AVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON

AVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON

i henhold til kraftberedskapsforskriften

mellom

[Virksomhetens navn]

Xxx.xx.: 000 000 000

Informasjonseier

og

[Virksomhetens navn]

Xxx.xx.: 000 000 000

Informasjonsbehandler

Dato: 20xx-xx-xx

1. Om avtalen

Denne avtalen regulerer rettigheter og plikter mellom informasjonseier og informasjonsbehandler (heretter omtalt som "partene") etter:

• Lov om produksjon, omforming, overføring, omsetning, fordeling og bruk av energi m.m. av 29. juni 1990 nr. 50 (energiloven – enl) § 9-3

• Forskrift om sikkerhet og beredskap i kraftforsyningen av 7. juli 2012 nr. 1157, sist endret fra 1. januar 2019, (kraftberedskapsforskriften – kbf) kapittel 6

2. Definisjoner

Kraftsensitiv informasjon er spesifikke og inngående opplysninger om anlegg, funksjoner, systemer og annet i kraftforsyningen som kan brukes til å påføre skade eller forstyrre levering av kraft, dersom opplysningene blir kjent for uvedkommende.

Behandling av kraftsensitiv informasjon omfatter fremstilling, innsamling, registering, sammenstilling, prosessering, anvendelse, lagring, forvaltning, utveksling, deling, avhending, håndtering og beskyttelse av opplysninger. Noen av de opplistede aktivitetene er overlappende.

Informasjonseier er en virksomhet med funksjon innen kraftforsyningen som rettmessig utøver ansvar for kraftsensitiv informasjon, og fastsetter rammer og instruks for håndtering, beskyttelse og behandling av denne.

Informasjonsbehandler er en virksomhet som innenfor det fastsatte formålet i denne avtalen behandler kraftsensitiv informasjon på vegne av informasjonseier som del av en tjeneste- eller vareleveranse, eller ut fra tjenstlige behov.

3. Formål

Avtalen skal sikre at håndtering og beskyttelse av kraftsensitiv informasjon hos informasjons­behandler overholder krav til taushetsplikt og sikkerhetsmessige krav.

4. Rammer og omfang

Denne avtalen gjelder all håndtering og beskyttelse av kraftsensitiv informasjon som informasjonsbehandler utfører i forbindelse med [skriv navn på tjeneste/oppdrag/behov].

Tjenestene/behovet omfatter/består i:

• [tjeneste #1]

Den kraftsensitive informasjonen som inngår i tjenesten/oppdraget består av:

• [opplisting]

Informasjonseier har til enhver tid full rådighet over den kraftsensitive informasjonen som er overlevert eller meddelt til informasjonsbehandler etter denne avtalen. Informasjonseier har rett til å kontrollere forvaltning og behandling av kraftsensitiv informasjon hos informasjonsbehandler.

Den kraftsensitive informasjonen skal benyttes til de formålene som er beskrevet eller følger av denne avtalen, og senere skriftlige avtaler mellom partene. Behandling av den kraftsensitive informasjonen for andre formål, eller videreformidling, kan kun skje når nærmere skriftlig samtykke fra informasjonseier foreligger.

5. Plikter og rettigheter for informasjonseier

Informasjonseier skal

• etterleve de forpliktelser som følger av energiloven, kraftberedskapsforskriften og andre lovlige vedtak i medhold av disse

• skriftlig meddele endringer i krav og bestemmelser til informasjonsbehandler

• overlevere eller dele kraftsensitiv informasjon i henhold til denne avtalen ved tjenestens/oppdragets start

• ved forespørsel om videre overlevering eller deling, gi skriftlig samtykke eller avslag med begrunnelse ut fra tjenstlige behov

• ha anledning til å gjennomføre tilsyn hos informasjonsbehandler og be om dokumentasjon vedrørende etterlevelse av denne avtalen

6. Plikter og rettigheter for informasjonsbehandler

Informasjonsbehandler skal

• behandle kraftsensitiv informasjon innenfor de rammer som denne avtalen oppstiller, og unngå at informasjonseier gjennom handling eller unnlatelse, settes i en situasjon hvor bestemmelser i gjeldende lov- og regelverk brytes

• gjennomføre alle nødvendige tekniske og organisatoriske tiltak slik at behandling av kraftsensitiv informasjon til enhver tid er fulgt opp med tilfredsstillende informasjons­sikkerhet

• fastsette eller oppdatere intern sikkerhetsinstruks for håndtering og beskyttelse av kraftsensitiv informasjon som forhindrer tap eller spredning av kraftsensitiv informasjon, offentliggjøring, ikke-autorisert tilgang eller anvendelse utenfor det fastsatte formålet

• etablere system og rutiner for behandling av kraftsensitiv informasjon i tråd med den interne sikkerhetsinstruksen og denne avtalens krav til informasjonssikkerhet

• etablere eller oppdatere et internkontrollsystem som kan håndtere sikkerhetsbrudd eller andre avvik knyttet til behandling av kraftsensitiv informasjon

• overholde taushetsplikten ved å påse at medarbeidere som gis tilgang til kraftsensitiv informasjon undertegner en personlig taushetserklæring, og gjøres kjent med den interne sikkerhetsinstruksen og denne avtalens krav til informasjonssikkerhet

