Veileder for informasjonssikkerhet
Veileder til damsikkerhetsforskriftens § 7-8
Veilederen er publisert som et høringsutkast frem til 18. mars 2024
Veilederen utdyper hovedsakelig bestemmelsene i § 7-8 om informasjonssikkerhet i forskrift av 18.12.2009 om sikkerhet ved vassdragsanlegg (damsikkerhetsforskriften). Den utdyper også deler av andre paragrafer i damsikkerhetsforskriften av betydning for informasjonssikkerhet
Vassdragsanlegg utgjør en viktig del av Norges energi- og drikkevannskilder og det stilles i dag strenge krav til den konstruksjonsmessige sikkerheten for slike anlegg. Et dambrudd kan potensielt føre til store konsekvenser. Informasjon om vassdragsanlegg kan derfor være sensitiv informasjon og må ikke komme på avveie.
Den teknologiske utviklingen har ført til at stadig mer informasjon flyttes over i det digitale, noe som blant annet medfører nye måter å jobbe og samarbeide på mellom ulike aktører. Dette gir mange positive effekter og tilgjengeliggjør informasjon i større grad enn tidligere. Samtidig skaper dette flere muligheter som trusselaktører kan utnytte. Større krav til beskyttelse av informasjonen er derfor viktig. Et brudd på informasjonssikkerheten kan få store konsekvenser, eksempelvis ved å hindre utførelse av nødvendige arbeidsoppgaver, tap/endring av viktig informasjon og spredning av sensitiv informasjon.
Forskrift om sikkerhet ved vassdragsanlegg (damsikkerhetsforskriften) inneholder en bestemmelse om informasjonssikkerhet, § 7-8. Bestemmelsen er til for å sikre at informasjon om vassdragsanlegg blir tilstrekkelig beskyttet. Vi ser nå behovet for en veileder for å gjøre det enklere å forstå hvordan kravene i § 7-8 skal følges, og for å øke fokuset og bevisstheten rundt informasjonssikkerhet for vassdragsanlegg. Damsikkerhetsforskriften forvaltes av Norges vassdrags- og energidirektorat (NVE), jf. § 1-2.
Veilederen er i første rekke rettet mot den ansvarlige for vassdragsanlegg (normalt eier av vassdragsanlegget) og til det personell som den ansvarlige etter damsikkerhetsforskriften plikter å ha tilknyttet vassdragsanlegg. Det omfatter leder, vassdragsteknisk ansvarlig (VTA), stedfortredende VTA og tilsynspersonell. Den er også relevant for personell som prosjekterer eller bygger vassdragsanlegg, jf. damsikkerhetsforskriftens kapittel 2, dvs. fagansvarlig, utførende foretak (herunder foretak som produserer og/eller monterer stenge- og tappeorganer, rør og tverrslagsporter), anleggsleder og kontrollør.