på tvers av sektorer som er egnet til samhandling og deling av relevant informasjon.
· Når det gjelder strømrasjonering og prioritering av særskilte brukere i distribusjonsnettet, påpekes det at slik prioritering i dag begrenses av mangelfull informasjon om den enkelte bruker/kunde, samt manglende retningslinjer fra myndighetene med hensyn til gjennomføring av prioritering. Eksempelvis, har man ingen systematisk eller utfyllende informasjon om alle kunder som muligens bør prioriteres fremfor andre kunder på grunn av hensynet til liv og helse (f.eks. hvilken risiko for liv/helse som står på spill, antall beboere/klienter/pasienter, evne til egenberedskap, etc.), og foretar derfor i dag en eventuell prioritering basert på de største, kjente brukerne (større sykehus, etc.). NVE bør være svært forsiktige med å legge opp til en regulering der det skal være nettselskapets rolle å samle inn slik informasjon eller ta beslutninger basert på slik informasjon, og at myndighetene på generelt grunnlag bør oppfordre kunder med høy risiko for liv og helse ved lengre avbrudd til å ha tilstrekkelig egenberedskap.
· Kommisjonen trekker frem innføringen av smarte strømmålere som en ny mulighet til å differensiere rasjonering. Det er allerede foreslått for NVE å legge bedre til rette for dette i forbindelse med forslag til ny rasjoneringsforskrift. Bruk av AMS-måler til differensiering av rasjonering bør imidlertid ikke resultere i en løsning som legger opp til at nettselskapene må samle inn særlige kategorier av personopplysninger fra kunder for å kunne ta beslutninger om prioritering. Løsning for prioritering må basere seg på enkle og generelle kriterier som raskt og enkelt kan iverksettes når nettselskapet må iverksette rasjonering.
· Med hensyn til dimensjonering av beredskap, er det enighet om at det må iverksettes tiltak som gjør at samfunnet er bedre rustet for et trusselbilde som omfatter krig eller krigslignende forhold. «Krigslignende forhold» bør også omfatte visse typer av målrettede cyberangrep mot kraftforsyningen eller mot virksomheter/virksomhetstyper som leverer funksjoner som understøtter kraftforsyningen. Arbeidet med forbedring av beredskapsevne bør i større grad gjøre aktørene i kraftforsyningen (og samfunnet ellers) rustet til å håndtere samtidige hendelser – for eksempel forekomst av målrettet cyberangrep samtidig som man er i en situasjon med kraftig uvær, nødvendig med kraftrasjonering, etc. Kommisjonen påpeker at det kan være vanskelig å forberede seg på scenarier det er krevende å vurdere risiko for. Det er ønskelig at NVE og andre myndigheter i større grad veileder aktører i kraftforsyningen til hvordan man dimensjonerer beredskapen for scenarier (både enkeltvise og samtidige) hvor sannsynligheten for scenariene er ukjent. Denne typen øvelser bør ikke bare skje på departementsnivå, men det må også øves på samhandling og håndtering ute i selskapene og andre operative aktører. Ressurser satt av til å styrke evnen til håndtering av scenarier med sjelden historisk forekomst eller som man helst ikke ønsker skal skje, bør ikke være prisgitt den enkelte KBO-enhet sine sannsynlighetsvurderinger. Med knappe ressurser er det dessverre fare for at mer sannsynlige scenarier prioriteres i ressursallokeringen for beredskapsarbeid, og NVE bør i større grad etablere felles retningslinjer som beskriver hvordan man best mulig kan dimensjonere beredskapen for sjeldne scenarier med høye konsekvenser.
· Vi ønsker å understreke viktigheten av godt samarbeid, særlig knyttet til cybersikkerhet der det oppleves svært utfordrende å skaffe og beholde ressurser med tilstrekkelig dybdekompetanse til å håndtere svært alvorlige hendelser. Regelverket må ikke være til hindrer for slik samhandling, men legge til rette for at viktig informasjon og erfaringer kan deles på tvers innenfor relevante aktører, både de med ansvar for viktige samfunnsfunksjoner og de som utgjør leverandører/støttefunksjoner til disse.
· Reguleringsmyndighetene bør ta anbefalingene fra kommisjonen til følge og raskt sette i gang arbeid med å revidere relevante forskrifter og utarbeide veiledning for KBO-er for hvordan krav skal etterleves i praksis.
· Det anbefales at reguleringsmyndighetene utarbeider støttemateriell som beskriver hva som gjelder spesifikt for sin sektor, og hva en bør være spesielt oppmerksom på. På denne måten tror vi at rapporten vil gi enda større verdi for leserne.
· Med tanke på at det arbeides med en digitalsikkerhetslov basert på NIS direktivet, og som etter hvert sannsynligvis også vil bære preg av NIS2 direktivet, kunne det vært hensiktsmessig om man i totalberedskapsrapporten delte inn sektorene på samme måte som forannevnte direktiv.
Utover dette støtter FSK det omfattende arbeidet som er gjort. Rapporten, og etter hvert operasjonalisering av den, vil være viktige bidrag for å styrke totalberedskapen. Vi takker for muligheten vi har fått til å få være høringspartner.
Vennlig hilsen, Forum for informasjonssikkerhet i kraftforsyningen,
Med vennlig hilsen
Forum for informasjonssikkerhet i kraftforsyningen,
Forum for informasjonssikkerhet i kraftforsyningen,