DSB: Samfunnets kritiske funksjoner

4.1.2 FUNKSJONSEVNE – KAPABILITETER

Den funksjonsevnen samfunnet til enhver tid må opprettholde innenfor området Styring og kriseledelse er beskrevet i kapabilitetene Konstitusjonelle organer og forvaltningen og Beredskap og kriseledelse. Ivaretakelse av personell-, informasjons- og objektsikkerhet i sivil sektor etter sikkerhetsloven inngår også. Ansvar og involverte: • Regjeringen, Stortinget, Høyesterett, • Justis- og beredskapsdepartementet • Forsvarsdepartementet • Statsministerens kontor • Helse- og omsorgsdepartementet • Kommunal- og moderniseringsdepartementet • Øvrige departementer • Politidirektoratet • Politiet • Politiets sikkerhetstjeneste • Direktoratet for samfunnssikkerhet og beredskap • Nasjonal sikkerhetsmyndighet • Helsedirektoratet • Statens strålevern • Statens kartverk • Forsvaret • Øvrige etater • Fylkesmenn • Kommunene Beredskap og kriseledelse Evne til å opprettholde nasjonal beredskap, håndtere kriser og andre uønskede hendelser Konstitusjonelle organer og forvaltningen Evne til å opprettholde konstitusjonelle funksjoner og virksomhet i prioriterte deler av forvaltningen. Kapabiliteten omfatter opprettholdelse av konstitu sjonelle organer som Regjeringen, Stortinget og Høyesterett, samt de deler av forvaltningen som er nødvendig for å ivareta daglig styring og nasjonal sikkerhet. Her inngår opprettholdelse av statens autonomi og handlefrihet som en forutsetning, Med å opprettholde beredskap menes her organisasjoners evne til å planlegge, allokere ressurser til og iverksette forhåndsplanlagte tiltak ved inntrådte fare- eller ulykkessituasjoner i den hensikt å håndtere eller redusere skade.14 Nasjonal beredskap brukes her i betydningen beredskap i statlige (departementer, direktorater, fylkesmenn mv.) og kommunale forvaltningsorganer. Beredskap i Forsvaret og virksomheter med ansvar for samfunnskritiske Norsok (2004) Risiko og beredskapsanalyse. Norsok Standard Z-013N Rev. 5. Norwegian Technology Center. Oslo. S t y rin g s e vn e o g s u v e r e nit e t tjenester til befolkningen (helsevesenet, politiet, finanssektoren osv.) inngår ikke her, men er integrert i funksjonsevnen for disse tjenestene. Totalforsvarsaktørenes beredskap i fredstid og i forbindelse med sikkerhetspolitiske kriser og krig inngår. virksomhetens evne til å gi befolkningen samordnet og målrettet informasjon i forkant av og ved krisesituasjoner. Målet med risikokommunikasjon er å gjøre samfunnet mindre sårbart og å gjøre enkelt mennesker bedre i stand til å håndtere og begrense konsekvensene av farlige