Informasjonssikkerhetsavtale for sensitiv informasjon om energiforsyningen
Informasjonssikkerhetsavtale for sensitiv informasjon om energiforsyningen
Parter:
Norges vassdrags- og energidirektorat …..
Organisasjonsnummer organisasjonsnummer
(NVE) (Selskapet)
(Navn på KBO-enhet) (Virksomhet avtalen inngås med)
1 Innledende bestemmelser
1.1 Bakgrunn og formål med avtalen
NVE (navn på KBO-enhet) er som beredskapsmyndighet del av KBO.. NVE har data som er omfattet av taushetsplikten etter lov om produksjon, omforming, overføring, omsetning, fordeling og bruk av energi m.m.
(energiloven) av 29. juni 1990 nr. 50 § 9-3 og forskrift om forebyggende sikkerhet og beredskap i energiforsyning (beredskapsforskriften) av 7. desember 2012 nr. 1157 kapittel 6 (kravene til informasjonssikkerhet). Kravene til informasjonssikkerhet er inntatt i vedlegg 1.
Etter beredskapsforskriften har NVE adgang til å gi andre som ikke er KBO-enhet, tilgang til sensitiv informasjon om energiforsyningen såfremt vedkommende vurderes av NVE å ha et rettmessig behov for tilgang til slik informasjon.
Denne avtalen er inngått mellom NVE og Selskapet i forbindelse med at: Selskapet er leverandør av ………………(spesifiser oppdrag) til NVE.
Avtalen har som formål å sikre at kravene til informasjonssikkerhet etterleves. Avtalen gjør ingen endring i at både NVE og Selskapet skal etterleve den taushetsplikten som etter energiloven § 9-3 er pålagt enhver.
1.2 Hva avtalen gjelder
Denne avtalen regulerer tilgang og behandling av den informasjon som etter beredskapsforskriften
§ 6-2 er sensitiv informasjon om energiforsyningen og som NVE gir tilgang til ved denne avtalen. Informasjonen og hvordan det gis tilgang er spesifisert i vedlegg 2.
2 Partenes plikter og rettigheter
2.1 Selskapet
Selskapet skal:
1) Etterleve de til hver tid gjeldende kravene til informasjonssikkerhet. Vedlegg 1 angir kravene til informasjonssikkerhet slik de lyder ved inngåelsen av avtalen.
2) Sørge for å holde seg oppdatert på endringer i kravene til informasjonssikkerhet etter energiloven eller beredskapsforskriften.
3) Utarbeide en sikkerhetsinstruks og praktisere i samsvar med beredskapsforskriften § 6-4 første ledd.
4) Utarbeide en taushetserklæring som skal undertegnes av ansatte i Selskapet som kan få tilgang til informasjonen spesifisert i vedlegg 2. Dersom Selskapet har gitt samtykke til at annet personell i Selskapet kan få tilgang til informasjon spesifisert i vedlegg 2 i forbindelse med oppdraget omfattet av denne avtalen, skal også disse undertegne taushetserklæringen.
5) Xxxxx den informasjon det er gitt tilgang til gjennom denne avtalen kun for utføring av oppdraget spesifisert i pkt. 1.1.
6) Sørge for at ansatte i Selskapet og eventuelle annet personell i Selskapet det er gitt samtykke til at får tilgang til informasjonen spesifisert i vedlegg 2 ikke lagrer noen del av denne informasjon på sitt personlige datautstyr eller annet lagringsmedium.
7) Ikke skriftlig eller muntlig videreformidle den informasjon det er gitt tilgang til gjennom denne avtalen til andre i Selskapet, tredjepart, inkludert konsulenter, målgrupper for markedsføring eller media, samt eventuelle underleverandører, uten at NVE på forhånd har gitt skriftlig samtykke til at også disse vurderes å ha et rettmessig behov for tilgang ved videreformidling.
8) Etablere, opprettholde og videreutvikle system og rutiner for effektiv avskjerming, beskyttelse og tilgangskontroll for den informasjon det er gitt tilgang til gjennom denne avtalen i samsvar med beredskapsforskriften § 6-1 og § 6-3.
9) Ved avslutning av oppdraget omfattet av denne avtalen levere tilbake informasjonen spesifisert i vedlegg 2. Alle sikkerhetskopier mv. skal slettes fra Selskapets datamaskiner, servere eller annet lagringsmedium.
10) Informere NVE skriftlig og på forhånd om enhver endring i Selskapet som har betydning for oppfyllelse av Selskapets plikter etter denne avtalen, for eksempel endring av firmanavn, daglig leder eller lokaler/sted for Selskapets virksomhet.
11) Før en eventuell gjeldsforhandling eller konkurs i Selskapet, skal NVE informeres skriftlig. Denne avtalen kan ved slike omstendigheter terminere denne avtalen uten nærmere begrunnelse.
NVE skal:
1) Overlevere informasjonen spesifisert i vedlegg 2.
2) Informere Selskapet skriftlig ved endringer i kravene til informasjonssikkerhet etter energiloven eller beredskapsforskriften.
3) Ha rett til å føre tilsyn med etterlevelsen av bestemmelsene om informasjonssikkerhet, jf beredskapsforskriften § 6-5.
3 Avsluttende bestemmelser
3.1 Ved ethvert brudd på kravene til informasjonssikkerhet vil NVE bruke de til enhver tid gjeldende reaksjonsmidler etter energiloven og beredskapsforskriften, samt eventuelt heve avtalen eller kreve erstatning.
3.2 Denne avtalen gjelder tilgang og behandling av informasjonen spesifisert i vedlegg 2 inntil oppdraget spesifisert i pkt. 1.1 er avsluttet eller senest … (dato).
3.3 Avtalen trer i kraft når begge parter har undertegnet den.
3.4 Denne avtalen gjelder inntil den blir sagt opp av én av partene med 30 kalenderdagers skriftlig varsel.
3.5 Endringer og/eller tillegg til denne avtalen skal være skriftlige og skal være undertegnet av begge parter.
***
Denne avtalen er utferdiget i to eksemplarer, ett til hver av partene.
Dato: ………….. Dato: ………….
………………………………. ………………………………
NVE Selskapet