Magma
21.04.2020
Digitaliseringen av samfunnet påvirker og stiller krav til virksomheter på flere måter. I diskusjoner og analyser fokuseres det gjerne på behov for kompetanseheving, omstillingsevne eller virksomhetenes evne til å håndtere et endret risikobildet. En annen og mer underkommunisert utfordring ved teknologiutviklingen er den økte kompleksiteten når det gjelder rettslige krav som virksomhetene er underlagt. Nye lover og forskrifter innføres nærmest på løpende bånd, både som følge av nasjonale vurderinger (eksempelvis sikkerhetsloven) og internasjonale forpliktelser (eksempelvis personvernforordningen - GDPR). Resultatet er et komplekst samspill av generelle og sektorspesifikke krav på ulike nivåer som gjør det krevende for virksomheter å forstå hvilke forpliktelser de er underlagt, og hvordan forpliktelsene kan etterleves på en effektiv måte.
I artikkelen tar forfatterne for seg utkastet til lov om sikkerhet i nettverk og informasjonssystemer, og analyserer i hvilken grad lovutkastet medfører nye forpliktelser for virksomheter som blir underlagt bestemmelsene. Loven skal gjennomføre det såkalte NIS-direktivet i norsk rett og omfatter to kategorier virksomheter: tilbydere av samfunnsviktige tjenester og enkelte tilbydere av digitale tjenester. Den første kategorien omfatter tilbydere innenfor sektorene energi, transport, helse, bank/ finans, drikkevannsforsyning og digital infrastruktur. Den andre kategorien omfatter nettbaserte markedsplasser, nettbaserte søkemotorer og skytjenester. Virksomheter som omfattes av loven, får blant annet krav til å gjennomføre sikkerhetstiltak som står i et rimelig forhold til den risikoen virksomheten står overfor og krav om å varsle om alvorlige IKT-sikkerhetshendelser.INTRODUKSJON OG BAKGRUNN
Norsk næringsliv, forvaltning og samfunnet for øvrig er i dag avhengig av velfungerende IT-nettverk og informasjonssystemer. Det norske samfunnet er stadig mer koblet sammen gjennom teknologi, avhengighetene mellom virksomheter og mellom sektorer blir sterkere, og vi ser stadig tettere bindinger til andre land. Som påpekt av IKT-sikkerhetsutvalget kan trusler mot IKT-infrastrukturen vår true vår levemåte, demokrati og rettsikkerhet (IKT-sikkerhetsutvalget, 2018, s. 9). Ved slutten av 2018 sendte Justis- og beredskapsdepartementet («departementet») på høring et utkast til lov som gjennomfører EUs direktiv om sikkerhet i nettverk og informasjonssystemer («utkastet»), også kjent som NIS-direktivet ((EU) 2016/1148), i norsk rett. Formålene med NIS-direktivet er å forbedre de nasjonale cybersikkerhetskapasitetene, styrke samarbeidet om IKT-sikkerheten i hele EU og fremme en kultur for risikostyring og varsling om hendelser blant de viktigste økonomiske aktørene, nemlig tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester (EU-kommisjonen, 2017, s. 2). Direktivet pålegger medlemsstatene å gjennomføre en rekke tiltak (Justis- og beredskapsdepartementet, 2018, s. 1; ENISA, 2017, s. 8):
1. utarbeide en nasjonal strategi om IKT-sikkerhet og etablere en nasjonal enhet for håndtering av digitale sikkerhetshendelser (CSIRT);
2. sørge for at tilbydere av samfunnsviktige tjenester og tilbydere av enkelte digitale tjenester, basert på en risikovurdering, gjennomfører hensiktsmessige og forholdsmessige sikkerhetstiltak, og varsle om alvorlige hendelser;
3. peke ut minst én nasjonal myndighet som skal overvåke den nasjonale gjennomføringen av direktivet; 4. sørge for deltakelse i de to internasjonale samarbeidsgruppene som ble etablert under direktivet: en samarbeidsgruppe for strategisk styring og forvaltning av direktivet (NIS Cooperation Group) og et nettverk av nasjonale responsmiljøer (NIS CSIRT Network) som skal samarbeide om håndtering av digitale sikkerhetshendelser.