situasjoner dersom de skulle inntreffe. Med krise menes «en uønsket situasjon med høy grad av usikkerhet og potensielt uakseptable konsekvenser for de enkeltpersoner, organisasjoner eller stater som rammes».15 Med krisehåndtering menes alle aktiviteter en organisasjon foretar seg for, så langt som mulig, å kunne håndtere og begrense de umiddelbare og langsiktige konsekvensene av den oppståtte situasjonen. Det akutte behovet for ressurser under en krise kan normalt ikke dekkes av dem organisasjonen vanligvis har tilgjengelig. Det vil derfor kunne være nødvendig med en omprioritering og eventuelt også tilførsel av ekstra ressurser. Ansvar og involverte: • Justis- og beredskapsdepartementet • Øvrige departementer • Direktorater mv. • Forsvaret • Fylkesmenn • Kommunene • Politiet • Sivilforsvaret • Kulturdepartementet • Norsk rikskringkasting • Frivillige organisasjoner Sosial beredskap, jf. Lov om helsemessig og sosial beredskap, inngår her. Helseberedskapen inngår i samfunnsfunksjonen Helse og omsorg. Dessuten inngår befolkningsvarsling, bl.a. ved hjelp av tyfonanlegg, og risiko- og krisekommunikasjon, det vil si Stortinget. Foto: Colourbox. Meld. St. 10 (2016–2017) Risiko i et trygt samfunn. S t y rin g s e vn e o g s u v e r e nit e t 4.2 Sentrale lover og forskrifter: FORSVAR • Grunnloven Samfunnsfunksjonen Forsvar er knyttet til opprettholdelse av norsk selvstendighet og forsvar mot fremmede makters eventuelle interesse av å ta kontroll over norsk territorium eller norske ressurser eller legge press på norske myndigheter i den hensikt å redusere myndighetenes handlefrihet. Samfunnsfunksjonen er i hovedsak knyttet til oppgaver i forsvarssektoren, men også sivile aktører inngår, herunder den delen av Politiets sikkerhetstjenestes aktivitet som knytter seg til overvåking av fremmede makters aktivitet i Norge. Utenrikstjenesten, som også er viktig for å fremme norske interesser overfor andre stater, inngår i samfunnsfunksjonen Styringsevne og kriseledelse, mens overvåking av enkeltpersoner og organisasjoner innenlands og forsvar mot terrorangrep hører inn under samfunnsfunksjonen Lov og orden. • Lov om særlige rådgjerder under krig, krigsfare og liknende forhold (beredskapsloven) • Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) • Lov om Etterretningstjenesten • Lov om militære rekvisisjoner (rekvisisjonsloven) • Instruks for Forsvarssjefen • Instruks om Forsvarets bistand til politiet • Vedtak om Beredskapssystem for forsvaret (BFF) • Vedtak om sivilt beredskapssystem (SBS) • Direktiver for militære befalingsmenn og militære

