Digitaliseringen av samfunnet påvirker og stiller krav til virksomheter på flere måter. I diskusjoner og analyser fokuseres det gjerne på behov for kompetanseheving, omstillingsevne eller virksomhetenes evne til å håndtere et endret risikobildet. En annen og mer underkommunisert utfordring ved teknologiutviklingen er den økte kompleksiteten når det gjelder rettslige krav som virksomhetene er underlagt. Nye lover og forskrifter innføres nærmest på løpende bånd, både som følge av nasjonale vurderinger (eksempelvis sikkerhetsloven) og internasjonale forpliktelser (eksempelvis personvernforordningen - GDPR). Resultatet er et komplekst samspill av generelle og sektorspesifikke krav på ulike nivåer som gjør det krevende for virksomheter å forstå hvilke forpliktelser de er underlagt, og hvordan forpliktelsene kan etterleves på en effektiv måte.
I artikkelen tar forfatterne for seg utkastet til lov om sikkerhet i nettverk og informasjonssystemer, og analyserer i hvilken grad lovutkastet medfører nye forpliktelser for virksomheter som blir underlagt bestemmelsene. Loven skal gjennomføre det såkalte NIS-direktivet i norsk rett og omfatter to kategorier virksomheter: tilbydere av samfunnsviktige tjenester og enkelte tilbydere av digitale tjenester. Den første kategorien omfatter tilbydere innenfor sektorene energi, transport, helse, bank/finans, drikkevannsforsyning og digital infrastruktur. Den andre kategorien omfatter nettbaserte markedsplasser, nettbaserte søkemotorer og skytjenester. Virksomheter som omfattes av loven, får blant annet krav til å gjennomføre sikkerhetstiltak som står i et rimelig forhold til den risikoen virksomheten står overfor og krav om å varsle om alvorlige IKT-sikkerhetshendelser.
Introduksjon og bakgrunn
Norsk næringsliv, forvaltning og samfunnet for øvrig er i dag avhengig av velfungerende IT-nettverk og informasjonssystemer. Det norske samfunnet er stadig mer koblet sammen gjennom teknologi, avhengighetene mellom virksomheter og mellom sektorer blir sterkere, og vi ser stadig tettere bindinger til andre land. Som påpekt av IKT-sikkerhetsutvalget kan trusler mot IKT-infrastrukturen vår true vår levemåte, demokrati og rettsikkerhet (IKT-sikkerhetsutvalget, 2018, s. 9). Ved slutten av 2018 sendte Justis- og beredskapsdepartementet («departementet») på høring et utkast til lov som gjennomfører EUs direktiv om sikkerhet i nettverk og informasjonssystemer («utkastet»), også kjent som NIS-direktivet ((EU) 2016/1148), i norsk rett. Formålene med NIS-direktivet er å forbedre de nasjonale cybersikkerhetskapasitetene, styrke samarbeidet om IKT-sikkerheten i hele EU og fremme en kultur for risikostyring og varsling om hendelser blant de viktigste økonomiske aktørene, nemlig tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester (EU-kommisjonen, 2017, s. 2). Direktivet pålegger medlemsstatene å gjennomføre en rekke tiltak (Justis- og beredskapsdepartementet, 2018, s. 1; ENISA, 2017, s. 8):
utarbeide en nasjonal strategi om IKT-sikkerhet og etablere en nasjonal enhet for håndtering av digitale sikkerhetshendelser (CSIRT);
sørge for at tilbydere av samfunnsviktige tjenester og tilbydere av enkelte digitale tjenester, basert på en risikovurdering, gjennomfører hensiktsmessige og forholdsmessige sikkerhetstiltak, og varsle om alvorlige hendelser;
peke ut minst én nasjonal myndighet som skal overvåke den nasjonale gjennomføringen av direktivet;
sørge for deltakelse i de to internasjonale samarbeidsgruppene som ble etablert under direktivet: en samarbeidsgruppe for strategisk styring og forvaltning av direktivet (NIS Cooperation Group) og et nettverk av nasjonale responsmiljøer (NIS CSIRT Network) som skal samarbeide om håndtering av digitale sikkerhetshendelser.
