AVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON

AVTALE OM HÅNDTERING OG BESKYTTELSE AV KRAFTSENSITIV INFORMASJON

i henhold til kraftberedskapsforskriften

mellom

[Virksomhetens navn]

Xxx.xx.: 000 000 000

Oppdragsgiver

og

[Virksomhetens navn]

Xxx.xx.: 000 000 000

Leverandør

Dato: 20xx-xx-xx

1. Om avtalen

Denne avtalen regulerer rettigheter og plikter mellom oppdragsgiver og leverandør (heretter omtalt som "partene") etter:

• Lov om produksjon, omforming, overføring, omsetning, fordeling og bruk av energi m.m. av 29. juni 1990 nr. 50 (energiloven – enl) § 9-3

• Forskrift om sikkerhet og beredskap i kraftforsyningen av 7. juli 2012 nr. 1157, sist endret fra 1. januar 2019, (kraftberedskapsforskriften – kbf) kapittel 6

2. Definisjoner

Kraftsensitiv informasjon er spesifikke og inngående opplysninger om anlegg, funksjoner, systemer og annet i kraftforsyningen som kan brukes til å påføre skade eller forstyrre levering av kraft, dersom opplysningene blir kjent for uvedkommende.

Behandling av kraftsensitiv informasjon omfatter fremstilling, innsamling, registering, sammenstilling, prosessering, anvendelse, lagring, forvaltning, utveksling, deling, avhending, håndtering og beskyttelse av opplysninger. Noen av de opplistede aktivitetene er overlappende.

Oppdragsgiver er en virksomhet med funksjon innen kraftforsyningen som rettmessig fastsetter rammer og instruks for håndtering, beskyttelse og behandling av kraftsensitiv informasjon.

Leverandør er en virksomhet som innenfor det fastsatte formålet i denne avtalen behandler kraftsensitiv informasjon på vegne av oppdragsgiver som del av en tjeneste- eller vareleveranse.

3. Formål

Avtalen skal sikre at håndtering og beskyttelse av kraftsensitiv informasjon hos leverandør overholder krav til taushetsplikt og sikkerhetsmessige krav.

4. Rammer og omfang

Denne avtalen gjelder all håndtering og beskyttelse av kraftsensitiv informasjon som leverandør utfører i forbindelse med [skriv navn på tjeneste/oppdrag/behov].

Tjenestene/behovet omfatter/består i:

• [tjeneste #1]

Den kraftsensitive informasjonen som inngår i tjenesten/oppdraget består av:

• [opplisting]

Oppdragsgiver har til enhver tid full rådighet over den kraftsensitive informasjonen som er overlevert eller meddelt til leverandør etter denne avtalen.

Leverandør beholder opphavs- og eiendomsrett til egne fremstilte opplysninger, men er forpliktet til å beskytte kraftsensitive opplysninger og dokumentasjon i henhold til denne avtalen.

Oppdragsgiver har rett til å kontrollere forvaltning og behandling av kraftsensitiv informasjon hos leverandør.

Den kraftsensitive informasjonen skal benyttes i samsvar med de formålene som er beskrevet eller følger av denne avtalen, og senere skriftlige avtaler mellom partene. Behandling av den kraftsensitive informasjonen for andre formål, eller videre­formidling, kan kun skje når nærmere skriftlig samtykke fra oppdragsgiver foreligger.

5. Plikter og rettigheter for oppdragsgiver

Oppdragsgiver skal

• etterleve de forpliktelser som følger av energiloven, kraftberedskapsforskriften, og andre lovlige vedtak i medhold av disse

• skriftlig meddele endringer i krav og bestemmelser til leverandør

• overlevere eller dele kraftsensitiv informasjon i henhold til denne avtalen ved tjenestens/oppdragets start

• ved forespørsel om videre overlevering eller deling, gi skriftlig samtykke eller avslag med begrunnelse ut fra tjenstlige behov

• ha anledning til å gjennomføre tilsyn hos leverandør, og be om dokumentasjon vedrørende etterlevelse av denne avtalen

6. Plikter og rettigheter for leverandør

Leverandør skal

• behandle kraftsensitiv informasjon innenfor de rammer som denne avtalen oppstiller, og unngå at oppdragsgiver gjennom handling eller unnlatelse, settes i en situasjon hvor bestemmelser i gjeldende lov- og regelverk brytes

• gjennomføre alle nødvendige tekniske og organisatoriske tiltak slik at behandling av kraftsensitiv informasjon til enhver tid er fulgt opp med tilfredsstillende informasjons­sikkerhet

• fastsette eller oppdatere intern sikkerhetsinstruks for håndtering og beskyttelse av kraftsensitiv informasjon som forhindrer tap eller spredning av kraftsensitiv informasjon, offentliggjøring, ikke-autorisert tilgang eller anvendelse utenfor det fastsatte formålet

• etablere system og rutiner for behandling av kraftsensitiv informasjon i tråd med den interne sikkerhetsinstruksen og denne avtalens krav til informasjonssikkerhet

• etablere eller oppdatere et internkontrollsystem som kan håndtere sikkerhetsbrudd eller andre avvik knyttet til behandling av kraftsensitiv informasjon

