Bilag 2 - Sikkerhetsavtale (kraftsensitiv informasjon)

Innholdsfortegnelse

Denne Sikkerhetsavtalen gir bestemmelser for behandling av Kraftsensitiv Informasjon, og forhold relatert til dette.

Tensio har anlegg og informasjon som er omfattet av taushetsplikten etter lov om produksjon, omforming, overføring, omsetning, fordeling og bruk av energi m.m. (energiloven) av 29. juni 1990 nr. 50 § 9-3 og forskrift om sikkerhet og beredskap i kraftforsyningen (kraftberedskapsforskriften) av 7. desember 2012 nr 1157 kapittel 6 (Informasjonssikkerhet) med endringer av 1. november 2018 nr 1641.

Etter regelverket har Tensio adgang til å gi andre tilgang til sensitiv informasjon om energiforsyningen, såfremt vedkommende vurderes av Tensio å ha tjenstlig behov for tilgang til slik informasjon.

Sikkerhetsavtalen har som formål å sikre at behandling og beskyttelse av Kraftsensitiv Informasjon i forbindelse med Informasjonsbehandlerens oppdrag for/samarbeid med Xxxxxx overholder krav til

taushetsplikt og sikkerhet.

I forbindelse med leveranse av tjeneste(r) eller annen bruk beskrevet i ett eller flere vedlegg til dette bilag, behandler Informasjonsbehandleren Kraftsensitiv Informasjon på vegne av Tensio.

Hvert vedlegg inneholder følgende hoveddeler: Del A - Opplysninger om behandlingen

Del B - Instruks for behandling av Kraftsensitiv Informasjon Del C - Partenes regulering av andre forhold

3 Definisjoner

Kraftsensitiv Informasjon

er spesifikke og inngående opplysninger om kraftforsyningen som kan brukes til å skade anlegg, system eller annet eller påvirke funksjoner som har betydning for kraftforsyningen, herunder

informasjon som er listet opp i kraftberedskapsforskriften § 6-2 (2).

Behandling

av Kraftsensitiv Informasjon omfatter mottakelse, fremstilling, innsamling, registering, sammenstilling, prosessering, anvendelse, lagring, forvaltning, utveksling, deling, avhending, håndtering og beskyttelse av opplysninger. Noen av de opplistede aktivitetene er overlappende. Verbet «behandle» skal

forstås å omfatte all behandling som nevnt over.

Informasjonseier

er en virksomhet med funksjon innen kraftforsyningen som eier og/eller er ansvarlig for Kraftsensitiv Informasjon, og som fastsetter rammer og instruks for håndtering, beskyttelse og behandling av denne. I forbindelse med Avtalen opptrer Xxxxxx som Informasjonseier.

Informasjonsbehandler

er en virksomhet som innenfor det fastsatte formålet i denne Sikkerhetsavtalen

behandler Kraftsensitiv Informasjon på vegne av Informasjonseier som del av en tjeneste- eller vareleveranse, eller ut fra tjenstlige behov. I forbindelse med Avtalen opptrer Tensios avtalemotpart som

Informasjonsbehandler.

4 Rammer og omfang

Bestemmelsene i Sikkerhetsavtalen gjelder all behandling og beskyttelse av Kraftsensitiv Informasjon som Informasjonsbehandler utfører i forbindelse med formål beskrevet i vedlegg til denne avtalen.

Informasjonsbehandleren plikter, uavhengig av Sikkerhetsavtalens bestemmelser, å etterleve de til enhver tid gjeldende krav til informasjonssikkerhet i lov og forskrift.

Kraftsensitiv Informasjon som Tensio gir Informasjonsbehandleren tilgang til, kan ikke uten skriftlig samtykke fra Tensio benyttes til annet enn utføring av oppdrag/samarbeid i henhold til det beskrevne formålet.

5 Taushetsplikten

Informasjonsbehandleren plikter å hindre at andre enn personer med tjenstlig behov får adgang eller kjennskap til Kraftsensitiv Informasjon, jf. energiloven § 9-3 og kraftberedskapsforskriften §§ 6-1 og 6-2. Taushetsplikten gjelder enhver, herunder Informasjonsbehandlerens ansatte, innleide konsulenter, rådgivere o.l. samt ledelse, samt tilsvarende personer hos underleverandører og andre tredjeparter som gis tilgang til Kraftsensitiv

Informasjon i henhold til bestemmelsen nedenfor.