• lagre, forvalte og behandle den kraftsensitive informasjonen på eget datautstyr, og forhindre at kraftsensitiv informasjon lagres og behandles på private lagrings­medier og maskiner

• være varsom med lagring av kraftsensitiv informasjon på mobile enheter (mobiltelefon, kamera, nettbrett og bærbare datamaskiner), kryptere data dersom mulig og foreta sletting etter bruk

• sørge for at elektroniske dokumenter blir lagret på filserver med tilgangskontroll, eller være kryptert og beskyttet av passord, og iverksette logging dersom praktisk mulig

• sørge for at ekstern oppkobling til nettverk eller andre løsninger for lagring av kraftsensitiv informasjon skjer via sikker VPN-tilgang

• kryptere kraftsensitiv informasjon ved elektronisk deling eller forsendelse, og bruke anerkjente krypteringsalgoritmer med tilstrekkelig nøkkellengde og passordstyrke

• sørge for at alle fysiske eller elektroniske dokumenter som inneholder kraftsensitiv informasjon, merkes så langt som praktisk mulig, med et tydelig visuelt tegn, som del av fil- eller objektnavn, eller begge deler

• sørge for at fysiske dokumenter som inneholder kraftsensitiv informasjon er nedlåst i skap eller innlåst i rom når de ikke er i bruk

• benytte skjermlås når arbeidsstasjon forlates

• innhente skriftlig samtykke fra informasjonseier før eventuell videre overlevering eller deling av kraftsensitiv informasjon foretas, og sikre at tredjepart påtar seg tilsvarende forpliktelser som informasjonsbehandler har under denne avtalen

• sørge for varig sletting av all kraftsensitiv informasjon, inkludert sikkerhetskopier, med en anerkjent metode, ved avsluttet oppdrag eller oppsigelse av denne avtalen

• varsle informasjonseier om mulige eller faktiske sikkerhetsbrudd, avvik, eller andre hendelser eller omstendigheter som kan true informasjonssikkerheten

• informere informasjonseier om navneendringer, endringer i selskapets ledelse, flytting, restrukturering og oppkjøp, gjeldsforhandlinger og konkurs, eller andre endringer som har betydning for oppfyllelse av denne avtalen

• legge til rette for effektiv gjennomføring av tilsyn og dokumentutlevering når informasjonseier ønsker å kontrollere informasjonsbehandlers etterlevelse av denne avtalen

7. Taushetsplikt

Informasjonsbehandler skal påse at alle medarbeidere og tredjeparter som behandler kraftsensitiv informasjon under denne avtalen er kjent med taushetsplikten og dens innhold. Kraftsensitiv informasjon skal ikke under noen omstendighet offentliggjøres. Taushetsplikten gjelder også etter opphør av denne avtalen jf. enl § 9-3.

8. Tilsyn og kontroll

Informasjonseier kan til enhver tid kreve tilsyn og kontroll med system, rutiner og dokumentasjon som gjelder for forvaltning og behandling av kraftsensitiv informasjon under denne avtalen. Informasjonsbehandler skal uten ugrunnet opphold korrigere eventuelle avvik.

Informasjonsbehandler skal på forespørsel også legge frem generell dokumentasjon knyttet til avvikshåndtering som følge av andre informasjons­eieres tilsyn og kontroll.

Tilsyn og kontroll skal varsles i rimelig tid, slik at informasjons­behandler kan innpasse aktiviteten i arbeidsplanen.

9. Varighet, oppsigelse og opphør

Denne avtalen gjelder fra den er signert av begge partene. Avtalen gjelder til den sies opp, eller gjeldende tilknyttede avtaler mellom partene, som nevnt under punkt 3. opphører. Begge parter kan gjensidig si opp denne avtalen med 30 kalenderdagers skriftlig varsel.

Ved oppsigelse eller opphør av denne avtalen skal partene avtale sletting og/eller tilbakelevering av elektroniske og fysiske dokumenter, og informasjonsbehandler skal gi en endelig skriftlig bekreftelse.

Ved brudd på denne avtalen kan informasjonseier kreve endringer i rutinene hos informasjonsbehandler, eller pålegge informasjonsbehandler å stoppe videre håndtering av kraftsensitiv informasjon med øyeblikkelig virkning.

Endringer og/eller tillegg til denne avtalen skal være skriftlige og undertegnet av begge parter.

10. Meddelser

Meddelelser, varsel eller annen kommunikasjon mellom informasjonseier og informasjonsbehandler skal gis skriftlig, eller bekreftes skriftlig til:

Informasjonseier	Informasjonsbehandler
[Virksomhetens navn] [Adresse]	[Virksomhetens navn] [Adresse]
Navn: Rolle: E-post: Mobilnr.:	Navn: Rolle: E-post: Mobilnr.:

11. Undertegning

Denne avtalen foreligger i to originaler, hvorav partene beholder et eksemplar hver.

Sted og dato:

[sted], 20xx-xx-xx

Informasjonseier	Informasjonsbehandler
Navn:	Navn:

Side 5 av 5