5.3.2 FUNKSJONSEVNE - KAPABILITETER

styring og kontroll med informasjonssikkerheten. Tilnærmingen til informasjonssikkerhet i loven er risikobasert, men den stiller krav om at virksomheten Lov om arkiv (arkivloven) har som formål å trygge arkiv med kulturelt, forskningsmessig eller forvaltningsmessig eller rettslig dokumentasjon for å sikre tilgjengeligheten til denne informasjonen. Lov om forbyggende sikkerhetstjeneste (sikkerhetsloven) er relevant for registre og arkiver som er vurdert å være skjermingsverdige objekter www.arkivverket.no B e f ol k nin g e ns si k k e rh e t eller inneholde skjermingsverdig informasjon, og/ eller registre og arkiver som inneholder graderte opplysninger. Skjermingsverdig informasjon klassifiseres etter sensitivitet i kategoriene begrenset, konfidensielt, hemmelig og strengt hemmelig. Informasjonssystemer som håndterer denne typen informasjon må forhåndsgodkjennes av Nasjonal sikkerhetsmyndighet (NSM). NSM er også tilsynsmyndighet for slike informasjonssystemer og kan i tillegg foreta tester av virksomheters systemer for å kontrollere om de bruker uautoriserte kommunikasjonskanaler for gradert informasjon.