• overholde taushetsplikten ved å påse at medarbeidere som gis tilgang til kraftsensitiv informasjon undertegner en personlig taushetserklæring

• lagre, forvalte og behandle den kraftsensitive informasjonen på eget datautstyr, og forhindre at kraftsensitiv informasjon lagres og behandles på private lagrings­medier og maskiner

• være varsom med lagring av kraftsensitiv informasjon på mobile enheter (mobiltelefon, kamera, nettbrett og bærbare datamaskiner), kryptere data dersom mulig og foreta sletting etter bruk

• sørge for at elektroniske dokumenter blir lagret på filserver med tilgangskontroll, eller være kryptert og beskyttet av passord, og iverksette logging dersom praktisk mulig

• sørge for at ekstern oppkobling til nettverk eller andre løsninger for lagring av kraftsensitiv informasjon skjer via sikker VPN-tilgang

• kryptere kraftsensitiv informasjon ved elektronisk deling eller forsendelse, og bruke anerkjente krypteringsalgoritmer med tilstrekkelig nøkkellengde og passordstyrke

• sørge for at alle fysiske eller elektroniske dokumenter som inneholder kraftsensitiv informasjon, merkes så langt som praktisk mulig, med et tydelig visuelt tegn, som del av fil- eller objektnavn, eller begge deler

• sørge for at fysiske dokumenter som inneholder kraftsensitiv informasjon er nedlåst i skap eller innlåst i rom når de ikke er i bruk

• benytte skjermlås når arbeidsstasjon forlates

• innhente skriftlig samtykke fra oppdragsgiver før eventuell videre overlevering eller deling av kraftsensitiv informasjon foretas, og sikre at tredjepart påtar seg tilsvarende forpliktelser som leverandør har under denne avtalen

• sørge for varig sletting av all kraftsensitiv informasjon, inkludert sikkerhetskopier, med en anerkjent metode når oppdragsgiver fremsetter et rettmessig krav om sletting, eller det saklige grunnlaget for fortsatt oppbevaring bortfaller

• varsle oppdragsgiver om mulige eller faktiske sikkerhetsbrudd, avvik, eller andre hendelser eller omstendigheter som kan true informasjonssikkerheten

• informere oppdragsgiver om navneendringer, endringer i selskapets ledelse, flytting, restrukturering og oppkjøp, gjeldsforhandlinger og konkurs, eller andre endringer som har betydning for oppfyllelse av denne avtalen

• legge til rette for effektiv gjennomføring av tilsyn og dokumentutlevering når oppdragsgiver ønsker å kontrollere leverandørs etterlevelse av denne avtalen

7. Taushetsplikt

Leverandør skal påse at alle medarbeidere og tredjeparter som behandler kraftsensitiv informasjon under denne avtalen er kjent med taushetsplikten og dens innhold. Kraftsensitiv informasjon skal ikke under noen omstendighet offentliggjøres. Taushetsplikten gjelder også etter opphør av denne avtalen, jf. enl § 9‑3.

8. Tilsyn og kontroll

Oppdragsgiver kan til enhver tid kreve tilsyn og kontroll med system, rutiner og dokumentasjon som gjelder for forvaltning og behandling av kraftsensitiv informasjon under denne avtalen. Leverandør skal uten ugrunnet opphold korrigere eventuelle avvik.

Leverandør skal på forespørsel også legge frem generell dokumentasjon knyttet til avvikshåndtering som følge av andre oppdragsgiveres tilsyn og kontroll.

Tilsyn og kontroll skal varsles i rimelig tid, slik at leverandør kan innpasse aktiviteten i arbeidsplanen.

9. Varighet, oppsigelse og opphør

Denne avtalen gjelder fra den er signert av begge partene. Avtalen gjelder til den sies opp, eller gjeldende tilknyttede avtaler mellom partene, som nevnt under punkt 3 opphører. Begge parter kan gjensidig si opp denne avtalen med 30 kalenderdagers skriftlig varsel.

Ved oppsigelse eller opphør av denne avtalen skal partene avtale sletting og/eller tilbakelevering av elektroniske og fysiske dokumenter, og leverandør skal gi en endelig skriftlig bekreftelse.

Ved brudd på denne avtalen kan oppdragsgiver kreve endringer i rutinene hos leverandør, eller pålegge leverandør å stoppe videre håndtering av kraftsensitiv informasjon med øyeblikkelig virkning.

Endringer og/eller tillegg til denne avtalen skal være skriftlige og undertegnet av begge parter.

10. Meddelser

Meddelelser, varsel eller annen kommunikasjon mellom oppdragsgiver og leverandør skal gis skriftlig, eller bekreftes skriftlig til:

Oppdragsgiver	Leverandør
[Virksomhetens navn] [Adresse]	[Virksomhetens navn] [Adresse]
Navn: Rolle: E-post: Mobilnr.:	Navn: Rolle: E-post: Mobilnr.:

11. Undertegning

Denne avtalen foreligger i to originaler, hvorav partene beholder et eksemplar hver.

Sted og dato:

[sted], 20xx-xx-xx

Oppdragsgiver	Leverandør
Navn:	Navn: