Tilgang til markedssensitiv informasjon krever økt bevissthet

For å kunne ta en mer aktiv rolle i nettdriften har mange nettselskaper behov for informasjon som kan være markedssensitiv. Dersom nettselskapene skal få rett til tilgang til markedssensitiv informasjon, anbefaler THEMA og Devoteam å innføre ulike krav som sikrer at tilliten til kraftsystemet opprettholdes.

Utviklingen i kraftsystemet med store endringer i produksjon og forbruk av kraft medfører at det kan være ønskelig at nettselskaper også utenom Statnett tar en mer aktiv rolle i driften av nettet. For at nettselskapene skal ta en slik rolle må de ha tilgang på informasjon om planlagt og faktisk utnyttelse av nettet utover det de har rett til å motta i dag. Fordi nettselskapene i mange tilfeller er en del av et konsern som også driver med kraftproduksjon, oppstår det spørsmål om hvordan en kan sikre at nettselskapene opptrer nøytralt, slik at de ikke misbruker informasjon som kan være markedssensitiv eller deler informasjonen med uvedkommende.  

 På oppdrag for Reguleringsmyndigheten for energi (RME) har THEMA og Devoteam derfor undersøkt hva som må til for at tilliten til kraftsystemet opprettholdes også dersom nettselskapene får rett til tilgang på markedssensitiv informasjon.  

 Nettselskapene har et bevisst forhold til at tilgangen til ulike typer informasjon bør være begrenset og følger grunnprinsipper for informasjonssikkerhet. De har lenge hatt stort fokus på kraftsensitiv informasjon, og i de senere årene også på personsensitiv informasjon. Det samme fokuset mangler derimot for markedssensitiv informasjon, og det finnes derfor ingen omforent definisjon i bransjen av hva som er markedssensitiv informasjon. Nettselskapene er oppmerksomme på at produksjonsplaner er markedssensitiv informasjon, men vårt forslag til definisjon viser at også annen informasjon kan være markedssensitiv. Dette kan være informasjon nettselskapene mottar, men også informasjon de genererer selv.  

 Manglende oppmerksomhet rundt markedssensitiv informasjon gjør det vanskelig for nettselskapene å gjennomføre egnede risikoanalyser. Det gir også risiko for at nettselskapene etablerer ulik praksis i håndteringen av markedssensitiv informasjon. Ulik praksis kan for eksempel påvirke tilgangsstyring relatert til tjenstlige behov for informasjon, sikring av informasjon i ro eller transitt, logging av aktivitet, opplæring og bevisstgjøring mm. Felles lokaler, kantiner mm. kan være en arena for uønsket informasjonsutveksling, enten det skjer tilsiktet eller utilsiktet. 

 THEMA og Devoteam anbefaler derfor å stille krav knyttet til avdekkede sårbarheter, både knyttet til beskyttelse av uønskede hendelser som kan føre til at sårbarheter blir utnyttet og krav til håndtering av informasjon som nettselskapene får overført til seg eller som de genererer selv.  

 For å beskytte mot uønskede hendelser bør det stilles krav om å identifisere og dokumentere markedssensitiv informasjon og rettmessige brukere, krav om sikkerhetsinstruks og regelmessige risikovurderinger, krav om beskyttelse mot uønsket tilgang, urettmessig endring og misbruk, og krav om dokumentert formål for behandling og sletting når behovet er oppfylt.  

Kravene knyttet til håndtering av informasjonen inkluderer krav om at funksjoner som behandler markedssensitiv informasjon ikke kan deles mellom nettselskap og markedsaktør, krav om tjenstlig behov for den som gis tilgang og krav om personkontroll og nødvendig opplæring.  

Vedr. samarbeid om driftssentral anbefaler THEMA og Devoteam å innføre et krav om at nettselskapet ikke kan selge driftstjenester til markedsaktører dersom selskapet skal ha rett til å motta markedssensitiv informasjon fra markedsaktører. Alle aktører står imidlertid fritt til å sende frivillig den informasjonen de mener er hensiktsmessig til nettselskapene.  

THEMA og Devoteam anbefaler til slutt et risikobasert tilsynsarbeid med et systemperspektiv. Systemperspektivet innebærer kontroll og oppfølging av nettselskapenes kvalitets- og ledelsessystemer, basert på krav til dokumentasjon supplert med inspeksjoner eller stedlig tilsyn. Med risikobasert tilsynsarbeid menes at tilsynet innrettes mot områder der risikoen for regelbrudd er størst og der bruddene kan ha store samfunnsmessige konsekvenser. 

Relaterte poster

Flere poster