Informasjonsbehandleren skal hverken muntlig eller skriftlig gjøre Kraftsensitiv Informasjon tilgjengelig for underleverandører og andre tredjeparter, uten samtykke fra Tensio. Samtykke vil kun gis for fysiske eller juridiske personer som har tjenstlig behov for informasjonen, normalt for å kunne levere en avtalt tjeneste. Ved samtykke fra Tensio, kan Kraftsensitiv Informasjon, begrenset til det som er nødvendig for gjennomføring av det tjenstlige behovet, overføres til tredjeparten.

Informasjonsbehandleren skal pålegge den som får tilgang eller kjennskap til informasjonen en tilsvarende plikt til å etterleve bestemmelsene om informasjonssikkerhet og taushetsplikt som gjelder for

Informasjonsbehandleren jf. kraftberedskapsforskriften kapittel 6 samt denne Avtalen.

Taushetsplikten er ikke til hinder for utlevering av informasjon som kreves fremlagt etter pålegg fra offentlig myndighet med hjemmel i lov eller forskrift. Før Informasjonsbehandleren utleverer Kraftsensitiv Informasjon som behandles på vegne av Xxxxxx, skal Informasjonsbehandleren så langt det er mulig varsle Tensio.

Informasjonsbehandleren skal uansett uten ugrunnet opphold alltid varsle Tensio etter at slik Kraftsensitiv

Informasjon er utlevert, med mindre det aktuelle pålegget fra offentlig myndighet er til hinder for slik varsling.

Mottaker skal gjøres kjent med at det som utleveres er Kraftsensitiv Informasjon som er underlagt taushetsplikt.

Taushetsplikten gjelder også etter at Avtalen er opphørt. Ansatte eller andre som fratrer sin tjeneste hos

Informasjonsbehandleren eller tredjeparter som nevnt over skal pålegges taushetsplikt også etter fratredelsen.

6 Merking av informasjon

Før overlevering av/tilgang til Kraftsensitiv Informasjon til Informasjonsbehandleren, skal Tensio merke dokumenter og lagringsmedier, slik at det fremkommer hva som er Kraftsensitiv Informasjon, samt hvem som er Informasjonseier. Dersom Informasjonsbehandleren benytter den Kraftsensitive Informasjonen i avledede dokumenter/sammenstillinger mm. skal disse merkes av Informasjonsbehandleren etter Tensios anvisning.

Tilsvarende skal Kraftsensitiv Informasjon som Informasjonsbehandleren selv produserer som en del av oppdraget/samarbeidet merkes etter Tensios vurdering og anvisning. For spesifikasjon og oppfølging av informasjonsdeling benyttes Tensios skjema for dette.

7 Etablering av sikkerhetstiltak hos Informasjonsbehandler

Informasjonsbehandler skal:

behandle Kraftsensitiv Informasjon innenfor de rammer som denne avtalen oppstiller, og unngå at Tensio gjennom Informasjonsbehandlerens handling eller unnlatelse, settes i en situasjon hvor bestemmelser i gjeldende lov- og regelverk brytes

gjennomføre alle nødvendige tekniske og organisatoriske tiltak slik at behandling av Kraftsensitiv Informasjon til enhver tid er fulgt opp med tilfredsstillende informasjonssikkerhet

fastsette eller oppdatere intern sikkerhetsinstruks for behandling og beskyttelse av Kraftsensitiv Informasjon som sikrer at kravene til informasjonssikkerhet ivaretas og forhindrer brudd på

taushetsplikten jf. punkt 4 «Taushetsplikten»

etablere system og rutiner for behandling av Kraftsensitiv Informasjon i tråd med den interne sikkerhetsinstruksen og Avtalens krav til informasjonssikkerhet

etablere eller oppdatere et internkontrollsystem som kan avdekke og håndtere sikkerhetsbrudd eller andre avvik knyttet til behandling av Kraftsensitiv Informasjon

overholde taushetsplikten ved å påse at personer som gis tilgang til Kraftsensitiv Informasjon undertegner en personlig taushetserklæring, og gjøres kjent med den interne sikkerhetsinstruksen og denne avtalens krav til informasjonssikkerhet i henhold til punkt 9 «Taushetserklæring»

lagre, forvalte og behandle den Kraftsensitive Informasjonen på eget datautstyr, og forhindre at Kraftsensitiv Informasjon lagres og behandles på private lagringsmedier og maskiner

etablere særskilte regler og sikkerhetstiltak for og generelt være varsom med lagring av Kraftsensitiv

Informasjon på mobile enheter (mobiltelefon, kamera, nettbrett og bærbare datamaskiner), herunder sørge for tilgangskontroll, kryptere data dersom mulig og foreta sletting etter bruk

sørge for at elektroniske dokumenter blir lagret på filserver med tilgangskontroll, eller være kryptert og

beskyttet av passord, og iverksette logging dersom praktisk mulig

sørge for at ekstern oppkobling til nettverk eller andre løsninger for lagring av Kraftsensitiv Informasjon skjer via sikker VPN-tilgang eller andre metoder med tilsvarende eller høyere sikkerhet

kryptere Kraftsensitiv Informasjon ved elektronisk deling eller forsendelse, og bruke anerkjente krypteringsalgoritmer med tilstrekkelig nøkkellengde og passordstyrke

sørge for at alle fysiske eller elektroniske dokumenter som inneholder Kraftsensitiv Informasjon, merkes så langt som praktisk mulig, med et tydelig visuelt tegn, som del av fil- eller objektnavn, eller begge deler sørge for at fysiske dokumenter som inneholder Kraftsensitiv Informasjon er nedlåst i skap eller innlåst i rom når de ikke er i bruk

benytte skjermlås når arbeidsstasjon forlates

Disse punkter er kun eksempler på sikkerhetstiltak, og er ikke uttømmende. Det er Informasjonsbehandlers ansvar å risikovurdere sin egen behandling av kraftsensitiv informasjon på vegne av Xxxxxx, og iverksette strengere tiltak ved behov.

8 Anskaffelser

Informasjonsbehandleren skal i anskaffelser påse at underleverandører og andre tredjeparter er forpliktet til å etterleve bestemmelsene om informasjonssikkerhet og taushetsplikt for Kraftsensitiv Informasjon, jf. kraftberedskapsforskriften § 6-5. Det skal i avtale sikres at Informasjonsbehandleren gis rett til å kontrollere, herunder revidere, tredjepartens etterlevelse av regelverket.

Informasjonsbehandlerens bruk av Kraftsensitiv Informasjon i anskaffelser forutsetter Tensios samtykke jf.

Sikkerhetsavtalens pkt. 4 «Taushetsplikten», og skal videre skje i overensstemmelse med kraftberedskapsforskriften § 6-6.

9 Personkontroll

For oppdrag/samarbeid som krever adgang/tilgang til Tensios anlegg, system el.l. skal

Informasjonsbehandleren bidra til, og tilrettelegge for, at Tensio kan gjennomføre bakgrunnssjekk av

Informasjonsbehandlerens ansatte eller innleide som skal ha adgang/tilgang der dette er påkrevet i henhold til kraftberedskapsforskriften § 5-11 eller § 6-7 eller annet relevant regelverk. Personer som ikke tilfredsstiller kravene for adgang/tilgang kan ikke benyttes til gjennomføring av oppdraget/samarbeidet.

10 Taushetserklæring

Enhver person som gis tilgang til Kraftsensitiv Informasjon må av Informasjonsbehandleren gjøres oppmerksom på at informasjonen det gis tilgang til er kraftsensitiv, underlagt taushetsplikt og skal beskyttes som konfidensiell informasjon.

Informasjonsbehandleren plikter å besørge at enhver person som gis tilgang til Kraftsensitiv Informasjon er underlagt konfidensialitet gjennom undertegning av taushetserklæring/avtale om konfidensialitet.

Tensios standard taushetserklæring kan benyttes av Informasjonsbehandleren for alle personer som gis tilgang i forbindelse med oppdrag for/samarbeid med Xxxxxx.

Informasjonsbehandleren skal på forespørsel sende Xxxxxx oppdatert liste over hvem som har signert taushetserklæring.

Taushetserklæringene skal oppbevares av Informasjonsbehandleren så lenge oppdraget/samarbeidet varer og i fem år etter oppdraget/samarbeidet er avsluttet.