Direktivet setter minimumskrav når det gjelder både virkeområde og sikkerhetskrav. Det er derfor opp til det enkelte medlemslandet å inkludere flere samfunnssektorer og stille strenge sikkerhetskrav enn det som følger av direktivet. Derimot er handlingsrommet vedrørende tilbydere av digitale tjenester mindre, grunnet denne typen virksomhets grenseoverskridende natur og behovet for like regler i hele EU. Mer detaljerte reguleringer av kravene som stilles til tilbydere av digitale tjenester, er inntatt i EU-kommisjonens gjennomføringsforordning (EU) 2018/151 («gjennomføringsforordningen»). Departementet har signalisert at denne gjennomføringsforordningen vil bli vedtatt som forskrift til den endelige loven som gjennomfører NIS-direktivet (Justis- og beredskapsdepartementet, 2018, s. 6).
Lovutkastet gjennomfører punkt 2 i listen ovenfor. Regjeringen har ikke tatt endelig stilling til om direktivet skal gjennomføres, men departementet anser direktivet for å være et godt tiltak for å styrke IKT-sikkerheten i Norge (Justis- og beredskapsdepartementet, 2018, s. 3-4). Samtidig med lovutkastet sendte departementet utredning fra IKT-sikkerhetsutvalget på høring. I utredningen analyserer utvalget blant annet lovutkastet og anbefaler, på lik linje med EU-kommisjonen, å inkludere flere samfunnssektorer ved gjennomføringen av direktivet, herunder offentlig forvaltning (IKT-sikkerhetsutvalget, 2018, s. 71; EU-kommisjonen, 2017, s. 5).
Denne artikkelen tar utgangspunkt i utkastet til lov om sikkerhet i nettverk og informasjonssystemer og retter seg mot tilbydere av samfunnsviktige tjenester og tilbydere av enkelte digitale tjenester. Imidlertid kan drøftelsen i artikkelen være relevant for en bredere krets av aktører, herunder offentlig forvaltning.
IKT-sikkerhetsutvalget har kartlagt at det er omtrent 150 lover og forskrifter som potensielt angår IKT-sikkerhet på nasjonalt plan, dog er det kun et mindretall som stiller eksplisitte IKT-sikkerhetskrav, og enda færre er tverrsektorielle lover. Blant disse tverrsektorielle lovene er lov om sikkerhet av 1. juni 2018 nr. 24 («sikkerhetsloven») den loven som kommer nærmest å dekke NIS-direktivets krav, selv om det er vesentlige forskjeller mellom de to regelverkene. En annen viktig tverrsektoriell lov som stiller sikkerhetskrav og en plikt til å melde brudd på personopplysningssikkerhet, er lov om behandling av personopplysninger av 15. juni 2018 nr. 38, som implementerte EUs personvernforordning 2016/679 i norsk rett (ellers ofte kjent som GDPR).
Artikkelen analyserer først lovutkastets virkeområde. Deretter ser artikkelen nærmere på sikkerhetskravene og varslingskravene i lovutkastet og sammenligner disse kravene med lignende krav i sikkerhetsloven og personopplysningsloven. Av plasshensyn avgrenses artikkelen mot annen lovgivning som angår IKT-sikkerhet.
LOVUTKASTETS VIRKEOMRÅDE
HVEM GJELDER LOVUTKASTET FOR?
Lovutkastet gjelder for to kategorier virksomhet. For det første omfatter det tilbydere av samfunnsviktige tjenester innen sektorene energi (elektrisitet, olje og gass), transport (luft, jernbane, sjø og vei), helse (helsetjenester), vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur. En virksomhet er ansett som tilbyder av en samfunnsviktig tjeneste innenfor én av de ovennevnte sektorene dersom tjenesteleveransen er avhengig av såkalte nettverk og informasjonssystemer, og der en hendelse vil kunne få betydelig forstyrrende effekt på tjenesteleveransen. Hva som er nettverk og informasjonssystemer, er definert i lovutkastet og omfatter: (i) elektronisk kommunikasjonsnett etter ekomloven § 1-5 nr. 2, (ii) en enhet eller en gruppe av sammenkoblede eller beslektede enheter, der en eller flere enheter behandler digitale data automatisk ved hjelp av et program, eller (iii) digitale data som lagres, behandles, innhentes eller overføres ved hjelp av elementer nevnt i (i) eller (ii) for at dataene skal kunne driftes, vernes, beskyttes eller vedlikeholdes, jf. § 4 nr. 3. Når
Gå til medietI artikkelen tar forfatterne for seg utkastet til lov om sikkerhet i nettverk og informasjonssystemer, og analyserer i hvilken grad lovutkastet medfører nye forpliktelser for virksomheter som blir underlagt bestemmelsene. Loven skal gjennomføre det såkalte NIS-direktivet i norsk rett og omfatter to kategorier virksomheter: tilbydere av samfunnsviktige tjenester og enkelte tilbydere av digitale tjenester. Den første kategorien omfatter tilbydere innenfor sektorene energi, transport, helse, bank/ finans, drikkevannsforsyning og digital infrastruktur. Den andre kategorien omfatter nettbaserte markedsplasser, nettbaserte søkemotorer og skytjenester. Virksomheter som omfattes av loven, får blant annet krav til å gjennomføre sikkerhetstiltak som står i et rimelig forhold til den risikoen virksomheten står overfor og krav om å varsle om alvorlige IKT-sikkerhetshendelser.INTRODUKSJON OG BAKGRUNN
Norsk næringsliv, forvaltning og samfunnet for øvrig er i dag avhengig av velfungerende IT-nettverk og informasjonssystemer. Det norske samfunnet er stadig mer koblet sammen gjennom teknologi, avhengighetene mellom virksomheter og mellom sektorer blir sterkere, og vi ser stadig tettere bindinger til andre land. Som påpekt av IKT-sikkerhetsutvalget kan trusler mot IKT-infrastrukturen vår true vår levemåte, demokrati og rettsikkerhet (IKT-sikkerhetsutvalget, 2018, s. 9). Ved slutten av 2018 sendte Justis- og beredskapsdepartementet («departementet») på høring et utkast til lov som gjennomfører EUs direktiv om sikkerhet i nettverk og informasjonssystemer («utkastet»), også kjent som NIS-direktivet ((EU) 2016/1148), i norsk rett. Formålene med NIS-direktivet er å forbedre de nasjonale cybersikkerhetskapasitetene, styrke samarbeidet om IKT-sikkerheten i hele EU og fremme en kultur for risikostyring og varsling om hendelser blant de viktigste økonomiske aktørene, nemlig tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester (EU-kommisjonen, 2017, s. 2). Direktivet pålegger medlemsstatene å gjennomføre en rekke tiltak (Justis- og beredskapsdepartementet, 2018, s. 1; ENISA, 2017, s. 8):
1. utarbeide en nasjonal strategi om IKT-sikkerhet og etablere en nasjonal enhet for håndtering av digitale sikkerhetshendelser (CSIRT);
2. sørge for at tilbydere av samfunnsviktige tjenester og tilbydere av enkelte digitale tjenester, basert på en risikovurdering, gjennomfører hensiktsmessige og forholdsmessige sikkerhetstiltak, og varsle om alvorlige hendelser;
3. peke ut minst én nasjonal myndighet som skal overvåke den nasjonale gjennomføringen av direktivet; 4. sørge for deltakelse i de to internasjonale samarbeidsgruppene som ble etablert under direktivet: en samarbeidsgruppe for strategisk styring og forvaltning av direktivet (NIS Cooperation Group) og et nettverk av nasjonale responsmiljøer (NIS CSIRT Network) som skal samarbeide om håndtering av digitale sikkerhetshendelser.
Direktivet setter minimumskrav når det gjelder både virkeområde og sikkerhetskrav. Det er derfor opp til det enkelte medlemslandet å inkludere flere samfunnssektorer og stille strenge sikkerhetskrav enn det som følger av direktivet. Derimot er handlingsrommet vedrørende tilbydere av digitale tjenester mindre, grunnet denne typen virksomhets grenseoverskridende natur og behovet for like regler i hele EU. Mer detaljerte reguleringer av kravene som stilles til tilbydere av digitale tjenester, er inntatt i EU-kommisjonens gjennomføringsforordning (EU) 2018/151 («gjennomføringsforordningen»). Departementet har signalisert at denne gjennomføringsforordningen vil bli vedtatt som forskrift til den endelige loven som gjennomfører NIS-direktivet (Justis- og beredskapsdepartementet, 2018, s. 6).
Lovutkastet gjennomfører punkt 2 i listen ovenfor. Regjeringen har ikke tatt endelig stilling til om direktivet skal gjennomføres, men departementet anser direktivet for å være et godt tiltak for å styrke IKT-sikkerheten i Norge (Justis- og beredskapsdepartementet, 2018, s. 3-4). Samtidig med lovutkastet sendte departementet utredning fra IKT-sikkerhetsutvalget på høring. I utredningen analyserer utvalget blant annet lovutkastet og anbefaler, på lik linje med EU-kommisjonen, å inkludere flere samfunnssektorer ved gjennomføringen av direktivet, herunder offentlig forvaltning (IKT-sikkerhetsutvalget, 2018, s. 71; EU-kommisjonen, 2017, s. 5).
Denne artikkelen tar utgangspunkt i utkastet til lov om sikkerhet i nettverk og informasjonssystemer og retter seg mot tilbydere av samfunnsviktige tjenester og tilbydere av enkelte digitale tjenester. Imidlertid kan drøftelsen i artikkelen være relevant for en bredere krets av aktører, herunder offentlig forvaltning.
IKT-sikkerhetsutvalget har kartlagt at det er omtrent 150 lover og forskrifter som potensielt angår IKT-sikkerhet på nasjonalt plan, dog er det kun et mindretall som stiller eksplisitte IKT-sikkerhetskrav, og enda færre er tverrsektorielle lover. Blant disse tverrsektorielle lovene er lov om sikkerhet av 1. juni 2018 nr. 24 («sikkerhetsloven») den loven som kommer nærmest å dekke NIS-direktivets krav, selv om det er vesentlige forskjeller mellom de to regelverkene. En annen viktig tverrsektoriell lov som stiller sikkerhetskrav og en plikt til å melde brudd på personopplysningssikkerhet, er lov om behandling av personopplysninger av 15. juni 2018 nr. 38, som implementerte EUs personvernforordning 2016/679 i norsk rett (ellers ofte kjent som GDPR).
Artikkelen analyserer først lovutkastets virkeområde. Deretter ser artikkelen nærmere på sikkerhetskravene og varslingskravene i lovutkastet og sammenligner disse kravene med lignende krav i sikkerhetsloven og personopplysningsloven. Av plasshensyn avgrenses artikkelen mot annen lovgivning som angår IKT-sikkerhet.
LOVUTKASTETS VIRKEOMRÅDE
HVEM GJELDER LOVUTKASTET FOR?
Lovutkastet gjelder for to kategorier virksomhet. For det første omfatter det tilbydere av samfunnsviktige tjenester innen sektorene energi (elektrisitet, olje og gass), transport (luft, jernbane, sjø og vei), helse (helsetjenester), vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur. En virksomhet er ansett som tilbyder av en samfunnsviktig tjeneste innenfor én av de ovennevnte sektorene dersom tjenesteleveransen er avhengig av såkalte nettverk og informasjonssystemer, og der en hendelse vil kunne få betydelig forstyrrende effekt på tjenesteleveransen. Hva som er nettverk og informasjonssystemer, er definert i lovutkastet og omfatter: (i) elektronisk kommunikasjonsnett etter ekomloven § 1-5 nr. 2, (ii) en enhet eller en gruppe av sammenkoblede eller beslektede enheter, der en eller flere enheter behandler digitale data automatisk ved hjelp av et program, eller (iii) digitale data som lagres, behandles, innhentes eller overføres ved hjelp av elementer nevnt i (i) eller (ii) for at dataene skal kunne driftes, vernes, beskyttes eller vedlikeholdes, jf. § 4 nr. 3. Når