5.4.2 FUNKSJONSEVNE – KAPABILITETER (del 1)

Funksjonsevnen innen dette området er beskrevet i tre kapabiliteter: Sikre registre, arkiver m.v, Personvern, og Hendelseshåndtering i informasjonsog kommunikasjonssystemer. Sikre registre, arkiver mv. Evne til å opprettholde tilstrekkelig tilgjengelighet, integritet og konfidensialitet i databaser, systemer, registre og arkiver som er nødvendige for å ivareta kritiske samfunnsfunksjoner og/eller personers og virksomheters rettigheter. Kapabiliteten omfatter databaser, systemer, tjenester, funksjoner, registre og arkiver som er nødvendige for opprettholdelsen av kritiske samfunnsfunksjoner eller som inneholder informasjon om enkeltmenneskers eller virksomheters rettigheter og forpliktelser, herunder eiendom, finansielle forhold, konsesjoner, sertifikater mv. Med «tilstrekkelig» menes at sikkerhetsnivået er definert på grunnlag av en risikovurdering der både informasjonens verdi og de trusler og farer som er knyttet til systemene og driften av dem, er tatt hensyn til. De systemene som er definert som felleskomponenter (se omtale over), for eksempel Altinn, Folkeregisteret, Matrikkelen mfl. inngår i kapabiliteten sammen med en rekke andre offentlige og private registre som enten leverer viktige data til virksomheter med kritisk samfunnsfunksjon og/eller inneholder informasjon om enkeltpersoners eller virksomheters rettigheter av ulike slag. Virksomhets- og sektorinterne systemer inngår ikke i denne kapabiliteten hvis de ikke inneholder rettighetsinformasjon, men inngår i stedet som forutsetninger for ivaretakelsen av mange av de kapabilitetene som er definert innenfor de ulike samfunnsfunksjonene. Prinsippene for styringen av informasjonssikkerheten i slike systemer vil imidlertid være de samme. Informasjon i sivilie systemer som må beskyttes av hensyn til rikets selvstendighet, sikkerhet og andre nasjonale sikkerhetsinteresser inngår i kapabiliteten Konstitusjonelle organer og forvaltningen, jf. kap 4.1. Ansvar og involverte: • Justis- og beredskapsdepartementet • Kommunal- og moderniseringsdepartementet • Nærings- og fiskeridepartementet • Arbeids- og sosialdepartementet • Samferdselsdepartementet • Andre departementer • Nasjonal sikkerhetsmyndighet • NorSIS • Arkivverket • Nasjonal kommunikasjonsmyndighet • Offentlige systemeiere, for eksempel Arbeidsog velferdsetaten, Skatteetaten, Kartverket, Brønnøysundregistrene, Difi. • Private systemeiere for eksempel i finanssektoren. Personvern Evne til å sikre konfidensialitet og integritet i registre og arkiver som inneholder taushetsbelagte personopplysninger. Kapabiliteten omfatter registre og arkiver som inneholder personopplysninger som i henhold til Lov om behandling av personopplysninger er å anse som taushetsbelagte og uavhengig av om registrene i seg selv er å anse som kritiske for samfunns sikkerheten. Også forvaltningsloven inneholder slike bestemmelser. B e f ol k nin g e ns si k k e rh e t Personvern er knyttet til retten til å ha en egen privat sfære som en selv kontrollerer og dreier seg om forholdet mellom individ og samfunn. Den enkelte skal ha trygghet for at opplysninger av personlig art ikke er tilgjengelig for uvedkommende. Ansvar og involverte: • Kommunal og moderniseringsdepartementet • Datatilsynet • Systemeiere Hendelseshåndtering i informasjons- og kommunikasjonssystemer NSM NorCERT er nasjonalt IKT-responsmiljø og skal koordinere håndteringen av alvorlige IKThendelser mot samfunnskritisk infrastruktur og informasjon. Det er opprettet egne CERT-funksjoner i flere sektorer, for eksempel FinansCERT og HelseCERT. Ansvar og involverte: • Justis- og beredskapdepartementet • Forsvardepartementet • Nasjonal sikkerhetsmyndighet • Sektormyndigheter • Cert-funksjoner i sektorene • Systemeiere Evne til å avdekke informasjonssikkerhetshendelser, begrense skade og raskt gjenopprette normal drift i registre og systemer med kritisk samfunnsfunksjon og/eller som inneholder taushetsbelagte personopplysninger. Kapabiliteten er generell i den forstand at den omfatter alle de systemer som inngår i de tre foregående kapabilitetene under denne funksjonen. Det vil neppe være til å unngå at det fra tid til annen inntreffer uønskede hendelser i et IKT-system. Det er vesentlig at enhver systemeier er i stand til å detektere slike uønskede hendelser så snart som mulig for å begrense skade og gjenopprette systemets funksjona litet og sikkerhet. En inntrenger som ikke blir oppdaget, kan utrette nærmest ubotelig skade og også benytte systemet som utgangspunkt for inn trenging i andre systemer. B e f ol k nin g e ns si k k e rh e t 5.5 Sentrale lover og forskrifter: NATUR OG MILJØ 5.5.1 • Lov om vern mot forurensinger og om avfall (forurensingsloven) BESKRIVELSE, ANSVAR, REGULERING Denne samfunnsfunksjonen er knyttet til sam funnets beredskap mot akutt forurensing av miljøet gjennom uønskede utslipp av fast stoff, væske eller gass til luft, vann eller i grunnen. Beredskap mot utslipp som også medfører umiddelbar fare for menneskers liv og helse, inngår i samfunnsfunksjonen Redningstjeneste.