11 Varsel om endringer og uønskede hendelser

Informasjonsbehandleren skal varsle Tensio skriftlig og på forhånd, eller, dersom dette ikke er mulig, uten ugrunnet opphold, om endringer i virksomheten, herunder navneendringer, endringer i selskapets ledelse eller eierskap, flytting og restrukturering, så langt slike endringer kan ha betydning for oppfyllelse av pliktene etter Avtalen.

Ved hendelser som medfører at Kraftsensitiv Informasjon er eller kan bli tilgjengelig for andre enn rettmessige brukere, skal Informasjonsbehandleren varsle Tensio uten ugrunnet opphold, og holde Xxxxxx løpende oppdatert om hendelsen.

Dersom det innledes gjeldsforhandling for foretaket eller foretaket begjæres konkurs, skal

Informasjonsbehandleren varsle Tensio uten ugrunnet opphold. Informasjonsbehandleren skal også i en slik situasjon sikre overholdelse av Avtalens bestemmelser, herunder at Kraftsensitiv Informasjon ikke blir

tilgjengelig for andre enn rettmessige brukere.

12 Tilbakelevering og sletting av Kraftsensitiv Informasjon

Dersom arten av et oppdrag/samarbeidet endres, skal Informasjonsbehandleren levere tilbake eller slette Kraftsensitiv Informasjon som ikke lenger er relevant for oppdraget/samarbeidet. Ved avslutning av en

tilbudsforespørsel, et oppdrag/samarbeid eller denne Sikkerhetsavtalen, skal Informasjonsbehandleren tilbakelevere eller makulere dokumenter og lagringsmedier med Kraftsensitiv Informasjon. Kraftsensitiv

Informasjon på lagringsmedier som tilhører Informasjonsbehandleren, skal slettes med anerkjent metode. Tilbakelevering, sletting eller makulering skal dokumenteres for revisjonsformål.

Dersom annet ikke er avtalt med Xxxxxx, skal sletting eller tilbakelevering av Kraftsensitiv Informasjon skje innen 30 kalenderdager regnet fra det tidspunkt behandlingen opphører, eventuelt senest innen 30 kalenderdager fra krav om sletting eller tilbakelevering er fremsatt av Xxxxxx.

13 Revisjon og tilsyn

Xxxxxx, eller en representant for Tensio, kan gjennomføre tilsyn eller revisjon av Informasjonsbehandleren samt be om dokumentasjon for å kontrollere Informasjonsbehandlerens etterlevelse av Avtalen.

Norges vassdrags- og energidirektorat (NVE) kan med hjemmel i energiloven føre tilsyn med etterlevelsen av taushetsplikt jf. energiloven § 9-3.

Informasjonsbehandler skal legge til rette for effektiv gjennomføring av tilsyn og dokumentutlevering når Xxxxxx ønsker å kontrollere Informasjonsbehandlers etterlevelse av Avtalen.

14 Opphør av Sikkerhetsavtalen

Ved vesentlig mislighold kan Sikkerhetsavtalen heves, alternativt kan Tensio kreve endringer i rutiner og/eller sikkerhetstiltak hos Informasjonsbehandler. Videre kan Tensio pålegge Informasjonsbehandler å stoppe videre behandling av Kraftsensitiv Informasjon med øyeblikkelig virkning, samt at all Kraftsensitiv Informasjon slettes eller returneres til Tensio.

Hvis behovet for Sikkerhetsavtalen opphører fordi Informasjonsbehandleren ikke lenger skal behandle Kraftsensitiv Informasjon på vegne av Xxxxxx, kan Sikkerhetsavtalen sies opp av en av partene med 30 kalenderdager skriftlig varsel, til opphør tidligst samtidig med at behandlingen av Kraftsensitiv Informasjon opphører og all Kraftsensitiv Informasjon er slettet/returnert.

15 Kontaktpersoner hos Xxxxxx og Informasjonsbehandleren

Partene kan kontakte hverandre via nedenstående kontaktpersoner.

Partene er forpliktet til løpende å orientere hverandre om endringer vedrørende kontaktpersoner.

16 Signaturer

For Xxxxxx (den behandlingsansvarlige):

Navn:

Stilling:

Telefon:

E-mail:

Dato og underskrift:

For Informasjonsbehandleren: