Lovspeil

Forskrift om sikkerhet og beredskap i kraftforsyningen (kraftberedskapsforskriften)

kraftberedskapsforskriften

Denne siden viser Forskrift om sikkerhet og beredskap i kraftforsyningen (kraftberedskapsforskriften) i en brukervennlig struktur med kapitler, paragrafer og stabile lenker til hver bestemmelse.

Dokumenttype
Forskrift
Dato
2012-12-07
Nummer
1157
Kilde
Lovdata
Departement
Energidepartementet
I kraft
2013-01-01
Sist importert
17. juni 2026
Sist oppdatert i kilde
10. april 2024
Vis på Lovdata ↗

Kapittel 1. Innledende bestemmelser

§ 1-1. Formålegen side

Innenfor formålene i energiloven § 1-2, skal forskriften sikre at kraftforsyningen opprettholdes og at normal forsyning gjenopprettes på en effektiv og sikker måte i og etter ekstraordinære situasjoner for å redusere de samfunnsmessige konsekvensene.

§ 1-2. Virkeområdeegen side

Forskriften gjelder forebygging, håndtering og begrensning av virkningene av ekstraordinære situasjoner som kan skade eller hindre produksjon, omforming, overføring, omsetning og fordeling av elektrisk energi eller fjernvarme.

§ 1-3. Hvem forskriften gjelder foregen side

Forskriften gjelder for de virksomheter som er KBO-enheter etter § 2-1 annet ledd bokstav a eller som er blitt KBO-enheter etter § 2-1 annet ledd bokstav b. For KBO-enheter gjelder bestemmelsene rettet til KBO-enheter og virksomheter.
Beredskapsmyndigheten kan ved enkeltvedtak bestemme at deler av forskriften skal gjelde for andre virksomheter som helt eller delvis eier eller driver anlegg, system eller annet som er eller kan bli av vesentlig betydning for produksjon, omforming, overføring, omsetning eller fordeling av elektrisk energi eller fjernvarme. For virksomheter som ikke er KBO-enheter, er det kun de bestemmelser som er rettet til virksomheter som kan gis anvendelse.
Beredskapsmyndigheten kan ved enkeltvedtak bestemme at § 6-3 og § 6-4 skal gjelde for andre virksomheter enn de som er omfattet av første eller annet ledd.
Forskriften § 6-2 om taushetsplikt for kraftsensitiv informasjon gjelder for enhver.

§ 1-4. Ansvaregen side

Leder for virksomhet som er omfattet av denne forskrift, har ansvar for at virksomheten er organisert og har funksjoner og ressurser slik at virksomheten er innrettet for å oppfylle kravene i energiloven kapittel 9, energilovforskriften § 3-5 bokstav c, § 5-3 bokstav c, og at bestemmelser gitt i eller i medhold av denne forskrift oppfylles.

§ 1-5. Beredskapsplikt og beredskapsplanegen side

Virksomheter som er omfattet av denne forskrift, skal sørge for effektiv sikring og beredskap, og skal iverksette tiltak for å forebygge, håndtere og begrense virkningene av ekstraordinære situasjoner i samsvar med energiloven § 9-2 første ledd.
Virksomheter som er omfattet av denne forskrift, skal ha en beredskapsplan for å håndtere og begrense virkningene av ekstraordinære situasjoner.

Kapittel 2. Generelle krav for KBO-enheter

§ 2-1. Kraftforsyningens beredskapsorganisasjonegen side

Med KBO menes kraftforsyningens beredskapsorganisasjon. KBO består av KBO-enhetene, KDS og beredskapsmyndigheten, samt KSL når denne trer i kraft, jf. § 3-3.
Med KBO-enhet menes:
  1. De virksomheter som eier eller driver anlegg, system eller annet og som i medhold av § 5-2 eller § 5-7 er klassifisert etter denne forskrift.
  2. Andre virksomheter beredskapsmyndigheten har vedtatt er KBO-enhet i medhold av § 3-1 annet ledd.
Med KDS menes kraftforsyningens distriktssjefer.
Med KSL menes kraftforsyningens sentrale ledelse. Kraftforsyningens sentrale ledelse består av beredskapsmyndigheten med deltakelse fra Statnett SF.

§ 2-2. Organisasjon og funksjonegen side

KBO-enheter skal ha følgende funksjoner, som utpekes av leder for virksomheten:
  1. Beredskapsleder. Denne skal sørge for nødvendig planlegging og utøvelse av beredskapsarbeidet.
  2. Beredskapskoordinator. Denne skal ha oversikt over beredskapsarbeidet i virksomheten og være administrativt kontaktpunkt til beredskapsmyndigheten.
  3. IKT-sikkerhetskoordinator. Denne skal ha oversikt over IKT-sikkerhetsarbeidet i virksomheten og være faglig kontaktpunkt til beredskapsmyndigheten vedrørende IKT-sikkerhet.

§ 2-3. Risikovurderingegen side

KBO-enheter skal gjennomføre risikovurderinger knyttet til ekstraordinære forhold. Vurderingene skal ha et slikt omfang at KBO-enheten kan identifisere risiko og sårbarhet ved alle funksjoner, anlegg og tiltak av betydning for å oppfylle kravene i forskriften. Vurderingene skal minimum gjennomgås årlig og oppdateres ved behov.

§ 2-4. Beredskapsplanleggingegen side

KBO-enheter skal ha et oppdatert beredskapsplanverk tilpasset virksomhetens art og omfang. Planverket skal bygge på risikovurderinger og skal omfatte alle beredskapstiltak etter denne forskriften.
Beredskapsplanleggingen skal blant annet omfatte forberedelser og tiltak det kan bli nødvendig å iverksette ved store ulykker, vesentlige skader, trusselsituasjoner, rasjonering og andre ekstraordinære situasjoner som kan påvirke kraftforsyningens drift og sikkerhet. Beredskapsplanverket skal, innenfor rammene av kapittel 6 om informasjonssikkerhet, samordnes med berørte myndigheter og andre relevante virksomheter, deriblant andre KBO-enheter.

§ 2-5. Varslingegen side

KBO-enheter skal uten ugrunnet opphold varsle beredskapsmyndigheten om ekstraordinære situasjoner. Situasjoner som angitt i § 2-6 bokstav a til h om rapportering, skal alltid varsles. Varselet skal kortfattet beskrive hendelsen, forventet gjenoppretting og kontaktperson.

§ 2-6. Rapporteringegen side

KBO-enheter skal uten ugrunnet opphold og senest innen tre uker skriftlig innrapportere følgende uønskede hendelser til beredskapsmyndigheten:
  1. Forsøk på inntrengning og/eller manipulasjon av hele eller deler av driftskontrollsystemet og avanserte måle- og styringssystem (AMS).
  2. Innbrudd, hærverk, sabotasje eller andre kriminelle handlinger, eller forsøk på dette.
  3. Ved begrunnet mistanke om at sikkerhetstruende virksomhet har rammet eller vil kunne ramme virksomheten eller andre virksomheter.
  4. Situasjoner hvor kraftsensitiv informasjon er blitt kjent for andre enn rettmessige brukere, eller mistanke om dette.
  5. Avbrudd i distribusjon av elektrisitet i mer enn to timer som berører viktige samfunnsfunksjoner eller et stort antall sluttbrukere.
  6. Avbrudd i fjernvarmeforsyningen i mer enn 12 timer som berører viktige samfunnsfunksjoner eller et stort antall sluttbrukere.
  7. Større havarier i transmisjon- og regionalnettet.
  8. Omfattende feil og sikkerhetstruende hendelser i driftskontrollsystemer.
Beredskapsmyndigheten kan kreve rapportering av andre tilfeller av uønskede hendelser enn de som er nevnt i første ledd.
Beredskapsmyndigheten kan også pålegge virksomheter som eier eller driver anlegg eller system, som er eller kan bli av vesentlig betydning for produksjon, omforming, omsetning eller fordeling av elektrisk energi og fjernvarme, å rapportere uønskede hendelser i samsvar med annet ledd.

§ 2-7. Øvelseregen side

KBO-enheter skal gjennomføre øvelser med slikt innhold og omfang at KBO-enheten vedlikeholder og utvikler sin kompetanse til å håndtere alle aktuelle ekstraordinære situasjoner. KBO-enheter skal ha en flerårig øvelsesplan og gjennomføre minimum én årlig øvelse.

§ 2-8. Informasjonsberedskapegen side

KBO-enheter skal ha en informasjonsplan og en effektiv informasjonsberedskap i ekstraordinære situasjoner. Dette skal blant annet omfatte informasjon internt i KBO-enheten, til berørte myndigheter, samfunnskritiske virksomheter, andre relevante KBO-enheter, publikum og media, samt råd til kunder. Informasjonsplanen skal inngå som del av beredskapsplanverket, øves jevnlig og evalueres.

§ 2-9. Evalueringegen side

KBO-enheter skal etter ekstraordinære situasjoner og øvelser gjennomføre en evaluering. Evalueringen skal brukes som grunnlag for at KBO-enhetens beredskapskompetanse utvikles, at risikovurderinger og beredskapsplaner oppdateres, og at det gjennomføres konkrete beredskapstiltak for anlegg, drift, gjenoppretting og øvrige tiltak som oppfyller kravene i denne forskriften.

§ 2-10. Internkontrollsystemegen side

Internkontrollsystemet skal inneholde dokumentasjon for at alle tiltak etter kravene i første ledd er på plass og fungerer etter sin hensikt. Internkontrollsystemet skal holdes oppdatert og gjennomgås slik at det gjenspeiler faktisk tilstand.
Internkontrollsystemet skal være tilrettelagt for gjennomføring av tilsyn i samsvar med de krav som er stilt.

Kapittel 3. Kraftforsyningens beredskapsorganisasjon (KBO)

§ 3-1. Beredskapsmyndighetenegen side

Beredskapsmyndigheten skal i samsvar med energiloven § 9-1 tredje ledd utpeke den samlede ledelse i KBO og samordne beredskapsarbeidet.
Beredskapsmyndigheten kan ved enkeltvedtak bestemme at også andre virksomheter som eier eller driver anlegg, system eller annet som har vesentlig betydning for drift eller gjenoppretting av eller sikkerhet i produksjon, omforming, overføring, omsetning eller fordeling av elektrisk energi eller fjernvarme, skal være KBO-enheter.

§ 3-2. Ansvar og oppgaver for KBO-enheteneegen side

KBO-enhetene har ansvar for å utføre alle de oppgaver og plikter som følger av energiloven kapittel 9 og bestemmelser gitt eller i medhold av denne forskrift, herunder planlegging og håndtering av ekstraordinære situasjoner og gjenoppretting av normal situasjon.
KBO-enheter skal sørge for nødvendig kontakt og samordning med tilgrensende virksomheter og aktuelle KDS.
Beredskapsmyndigheten kan pålegge KBO-enheter eller KBO å utføre oppgaver i medhold av energiloven § 9-1 fjerde ledd.

§ 3-3. Ansvar og oppgaver for KBO-enheter eller KBO under beredskap og krigegen side

KBO-enheter eller KBO kan pålegges oppgaver under beredskap og i krig i samsvar med energiloven § 9-1 femte ledd og etter at beredskapsmyndigheten ved vedtak har konstatert at det anses nødvendig.
Departementet kan under beredskap og krig underlegge kraftforsyningen KBO. Kraftforsyningen plikter å følge de pålegg som gis og gjennomføre de tiltak som kreves. Beredskapsmyndigheten kan instruere KDS og KBO-enheter.
I slike situasjoner overtar KSL ledelsen av KBO. Statnett SF skal i slike situasjoner være KSLs utøvende organ for regulering av produksjon, omforming, overføring, omsetning og fordeling av elektrisk energi.
Statnett SF skal innrette sin organisasjon slik at virksomheten har regionale representanter med myndighet til å iverksette pålegg og gjennomføre de tiltak som kreves i en ekstraordinær situasjon, inkludert løpende kontakt med KDS.

§ 3-4. Ansvar og oppgaver for KDSegen side

Beredskapsmyndigheten skal beslutte inndeling av distrikter og utpeker KDS med stedfortredere.
KDS skal bidra til å tilrettelegge for hensiktsmessig samarbeid om forebygging og håndtering av ekstraordinære situasjoner. Oppgaver for KDS kan reguleres gjennom avtaler mellom beredskapsmyndigheten og den person som er utpekt som KDS og i årlige forventningsbrev. Fullmakt til vedtak kan delegeres fra beredskapsmyndigheten til KDS.

§ 3-5. Fritaksordningeregen side

Etter søknad fra en KBO-enhet kan personell som er viktig for å opprettholde driften av kraftforsyningen i krig, få utsettelse eller fritak for fremmøte i Forsvaret ved mobilisering. Etter søknad fra en KBO-enhet kan slikt personell også få fritak for tjeneste i sivilforsvaret. Personell i KBO som er gitt utsettelse eller fritak for annen beredskapstjeneste får tjenesteplikt i KBO.

§ 3-6. Sektorvist responsmiljø for IKT-sikkerhetshendelseregen side

Beredskapsmyndigheten er sektorvist responsmiljø for IKT-sikkerhetshendelser i kraftforsyningen.
Beredskapsmyndigheten kan delegere oppgaver innenfor varsling, informasjonsdeling og analyse for IKT-sikkerhetshendelser i kraftforsyningen til en eller flere KBO-enheter.

§ 3-7. (Opphevet)egen side

Kapittel 4. Ressurser og reparasjonsberedskap

§ 4-1. Reparasjonsberedskapegen side

KBO-enheter skal planlegge for og etablere en organisasjon med nødvendig personell, kompetanse, utholdenhet og ressurser til å holde driften gående, gjenopprette funksjon og gjennomføre oppgaver som kreves under alle ekstraordinære situasjoner på en sikker og effektiv måte.
Reparasjonsberedskapen skal dimensjoneres etter stedlige forhold og anleggenes tilstand og klasse. Så langt som det er samfunnsmessig rasjonelt, skal hensynet til liv og helse og annen samfunnskritisk virksomhet prioriteres ved gjenoppretting av funksjon.

§ 4-2. Kompetanse og personellegen side

KBO-enheter skal ha personell med nødvendig kompetanse som kreves for å kunne håndtere ekstraordinære situasjoner på en sikker og effektiv måte.
KBO-enheter skal dekke dette personellbehovet og ha tilgang på personell for å forsterke kapasiteten og holde driften gående i ekstraordinære situasjoner.
For å dekke kravet til kompetanse og personell skal det foreligge en plan som angir kompetansebehovet, og som omfatter eget og innleid personell.

§ 4-3. Drift i ekstraordinære situasjoner og gjenoppretting av funksjonegen side

KBO-enheter skal i ekstraordinære situasjoner drive de anlegg og den del av kraftforsyningen KBO-enheten har ansvaret for, herunder driftskontrollfunksjoner, og gjenopprette nødvendige funksjoner i og etter ekstraordinære situasjoner.

§ 4-4. Materiell og utstyregen side

KBO-enheter skal ha rask og sikker tilgang til reservemateriell og utstyr som trengs for å opprettholde kraftforsyningen i ekstraordinære situasjoner, og for å gjenopprette funksjon.
Med reservemateriell menes materiell som kan erstatte komponenter som er nødvendige for drift av anlegg.
Med utstyr menes verktøy, maskiner, reparasjonsmateriell, komponenter til driftskontrollsystemet og annet som er nødvendig for å foreta reparasjoner, gjenoppretting eller om nødvendig iverksette midlertidige tiltak.
Materiell- og utstyrsbehovet kan dekkes ved at KBO-enheten enten har dette selv, eller sikrer tilgang fra andre. Materiell og utstyr skal holdes i forsvarlig stand og være tilgjengelig for KBO-enheten i ekstraordinære situasjoner.

§ 4-5. Transportegen side

KBO-enheter skal ha en tilstrekkelig transportberedskap for å håndtere ekstraordinære situasjoner, og evne til rask gjenoppretting av funksjon. Dette omfatter tilgang til transportmidler med nødvendig utstyr og personer som kan håndtere disse.
For utstyr med transportvekt over 70 tonn, eller med store ytre dimensjoner, skal det utarbeides detaljerte transportplaner.
KBO-enhetenes transportmidler og private transportmidler tilhørende kraftforsyningens personell som det er tjenstlig behov for, skal om mulig søkes fritatt for forberedt rekvirering til Forsvaret med videre

§ 4-6. Nasjonal tungtransportberedskapegen side

Statnett SF skal ha en nasjonal tungtransportberedskap for å sikre at tunge komponenter av betydning for kraftforsyningen kan transporteres på kort varsel. Statnett SF skal vedlikeholde og oppgradere transportmidler med utstyr, samt anskaffe nye ressurser ved behov.
Statnett SF kan benytte den virksomhet som er etablert for å ivareta ansvar for tungtransportberedskap etter første ledd, til å utføre virksomhet for andre på markedsmessige vilkår. Endringer i virksomheten skal forelegges beredskapsmyndigheten for godkjenning.
Den nasjonale tungtransportberedskapen skal gjelde for ekstraordinære situasjoner, samt under beredskap og i krig.
Beredskapsmyndigheten kan treffe vedtak om organisering, bruk og finansiering av nasjonal tungtransportberedskap.

§ 4-7. Sambandegen side

KBO-enheter skal ha intern og ekstern sambandsberedskap for daglig drift, håndtering av ekstraordinære situasjoner og evne til rask gjenoppretting av nødvendige funksjoner for ledelse, drift og sikkerhet.

Kapittel 5. Klassifisering og sikringstiltak

§ 5-1. Sikringspliktegen side

Virksomheter plikter å sikre anlegg, system eller annet som er eller kan bli av vesentlig betydning for virksomhetens ledelse, drift eller gjenoppretting i ekstraordinære situasjoner mot uønskede hendelser og handlinger, herunder adgang for uvedkommende. Med anlegg menes her også bygg og andre ressurser omfattet av kapittel 4.
Det er den enkelte virksomhets ansvar å planlegge, gjennomføre og vedlikeholde sikringstiltak etter anleggets eller systemets type, oppbygging og funksjon.
Alle anlegg m.m. som nevnt i første ledd skal holdes i funksjonsdyktig stand og skal så langt som mulig virke etter sin hensikt under ekstraordinære forhold.
Det skal særlig tas hensyn til ekstraordinære forhold som:
  • uvær og annen naturgitt skade
  • brann og eksplosjoner
  • alvorlig teknisk svikt
  • innbrudd, hærverk, sabotasje og andre kriminelle handlinger.

§ 5-2. Klasseregen side

Ved klassifisering av anlegg, system eller annet som har vesentlig betydning for drift eller gjenoppretting av eller sikkerhet i produksjon, omforming, overføring eller fordeling av elektrisk energi eller fjernvarme benyttes klasse 1 til 3. Klasse 3 benyttes der betydningen for kraftforsyningen er størst.
Koblingsanlegg, kraftledning, muffeanlegg, lokalkontrollanlegg og annet som funksjonelt er en del av en kraft-, transformator- eller omformerstasjon klassifiseres etter vedkommende stasjons klasse.
Vindkraftanlegg klassifiseres ikke som kraftstasjon.
Denne bestemmelse omfatter ikke anlegg for rene industriformål eller anlegg som eies av en virksomhet som selv er eneste sluttbruker av energien fra anlegget.
Denne bestemmelse omfatter ikke midlertidige anlegg eller midlertidige løsninger som del av anlegg når det foreligger konkrete planer for utbygging eller oppgradering av spenningsnivå.
I ytelseskriteriene i denne bestemmelse medregnes ikke mobile komponenter som reserveaggregat eller beredskapstransformatorer, midlertidige plasserte transformatorer, generatortransformatorer, eller transformatorer for regulering og spesielle formål (fasekompensering, spoler og lignende). For transformatorer med flere funksjoner (viklinger) regnes høyeste ytelse av transformering mellom nettnivåer.
Klasse 1 omfatter:
  1. Kraftstasjon med samlet installert generatorytelse på minst 50 MVA.
  2. Transformatorstasjon med samlet hovedtransformatorytelse på minst 10 MVA.
  3. Omformerstasjon med samlet installert ytelse for omforming på minst 10 MVA.
  4. Selvstendig koblingsstasjon i kraftsystemet bygget for et spenningsnivå på minst 30 kV.
  5. Kraftledning bygget for et spenningsnivå på minst 5 kV.
  6. Fjernvarmesentral med samlet installert ytelse på minst 50 MW. I ytelsen skal medregnes effekt i ekstern varmeleveranse.
  7. Transformatorstasjon til vindkraftanlegg med samlet installert ytelse på minst 75 MVA. Dersom transformatorstasjonen også transformerer til nettformål, klassifiseres den som transformatorstasjon etter bokstav b.
  8. Driftskontrollsystem som styrer eller overvåker anlegg som omfattet av bokstav a til g.
Klasse 2 omfatter:
  1. Kraftstasjon med samlet installert generatorytelse på minst 100 MVA og kraftstasjoner på minst 100 MVA plassert i dagen.
  2. Transformatorstasjon med samlet hovedtransformatorytelse på minst 50 MVA og høyeste spenningsnivå på minst 30 kV.
  3. Omformerstasjon med samlet installert ytelse for omforming på minst 50 MVA og høyeste spenningsnivå på minst 30 kV.
  4. Selvstendig koblingsstasjon i kraftsystemet bygget for et spenningsnivå på minst 100 kV.
  5. Kraftledning bygget for et spenningsnivå på minst 30 kV.
  6. Fjernvarmesentral med samlet installert ytelse på minst 150 MW. I ytelsen skal medregnes effekt i ekstern varmeleveranse.
  7. Transformatorstasjon til vindkraftanlegg med samlet installert ytelse på minst 500 MVA. Dersom transformatorstasjonen også transformerer til nettformål, klassifiseres den som transformatorstasjon etter bokstav b, men ikke lavere enn klasse 2.
  8. Driftskontrollsystem som styrer eller overvåker kraftforsyningen til befolkning på minst 50 000, eller flere anlegg omfattet av bokstav a til g.
Klasse 3 omfatter:
  1. Kraftstasjon i fjell med samlet installert generatorytelse på minst 250 MVA.
  2. Transformatorstasjon med samlet hovedtransformatorytelse på mer enn 100 MVA og bygget for et høyeste spenningsnivå på minst 200 kV og transformering til sekundært spenningsnivå i nett på minst 30 kV.
  3. Selvstendig koblingsstasjon i kraftsystemet bygget for et spenningsnivå på minst 200 kV.
  4. Kraftledning bygget for et spenningsnivå på minst 200 kV.
  5. Driftskontrollsystem som styrer eller overvåker kraftforsyningen til befolkning på minst 250 000, eller flere anlegg omfattet av bokstav a til d.

§ 5-3. Sikring av klassifiserte anleggegen side

Alle klassifiserte anlegg skal prosjekteres, plasseres, utføres, utrustes, sikres, driftes og holdes i slik stand at risiko for skade, havari og funksjonssvikt og andre uønskede hendelser og handlinger blir minst mulig.

§ 5-4. Sikringstiltak for klasse 1egen side

Anlegg klassifisert i klasse 1 skal, i tillegg til kravene til sikring etter § 5-1 og § 5-3, oppfylle følgende generelle krav til sikring:
  1. Anlegget skal utføres etter krav til normalt sikringsnivå, som nærmere angitt i vedlegg 1.
  2. Skader og funksjonstap skal oppdages innen rimelig tid.
  3. Skader skal utbedres og anleggets funksjoner skal gjenopprettes uten ugrunnet opphold.
Anlegg klassifisert i klasse 1 skal også oppfylle særlige krav til sikring for sin klasse og anleggstype som fastsatt i vedlegg 1, jf. vedlegg 4.

§ 5-5. Sikringstiltak for klasse 2egen side

Anlegg klassifisert i klasse 2 skal, i tillegg til kravene til sikring etter § 5-1 og § 5-3, oppfylle følgende generelle krav til sikring:
  1. Anlegget skal utføres og utstyres etter middels høye krav til sikring, som nærmere angitt i vedlegg 2.
  2. Tap av vitale funksjoner skal begrenses og etter eventuell skade skal anleggets funksjonalitet gjenopprettes uten ugrunnet opphold.
Anlegg klassifisert i klasse 2 skal også oppfylle særlige krav til sikring for sin klasse og anleggstype som fastsatt i vedlegg 2, jf. vedlegg 4.

§ 5-6. Sikringstiltak for klasse 3egen side

Anlegg klassifisert i klasse 3 skal, i tillegg til kravene til sikring etter § 5-1 og § 5-3, oppfylle følgende generelle krav til sikring:
  1. Anlegget skal utføres og utstyres etter høye krav til sikring, som nærmere angitt i vedlegg 3.
  2. Vitale funksjoner skal opprettholdes i ekstraordinære situasjoner og anleggets funksjonalitet skal gjenopprettes uten ugrunnet opphold.
Anlegg klassifisert i klasse 3 skal også oppfylle særlige krav til sikring for sin klasse og anleggstype som fastsatt i vedlegg 3, jf. vedlegg 4.

§ 5-7. Vedtak om sikring eller klasseegen side

Beredskapsmyndigheten kan treffe vedtak om andre eller ytterligere sikringstiltak i medhold av energiloven § 9-2 annet, jf. tredje ledd. Ved vedtak skal det tas hensyn til anleggets eller systemets betydning for kraftforsyningen.
Beredskapsmyndigheten kan treffe vedtak om at anlegg, system eller annet skal klassifiseres i en annen klasse enn det som følger av § 5-2 dersom det anses nødvendig.
Beredskapsmyndigheten kan treffe vedtak om at anlegg, system eller annet skal klassifiseres i en annen klasse enn det som følger av tidligere vedtak dersom det anses nødvendig.

§ 5-8. Vurderingegen side

Virksomheter som planlegger å bygge eller vesentlig endre eller utvide anlegg som er eller vil være klassifisert etter denne forskriften, skal på bakgrunn av anleggets klasse, foreta en risikovurdering og prosjektere, utføre og sikre anlegg og system som angitt i denne forskrift.

§ 5-9. Meldeplikt om sikringstiltakegen side

Virksomheter som planlegger å bygge, endre eller utvide anlegg, system eller annet, skal i god tid før arbeidets oppstart sende beredskapsmyndigheten skriftlig melding om hvilken klasse det vil bli utført etter, jf. § 5-2. Meldingen skal bekrefte at arbeidet vil skje i samsvar med kravene i § 5-4 til § 5-6.
Melding skal gis på den måten beredskapsmyndigheten bestemmer. Meldingen skal være vedlagt den informasjon som beredskapsmyndigheten bestemmer.

§ 5-10. Vaktholdegen side

Virksomheter som eier eller driver kraftforsyningsanlegg hvor politi eller forsvar planlegger bruk av sikringsstyrker skal samarbeide med disse om planlegging, tilrettelegging og gjennomføring av sikring.
Plikten omfatter blant annet:
  1. Påvise anleggets vitale deler og beskaffenhet for øvrig.
  2. Anskaffe materiell for sikring av anlegget og gjennomføre øvrige tiltak for å hjelpe vaktstyrken.
  3. Tilrettelegge for øvelser på anleggets område.
Beredskapsmyndigheten kan etter denne paragraf gi nærmere bestemmelser for objektsikring og gi bestemmelser for gjennomføring av øvelser i høyspenningsanlegg.

§ 5-11. Restriksjoner for adgang til steder og områderegen side

Alle driftssentraler i klassifiserte driftskontrollsystemer, og alle anlegg klassifisert i klasse 3, skal ha restriksjoner for adgang. Beredskapsmyndigheten kan vedta at også anlegg i klasse 2 skal ha restriksjoner for adgang.
Ved anlegg underlagt restriksjoner for adgang skal:
  1. De besøkende følge en fast avgrenset rute.
  2. De besøkende til enhver tid være ledsaget av en erfaren og ansvarlig representant for anlegget.
  3. Fotografering være forbudt med mindre spesiell tillatelse er innhentet fra ansvarlig representant for anlegget.
For driftssentraler i driftskontrollsystemer i klasse 3 er det forbudt med besøkende og fotografering. Personer uten full bakgrunnssjekk etter § 6-7 skal ikke ha adgang til driftssentraler i klasse 3. Beredskapsmyndigheten kan vedta det samme for andre anlegg i klasse 3.

Kapittel 6. Informasjonssikkerhet

§ 6-1. Identifisering av kraftsensitiv informasjon og rettmessige brukereegen side

KBO-enheter skal etter energiloven § 9-3 første ledd identifisere hva som er kraftsensitiv informasjon, hvor denne befinner seg og hvem som har tilgang til den.
Identifiseringen av hva som er kraftsensitiv informasjon og hvor denne befinner seg, skal omfatte oppbevaring på papir, lagring i elektronisk form eller lagring på annen måte.
Med rettmessig bruker menes fysiske eller juridiske personer som har tjenstlig behov for kraftsensitiv informasjon. Den enkelte KBO-enhet skal selv avgjøre hvem som har tjenstlig behov for kraftsensitiv informasjon innenfor sin virksomhet.
Den enkelte KBO-enhet kan avgjøre om det er tjenstlig behov for å videreformidle kraftsensitiv informasjon til andre utenfor egen virksomhet. Den som har fått tilgang til kraftsensitiv informasjon av en KBO-enhet kan ikke videreformidle den kraftsensitive informasjonen til andre. Beredskapsmyndigheten kan i tvilstilfeller avgjøre hvem som er rettmessig bruker.

§ 6-2. Kraftsensitiv informasjonegen side

Kraftsensitiv informasjon er underlagt taushetsplikt etter § 9-3 i energiloven.
Med kraftsensitiv informasjon menes konkrete og detaljerte opplysninger om kraftforsyningen, herunder klassifiserte anlegg og system, som kan utnyttes til å skade kraftforsyningen eller svekke kraftforsyningens evne til å håndtere ekstraordinære situasjoner, som for eksempel:
  1. informasjon om systemer som ivaretar driftskontrollfunksjoner for klassifiserte anlegg.
  2. fremstilling av hele eller deler av kraftsystemet, herunder fremstillinger som viser eller beskriver enkeltkomponenter eller sammenkoblinger i klassifiserte anlegg.
  3. detaljert informasjon om klassifiserte transformator-, koblings-, og omformerstasjoner som anleggets klasse, informasjon om komponentene i stasjonen, beskrivelse av tiltak mot bevisst skadeverk og innvendige bygningstegninger. Dette inkluderer driftsmerking, antall, ytelse og omsetningsforhold på transformatorer, funksjon på bygg.
  4. oversikt over forsyning av kraft og fjernvarme til eiendommer, bygg og anlegg som understøtter viktige samfunnsfunksjoner.
  5. nøyaktig kartfesting av flere jordkabeltraseer samlet innenfor et større område. Nøyaktig kartfesting av fjernvarmerør, unntatt hovedrørnettet, tilknyttet varmesentraler i klasse 2.
  6. forebyggende sikkerhetstiltak mot bevisst skadeverk.
  7. lokalisering av reservedriftssentraler og andre beredskapsanlegg.
  8. informasjon som beskriver eller avdekker sårbarheter i kraftforsyningen eller klassifiserte anlegg.
  9. beredskapsplaner for å håndtere hendelser i kraftforsyningen.
  10. oversikt over reservemateriell, reserveløsninger eller reparasjonsberedskap.

§ 6-3. Beskyttelse, avskjerming og tilgangskontrollegen side

Virksomheter som har eller behandler kraftsensitiv informasjon skal etablere, opprettholde og videreutvikle system og rutiner for effektiv avskjerming, beskyttelse og tilgangskontroll for kraftsensitiv informasjon. Beskyttelse skal omfatte tiltak mot avlytting og manipulering fra uvedkommende.
System og rutiner skal omfatte merking, oppbevaring, bruk og distribusjon, tilintetgjøring og tiltak for intern og ekstern rapportering av hendelser av betydning for informasjonssikkerheten.
Særskilte regler og sikkerhetstiltak skal utarbeides ved bruk av mobile enheter som kan motta, sende og lese kraftsensitiv informasjon.

§ 6-4. Sikkerhetsinstruksegen side

Virksomheter som har eller behandler kraftsensitiv informasjon skal utarbeide og praktisere en sikkerhetsinstruks som sikrer at kravene til informasjonssikkerhet ivaretas. Sikkerhetsinstruksen skal beskrive hvilke system, rutiner og tiltak som er iverksatt for å etterleve kravene til informasjonssikkerhet, herunder krav til beskyttelse, avskjerming og tilgangskontroll.
Sikkerhetsinstruksen skal omfatte informasjon til ansatte og andre rettmessige brukere om taushetsplikten etter energilovens § 9-3 annet ledd og stille krav til undertegning av taushetserklæring. Sikkerhetsinstruksen skal også omfatte informasjon om at taushetsplikten medfører at kraftsensitiv informasjon ikke skal offentliggjøres.

§ 6-5. Anskaffelseregen side

KBO-enheter har ansvaret for at bestemmelsene om informasjonssikkerhet og taushetsplikt for kraftsensitiv informasjon ivaretas i anskaffelser. KBO-enheter skal i anskaffelser påse at leverandører er forpliktet til å etterleve bestemmelsene om informasjonssikkerhet og taushetsplikt for kraftsensitiv informasjon.
Det skal i avtale sikres at KBO-enheter gis rett til å kontrollere, herunder revidere, leverandørens etterlevelse av disse bestemmelsene.
Plikten til å påse innebærer at det skal iverksettes system og rutiner for å undersøke, og om nødvendig, følge opp at reglene om informasjonssikkerhet og taushetsplikt etterleves.
Bestemmelsene i første og annet ledd gjelder tilsvarende når KBO-enheter setter ut oppdrag for prosjektering, installering, vedlikehold og feilretting av driftskontrollsystemet.

§ 6-6. Begrenset anbudsinnbydelseegen side

Anbudsinnbydelser og lignende skal begrenses når det er nødvendig for å hindre at sikkerhetsgradert eller kraftsensitiv informasjon blir offentlig tilgjengelig gjennom anbudsdokumentene.
Forståelsen av begrenset anbudsinnbydelse bygger på anskaffelsesregelverket.

§ 6-7. Personkontrollegen side

KBO-enheter skal gjennomføre en bakgrunnssjekk av personer før ansettelse.
KBO-enheter kan kreve at personer som skal få tilgang til anlegg, system eller annet i klasse 2 og 3 skal fremlegge kredittsjekk.
KBO-enheter skal før de fremsetter krav etter annet ledd foreta en risikovurdering. Kredittsjekk skal ikke anvendes dersom det kan iverksettes andre egnede sikkerhetstiltak.
Bakgrunnssjekken etter første og annet ledd skal brukes som grunnlag for å vurdere en persons egnethet til å få tilgang til klassifiserte anlegg, system eller annet. Kredittsjekk skal slettes når egnethetsvurderingen er gjennomført.
Krav om personkontroll etter første til fjerde ledd gjelder ikke personer som er sikkerhetsklarert og autorisert etter den til enhver tid gjeldende lov om nasjonal sikkerhet (sikkerhetsloven).
Beredskapsmyndigheten kan etter søknad gi unntak fra kravene i første til fjerde ledd i denne bestemmelsen. Beredskapsmyndigheten kan ved vedtak fastsette krav om bakgrunnssjekk etter første til fjerde ledd for bestemte anlegg, system og annet.

§ 6-8. Sikkerhetskopieregen side

Virksomheter skal ha oppdaterte sikkerhetskopier av nødvendig informasjon, programvare og konfigurasjoner av driftskontrollsystemet som er av betydning for drift, sikkerhet og gjenoppretting av kraftforsyningen. Sikkerhetskopiene skal fjernlagres på et sikkert sted, som er lett tilgjengelig for virksomheten.
Nødvendig dokumentasjon om energisystemet og som lagres på datamedia, skal også foreligge som papirutskrifter. Disse skal oppdateres årlig og oppbevares på et sikkert sted som er lett tilgjengelig for virksomheten.

§ 6-9. Digitale informasjonssystemeregen side

Virksomheter skal sikre digitale informasjonssystemer slik at konfidensialitet, integritet og tilgjengelighet ivaretas.
Det er den enkelte virksomhets ansvar å planlegge, gjennomføre og vedlikeholde sikringstiltak etter det digitale informasjonssystemets type, oppbygging og funksjon.
Virksomheter skal ha en grunnsikring for digitale informasjonssystemer i henhold til anerkjente standarder og normer, herunder:
  1. Identifisere og dokumentere
    Virksomheter skal identifisere og dokumentere verdier, leveranser, tjenester, systemer og brukere i sine digitale informasjonssystemer. Dokumentasjonen skal holdes oppdatert.
  2. Risikovurdering
    Virksomheter skal gjennomføre risikovurdering ved systemendringer. Risikovurderingen skal holdes oppdatert.
  3. Sikre og oppdage
    Virksomheter skal sikre sine digitale informasjonssystemer for å motstå eller begrense skade fra uønskede hendelser. Virksomheter skal overvåke sine digitale informasjonssystemer slik at uønskede hendelser oppdages og registreres. Virksomheten skal varsle uønskede hendelser i sine digitale informasjonssystemer til den beredskapsmyndigheten bestemmer.
  4. Håndtere og gjenopprette
    Virksomheter skal håndtere uønskede hendelser i sine digitale informasjonssystemer og gjenopprette normaltilstand uten ugrunnet opphold.
  5. Tjenesteutsetting
    Virksomheter skal sørge for at sikkerhetsnivået opprettholdes eller forbedres ved utsetting av tjenester.
  6. Sikkerhetsrevisjon
    Virksomheter skal jevnlig gjennomføre revisjoner av iverksatte sikringstiltak for digitale informasjonssystemer. Revisjoner skal påse at tiltakene faktisk er etablert og fungerer etter sin hensikt. Hver revisjon kan ta for seg deler av sikringstiltakene.

§ 6-10. Brytefunksjonalitet i avanserte måle- og styringssystem (AMS)egen side

Nettselskap som har avanserte måle- og styringssystem (AMS) med brytefunksjonalitet, skal sikre dette mot uønsket tilgang. Brytefunksjonalitet som definert i forskrift om måling, avregning, fakturering av nettjenester og elektrisk energi, nettselskapets nøytralitet mv. § 1-3, inkluderer i denne bestemmelsen begrensning av energi- og effektuttaket i det enkelte målepunkt. Nettselskap skal etablere og opprettholde egne sikkerhetstiltak for brytefunksjonaliteten, herunder:
  1. Det er kun nettselskap som har tillatelse til å utføre fjernstyring av brytefunksjonaliteten. Fjernstyring av brytefunksjonaliteten skal utføres fra en adgangskontrollert sone.
  2. Leverandør med fjerntilgang til brytefunksjonaliteten, skal være lokalisert i et land som er medlem i EFTA, EU eller NATO. Leverandør lokalisert i andre land kan få tidsavgrenset fjerntilgang til brytefunksjonalitet under løpende oppsyn av kvalifisert personell fra nettselskapet eller kvalifisert personell fra leverandør lokalisert i land som er medlem i EFTA, EU eller NATO.
    Før leverandør lokalisert i land utenfor EFTA, EU eller NATO får fjerntilgang til brytefunksjonaliteten, skal nettselskapet foreta en risikovurdering som inneholder en vurdering av landrisiko.
  3. Nettselskap har ansvar for at det etableres kontrollordninger for bruk av bryte- og oppdateringsfunksjonaliteten som hindrer at en enkelt person eller enkelt bruker kan koble ut flere målepunkt samtidig.
  4. Fjernoppdatering av programvaren i AMS skal utføres fra en adgangskontrollert sone hos nettselskap eller leverandør. Ved bruk av leverandør skal vilkårene i bokstav b være oppfylt.
  5. Hver enkelt måler skal ha en individuell sikkerhetsløsning for bryte-, og oppdateringsfunksjonen, som forhindrer at hendelser som kompromitterer sikkerheten i en måler, kompromitterer sikkerheten i en annen måler.

Kapittel 7. Beskyttelse av driftskontrollsystem

§ 7-1. Generell plikt til å beskytte driftskontrollsystemetegen side

Virksomheter med driftskontrollsystem skal sørge for at disse til enhver tid virker etter sin hensikt og skal beskytte driftskontrollsystemet mot alle typer uønskede hendelser.
Driftskontrollsystemer omfatter driftssentraler, utstyr, nettverk, datarom, sambandsanlegg og øvrige anlegg og rom, systemer og komponenter som ivaretar driftskontrollfunksjoner. Med anlegg forstås også tilhørende bygningstekniske konstruksjoner for driftskontrollfunksjoner.
Driftskontrollfunksjoner er alle organisatoriske, administrative og tekniske tiltak for å overvåke, styre og beskytte anlegg i kraftforsyningen.
Det tillates ikke at eksterne leverandører som ikke er KBO-enhet, utfører driftskontrollfunksjoner i nettanlegg eller produksjonsanlegg.

§ 7-2. Interne sikkerhetsregleregen side

Virksomheter skal fastsette sikkerhetsregler for bruk, utvikling, drift, systemvedlikehold, sikring med mer av driftskontrollsystem slik at overvåking og kontroll av kraftforsyningen kan utføres på en sikker måte.
Virksomheter skal gjennomgå sikkerhetsreglene minimum årlig for å sikre at de etterleves og at de gir tilfredsstillende beskyttelse.

§ 7-3. Dokumentasjon av driftskontrollsystemetegen side

Virksomheter skal til enhver tid ha oppdatert dokumentasjon av driftskontrollsystemet.
I dokumentasjonen skal det inngå en oversikt over alle sikkerhetstiltak som er implementert. Dokumentasjonen skal også omfatte en oppdatert skjematisk fremstilling av driftskontrollsystemets logiske og fysiske nettverk som viser eventuelle tilgangspunkt mellom driftskontrollsystemet og andre nettverk. Dokumentasjonen skal også omfatte en komplett oversikt over utstyr i driftskontrollsystemet.

§ 7-4. Kontroll med brukertilgangegen side

Virksomheter skal kontrollere at kun rettmessige brukere har tilgang til driftskontrollsystemet. For dette skal det være kontrollordninger for tildeling, endring og sletting av brukertilgang.
Virksomheter skal kontrollere hvilken bruker som er eller har vært pålogget driftskontrollsystemet, også når ekstern tilkobling brukes.
Kontrollordningene skal gjennomgås minimum årlig for å sikre at alle tilgangsrettigheter er korrekte og på riktig nivå.

§ 7-5. Kontroll ved endringer i driftskontrollsystemetegen side

Virksomheter skal hindre at utilsiktede feil og nye sårbarheter blir introdusert ved endring i driftskontrollsystemet. For dette skal det være kontrollordninger for vurdering, testing og godkjenning av endringer.

§ 7-6. Kontroll med utstyr i driftskontrollsystemetegen side

Virksomheter skal sørge for at utstyr som benyttes i driftskontrollsystemet ikke har blitt brukt eller blir brukt utenom driftskontrollsystemet, heller ikke midlertidig.
Virksomheter skal hindre urettmessig tilgang mellom driftskontrollsystemet og andre informasjonssystemer.
Virksomheter skal hindre urettmessig tilgang til utstyr som benyttes for å etablere logiske eller fysiske skiller mellom driftskontrollsystemet og andre informasjonssystemer.
Virksomheter skal permanent slette all informasjon i utstyr som ikke lenger skal brukes i driftskontrollsystemet.
Det er ikke tillatt å bruke personlig eid utstyr i driftskontrollsystemet.
Datakommunikasjon i driftssentral og datarom skal være trådbundet.
Beredskapsmyndigheten kan i særskilte tilfeller forby bruk av enkelte typer utstyr.

§ 7-7. Håndtering av feil, sårbarheter og sikkerhetsbruddegen side

Virksomheter skal håndtere feil, sårbarheter i programvare, sikkerhetsbrudd og andre hendelser som kan utgjøre en risiko for driftskontrollsystemet.
Virksomheter skal ha tilgang til tilstrekkelig personell med nødvendig kompetanse som uten unødig opphold kan håndtere forhold angitt i første ledd.
Virksomheter skal registrere alle sikkerhetsbrudd og -hendelser.
Forhold som kan utgjøre en umiddelbar risiko for driftskontrollsystemets funksjon, skal varsles og rapporteres til beredskapsmyndigheten, jf. § 2-5 og § 2-6.

§ 7-8. Beredskap ved svikt i driftskontrollsystemetegen side

Virksomheter skal ha beredskap og forberedte tiltak for fortsatt drift av anlegg ved svikt i driftskontrollsystemet.

§ 7-9. Bemanning av driftssentralegen side

Virksomheter skal til enhver tid ha tilstrekkelig og tilgjengelig autorisert personell med nødvendig kompetanse, slik at driftskontrollfunksjonen kan utøves uten ugrunnet opphold.
Virksomhetens risikovurdering skal ligge til grunn for valg av bemanningens størrelse samt omfang av ordninger for påkalling av ekstra personell ved behov, jf. § 2-3 og § 5-8.

§ 7-10. Ekstern tilkobling til driftskontrollsystemegen side

Virksomheter skal ha kontroll med ekstern tilkobling til driftskontrollsystemet.
Kun godkjente brukere kan gis tilgang til driftskontrollsystemet gjennom ekstern tilkobling. Virksomheter skal ha en oppdatert liste over alle godkjente brukere.
Det skal foreligge en egen forhåndsavtalt prosedyre for ekstern tilkobling til driftskontrollsystemet.
Virksomheter skal ha kontrollordninger for å godkjenne, vedlikeholde og avvikle ordninger for ekstern tilkobling til driftskontrollsystemet, og for funksjoner for innstilling av vern.
Virksomheter skal ha kontrollordninger for vurdering, tildeling, endring og tilbaketrekking av brukertilgang.

§ 7-11. Systemredundans i driftskontrollsystemetegen side

Virksomheter skal vurdere behovet for redundans i driftskontrollsystemet basert på lokale forhold og risikovurdering.

§ 7-12. (Opphevet)egen side

§ 7-13. Beskyttelse mot elektromagnetisk puls og interferensegen side

Virksomheter skal vurdere driftskontrollsystemets sårbarhet for elektromagnetisk puls (EMP) eller elektromagnetisk interferens (EMI). Dersom sårbarheter avdekkes, skal det gjennomføres sikrings- eller beredskapstiltak etter driftskontrollsystemets betydning for sikker drift og gjenoppretting av funksjon i kraftforsyningen.

§ 7-14. Særskilte krav til driftskontrollsystem klasse 2egen side

Foruten de generelle krav til beskyttelse av driftskontrollsystemet, skal virksomheter med driftskontrollsystem i klasse 2 oppfylle følgende tilleggskrav:
  1. Sikkerhetskopier
    Virksomheten skal jevnlig teste at gjenoppretting av elektroniske sikkerhetskopier fungerer etter hensikten.
  2. Sikkerhetsrevisjon
    Virksomheten skal jevnlig gjennomføre en sikkerhetsrevisjon og kontroll av pålagte beskyttelsestiltak i driftskontrollsystemet. Revisjonens formål skal være å påse at tiltakene faktisk er etablert og fungerer etter sin hensikt.
  3. Overvåking og logging
    Virksomheten skal ha automatisk overvåking, logging, analyse og varsling ved uautorisert bruk, forsøk på uautorisert tilgang, unormal datatrafikk eller annen aktivitet som ikke er autorisert i driftskontrollsystemet.
  4. Utilgjengelig driftssentral
    Dersom driftssentralen blir utilgjengelig, skal virksomheten kunne betjene og manuelt styre anlegg som inngår i virksomhetens driftskontrollsystem. I tillegg skal virksomheten ha planer for alternativ drift dersom driftssentralen blir utilgjengelig over lengre tid.
  5. Bemanning av driftssentral
    Virksomheten skal sørge for at alle påregnelige ekstraordinære situasjoner eller hendelser i energisystemet eller i driftskontrollsystemet umiddelbart oppdages og håndteres uten unødig opphold.
    Virksomheten skal senest innen én time kunne bemanne driftssentralen.
    Virksomheten skal ha en vaktordning som til enhver tid sikrer rask opptrapping av bemanningen ved behov.
  6. Ekstern tilkobling til driftskontrollsystemet
    Ved tilkobling fra leverandører skal driftssentralen være bemannet.
    Virksomheter skal ha kontrollordning for korrekt verifisering av de brukere som er godkjent til å benytte ekstern tilkobling for tilgang til driftskontrollsystemet. Det er ikke tillatt at én brukeridentitet deles mellom flere personer eller systemer.
    Virksomheter skal sørge for at ekstern tilkobling utføres fra et sted med tilstrekkelig sikre omgivelser. Virksomheter skal utarbeide interne regler for hva som er et sikkert sted.
    Den eksterne tilkoblingen skal kun åpnes når det er behov for å få tilgang til driftskontrollsystemet. Tilkoblingen skal være lukket når den ikke er i bruk.
    Det skal foreligge en egen skriftlig prosedyre for ekstern tilkobling.
    Dersom KBO-enheten kan foreta styring av anlegg i kraftforsyningen gjennom ekstern tilkobling, skal styringen kun skje etter tillatelse eller retningslinjer fra bemyndiget person.
    Enhver påkobling til driftskontrollsystemet gjennom ekstern tilkobling skal loggføres.
  7. Systemredundans
    Samband i driftskontrollsystemet skal fungere uavhengig av funksjonssvikt i offentlige elektroniske kommunikasjonstjenester eller kommunikasjonsnett.
    Driftskontrollsystemet frem til anlegg i klasse 2 og 3 skal være redundant frem til det lokale kontrollanlegget. I det lokale kontrollanlegget skal virksomheten vurdere behovet for redundans.
    Redundante føringsveier for samband og redundante komponenter i driftskontrollsystemet skal være fysisk adskilte og uavhengige slik at én enkelt feil eller hendelse ikke medfører tap av viktige funksjoner.
    Det skal etableres reparasjonsberedskap for alt samband, jf. kapittel 4 og § 7-8.
  8. Særskilt om dublering
    Ved dublering som benytter identiske teknologier og løsninger i driftskontrollsystemet, må virksomheten innrette seg slik at samme systemfeil ikke rammer alle dublerte system samtidig, jf. § 7-7.
  9. Beskyttelse mot EMP og EMI
    Det skal gjennomføres sikrings- eller beredskapstiltak for beskyttelse av utrustning som nevnt i § 7-13 mot EMP og EMI for minst én sambandsvei til anlegg i klasse 2 og 3 som driftskontrollsystemet styrer.
  10. Sikker tidsreferanse
    Driftskontrollsystem som er avhengig av eksakt tidsreferanse, skal ha sikre kilder for tidsangivelse.
  11. krav til leverandør
    For leveranser til driftskontrollsystemer tillates kun leverandører fra land som er medlem i EFTA, EU eller NATO. En leveranse omfatter levering av utstyr, komponenter, programvare, data, programmeringstjenester, oppdateringer, feilretting, service og vedlikehold.

§ 7-15. Særskilte krav til driftskontrollsystem klasse 3egen side

Foruten de generelle kravene samt særskilte krav til beskyttelse av driftskontrollsystem i klasse 2, skal virksomheter med driftskontrollsystem i klasse 3 oppfylle følgende tilleggskrav:
  1. Reserve driftssentral
    Virksomheter skal ha reservedriftssentral som skal plasseres i sikker avstand til ordinær driftssentral, slik at ikke samme hendelse kan ramme begge.
    Reservedriftssentral skal til enhver tid være klar til bruk og være utstyrt slik at den kan fungere helt uavhengig av ordinær driftssentral og kunne ivareta alle driftskontrollfunksjoner,
    Virksomheter skal minimum årlig vurdere om det er behov for å øke bemanningen eller omfanget av vaktordningen for rask opptrapping av bemanning, jf. § 7-9, annet ledd.
  2. Bemanning av driftssentral
    Driftssentralen skal være døgnbemannet.
    Opptrapping av bemanningen skal kunne skje innen én time etter at påkalling er gjort.
    Virksomheten skal minimum årlig vurdere om det er behov for å øke bemanningen eller omfanget av vaktordningen for rask opptrapping av bemanning, jf. § 7-9, andre ledd.
  3. Ekstern tilkobling til driftskontrollsystemet
    Kobling i nettanlegg eller styring av øvrige anlegg gjennom ekstern tilkobling er ikke tillatt.
  4. Systemredundans
    Sambandsveiene i driftskontrollsystemet skal utføres så sikre og robuste og med en slik redundans og avstand at ikke samtidige eller påfølgende hendelser som uvær, brann eller omfattende teknisk svikt hindrer eller skader begge føringsveier og andre redundante delsystem.
    Frem til alle anlegg i klasse 3 skal virksomheten ha kontroll og råderett over alle komponenter og andre tekniske løsninger i minst én sambandsvei, og beskytte disse, jf. kapittel 5.
  5. Beskyttelse mot EMP og EMI
    Det skal gjennomføres sikringstiltak for beskyttelse av utrustning som nevnt i § 7-13 mot EMP og EMI for minst én sambandsvei til anlegg i klasse 3 som driftskontrollsystemet styrer. Beredskapsmyndigheten kan i særskilte tilfeller godkjenne beredskapstiltak som alternativ til sikringstiltak.
    I sambandsvei til anlegg i klasse 2 som driftskontrollsystemet styrer, skal det gjennomføres sikrings- eller beredskapstiltak.
  6. Fastsettelse av særlige krav til bemanning
    For spesielt viktige driftskontrollsystemer kan beredskapsmyndigheten fastsette særlige krav, også til bemanning, jf. § 5-7.