I tillegg inngår meteorologiske tjenester og over

6.4.1 BESKRIVELSE, ANSVAR, REGULERING (del 1)

Samfunnsfunksjonen Kraftforsyning omfatter de systemer og leveranser som er nødvendig for å ivareta samfunnets behov for elektrisk energi til opp varming, husholdning, produksjon, transport med mer, og fjernvarme der slike anlegg er utbygd. • Lov om tilsyn med elektriske anlegg og elektrisk utstyr (el-tilsynsloven) • Lov om kommunal beredskapsplikt, sivile beskyttelsestiltak og Sivilforsvaret (sivilbeskyttelsesloven) • Forskrift om produksjon, omforming, overføring, omsetning, fordeling og bruk av energi m.m. (energilovforskriften) • Forskrift om systemansvaret i kraftsystemet (systemansvarsforskriften) • Forskrift om planlegging og gjennomføring av rekvisisjon av kraft og tvangsmessige leveringsinnskrenkninger ved kraftrasjonering (rasjoneringsforskriften) • Forskrift om forebyggende sikkerhet og beredskap i energiforsyningen (beredskapsforskriften) • Forskrift om elektriske forsyningsanlegg Samfunnets funksjonalitet Forsynings sikkerhet Vann og avløp Finansielle tjenester Kraftforsyning Elektrisk energi Figur 16. Samfunnsfunksjonen Kraftforsyning med kapabiliteter. Elektronisk kommunikasjon Fjernvarme Transport Satellittbaserte tjenester S a m f u nn e ts f u n k s j onalit e t Forsyning av elektrisk energi Viktige samfunnsoppgaver og kritiske samfunnsfunksjoner er avhengige av et velfungerende system med pålitelig energiforsyning. I Norge er elektrisitetens andel av energibruken betydelig høyere enn i andre land. Denne avhengigheten av én energikilde gjør at det må stilles store krav til forsyningssikkerhet for elektrisk energi. Elektrisk energi transporteres via forsyningsanlegg fra produsentene, som i Norge i hovedsak er vannkraftverk, til forbrukerne. Kraftsystemer er dimensjonert for å kunne overføre den elektriske energien som det er behov for i de timene av året når forbruket av elektrisk energi er høyest. For Norges del vil dette normalt være en kald vinterdag. Energietterspørselen dekkes nasjonalt ved å ha tilstrekkelig egen elektrisitetsproduksjon og importmuligheter fra andre land. Norge utveksler elektrisk energi med Sverige, Danmark, Finland, Nederland og Russland ved behov. Forsyningsnettet i Norge har tre nivåer: sentralnett, regionalnett og distribusjonsnett. Sentralnettet binder sammen produksjon og forbruk i ulike landsdeler, gir aktørene adgang til en markedsplass, og sørger for sentrale utvekslingspunkt i alle regioner. Sentralnettet omfatter også overføringsledningene til utlandet. Distribusjonsnett er de lokale nettene som sørger for distribusjon av elektrisk energi til sluttbrukere. Regionalnettene er bindeledd mellom sentralnettet og distribusjonsnettene. Olje- og energidepartementet har det overordnede ansvaret for forvaltningen av energi- og vann ressursene i Norge. Det er departementets oppgave å påse at forvaltningen utføres etter de retningslinjene Stortinget og regjeringen gir. Departementet har eieransvaret for statsforetaket Statnett. Norges vassdrags- og energidirektorat (NVE) har ansvar for å forvalte de innenlandske energi ressursene og er nasjonal reguleringsmyndighet for elektrisitetssektoren. NVE har videre ansvar for å forvalte Norges vannressurser og har ansvar for forsyningssikkerheten i kraftsystemet. Forsyningssikkerhet er definert som energi-, effektog driftssikkerhet. (DSB) har ansvar for elsikkerhetsregelverket som også er viktig for innretningen av forsyningssystemet og dermed for sikkerheten i dette. Gjennom tilsyn med hvorvidt regelverket følges av aktørene, kartlegger og analyserer DSB risiko og sårbarhet knyttet til elsikkerhet og driften av elektriske forsyningsanlegg. Statnett har ansvar for å bygge og drive det sentrale strømnettet. Foretaket er operatør for hele sentralnettet og eier i overkant av 90 prosent av dette nettet. Statnett har systemansvaret på kort og lang sikt, noe som innebærer ansvar for å sikre momentan kraftbalanse og legge til rette for tilfredsstillende leveringskvalitet i alle deler av landet. NVE har ansvaret for å samordne beredskapsplanleggingen og skal lede landets kraftforsyning under beredskap og i krig. For dette formål er det etablert en landsomfattende organisasjon – Kraftforsyningens beredskapsorganisasjon (KBO) – bestående av NVE og de virksomheter som står for kraftforsyningen. Dette omfatter alle enheter som eier eller driver kraftproduksjon med tilhørende vassdragsregulering, overføring og distribusjon av elektrisk kraft og fjernvarme.48 Alle enheter i KBO har en selvstendig plikt til å sørge for effektiv sikring og beredskap og iverksette tiltak for å forebygge, begrense og håndtere virkningene av ekstraordinære situasjoner. Evne til å opprettholde konfidensialitet, integritet og tilgjengelighet for informasjon i energiforsyningen er grunnleggende viktig for sikkerheten. For de viktigste anleggene i energiforsyningen stilles det krav om redundante sambandsveier for elektronisk kommunikasjon i driftskontrollsystemet. Fjernvarme Et fjernvarmenett er et distribusjonssystem for oppvarmet vann som brukes til å transportere varme til sluttbrukeren. I et fjernvarmesystem kan

6.4.2 FUNKSJONSEVNE – KAPABILITETER

Innenfor samfunnsfunksjonen Kraftforsyning er det definert to kapabiliteter: Forsyning av elektrisk energi og Forsyning av fjernvarme. Forsyning av elektrisk energi Evne til å sikre sluttbrukere tilgang til tilstrekkelig elektrisk energi. Kapabiliteten omfatter leveranse av elektrisk energi til virksomheter og husholdninger i tråd med etterspørselen. Selv om leveringssikkerheten i det norske kraftsystemet generelt er svært god, er avbrudd ikke til å unngå. Kapabiliteten omfatter derfor også evne til raskest mulig å gjenopprette energiforsyningen når svikt oppstår. Ved mer langvarig knapphet i tilgangen på elektrisk energi i et større eller mindre område, skal energiforsyningen ha systemer for å rasjonere energi slik at virksomheter med kritisk samfunnsfunksjon ivaretas spesielt, og skadevirkningene for samfunnet minimeres. Stabil tilgang på tilstrekkelig energi er helt grunnleggende for samfunnssikkerheten. I Norge brukes for eksempel elektrisk kraft til oppvarming av bygg i langt større grad enn i de fleste andre land. Svikt i energitilførselen vil også føre til svikt i elektronisk kommunikasjon og medføre betydelige utfordringer for den enkelte og for en rekke offentlige og private virksomheter. Følgekonsekvensene av et omfattende og langvarig bortfall vil være betydelige og til dels uoversiktlige, selv om det er mulig for å kompensere for en del av disse ved egenberedskap i form av reservestrømforsyning som batterier og aggregater. Ansvar og involverte: • Olje- og energidepartementet • Justis- og beredskapsdepartementet • Norges vassdrags- og energidirektorat (NVE) • Statnett SF • Kraft- og nettselskaper • Direktoratet for samfunnssikkerhet og beredskap • Kunnskapsdepartementet • Metereologisk institutt Forsyning av fjernvarme Evne til å sikre brukere tilgang til tilstrekkelig fjernvarme der dette er utbygd. Kapabiliteten omfatter leveranse av fjernvarme til virksomheter og husholdninger tilknyttet slike anlegg i tråd med det til enhver tid gjeldende behovet. Den omfatter også evne til raskt å gjenopprette varmeforsyningen dersom svikt skulle oppstå. Fjernvarme spiller en stadig viktigere rolle som energibærer for oppvarming av bygg i byområder. Der kundene ikke har andre oppvarmingsmuligheter, kan leveranse av fjernvarme være av kritisk betydning i den kalde årstiden. For helseinstitusjoner og andre lignende virksomheter kan fjernvarme være spesielt viktig, og dette vil kunne gjelde også på andre tider av året. Ansvar og involverte: • Olje- og energidepartementet • Norges vassdrags- og energidirektorat (NVE) • Fjernvarmeselskaper S a m f u nn e ts f u n k s j onalit e t 6.5 Sentrale lover og forskrifter: ELEKTRONISKE KOMMUNIKASJONSNETT OG -TJENESTER • Lov om elektronisk kommunikasjon (ekomloven)

6.6.2 FUNKSJONSEVNE – KAPABILITETER (del 2)

Sikkerhetsutfordringen ved satellittbaserte tjenester har sett fra norske myndigheters side flere aspekter: • Den rollen tjenestene har i mange sammenhenger, gjør at det er nødvendig å ha fokus på kontinuitet i tjenestene og på samfunnets sårbarhet for bortfall av eller forstyrrelser i signalene • Sikkerheten for den bakkebaserte rominfrastrukturen som befinner seg på norsk territorium • Avhengigheter mellom rombaserte tjenester og andre kritiske tjenester og leveranser Satellittbaserte tjenester kategoriseres ut fra bruksområdet. En vanlig inndeling er kommunikasjon, navigasjon og observasjon, men satellitter kan også ha andre funksjoner. I det følgende beskrives de tre viktigste tjenestetypene og de viktigste satellitt programmene Norge er involvert i. Kommunikasjonssatellitter er konstruert for over føring av fjernsynsprogrammer, telefonsamtaler, data, bredbåndstjenester mv og er det viktigste kommersielle området for bruk av satellitter. Satellittkommunikasjon kan spille en viktig rolle for å sikre liv og helse og gjenopprette kritiske funksjoner når deler av bakkebaserte systemer er satt ut av spill, for eksempel ved stormer, flom og skred. Mange beredskapsaktører har Iridium satellittelefoner som reserveløsning i krisesituasjoner. Dette er et amerikansk system som norske myndigheter har begrenset innflytelse på. Mobile brukere i de nordlige deler av Arktis er i dag uten kommunikasjonsmuligheter ut over satellittbasert telefoni og lavrate datakommunikasjon. Satellittnavigasjon innebærer posisjonsbestemmelse ved hjelp av signaler fra satellitter i bane rundt jorden. Satellittnavigasjon er i utgangspunktet utv iklet for militære formål, men brukes både av skipsfarten og i veitransportsystemet; dessuten i stadig større utstrekning også av luftfarten. I tillegg har satellittbasert posisjonsbestemmelse en rekke andre viktige bruksområder. Navigasjonssatellittene leverer også tidssignaler som er av betydning innenfor flere sektorer, bl.a. finans-, energi- og IKT-sektoren. Det europeiske behovet for satellittnavigasjonstjenester dekkes fortsatt av det amerikanske GPS-systemet54, som er et militært system utenfor europeisk kontroll. Det europeiske Galileo-systemet