Das Energiesystem erfährt erhebliche Veränderungen in der Erzeugung und im Verbrauch von Elektrizität. Diese Änderungen erfordern, dass auch norwegische Netzbetreiber, neben dem TSO Statnett, eine aktivere Rolle beim Betrieb des Stromnetzes übernehmen. Damit die Netzgesellschaften eine solche aktive Rolle übernehmen können, benötigen sie Zugang zu mehr Informationen über die geplante und tatsächliche Nutzung des Netzes, als ihnen heute gewährt wird. Da die Netzgesellschaften in vielen Fällen organisatorisch eng mit Energieerzeugungsunternehmen (z.B. als Teil einer Unternehmensgruppe) verbunden sind, muss sichergestellt werden, dass die Netzbetreiber neutral handeln, ohne Informationen zu missbrauchen, die marktsensibel sein könnten, oder Informationen mit nicht autorisierten Parteien auszutauschen.
Im Auftrag der norwegischen Energieregulierungsbehörde (RME) haben THEMA und Devoteam untersucht, was umgesetzt werden muss, um sicherzustellen, dass das Vertrauen in das Stromsystem erhalten bleibt, selbst wenn die Netzbetreiber Zugang zu marktsensiblen Informationen erhalten.
Die Netzbetreiber sind sich bewusst, dass der Zugang zu verschiedenen Arten von Informationen eingeschränkt werden sollte, und sie befolgen Grundprinzipien für die Informationssicherheit. Energiesensible Informationen waren lange Zeit ein Schwerpunktbereich, und in späteren Jahren wurde der Schutz personenbezogener Daten wichtig. Marktsensiblen Informationen wurde nicht die gleiche Aufmerksamkeit geschenkt, und daher gibt es innerhalb des Sektors keine gemeinsame Definition dessen, was als marktsensible Informationen einzustufen ist. Die Netzbetreiber sind sich bewusst, dass Produktionspläne marktsensibel sind, aber unser Definitionsvorschlag zeigt, dass auch andere Informationen marktsensibel sein können. Dies können Informationen sein, die die Netzbetreiber erhalten, aber auch Informationen, die sie selbst generieren.
Mangelndes Bewusstsein für marktsensible Informationen erschwert es den Netzbetreibern, ihre eigenen Risiko- und Schwachstellenbewertungen durchzuführen. Die Tatsache, dass verschiedene Unternehmen marktsensible Informationen unterschiedlich handhaben, erhöht das Risiko. Unterschiedliche Praktiken könnten beispielsweise Zugangsrechte in Bezug auf einen rechtmäßigen Bedarf an Informationen, die Sicherung von Informationen sowohl bei der Speicherung als auch bei der Übertragung, die Protokollierung von Aktivitäten, Schulung und Sensibilisierung, etc. beeinflussen. Gemeinsame Büros, Kantinen und andere Bereiche könnten eine Arena für unerwünschten Informationsaustausch sein, ob absichtlich oder nicht.
THEMA und Devoteam empfehlen, regulatorische Auflagen im Zusammenhang mit der Aufdeckung von Schwachstellen festzulegen, sowohl in Bezug auf unerwünschte Vorfälle, die zur Ausnutzung von Schwachstellen führen könnten, als auch in Bezug auf den Umgang mit Informationen, die Netzbetreiber von externen Quellen erhalten oder selbst generieren.
Zum Schutz vor unerwünschten Vorfällen sollte es Anforderungen zur Identifizierung und Dokumentation marktsensibler Informationen und rechtmäßiger Benutzer, zu Sicherheitsanweisungen und regelmäßigen Risikobewertungen, zum Schutz vor unerwünschtem Zugriff, unrechtmäßigen Änderungen und Missbrauch und einen dokumentierten Zweck für den Informationszugriff sowie deren Löschung nach Zweckerfüllung geben.
Die Anforderungen in Bezug auf den Umgang mit Informationen umfassen die Pflicht, dass marktsensible Informationen nicht zwischen Netzbetreibern und Marktteilnehmern ausgetauscht werden dürfen, Anforderungen zum rechtmäßigen Bedarf an Zugang zu Informationen, zu Personalausweiskontrolle und zu notwendigen Schulungen.
In Bezug auf die Zusammenarbeit bei Leitstellen empfehlen THEMA und Devoteam, Netzbetreibern den Verkauf solcher Dienste an Marktteilnehmer zu untersagen, wenn die der Netzbetreiber das Recht beibehalten soll, marktsensible Informationen von Marktteilnehmern zu erhalten. Allen Marktteilnehmern sollte es jedoch freistehen, freiwillig die Informationen zu übermitteln, die sie selbst für angemessen für die Weiterverwendung bei Netzbetreibern halten.
Abschließend empfehlen THEMA und Devoteam ein risikobasiertes Aufsichtssystem mit Systemperspektive. Die Systemperspektive umfasst die Kontrolle und Nachverfolgung der Qualitäts- und Führungssysteme der Netzgesellschaften, basierend auf Anforderungen an die Dokumentation und ergänzt um erforderliche Inspektionen. In diesem Fall bedeutet risikobasiert, Aufsicht und Kontrolle auf Bereiche zu lenken, in denen das Risiko von Regelverstößen am größten ist und wo Verstöße zu großen gesellschaftlichen Konsequenzen führen können.