§ 7-16. Vern av kraftsystem i regional- og transmisjonsnettegen side

Kommunikasjonsbaserte vernsystemer i transmisjons- og regionalnett skal ha pålitelige og sikre samband som fungerer upåvirket av feiltilstander i kraftsystemet, og sørger for overføring av nødvendige signaler og meldinger mot relevante driftssentraler.
Vernsystemer skal sørge for rask og selektiv frakopling av enhet med funksjonsfeil for å begrense konsekvensen av feil i kraftsystemet.

§ 7-17. Mobile radionett – driftsradioegen side

KBO-enheter som er avhengig av pålitelig mobilkommunikasjon for drift, sikkerhet eller gjenoppretting av funksjon, skal ha tilgang til et mobilt sambandssystem. Dette sambandssystemet skal:
  1. Omfattes av den generelle sikringsplikten etter § 5-1.
  2. Til enhver tid holdes i funksjonsdyktig stand, være klar til bruk, og det skal være rask tilgang på kritiske reservedeler og kompetanse på feilretting.
  3. Kunne betjenes av personell med nødvendig kompetanse til bruk.
  4. Ha tilstrekkelig dekningsgrad for kraftforsyningens anlegg og drift.
  5. Kunne fungere uavhengig av funksjonssvikt i offentlige elektroniske kommunikasjonstjenester eller kommunikasjonsnett.
  6. Ha tilstrekkelig nødstrøm ved omfattende eller langvarige strømbrudd, herunder et nødstrømssystem med automatisk start og minimum 48 timer selvstendig driftstid.
  7. Ha nødvendig funksjonalitet med blant annet direkte apparat til apparat-kommunikasjon, gruppesending og felles oppkall.
  8. Kunne fungere som reservesamband om annet viktig samband svikter.
  9. Der hvor radionettet benytter anlegg tilhørende et klassifisert driftskontrollsystem eller hvor det må regnes som en del av dette, skal sambandssystemet beskyttes i henhold til driftskontrollsystemets klasse.
  10. Der hvor radionettet er digitalisert og f.eks. baserer seg på IP-løsninger, skal dette sikres mot uautorisert tilgang, spredning av uønsket programvare, urettmessig overtakelse m.m. etter relevante bestemmelser i denne forskrift.

Kapittel 8. Avsluttende bestemmelser

§ 8-1. Kontrollegen side

Beredskapsmyndigheten fører kontroll med at bestemmelser gitt i eller i medhold av denne forskriften overholdes.
Virksomheter skal medvirke til gjennomføring av kontroll. Dette omfatter blant annet å fremskaffe dokumentasjon og opplysninger som er nødvendige for å gjennomføre kontroll, og gi beredskapsmyndigheten adgang etter energiloven § 9-5 annet ledd.

§ 8-2. Påleggegen side

Beredskapsmyndigheten kan gi de pålegg som er nødvendige for gjennomføring av bestemmelser gitt i eller i medhold av denne forskrift.

§ 8-3. Dispensasjonegen side

Beredskapsmyndigheten kan i særlige tilfeller gi dispensasjon fra bestemmelser gitt i eller i medhold av denne forskrift.

§ 8-4. Tvangsmulktegen side

Ved overtredelse av bestemmelser gitt i eller i medhold av denne forskrift, kan beredskapsmyndigheten ilegge tvangsmulkt i medhold av energiloven § 10-3.

§ 8-5. Overtredelsesgebyregen side

§ 8-6. Straffegen side

Overtredelse av bestemmelsene i kapittel 2-8, inkludert vedleggene til kapittel 5, kan straffes med bøter eller fengsel i medhold av energiloven § 10-5.

§ 8-7. Sektoravgift til beredskapsmyndighetenegen side

Til dekning av beredskapsmyndighetens kostnader til arbeidet med kraftforsyningsberedskap innkreves en årlig sektoravgift.
Sektoravgiften fastsettes for den enkelte KBO-enhet på grunnlag av installert ytelse i klassifiserte anlegg og nettstasjoner pr. 1. januar det år sektoravgiften beregnes for. Satsene skal reguleres slik at de samlede sektoravgiftene tilsvarer de faktiske kostnader beredskapsmyndigheten har med beredskapsarbeidet.

§ 8-8. Ikrafttredenegen side

§ 8-9. Forholdet til eldre vedtak om klassifisering og overgangsregleregen side

Kraftstasjoner klassifisert i klasse 1 med installert ytelse under 50 MVA, er ikke lenger klassifisert. Fjernvarmesentraler klassifisert i klasse 1 ved enkeltvedtak og som har lavere installert ytelse enn 50 MW, er ikke lenger klassifisert.
Øvrige vedtak om sikring eller andre vedtak i medhold av forskrift 16. desember 2002 nr. 1606 om beredskap i kraftforsyningen truffet etter 1. januar 2003 og før 1. januar 2013 står fortsatt ved lag inntil de blir endret eller opphevet i medhold av denne forskrift.
Anlegg som er idriftssatt før 1. januar 2013, og som ikke er omfattet av vedtak omtalt i annet ledd, klassifiseres etter denne forskrift, men slik at sikringstiltak etter kapittel 5 kan tilpasses bygningsteknisk utforming og tidligere pålegg om fysisk sikring. Ved vesentlig ombygging eller utvidelse vil kravene etter kapittel 5 gjelde fullt ut for den del av anlegget som endres.
Vedtak om beredskapsmessige forhold til kraftforsyningen om annet enn klassifisering og sikringstiltak truffet før 1. januar 2003, og som ikke er erstattet av senere vedtak eller forskrifter står ved lag så langt de passer inntil de blir endret eller opphevet i medhold av denne forskrift.
Alle anlegg som er satt i drift etter 1. januar 2013 skal klassifiseres og sikres etter denne forskrift. Dette gjelder selv om de har fått konsesjon før 2013. For disse anleggene gjelder en overgangsperiode på 2 år. Beredskapsmyndigheten kan gi én dispensasjon fra dette. Slik dispensasjon kan kun gis én gang for hvert anlegg for en periode på inntil 2 år.

§ 8-10. Overgangsregler for kraftsensitiv informasjonegen side

For informasjon som er omfattet av § 6-2 annet ledd og som er gjort allment tilgjengelig før 1. januar 2025, gjelder endringsbestemmelsen § 6-2 fra 1. januar 2026.

Vedlegg 1 til § 5-4: Særlige krav til sikring for anlegg klassifisert i klasse 1

Vedlegg 2 til § 5-5: Særlige krav til sikring for anlegg klassifisert i klasse 2

Vedlegg 3 til § 5-6: Særlige krav til sikring for anlegg klassifisert i klasse 3

Vedlegg 4: Henvisning til normer og standarder i forskriften