Statkraft ikke underlagt sikkerhetslov: – Forstår ikke helt vurderingen

Myndighetene har ennå ingen planer om å legge Europas største produsent av vannkraft under den relativt ferske sikkerhetsloven.

Dette bildet er fra Oddatjønn dam i Rogaland. Foto: Statkraft

Vannkraft står for omtrent 95 prosent av Norges energiproduksjon. Samtidig er Statkraft Europas største produsent av fornybar energi innen vannkraft, solkraft og vindkraft.

– Når Statkraft vurderes av myndighetene å ikke være kritisk nok til å bli underlagt sikkerhetsloven, er dette en vurdering jeg ikke helt forstår.

Det sier trusselanalytiker Cathrine Lagerberg, som er grunnlegger av sikkerhetsselskapet Crown Defenze.

– I et trussel- og beredskapsperspektiv forstår jeg ikke annet enn at Statkraft har en betydelig og kritisk rolle for å kunne opprettholde energileveranser til både norske og europeiske hjem og virksomheter, sier hun.

– For slutter Statkraft å virke, så slutter jo store deler av Norge å virke.

Men det foregår per nå ikke noe konkret arbeid for å legge flere virksomheter i kraftforsyningen under sikkerhetsloven, skriver rådgiver Jo Henrik Jarstø i Energidepartementet i en e-post til E24.

Han legger til at arbeidet med sikkerhetsloven er kontinuerlig og at departementet gjør jevnlige vurderinger og analyser i tilknytning til arbeidet.

Loven fra 2019 åpner for å regne virksomheter, objekter og infrastruktur med grunnleggende nasjonal funksjon som skjermingsverdige.

Departementene skal innenfor sine ansvarsområder utpeke og ha oversikt over disse virksomhetene.

«Svekker nasjonal sikkerhet»

I februar 2023 konkluderte Riksrevisjonen med kritikk mot Justis- og beredskapsdepartementet (JD) for ikke å ha ivaretatt sitt samordnings- og pådriveransvar godt nok.

Det har tatt tid, «men Olje- og energidepartementet har omsider begynt å vurdere hvilke virksomheter i sektoren som skal underlegges sikkerhetsloven», heter det i rapporten, og direkte videre:

«Justis- og beredskapsdepartementet mener at tregheten i arbeidet kan svekke den nasjonale sikkerheten ved at verdier som skal beskyttes, ennå ikke er identifisert og beskyttet godt nok.»

Riksrevisjonen anbefalte blant annet at departementet i større grad bidro til at alle departementer har tilstrekkelig fremdrift i arbeidet som følger av den nye sikkerhetsloven.

Justisdepartementet skriver i en e-post at de har hatt flere møter på departementsnivå om implementeringen av sikkerhetsloven. I tillegg har Nasjonal sikkerhetsmyndighet gjennomført egne veiledninger overfor departementene.

– Det er også viktig å presisere at det ikke nødvendigvis er en feil eller en mangel at en virksomhet ikke er underlagt sikkerhetsloven, skriver pressevakt Camilla Fosse i JD.

– Det trenger ikke automatisk å bety at den ikke er viktig, eller at objekter og infrastruktur ikke er tilstrekkelig sikret, da det også kan være krav til sikring i de ulike sektorregelverkene.

– Viktigere å planlegge

Cathrine Lagerberg i Crown Defenze tar høyde for at myndighetene sitter på et godt datagrunnlag.

– Men i lys av dagens trusselbilde og relativt tydelige trusseltrender fra andre samarbeidsland synes jeg det er interessant å stille spørsmål til hvorfor norske myndigheter ikke vurderer Statkraft å være kritisk nok.

Hun viser til at flere amerikanske etterretningstjenester, cybersikkerhetsselskap og Microsoft advarer mot ulike typer cyberoperasjoner rettet mot fornybar energi-bransjen og kritisk infrastruktur innen vind, sol, kjernekraft, vannkraft og biodrivstoff.

