AVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON
AVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON
i henhold til kraftberedskapsforskriften
mellom
Fagne AS
Xxx.xx.: 915 635 857
(Oppdragsgiver)
og
Virksomhetens navn:
____________________________________ Xxx.xx.: (Leverandør)
Dato: 2023. .
1
1. Om avtalen
- Lov om produksjon, omforming, overføring, omsetning, fordeling og bruk av energi m.m. av 29. juni 1990 nr. 50 (energiloven – enl) § 9-3.
- Forskrift om sikkerhet og beredskap i kraftforsyningen av 7. juli 2012 nr. 1157, sist endret fra 1. januar 2019, (kraftberedskapsforskriften – kbf) kapittel 6.
2. Definisjoner
Kraftsensitiv informasjon er spesifikke og inngående opplysninger om anlegg, funksjoner, systemer og annet i kraftforsyningen som kan brukes til å påføre skade eller forstyrre levering av kraft, dersom opplysningene blir kjent for uvedkommende.
Behandling av kraftsensitiv informasjon omfatter fremstilling, innsamling, registering, sammenstilling, prosessering, anvendelse, lagring, forvaltning, utveksling, deling, avhending, håndtering og beskyttelse av opplysninger. Noen av de opplistede aktivitetene er overlappende.
Oppdragsgiver er en virksomhet med funksjon innen kraftforsyningen som rettmessig fastsetter rammer og instruks for håndtering, beskyttelse og behandling av kraftsensitiv informasjon.
Leverandør er en virksomhet som innenfor det fastsatte formålet i denne avtalen behandler kraftsensitiv informasjon på vegne av oppdragsgiver som del av en tjeneste- eller vareleveranse.
3. Formål
Avtalen skal sikre at håndtering og beskyttelse av kraftsensitiv informasjon hos leverandør overholder krav til taushetsplikt og sikkerhetsmessige krav.
4. Rammer og omfang
Denne avtalen gjelder all håndtering og beskyttelse av kraftsensitiv informasjon som leverandør får kjennskap til og behandler i forbindelse med deltakelsen i konkurransen "Anskaffelse av kontrakt vedrørende bygging av 132 kV luftledning Klovning-Haugaland Næringspark". Avtalen gjelder også i forbindelse med en eventuell gjennomføring av kontrakt/oppdrag vedrørende bygging av 132 kV luftledning Kloning – Haugaland Næringspark (HNP).
Oppdraget/behovet er nærmere beskrevet i anskaffelsesdokumentene for konkurransen "Anskaffelse av kontrakt vedrørende bygging av 132 kV luftledning Klovning-Haugaland Næringspark", herunder konkurransebeskrivelse med tilhørende bilag.
Den kraftsensitive informasjonen skal benyttes i samsvar med de formålene som er beskrevet eller følger av denne avtalen, og eventuelle senere skriftlige avtaler mellom partene. Behandling av den kraftsensitive informasjonen for andre formål, eller videreformidling, kan kun skje når nærmere skriftlig samtykke fra oppdragsgiver foreligger.
5. Plikter og rettigheter for oppdragsgiver
− etterleve de forpliktelser som følger av energiloven, kraftberedskapsforskriften, og andre lovlige vedtak i medhold av disse
− skriftlig meddele endringer i krav og bestemmelser til leverandør
− overlevere eller dele kraftsensitiv informasjon i henhold til denne avtalen ved tjenestens/oppdragets start
− ved forespørsel om videre overlevering eller deling, gi skriftlig samtykke eller avslag med begrunnelse ut fra tjenstlige behov
− ha anledning til å gjennomføre tilsyn hos leverandør, og be om dokumentasjon vedrørende etterlevelse av denne avtalen
6. Plikter og rettigheter for leverandør
− behandle kraftsensitiv informasjon innenfor de rammer som denne avtalen oppstiller, og unngå at oppdragsgiver gjennom handling eller unnlatelse, settes i en situasjon hvor bestemmelser i gjeldende lov- og regelverk brytes
− gjennomføre alle nødvendige tekniske og organisatoriske tiltak slik at behandling av kraftsensitiv informasjon til enhver tid er fulgt opp med tilfredsstillende informasjonssikkerhet
− fastsette eller oppdatere intern sikkerhetsinstruks for håndtering og beskyttelse av kraftsensitiv informasjon som forhindrer tap eller spredning av kraftsensitiv informasjon, offentliggjøring, ikke-autorisert tilgang eller anvendelse utenfor det fastsatte formålet
− etablere system og rutiner for behandling av kraftsensitiv informasjon i tråd med den interne sikkerhetsinstruksen og denne avtalens krav til informasjonssikkerhet
− etablere eller oppdatere et internkontrollsystem som kan håndtere sikkerhetsbrudd eller andre avvik knyttet til behandling av kraftsensitiv informasjon
− overholde taushetsplikten ved å påse at medarbeidere som gis tilgang til kraftsensitiv informasjon undertegner en personlig taushetserklæring
− lagre, forvalte og behandle den kraftsensitive informasjonen på eget datautstyr, og forhindre at kraftsensitiv informasjon lagres og behandles på private lagringsmedier og maskiner
− etablere særskilte sikkerhetstiltak for, og være varsom med, lagring av kraftsensitiv informasjon på mobile enheter (mobiltelefon, kamera, nettbrett og bærbare datamaskiner), kryptere data dersom mulig og foreta sletting etter bruk
− sørge for at elektroniske dokumenter blir lagret på filserver med tilgangskontroll, eller være kryptert og beskyttet av passord, og iverksette logging dersom praktisk mulig
− sørge for at ekstern oppkobling til nettverk eller andre løsninger for lagring av kraftsensitiv informasjon skjer via sikker VPN-tilgang
− kryptere kraftsensitiv informasjon ved elektronisk deling eller forsendelse, og bruke anerkjente krypteringsalgoritmer med tilstrekkelig nøkkellengde og passordstyrke
− sørge for at alle fysiske eller elektroniske dokumenter som inneholder kraftsensitiv informasjon, merkes så langt som praktisk mulig, med et tydelig visuelt tegn, som del av fil- eller objektnavn, eller begge deler
− sørge for at fysiske dokumenter som inneholder kraftsensitiv informasjon er nedlåst i skap eller innlåst i rom når de ikke er i bruk
− benytte skjermlås når arbeidsstasjon forlates
− innhente skriftlig samtykke fra oppdragsgiver før eventuell videre overlevering eller deling av kraftsensitiv informasjon foretas til andre, og sikre at tredjeparter (herunder underleverandører) skriftlig påtar seg de samme forpliktelser som leverandør har under denne avtalen
− varsle oppdragsgiver uten ugrunnet opphold dersom leverandøren planlegger å skifte ut eller benytte ny underleverandør. Varslet skal gis i rimelig tid før ny underleverandør skal starte behandlingen av kraftsensitiv informasjon og inneholde tilstrekkelig informasjon til at oppdragsgiver kan vurdere om samtykke til deling av kraftsensitiv informasjon skal gis eller ikke
− ikke benytte underleverandører som innebærer overføring av kraftsensitiv informasjon utenfor EU, EFTA og/eller NATO uten etter særskilt skriftlig avtale med oppdragsgiver
− sørge for varig sletting av all kraftsensitiv informasjon, inkludert sikkerhetskopier, med en anerkjent metode når oppdragsgiver fremsetter et rettmessig krav om sletting, eller det saklige grunnlaget for fortsatt oppbevaring bortfaller
− varsle oppdragsgiver om mulige eller faktiske sikkerhetsbrudd, avvik, eller andre hendelser eller omstendigheter som kan true informasjonssikkerheten
− informere oppdragsgiver om navneendringer, endringer i selskapets ledelse, flytting, restrukturering og oppkjøp, gjeldsforhandlinger og konkurs, eller andre endringer som har betydning for oppfyllelse av denne avtalen
− legge til rette for effektiv gjennomføring av tilsyn og dokumentutlevering når oppdragsgiver ønsker å kontrollere leverandørs etterlevelse av denne avtalen
De ovennevnte punktene er kun eksempler på sikkerhetstiltak og er ikke uttømmende. Det er leverandørens ansvar å foreta en risikovurdering av sin egen behandling av kraftsensitiv informasjon og iverksette strengere tiltak ved behov. Det er leverandørens ansvar at alle ansatte og annet personell retter seg etter disse sikkerhetstiltakene.
7. Taushetsplikt
Leverandør skal påse at alle medarbeidere og tredjeparter som behandler kraftsensitiv informasjon under denne avtalen er kjent med taushetsplikten og dens innhold. Kraftsensitiv informasjon skal ikke under noen omstendighet offentliggjøres. Taushetsplikten gjelder også etter opphør av denne avtalen,
jf. energiloven § 9--3.
8. Tilsyn og kontroll
Oppdragsgiver kan til enhver tid kreve tilsyn og kontroll med system, rutiner og dokumentasjon som gjelder for forvaltning og behandling av kraftsensitiv informasjon under denne avtalen. Leverandør skal uten ugrunnet opphold korrigere eventuelle avvik.
Leverandøren skal bidra til at oppdragsgiver, innenfor gjeldende lovgivning, kan gjennomføre bakgrunnssjekk av leverandørens og eventuelle underleverandørers ansatte og innleid personell.
Leverandør skal på forespørsel også legge frem generell dokumentasjon knyttet til avvikshåndtering som følge av andre oppdragsgiveres tilsyn og kontroll.
Tilsyn og kontroll skal varsles i rimelig tid, slik at leverandør kan innpasse aktiviteten i arbeidsplanen.
9. Varighet, oppsigelse og opphør
Ved oppsigelse eller opphør av denne avtalen skal partene avtale sletting og/eller tilbakelevering av elektroniske og fysiske dokumenter, og leverandør skal gi en endelig skriftlig bekreftelse. Avtalen skal ikke opphøre før alle behandling av kraftsensitiv informasjon er avsluttet og alle kraftsensitiv informasjon er levert tilbake og slettet i henhold til denne avtalens bestemmelser.
Ved brudd på denne avtalen kan oppdragsgiver kreve endringer i rutinene hos leverandør, eller pålegge leverandør å stoppe videre håndtering av kraftsensitiv informasjon med øyeblikkelig virkning.
Endringer og/eller tillegg til denne avtalen skal være skriftlige og undertegnet av begge parter.
10. Lovvalg og tvisteløsning
Denne avtalen reguleres av norsk rett. Enhver tvist mellom partenes skal søkes løst ved forhandlinger. Om forhandlinger ikke fører frem, skal tvisten avgjøres ved de alminnelige domstoler med oppdragsgivers hjemting som rett verneting.
11. Meddelser
Oppdragsgiver | Leverandør |
Virksomhetens navn: Fagne AS Adresse: Xxxxxxxxxxxx 00, 0000 Xxxxxxxxx | Virksomhetens navn: ____________________________________ Adresse: |
Navn: Rolle: E-post: Mobilnr.: | Navn: Rolle: E-post: Mobilnr.: |
12. Undertegning
Denne avtalen foreligger i to originaler, hvorav partene beholder et eksemplar hver.
Sted og dato:
Sted , Dato: / 2023
Oppdragsgiver | Leverandør |
Fagne AS | Navn på firma: |
Navn: | Navn: |