Selv om begge lovverk setter funksjonskrav til valg og utforming av sikkerhetstiltak så har sikkerhetsloven et bredere innslagspunkt, det vil si at den beskriver flere områder.
Sikkerhetsloven beskriver i § 4-3 følgende om plikter til å gjennomføre sikkerhetstiltak og øvelser; «Virksomheten skal gjennomføre de forebyggende sikkerhetstiltakene som må til for å gi et forsvarlig sikkerhetsnivå og redusere risikoen knyttet til sikkerhetstruende virksomhet.
Slike tiltak kan gjennomføres i sammenheng med andre forebyggende sikkerhetstiltak i virksomheten, så lenge kravene i denne loven oppfylles. Kostnadene ved et sikkerhetstiltak skal stå i et rimelig forhold til det som kan oppnås ved tiltaket. Virksomheten skal regelmessig gjennomføre øvelser for å vurdere effekten av iverksatte sikkerhetstiltak.».
Sikkerhetslovens § 4-4. Krav til dokumentasjon, beskriver følgende; «Virksomheten skal dokumentere vurderingen av risiko og de gjennomførte og planlagte sikkerhetstiltakene.».
I drikkevannsforskriften § 9 beskrives kravet vannverkene har til leveringssikkerhet;
«Vannverkseieren skal sikre at vannforsyningssystemet er utstyrt og dimensjonert samt har driftsplaner og beredskapsplaner for å kunne levere tilstrekkelige mengder drikkevann til enhver tid.» Videre er det beskrevet at: «Vannverkseieren skal legge til rette for at
vannforsyningssystemet kan levere nødvann til drikke og personlig hygiene uten bruk av det ordinære distribusjonssystemet.». Avslutningsvis beskrives det følgende; «Under kriser eller katastrofer i fredstid eller ved krig kan vannforsyningen opprettholdes for å sikre vann til nødvendige formål selv om konsentrasjonen av en eller flere parametere er over
grenseverdiene i vedlegg 1. Dette kan bare gjøres etter avtale med kommunelegen i samsvar med folkehelseloven § 27 bokstav b og Mattilsynet, og etter at abonnentene er varslet i samsvar med kravene i § 23 andre ledd.».
Kravene til ivaretakelse og skjerming av informasjon som er skjermingsverdig er beskrevet i sikkerhetslovens § 5-1: «Informasjon er skjermingsverdig dersom det kan skade nasjonale sikkerhetsinteresser at informasjonen blir kjent for uvedkommende, går tapt, blir endret eller blir utilgjengelig.». Videre settes det krav til beskyttelse av skjermingsverdig informasjon i § 5.2; «Virksomheten skal sørge for et forsvarlig sikkerhetsnivå for skjermingsverdig
informasjon, slik at informasjonen a) ikke blir kjent for uvedkommende b) ikke går tapt eller blir endret c) er tilgjengelig ved tjenstlig behov».
Informasjonssystemsikkerhet
Sikkerhetsloven beskriver i § 6-1. følgende om skjermingsverdige informasjonssystemer; «Et informasjonssystem er skjermingsverdig dersom det behandler skjermingsverdig informasjon, eller dersom det i seg selv har avgjørende betydning for grunnleggende nasjonale
funksjoner.».
Kravene til beskyttelse av skjermingsverdige informasjonssystemer er beskrevet i § 6-2;
«Virksomheten skal sørge for et forsvarlig sikkerhetsnivå for skjermingsverdige informasjonssystemer, slik at
a) informasjonssystemene fungerer slik de skal
b) uvedkommende ikke får tilgang til informasjonen som behandles i systemene c) informasjonen som behandles i systemene, ikke endres eller går tapt
d) informasjonen som behandles i systemene, er tilgjengelig ved tjenstlig behov for tilgang.».
På spørsmål om det har vært fokus på styringssystemer i vannbransjen svarer informantene i HOD følgende; «Norsk vann har utarbeidet flere veilereder, herunder veileder for
sårbarheter knyttet til IKT sikkerhet. Ofte er SCADA systemene (styringssystemene) knyttet opp mot kommunenes IKT system. Mattilsynet er per nå ikke kvalifisert innenfor IKT sikkerhet så det er et behov for å øke kompetansen hos tilsynsmyndigheten.».
Under intervjuet med informanten i Mattilsynets påpekte vedkommende følgende;
«Mattilsynets personell på HK som jobber med vannforsyning er ikke sikkerhetsklarert og Mattilsynet har heller ikke et gradert informasjonssystem som kan ivareta dette.».
På spørsmål om tilstanden for IKT sikring i bransjen svarte informantene i HOD følgende;
«Norsk vann har utarbeidet flere relevante publikasjoner, blant annet veileder for sårbarheter knyttet til IKT sikkerhet.».
Under VASK-samlingen den 11. juni påpekte samtlige med unntak av ett vannverk, at de ikke har sikkerhetsklarert personell eller sikkerhetsavtale med NSM slik at de kan ta imot eller behandle sikkerhetsgradert informasjon.
Sikring av objekter og infrastruktur
Definisjonen på skjermingsverdige objekter og -infrastruktur er beskrevet i § 7-1; «objekter og infrastruktur er skjermingsverdige dersom det kan skade grunnleggende nasjonale funksjoner om de får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettstridig overtakelse» og kravene til beskyttelse av skjermingsverdige objekter og
-infrastruktur er beskrevet i § 7-3; «virksomheten skal iverksette nødvendige sikkerhetstiltak for å opprettholde et forsvarlig sikkerhetsnivå. Sikkerhetstiltakene kan være;
a. fysiske, elektroniske, menneskelige eller organisatoriske barrierer, b. systemer som skal oppdage og varsle om aktivitet eller hendelser, c. systemer og rutiner for avklaring vedrørende aktiviteter og hendelser og
bakgrunnen for dem,
d. oppfølging av uønskede aktiviteter og uønskede hendelser eller e. en kombinasjon av tiltakene nevnt i bokstav a til d.
Virksomheten skal foreta en vurdering av risiko for å avgjøre hvilke tiltak som er nødvendige for å beskytte objektet eller infrastrukturen.».
Figur 10 viser hvordan sammenhengen mellom mål, funksjoner, verdier og sikringstiltak og hvordan sikkerhetsloven stiller krav til ivaretakelse av skjermingsverdige verdier.
Nasjonale sikkerhetsinteresser
Grunnleggende nasjonale funksjoner (GNF)
Informasjon
Informasjons-systemer Infrastruktur Objekter
Risikovurdering Grunnsikring PåbygningstiltakGjenoppretting Fysiske tiltak IKT
Tekniske tiltak Organisatoriske Personell tiltak tiltak
Figur 10: Figur som illustrerer sammenhengen mellom mål, funksjoner, verdier og sikringstiltak.
I sikkerhetsloven omtales verdiene en virksomhet skal beskytte som skjermingsverdig informasjon, -informasjonssystemer, eller skjermingsverdig objekter og -infrastruktur.
I virksomhetssikkerhetsforskriften kapittel 3. Generelle krav til beskyttelse av skjermingsverdige verdier §14 fremgår det at; «sikkerhetstiltakene skal bestå av
grunnsikringstiltak, påbyggingstiltak og tiltak for skadebegrensning og gjenoppretting.». I
§15 utdypes dette ytterligere og det beskrives hvilke prinsipper som skal legges til grunn for valg og utforming av sikkerhetstiltakene.
Drikkevannsforskriften § 10 setter følgende krav til sikring; «Vannverkseieren skal sikre at vannbehandlingsanlegget og alle relevante deler av distribusjonssystemet er tilstrekkelig fysisk sikret, og at alle styringssystemer er tilstrekkelig sikret mot uautorisert tilgang og bruk.». Videre blir kravet til beredskap beskrevet i § 11; «Vannverkseieren skal sikre at det gjennomføres nødvendige beredskapsforberedelser og utarbeides beredskapsplaner i samsvar med helseberedskapsloven og forskrift om krav til beredskapsplanlegging.».
I samme paragraf fremgår det også at; «Vannverkseieren av vannforsyningssystemer med produsert vann per døgn på minst 10 m³ drikkevann, eller som forsyner en eller flere sårbare abonnenter, skal utarbeide en plan for beredskapsøvelser i samsvar med § 7 i forskrift om krav til beredskapsplanlegging.
Vannverkseieren skal sikre at denne planen er oppdatert og følges.».
Figur 11 eksemplifiserer modellen i Figur 10 for vannbransjen og hvordan
drikkevannsforskriften stiller krav til ivaretakelse av funksjoner gjennom sikring av verdier.
Rent, trygt nok drikkevann
Vannkilde
Vann-behandlingsanlegg Infrastruktur
Barrierer Beredskap Vannkalitet
Fysiske tiltak IKT
Tekniske tiltak Nødvann
Minimumsverdier for drikkevann
Figur 11: Eksempelskisse som viser funksjoner, verdier og tiltak i drikkevannsforskriften (sett ovenfra) slik vi har tolket oppbygningen av sikkerhetskravene i drikkevannsforskriften.
Informantene i HOD påpeker at; «drikkevannsforskriften setter krav til at vannverk skal kunne ha beredskap for å sikre trygg vannforsyning av et minimumskvantum drikkevann uansett hvilke hendelser som måtte inntreffe».
Informantene i NSM påpeker i intervjuet at «Sikkerhetsloven setter generelt krav til at det skal oppnås og opprettholdes et forsvarlig sikkerhetsnivå. Objekter og infrastruktur som er utpekt som skjermingsverdige skal klassifiseres. Det foreligger tre klassifiseringsgrader, henholdsvis Viktig / Kritisk / Meget kritisk, hvor det stilles ulike krav til beskyttelsen av disse avhengig av klassifiseringsgraden.» og presiserer at «hvorvidt det foreligger redundante løsninger vil være ett av momentene i vurderingen som ligger til grunn for utpeking av skjermingsverdige objekter.».
Sikring i vannbransjen