– Enten vi snakker om målrettede russiske cyberoperasjoner eller mer langtidsrettede og pre-posisjonerte kinesiske skadevirus, så mener jeg det er viktigere å planlegge fremover i tid enn for det som allerede har skjedd, sier Lagerberg.

«Da slutter Norge å virke»

Direktør Kjetil Lund i Norges vassdrags- og energidirektorat (NVE) sa i starten av juni til E24 at kraftsystemet i Norge bør skjermes bedre.

«Slutter kraftsystemet å fungere, så slutter Norge å fungere», sa Lund.

NVE leder den nasjonale beredskapen på kraftforsyning og fører tilsyn av virksomhetene i kraftsektoren også underlagt sikkerhetsloven.

Direktoratet inviterte i juni til en workshop om kraftbransjen og sikkerhetsloven. Glitre Energi Nett, Elvia og Statkraft var blant deltakerne.

– Vi har vært med på en workshop om dette hos NVE. Som aktør i bransjen ønsker vi å delta konstruktivt i diskusjonene om dette, sier administrerende direktør Tore Morten Wetterhus i Glitre Nett.

De eier strømnettet i Agder, Buskerud og Hadeland.

– Dette er en betimelig diskusjon fordi sikkerhetstrusselen har blitt skjerpet. Det er fordeler og ulemper ved å underlagt sikkerhetsloven, og vi mener det er en fordel at NVE inviterer til samtaler om dette, sier han.

Hos Statkraft påpeker talsperson Lars Magnus Günther at ingen norske kraftprodusenter per i dag er underlagt sikkerhetsloven.

– Sikkerheten er ivaretatt gjennom energiloven, kraftberedskapsforskriften, damsikkerhetsforskriften og så videre, og følges opp av NVE. Vi forholder oss løpende til NVE og Energidepartementet når det gjelder spørsmål om sikkerhet og beredskap, sier Günther.

– Avveininger rundt dette må derfor tas med nevnte myndigheter.

Ny normal

Kraftbransjens eget sikkerhetsselskap KraftCERT skrev i sin trusselvurdering i juni at det er sannsynlig at virksomheter i sektoren utsettes for angrep med driftsforstyrrende effekt.

Samtidig er det meget sannsynlig at kinesisk-støttede aktører har en betydelig evne og vilje «å unngå deteksjon» i sine cyberoperasjoner, skriver KraftCERT.

– De nevner «Volt Typhoon», som skal kunne pre-posisjonere skadevirus som kan ligge i dvale udetektert i årevis før det aktiveres for ulike destruktive operasjoner mot kritisk infrastruktur, påpeker trusselanalytiker Cathrine Lagerberg.

Hun mener vi nå står overfor en ny normal, og det i lang tid fremover, som er preget av ulik misnøye og trusler fra forskjellige risikostater.

– Selv om det ikke er rapportert om tilsvarende kinesiske statlig-støttede cyberangrep som amerikanske myndigheter advarer mot, utgjør slike trusler mot kritisk infrastruktur såpass store konsekvenser at jeg mener at trusseltrendene bør vektes mer i trusselvurderinger.

– Som trusselanalytiker mener jeg, i likhet med Kjetil Lund, at Statkraft har altfor mye informasjon åpent tilgjengelig. Dette, i tillegg til en rekke andre sårbarheter ville nok blitt vurdert og fjernet dersom Statkraft hadde vært underlagt sikkerhetsloven, sier Lagerberg.

Jarstø i Energidepartementet understreker at arbeidet knyttet til sikkerhetsloven pågår kontinuerlig, og ikke er noe som nylig startet opp. Det har pågått siden loven trådte i kraft, skriver han.

– Hvilke vurderinger, hvis noen, er gjort for Statkraft?

– Informasjon om vurderinger og analysene knyttet til sikkerhetsloven er unntatt offentlighet og i mange tilfeller også gradert informasjon. Kraftforsyningen er ellers godt beskyttet gjennom et strengt og omfattende sektorregelverk.

Det finnes også en egen beredskapsorganisasjon for kraftbransjen, KBO.