Bruk av skytjenester innen energisektoren

Bruk av skytjenester innen energisektoren reiser særlige rettslige spørsmål, og det er viktig å gjøre nødvendige vurderinger og forberedelser før man eventuelt tar i bruk slike tjenester. Bruk av skytjenester aksepteres i stadig større grad, men vil i praksis være utelukket for enkelte formål. Begrenset veiledning fra myndighetene, kombinert med komplekse og skjønnsmessige vurderinger, skaper også en regulatorisk risiko.

511542426

Skytjenester er en samlebetegnelse for ulike måter å levere ulike IT-tjenester på, men tilbyr vanligvis en IT-driftsmodell som gjør det mulig å få tilgang til dataressurser som gjerne er tilgjengelige over internett, blir levert og priset etter behov, kan anskaffes og skaleres raskt, og gjøres tilgjengelig med minimalt med administrasjon eller involvering fra tilbyderen. En sentral forskjell fra tradisjonelle tjenester er likevel at ressursene deles med andre kunder, og kunden har som regel heller ikke noen nærmere spesifikasjon av hvilke dataressurser som benyttes eller hvor de befinner seg.

Bruk av skytjenester har vært en økende trend i mange år, og stadig flere virksomheter ser nå på muligheten for å legge deler av sin IT-plattform "ut i skyen"; ofte i forbindelse med digitaliserings- og automatiseringsprosesser. Skytjenestene utvikles og modnes stadig, og er nå en selvsagt del av mange virksomheters ordinære IT-plattform. Det er klart at skytjenesteteknologi både kommersielt og teknisk sett kan være fordelaktig for mange, og kombinert med virtualiseringsteknologi mv er det stadig flere funksjoner som kan "legges ut i skyen". For mange aktører og formål vil skytjenester medføre minst like god sikkerhet, tilgjengelighet og stabilitet som systemer og tjenester levert på intern infrastruktur.

Samtidig gjør skytjenestenes økonomiske natur, og utpregede avhengighet av stordriftsfordeler, at det ofte er globale aktører som leverer tjenestene i form av svært standardiserte løsninger og fra infrastruktur lokalisert utenfor Norges grenser, og med begrensede muligheter for rettslige og tekniske tilpasninger for den enkelte kunde. Dette skaper særlige juridiske utfordringer, og introduserer også nye risikomomenter og sårbarheter i form av avlyttingsfare, jurisdiksjonsspørsmål, og avhengighet til andre aktører og systemer.

Rettslige begrensninger

Myndighetenes holdning til skytjenester har også vært gjennom en modningsprosess, og fra en utpreget skeptisk holdning for kun få år siden anbefales det nå at offentlige virksomheter vurderer skytjenester som et alternativ ved IKT-anskaffelser. Det er neppe noen grunn til å svartmale bruk av skytjenester i en regulatorisk kontekst, og myndighetene arbeider også med å se på de regler som har betydning for bruk av skytjenester i norsk lovverk.

Rettslig sett er det imidlertid flere forhold man skal være klar over før man tar i bruk skytjenester. Bruk av skytjenester vil gjerne også anses som utkontraktering av IT-tjenester, og vil som regel også innebære at behandling av personopplysninger settes ut til andre. Dessuten vil anskaffelse av skytjenester vil by på særlige utfordringer for virksomheter som er underlagt offentlige anskaffelsesregler (herunder forsyningsforskriften), og man må finne et passende avtaleformat for tjenestene. Selv om dette kan by på både praktiske og juridiske utfordringer er de imidlertid sjeldent uoverkommelige.

I tillegg vil sektorspesifikke regler kunne påvirke adgangen til å benytte skytjenester for visse formål. For energisektoren vil det særlig være kravene til beredskap og informasjonssikkerhet som kan være begrensende for bruk av skytjenester.

Verken energiloven eller beredskapsforskriften inneholder noen konkrete forbud mot, eller regulering av, energiselskapers bruk av skytjenester. For administrative systemer vil det nok generelt også være lite til hinder for bruk av skytjenester. Bestemmelser om beskyttelse av kraftsensitiv informasjon og driftskontrollsystemer vil imidlertid begrense mulighetene til å legge informasjon og systemer i skyen, særlig ved bruk av globale skytjenesteleverandører (også som underleverandør), og noen av kravene vil nok i praksis også innebære et absolutt hinder for bruk av skytjenester for enkelte formål.

En ny sikkerhetslov er også på trappene, og det er forventet at energisektoren i større grad enn tidligere vil kunne bli underlagt sikkerhetslovens bestemmelser for kritisk infrastruktur. I så fall vil dette stille nye krav til aktørene, og medføre begrensninger med hensyn til personell, informasjonssikkerhet, geografi og fysisk sikring. Det er sannsynlig at dette da også vil påvirke – og begrense – muligheten for å ta i bruk skytjenester.

NVE har i sin veiledning til beredskapsforskriften av 2013 gitt anvisning på hvilke vurderinger som må gjøres "dersom man likevel vurderer bruk av skytjenester". I en rapport fra mars 2017 om " Regulering av IKT- sikkerhet" drøfter NVE også bruk av skytjenester i energisektoren utførlig. Det er grunn til å tro at et myndighetenes uttalte ønske om å tilrettelegge for skytjenester, samt modningen av skytjenesteteknologier generelt, vil kunne danne grunnlag for både nye retningslinjer og forskrifter knyttet til bruk av skytjenester. Samtidig er det også økende fokus på sikkerhet fra myndighetshold, og vi har i det siste sett eksempler på utkontraktering til utlandet som har resultert i tilsynelatende grove brudd på kravene til informasjonssikkerhet.

I sum synes det å være liten grunn til å forvente noen vesentlig lemping av de kravene som i dag stilles for bruk av skytjenester innen energisektoren, og selv om teknologiske endringer nok kan avhjelpe noen av disse utfordringene må man forvente at adgangen til å benytte skytjenester for energisensitive systemer og informasjon vil være begrenset. Det er imidlertid å håpe at det vil komme retningslinjer og regler som gjør det enklere å foreta de vurderinger som kreves knyttet til bruk av skytjenester, samt å forutsi myndighetenes holdninger til bruk av skytjenester i konkrete saker. I dagens regime fremstår vurderingene som må foretas som komplekse, samtidig som vurderingstemaene åpner for relativt stor grad av skjønn. Dette skaper også en regulatorisk risiko som kan hindre ellers fornuftig bruk av ny teknologi.

Før man benytter skytjenester innenfor energisektoren må det uansett gjøres en nøye vurdering av hvilke risikoer skytjenesten medfører, om dette lar seg realisere innenfor de regulatoriske rammer, og hva dette ellers krever i form av rutiner, dokumentasjon og avtaler. Dette stiller blant annet krav til juridisk og teknisk kompetanse, virksomhetsforståelse, opplæring og tverrfaglig samarbeid, samt dokumentasjon.