I forrige uke kunne Dagens Næringsliv fortelle historien om Norpec – selskapet som har «halve» kraftbransjen på kundelisten – og som var blitt politianmeldt av NVE etter mistanke om at kraftsensitiv informasjon har vært på avveie. Selskapet kom i politiets søkelys etter at selskapet ble startet av investorer og tidligere ansatte i Jacobsen Elektro. I en omfattende DN-artikkel ble historien om konkursen til Jacobsen Elektro og oppstarten til Norpec.

Om kraftsensitiv informasjon har vært på avveie, er det opp til politiet å finne ut av. Et annet sentralt punkt, har vært lojaliteten til ansatte i Jacobsen Elektro. Ble kunder av Jacobsen Elektro kontaktet av de ansatte som planla å starte opp Norpec – før Jacobsen Elektro gikk konkurs?

Etter det Europower kjenner til, står det særdeles mange kraftselskap på kundelisten til Norpec. Vi har vært i kontakt med et utvalg av de ti største nettselskapene i Norge og stilt spørsmål om deres kundeforhold til Norpec. De selskapene vi har vært i dialog med, er Lede (eid av Skagerak Energi), Elvia (tidligere Hafslund Nett og Eidsiva Nett), BKK, Agder Energi, Glitre, Tensio (eies av Tensio, NTE og KLP) og Fagne (tidligere Haugaland Kraft Nett).

Alle sju bekrefter at de har hatt et kundeforhold til Norpec. Ett selskap forteller at avtalen med Norpec utløp 01.07.22, og at de ikke har bestemt seg for om det skal utlyses ny anbudsrunde og et annet selskap har ikke lenger noe kundeforhold med Norpec. De resterende fem nettselskapene er altså fremdeles Norpec-kunder.

Ingen av de sju nettselskapene som Europower har vært i kontakt med, oppgir at avtaler er inngått, eller at henvendelser har blitt gjort før Jacobsen Elektro gikk konkurs.

Det var i slutten av november 2019 at Jacobsen Elektro gikk konkurs.

Kundeforholdene dreier seg blant annet om releplanlegging, og service og beredskap på kontrollanlegg. Hos Agder Energi bekrefter kommunikasjonssjef Jon Anders Skau at de har hatt et kundeforhold til begge selskapene.

– Jeg kan bekrefte at vi tidligere har hatt avtale med Jacobsen Elektro, og at vi i dag har avtaler med nye Jacobsen Elektro og Norpec. Dette gjelder for Agder Energi Vannkraft AS og Agder Energi Nett AS, som du så riktig skrev i e-posten. Da Jakobsen Elektro gikk konkurs inngikk vi en midlertidig avtale med Norpec. Senere ble det gjennomført en anbudskonkurranse der Norpec ble valgt som leverandør, skriver Skau til Europower.

– Slik sakens faktum er fremstilt i DN så er den meget alvorlig

Fagne er nettselskapet til Haugaland Kraft-konsernet, og har vært kunde av Norpec siden mars 2020. Det bekrefter leder av innkjøpsavdelingen i Haugaland Kraft-konsernet, Espen Nilsen – som svarer på vegne av datterselskapet Fagne. Han understreker at de ser alvorlig på saken.

– Vi har lest «Kraftlekkasjen» som ble publisert av DN den 25. juni og registrer at det der fremkommer at NVE har anmeldt Norpec for brudd på reglene om taushetsplikt for kraftsensitiv informasjon og krav til håndtering og oppbevaring av sensitiv informasjon om norsk kraftforsyning. Videre registrerer vi at Politiadvokat Hedda Obstfelder ifølge samme DN-sak bekrefter at Norpec er siktet i saken, da påtalemyndigheten i Politiet mener det foreligger skjellig grunn til å mistenke at Norpec besitter bedriftshemmeligheter som de ikke skulle hatt. Slik sakens faktum er fremstilt i DN så er den meget alvorlig. Samtidig forstår vi det slik at etterforskningen er på et tidlig stadium. Ingen er, så vidt vi vet, verken tiltalt eller dømt for noe straffbart. Inntil videre må vi således ta anmeldelsen til orientering, skriver Nilsen i en e-post til Europower.

Spurt om opplysningene som kom frem i DN-saken har ført til at de vurderer kundeforholdet til Norpec, svarer han;

– Fagne stiller høye etiske krav til sine leverandører gjennom våre etiske retningslinjer. Og det faktum som er fremstilt i DN er av meget alvorlig karakter, og sånn sett skal jeg ikke legge skjul på at vi er litt bekymret, sier han.

Nilsen understreker likevel at det foreløpig bare er snakk om påstander mot selskapet og sentrale ansatte

– På generelt grunnlag mener vi det kan få urimelige konsekvenser for leverandører om vi skulle avslutte avtaleforhold på bakgrunn av en siktelse alene. Men DN sin fremstilling har gitt oss en klar oppfordring om å følge saken så tett vi kan. Dersom Norpec blir dømt er det usannsynlig at Norpec fortsetter som leverandør hos oss, sier han.

– Kraftbransjen har et sterkt fokus på datasikkerhet

I saken har det blitt satt fokus på datasikkerhet – og viktigheten av å beskytte kraftsensitiv data har blitt aktualisert.

Kommunikasjonsdirektør Bengt Eidem i Tensio. Foto: TrønderEnergi

Tensios kommunikasjonsdirektør Bengt Eidem skriver til Europower at han har tro på at kraftbransjen tar datasikkerheten alvorlig.

– Vi oppfatter at kraftbransjen har et sterkt fokus på datasikkerhet og skjerming av sensitiv informasjon. Den nye sikkerhetspolitiske situasjonen i Europa har også aktualisert denne tematikken, det er derfor viktig at både enkeltselskaper og myndighetene er tett på disse problemstillingene, sier Eidem.

Også i Fagne mener Espen Nilsen at bransjen jobber hardt med å sikre data om kraftforsyningen.

– Et samlet nett-Norge går på jobb hver dag for å sikre landets kraftforsyning. Dette er vårt viktigste oppdrag. For å lykkes med vårt oppdrag må vi samlet og hver for oss alltid være svært opptatt av datasikkerhet. Sånn sett kan man si at vi alltid frykter for datasikkerheten. Av den grunn jobber vi iherdig med informasjonssikkerhet hver dag, ikke minst innenfor anskaffelsesområdet, sier han til Europower.

Likevel anerkjenner Nilsen at det alltid vil være en viss risiko for at kraftsensitiv informasjon kommer på avveie eller blir misbrukt.

– Jeg kjenner ingen nettselskaper som ikke må dele kraftsensitiv informasjon med tredjeparter, for eksempel leverandører. Og selv om man gjennomfører due diligence av leverandøren, strenge kvalifikasjonsfaser før kontrakt tildeles og inngår informasjonssikkerhetsavtale, så vil ikke slike aktiviteter i seg selv forhindre at vår informasjon kommer på avveie på et senere tidspunkt, sier han.

Alle systemer og avtaler kan gjøre oss tryggere, men likevel kan man aldri være 100 prosent sikker på at ingenting går galt. For mennesker gjør feil.

– Mennesker er feilbarlige og det samme er systemer. De langt fleste systemer vil ha svakheter som kan utnyttes eller manipuleres. Det vi kan gjøre er å følge regelverket som gjelder for informasjonssikkerhet i vår bransje, løpende ha dialog med relevante myndigheter og lytte til deres anbefalinger og ellers gjøre vårt beste for å skape størst mulig informasjonssikkerhet, sier Nilsen.