Direktivet setter minimumskrav når det gjelder både virkeområde og sikkerhetskrav. Det er derfor opp til det enkelte medlemslandet å inkludere flere samfunnssektorer og stille strenge sikkerhetskrav enn det som følger av direktivet. Derimot er handlingsrommet vedrørende tilbydere av digitale tjenester mindre, grunnet denne typen virksomhets grenseoverskridende natur og behovet for like regler i hele EU. Mer detaljerte reguleringer av kravene som stilles til tilbydere av digitale tjenester, er inntatt i EU-kommisjonens gjennomføringsforordning (EU) 2018/151 («gjennomføringsforordningen»). Departementet har signalisert at denne gjennomføringsforordningen vil bli vedtatt som forskrift til den endelige loven som gjennomfører NIS-direktivet (Justis- og beredskapsdepartementet, 2018, s. 6).
Lovutkastet gjennomfører punkt 2 i listen ovenfor. Regjeringen har ikke tatt endelig stilling til om direktivet skal gjennomføres, men departementet anser direktivet for å være et godt tiltak for å styrke IKT-sikkerheten i Norge (Justis- og beredskapsdepartementet, 2018, s. 3-4). Samtidig med lovutkastet sendte departementet utredning fra IKT-sikkerhetsutvalget på høring. I utredningen analyserer utvalget blant annet lovutkastet og anbefaler, på lik linje med EU-kommisjonen, å inkludere flere samfunnssektorer ved gjennomføringen av direktivet, herunder offentlig forvaltning (IKT-sikkerhetsutvalget, 2018, s. 71; EU-kommisjonen, 2017, s. 5).
Denne artikkelen tar utgangspunkt i utkastet til lov om sikkerhet i nettverk og informasjonssystemer og retter seg mot tilbydere av samfunnsviktige tjenester og tilbydere av enkelte digitale tjenester. Imidlertid kan drøftelsen i artikkelen være relevant for en bredere krets av aktører, herunder offentlig forvaltning.
IKT-sikkerhetsutvalget har kartlagt at det er omtrent 150 lover og forskrifter som potensielt angår IKT-sikkerhet på nasjonalt plan, dog er det kun et mindretall som stiller eksplisitte IKT-sikkerhetskrav, og enda færre er tverrsektorielle lover. Blant disse tverrsektorielle lovene er lov om sikkerhet av 1. juni 2018 nr. 24 («sikkerhetsloven») den loven som kommer nærmest å dekke NIS-direktivets krav, selv om det er vesentlige forskjeller mellom de to regelverkene. En annen viktig tverrsektoriell lov som stiller sikkerhetskrav og en plikt til å melde brudd på personopplysningssikkerhet, er lov om behandling av personopplysninger av 15. juni 2018 nr. 38, som implementerte EUs personvernforordning 2016/679 i norsk rett (ellers ofte kjent som GDPR).
Artikkelen analyserer først lovutkastets virkeområde. Deretter ser artikkelen nærmere på sikkerhetskravene og varslingskravene i lovutkastet og sammenligner disse kravene med lignende krav i sikkerhetsloven og personopplysningsloven. Av plasshensyn avgrenses artikkelen mot annen lovgivning som angår IKT-sikkerhet.
Lovutkastets virkeområde
Hvem gjelder lovutkastet for?
Lovutkastet gjelder for to kategorier virksomhet. For det første omfatter det tilbydere av samfunnsviktige tjenester innen sektorene energi (elektrisitet, olje og gass), transport (luft, jernbane, sjø og vei), helse (helsetjenester), vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur. En virksomhet er ansett som tilbyder av en samfunnsviktig tjeneste innenfor én av de ovennevnte sektorene dersom tjenesteleveransen er avhengig av såkalte nettverk og informasjonssystemer, og der en hendelse vil kunne få betydelig forstyrrende effekt på tjenesteleveransen. Hva som er nettverk og informasjonssystemer, er definert i lovutkastet og omfatter: (i) elektronisk kommunikasjonsnett etter ekomloven § 1-5 nr. 2, (ii) en enhet eller en gruppe av sammenkoblede eller beslektede enheter, der en eller flere enheter behandler digitale data automatisk ved hjelp av et program, eller (iii) digitale data som lagres, behandles, innhentes eller overføres ved hjelp av elementer nevnt i (i) eller (ii) for at dataene skal kunne driftes, vernes, beskyttes eller vedlikeholdes, jf. § 4 nr. 3. Når det gjelder hva som menes med at en hendelse vil kunne få en «betydelig forstyrrende effekt» på tjenesteleveransen, er dette også definert i lovutkastet, jf. § 4 nr. 6, som oppstiller en ikke uttømmende liste med momenter som skal vurderes.
For det andre omfatter lovutkastet tilbydere av digitale tjenester, det vil si skytjenester, digitale markedsplasser og digitale søkemotorer, som har sitt hovedforetak i Norge. Eksempler fra denne kategorien er Finn.no og komplett.no. Tilbydere av digitale tjenester som er mikrovirksomheter eller små virksomheter, er ikke omfattet. Det finnes ikke noen tilsvarende begrensning for tilbydere av samfunnsviktige tjenester.
I den grad tilstrekkelig sikkerhet og varsling oppnås gjennom annen lov, fastslår utkastets § 5 at annen lov skal benyttes. Denne bestemmelsen gjennomfører artikkel 1 nr. 7 i NIS-direktivet. Kommisjonen har selv vurdert tre konkrete regelverk: (1) betalingstjenestedirektivet (PSD2), (2) forordning (EU) 648/2012 om OTC-derivater, sentrale motparter og transaksjonsregistre, og (3) direktiv 2014/65/EU om markeder for finansielle instrumenter. Kommisjonen konkluderte med at regelverket (1) oppfyller både sikkerhets- og varslingskravene som følger av NIS-direktivet, mens regelverk (2) og (3) oppfyller direktivets sikkerhetskrav (EU-kommisjonen, 2017, s. 37).
Hvilke krav stiller lovutkastet?
Virksomhetene som omfattes av loven, er i hovedsak underlagt to krav: (1) De skal gjennomføre en risikovurdering og iverksette sikkerhetstiltak som står i et rimelig forhold til den risikoen virksomheten står overfor, jf. §§ 7 og 9, og (2) de skal varsle myndigheter om hendelser som har betydelig innvirkning på tjenesteleveransen, jf. §§ 8 og 10. For ordens skyld nevnes her at § 10 i lovutkastet, som gjennomfører varslingsplikt for tilbydere av digitale tjenester etter NIS-direktivet artikkel 16 nr. 3 og 4, feilaktig oppgir at plikten gjelder for tilbydere av samfunnsviktige tjenester istedenfor tilbydere av digitale tjenester.
Vi ser nærmere på sikkerhetskravene og varslingskravene nedenfor.
Relevante kilder
Denne artikkelen tar utgangspunktet i de relevante lovbestemmelsene i lovutkastet, sikkerhetsloven og personopplysningsloven. Artikkelen refererer også til andre kilder, slik som departementets høringsnotat, IKT-sikkerhetsutvalgets utredning samt veiledning og referansedokumenter fra NIS Cooperation Group og EUs European Network and Information Security Agency (ENISA) så langt de er relevante for tolking av de forannevnte lovene.
Sikkerhetskravene
Sikkerhetskrav for tilbydere av samfunnsviktige tjenester og digitale tjenester
Lovutkastets §§ 7 og 9 stiller tre grunnleggende krav om sikkerhet for tilbydere av samfunnsviktige tjenester og digitale tjenester. For det første skal tilbydere av slike tjenester gjennomføre en risikovurdering av de nettverk og informasjonssystemer som benyttes for å levere tjenesten (første ledd i §§ 7 og 9). Dernest skal tilbyderne treffe hensiktsmessige og proporsjonale tekniske og organisatoriske tiltak som står i et rimelig forhold til risikoen som knytter seg til nettverkene og informasjonssystemene (andre ledd i §§ 7 og 9). Tilbyderne skal også sikre opprettholdelse av tjenesteleveransen gjennom å iverksette egnede og forholdsmessige tiltak for å «forebygge, avdekke og redusere konsekvensene av hendelser» (tredje ledd i §§ 7 og 9). For ordens skyld legger vi til at kravene kun gjelder nettverk og informasjonssystemer som benyttes til å levere tjenester som er underlagt loven. Lønnssystemet til en tilbyder av samfunnsviktige tjenester vil således ikke være omfattet av lovens krav.
Når det gjelder det første kravet om gjennomføring av risikovurderinger, fremgår det indirekte av definisjonen av begrepet «sikkerhet i nettverk og informasjonssystemer» i lovutkastets § 4 første ledd nr. 5 og definisjonen av «risiko» i NIS-direktivets artikkel 4 nr. 9 at risikovurderingene skal identifisere enhver rimelig omstendighet eller hendelse som kan ha en mulig negativ virkning på tilgjengeligheten, autentisiteten, integriteten eller tilliten til data og tjenester innenfor lovutkastets virkeområde. Lovutkastet legger her langt på vei opp til at det må gjennomføres en tradisjonell risikovurdering av nettverk og informasjonssystemer. Det bemerkes likevel at konfidensialitetsvurderinger, som normalt er en sentral del av slike risikovurderinger, ikke har en særlig fremtredende plass i lovutkastet, selv om det nok kan innfortolkes visse krav til konfidensialitet i vurderingen av «tilliten» til data og tjenester. Dette må ses i sammenheng med lovens formål, som er «å opprettholde kritisk samfunnsmessig og økonomisk aktivitet», jf. lovutkastet § 1.
I prinsippet er det opp til tilbyder å velge metode for gjennomføring av risikovurderingene, så fremt disse metodene kan anses for å være faglig forsvarlige. I en veiledning til tilbydere underlagt NIS-direktivet viser ENISA til en liste over anerkjente og hyppig brukte standarder og rammeverk, som ISO/IEC 27001, NIST Risk Management Guide for Information Technology Systems og BSI 100-3 (ENISA, 2018, s. 30). Veiledningen gir videre en vurdering av disse standardene og rammeverkene ut fra visse kriterier som sektormålgruppe(r), kompleksitet, fleksibilitet og metodisk tilnærmingsmåte, og vi legger til grunn at tilbydere i hvert fall vil være på trygg grunn ved å velge én av disse standardene eller ett av disse rammeverkene.
På bakgrunn av risikovurderingene skal virksomhetene deretter iverksette «hensiktsmessige og proporsjonale tekniske og organisatoriske sikkerhetstiltak», jf. §§ 7 og 9 annet ledd. Disse sikkerhetstiltakene skal sørge for et sikkerhetsnivå som er tilpasset risikoen, sett hen til blant annet den teknologiske utviklingen. For digitale tjenester angir lovutkastet videre at man ved vurderingen av sikkerhetsnivå skal se hen til blant annet sikkerheten i systemer og utstyr/anlegg, hendelseshåndtering, overvåking og anerkjente internasjonale standarder slik som ISO/IEC 27001, COBIT5 og PCI DSS (ENISA, 2016, s. 10).
Bestemmelsen stiller funksjonelle krav til sikkerhetstiltakene ved at de skal være «hensiktsmessige og proporsjonale», men det oppstilles ingen krav til gjennomføring av spesifikke tiltak. Slike spesifikke krav vil for det første kunne følge av sektorlovgivning, og vi viser i den forbindelse til kapittel 7 i høringsnotatet (Justis- og beredskapsdepartementet, 2018) som gir en oversikt over aktuelle lover og forskrifter. Videre vil krav til spesifikke tiltak kunne stilles i forskrift, jf. forskriftshjemmelen i fjerde ledd i §§ 7 og 9.
For å sikre harmonisering av eventuelle detaljerte krav som fastsettes av hvert medlemsland, har NIS Cooperation Group publisert et referansedokument hva gjelder reguleringen av tilbydere av samfunnsviktige tjenester (NIS Cooperation Group, 2018a). Her vises det for det første til en del generelle prinsipper ved valg av sikkerhetstiltak. Tiltakene bør eksempelvis være tilpasset virksomheten slik at de har størst mulig effekt på sikkerheten, de bør være proporsjonale slik at de ikke pålegger unødvendige byrder for tilbyderne, og de bør være konkrete og verifiserbare slik at tilbyderne kan fremlegge dokumentasjon til nasjonale tilsynsmyndigheter. Videre inneholder referansedokumentet en gjennomgang av ulike sikkerhetsdomener som styring og risikohåndtering, IT-sikkerhetsarkitektur, identitets- og tilgangsstyring og krisehåndtering. Slik som angitt i høringsnotatet, går det tydelig frem av fortalen til NIS-direktivet at det skal stilles lavere sikkerhetskrav til digitale tjenester, da de anses noe mindre viktige enn de samfunnsviktige tjenestene (Justis- og beredskapsdepartementet, 2018, s. 38).
For tilbydere av digitale tjenester stilles det mer konkrete krav i EU-kommisjonens gjennomføringsforordning. Artikkel 2 nr. 1 oppstiller her krav til systematisk styring av nettverk og informasjonssystemer, krav til fysisk sikkerhet, kontroll med leverandørsikkerheten og tilgangskontroller, mens artikkel 2 nr. 4 stiller konkrete krav til overvåking, revisjon og testing. Videre har ENISA utarbeidet en veileder om implementering av minimumstiltak (ENISA, 2016). At tilbydere av digitale tjenester har fått mer konkrete krav i implementeringsordningen enn hva tilfellet er for tilbydere av samfunnsviktige tjenester, kan tilsynelatende virke merkelig, men kan ikke tas til inntekt for at kravene er strengere for tilbydere av digitale tjenester. Tvert imot er tanken at tilbydere av digitale tjenester i større grad vil kunne oppfylle regelverket ved å oppfylle de spesifiserte minimumskravene, mens tilbydere av samfunnsviktige tjenester må gjennomføre mer helhetlige vurderinger og tiltak.
Utover eventuelle spesifikke krav som kan utledes av rettsaktene, lov eller forskrift, vil det i utgangspunktet være opp til tilbyderne å beslutte hvilke tiltak som skal iverksettes. Dette fremgår uttrykkelig av fortalepunkt 1 i EU-kommisjonens gjennomføringsforordning for tilbydere av digitale tjenester, men dette må etter vårt syn også gjelde for tilbydere av samfunnskritiske tjenester.
Når det gjelder kravet til tiltak for å sikre kontinuiteten, jf. tredje ledd i §§ 7 og 9, er det verdt å merke seg at dette kravet retter seg mot selve tjenesteleveransen. Det er altså ikke tilstrekkelig å iverksette tiltak for å opprettholde nettverk og informasjonssystemene som sådan. Tilbyderne må også vurdere tiltak for å sikre tjenesteleveransen dersom nettverk og informasjonssystemer er nede, eksempelvis ved at et vannverk utarbeider planer for alternativ vannforsyning som del av sin kriseberedskap.
Krav til sikkerhet for nettverk og informasjonssystemer etter sikkerhetsloven
Sikkerhetsloven, som trådte i kraft 1. januar 2019, har som hovedformål å motvirke trusler mot Norges selvstendighet og sikkerhet, jf. sikkerhetsloven § 1-1. Loven oppstiller ulike typer sikkerhetskrav som krav til informasjonssikkerhet, objektsikkerhet, personellsikkerhet og sikkerhetsgraderte anskaffelser, og har sånn sett et videre virkeområdet enn utkastet. Det bør likevel påpekes at de funksjonelle kravene som stilles til informasjonssikkerhet, etter utkastet også innebærer at det må stilles krav til eksempelvis leverandører og personell.
I motsetning til utkastet retter ikke disse sikkerhetskravene for nettverk og informasjonssystemer etter sikkerhetsloven seg mot tilbydere av spesifikke tjenester. Sikkerhetsloven stiller derimot krav til sikkerhet i såkalte skjermingsverdige informasjonssystemer, objekter og infrastruktur, jf. §§ 6-1 og 7-1. Informasjonssystemer er skjermingsverdige hvis de behandler skjermingsverdig informasjon, det vil si informasjon der manglende konfidensialitet, integritet eller tilgjengelighet kan skade nasjonale sikkerhetsinteresser, jf. § 5-1. Informasjonssystemer kan også være skjermingsverdige dersom systemet i seg selv har avgjørende betydning for «grunnleggende nasjonale funksjoner», det vil si virksomhet som er av en slik betydning at bortfall av funksjonen vil påvirke statens evne til å ivareta nasjonale sikkerhetsinteresser, se § 1-5 nr. 2 jf. § 6-1. Og både nettverk og informasjonssystemer kan utpekes som skjermingsverdige objekter, jf. § 7-1 annet ledd.
For både skjermingsverdige informasjonssystemer og skjermingsverdige objekter og infrastruktur må virksomhetene iverksette tiltak som sørger for et «forsvarlig sikkerhetsnivå», jf. §§ 6-2 og 7-3. I likhet med utkastet har altså sikkerhetsloven i utgangspunktet en funksjonell innretning der bestemmelsene gir virksomhetene frihet til å velge hensiktsmessige sikkerhetstiltak i lys av virksomhetens øvrige rammer. Som påpekt i forarbeidene til sikkerhetsloven gir dette en dynamisk og fleksibel lov, men den manglende detaljeringsgraden stiller større krav til skjønnsmessige og krevende vurderinger hos virksomheten (Forsvarsdepartementet, 2017). Det er likevel på det rene at nettverk og informasjonssystemer som er omfattet av sikkerhetsloven, er underlagt flere og strengere krav enn de som stilles etter utkastet. Eksempelvis skal skjermingsverdige informasjonssystemer godkjennes av en godkjenningsmyndighet (jf. sikkerhetsloven § 6-3), som normalt er Nasjonal sikkerhetsmyndighet, jf. virksomhetssikkerhetsforskriften § 51, og det stilles krav om overvåking og inntrengingstesting (§§ 6-4 og 6-5). Videre stilles det en lang rekke krav gjennom virksomhetssikkerhetsforskriften om eksempelvis test av sikkerhetstiltak (§ 61) og krav til å registrere bruk, misbruk og forsøk på misbruk av informasjonssystemet, tjenester og data osv. (§ 49).
På bakgrunn av de mer omfattende og detaljerte kravene som sikkerhetsloven stiller, legger departementet til grunn i sitt høringsnotat at sikkerhetskravene etter sikkerhetsloven går utover kravene til sikkerhet etter NIS-direktivet. Dette betyr at tilbydere neppe vil måtte iverksette ytterligere tiltak som følge av lovutkastet for nettverk og informasjonssystemer som også er underlagt sikkerhetsloven. Som vi kommer nærmere tilbake til, må imidlertid tilbyderne påse at de særskilte varslingskravene etter utkastet oppfylles fullt ut.
Krav til sikkerhet for nettverk og informasjonssystemer etter personopplysningsregelverket
Både personopplysningsloven og forordningen kommer til anvendelse ved helt eller delvis automatisert behandling av personopplysninger, og omfatter således behandling av personopplysninger i nettverk og informasjonssystemer. Virkeområdet til personvernforordningen og personopplysningsloven skiller seg således fra utkastet ved å fokusere på hvilke opplysninger som behandles, fremfor hva slags tjenester tilbyder leverer.
Sikkerhet er ett av de grunnleggende prinsippene for behandling av personopplysninger, jf. personvernforordningens artikkel 5 nr. 1 bokstav f, som fastslår at personopplysninger skal behandles «på en måte som sikrer tilstrekkelig sikkerhet for personopplysningene, herunder vern mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade». Den grunnleggende bestemmelsen om sikkerhet etter personvernregelverket finnes ellers i personvernforordningens artikkel 32. I likhet med både utkastet og sikkerhetsloven stilles det også her krav til funksjonell sikkerhet, ved at pliktsubjektene (behandlingsansvarlig og/eller databehandler) skal gjennomføre «egnede tekniske og organisatoriske tiltak» for å oppnå et egnet sikkerhetsnivå med hensyn til risikoen ved behandlingen. Bestemmelsen angir videre en rekke momenter som skal hensyntas ved implementeringen av aktuelle tiltak, herunder den tekniske utviklingen, gjennomføringskostnader, behandlingens art, omfang og formål, i tillegg til risikoen for personvernkrenkelser som følge av behandlingen.
Utover «generalklausulen» i artikkel 32 finnes det spredte krav som relaterer seg til sikkerheten i andre bestemmelser i forordningen. Som eksempel stiller artikkel 25 om innebygd personvern og personvern som standardinnstilling krav til at behandlingsansvarlige skal iverksette egnede tekniske og organisatoriske tiltak for å integrere krav til sikkerhet mv. ved behandlingen av personopplysninger, og artikkel 35 nr. 7 om vurdering av personvernkonsekvenser fastslår at slike vurderinger skal inneholde planlagte tiltak for å håndtere risikoene, sikkerhetstiltak og mekanismer for å sikre vern av personopplysningene. Det stilles også generelle krav om sikkerhet i artikkel 24 (om den behandlingsansvarliges ansvar) og artikkel 28 (bruk av databehandler).
Etter vårt syn vil sikkerhetskravene etter personopplysningsregelverket langt på vei overlappe med kravene i utkastet. Ettersom sikkerhetstiltakene etter begge regelverk må baseres på hva som er nødvendig ut fra konkrete risikovurderinger, vil vi likevel anta at det vil kunne være tilfeller der én av lovene vil stille krav til vesentlig mer omfattende tiltak enn den andre, eksempelvis i tilfeller der et informasjonssystem er kritisk for samfunnsviktige tjenester, men kun i begrenset grad behandler personopplysninger.
Varslingskravene
Varslingen er «nødvendig for at sektorvise myndigheter eller responsmiljøer skal kunne ha oversikt over hendelser innenfor sitt ansvarsområde, og om nødvendig varsle videre til andre virksomheter, nasjonale myndigheter og andre land» (IKT-sikkerhetsutvalget, 2018, s. 73), samt være i stand til å bistå i virksomhetens hendelseshåndtering (Justis- og beredskapsdepartementet, 2018, s. 7). I tillegg bidrar varslinger til bedre kunnskap om sikkerhetstilstanden og økt kompetanse om sikkerhetstrusler og sårbarheter.
Hendelser som skal varsles
Både ytere av samfunnsviktige tjenester og tilbydere av digitale tjenester skal varsle det organet som er utpekt av Kongen, når det har oppstått en hendelse som har betydelig innvirkning på tjenesteleveransen, jf. §§ 8 og 10. Med «hendelse» menes «ethvert tilfelle av reell negativ virkning på sikkerheten i nettverk og informasjonssystemer», jf. § 4 nr. 4. Selv om begrepet «negativ virkning» ikke er definert verken i lovutkastet eller i NIS-direktivet, må det forstås som en hendelse som kan hindre måloppnåelse eller ønsket utvikling, eller som ellers er skadelig eller ugunstig (NIS Cooperation Group, 2018 b, s. 10).
Hvis det har oppstått en hendelse som går ut over tilgjengeligheten, autentisiteten, integriteten eller tilliten til data eller tilknyttede tjenester som tilbys eller er tilgjengelige via nettverk og informasjonssystemer, skal dette meldes. Lovutkastet oppgir en liste av kriterier som skal vurderes av henholdsvis tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester for å bestemme om innvirkningen er betydelig: (i) antall brukere som påvirkes, (ii) hendelsens varighet, og (iii) størrelsen på det geografiske området som berøres av hendelsen, jf. lovutkastet §§ 8 og 10.
Tilbydere av digitale tjenester er i tillegg også pålagt å vurdere: (iv) omfanget av funksjonalitetssvikten i tjenesten, og (v) omfanget av innvirkningen på økonomisk og samfunnsmessig aktivitet, jf. lovutkastet § 10 første ledd. Artikkel 3 i EU-kommisjonens gjennomføringsforordning spesifisere nærmere alle de fem kriteriene, og artikkel 4 lister opp situasjoner hvor det skal anses at en hendelse har betydelig innvirkning.
I en undersøkelse gjennomført av NIS Cooperation Group blant tilbydere av samfunnsviktige tjenester i EU, kom det fram at de følgende tilleggskriteriene ofte tas i betraktning for å vurdere om en hendelse har hatt betydelig innvirkning på opprettholdelse av tjenesteleveransen fra vedkommende tilbydere av samfunnsviktige tjenester: (i) omfanget av andre samfunnsviktige tjenesters avhengighet av tjenester levert av den berørte tilbyderen, (ii) virkningen hendelsen har, i grad og varighet, på økonomiske og samfunnsmessige aktiviteter eller offentlig sikkerhet, (iii) den berørte tilbyderens markedsandel, og (iv) tilbyderens betydning for å opprettholde et tilstrekkelig tjenestenivå, i lys av tilgjengeligheten av alternative leverandører av vedkommende tjeneste (NIS Cooperation Group, 2018 b, s. 18).
Varselet som både ytere av samfunnsviktige tjenester og tilbydere av digitale tjenester er pålagt å gi, skal dessuten inneholde nok opplysninger til at det kan fastslås om hendelsen har virkninger utover Norges grenser. Dette vil gjøre den norske tilsynsmyndigheten eller responsmiljøet i stand til å varsle tilsynsmyndighetene i andre berørte land.
Tidspunktet for varsling
Etter NIS-direktivet skal tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester «uten unødig opphold» varsle tilsynsmyndigheten eller responsmiljøet om hendelser som har betydelig innvirkning på tjenesteleveransen, jf. artikkel 14 nr. 3 og artikkel 16 nr. 3. Utkastet har ingen tilsvarende formulering og oppgir ingen tidspunkt for når varselet skal gis. Årsaken til dette omtales ikke i departementets høringsnotat. Etter veiledningen fra NIS Cooperation Group vil ordene «uten unødig opphold» bety at tilbyderen må varsle så snart vedkommende er klar over den betydningsfulle hendelsen, det vil si så snart begivenheten som har utløst hendelsen, inntreffer. En cyberhendelse som fører til at én million mennesker blir uten energi, vil eksempelvis utløse varslingsplikten for tilbyderen, selv om ikke alle detaljer er kjent umiddelbart etter hendelsen (NIS Cooperation Group, 2018b, s. 9). I praksis vil dette bety at det er behov for jevnlig oppdatering av tilsynsmyndigheter eller responsmiljøer (NIS Cooperation Group, 2018c, s. 12). Når det gjelder hendelser som berører tilbydere av samfunnsviktige tjenester, kan det ifølge NIS Cooperation Group (2018b, s. 30) være behov for: (i) en første varslingsrapport som må sendes så snart som mulig etter hendelsen inntreffer, slik at responsmiljøer får kunnskap om hendelsen og de mulige konsekvensene, (ii) periodisk rapportering, det vil si rapportering underveis eller når ny informasjon er tilgjengelig, og (iii) en sluttrapport når hendelsen er avsluttet, som inneholder alle opplysninger og data etterlyst av tilsynsmyndigheten eller responsmiljøet.
Varsling etter sikkerhetsloven
Etter sikkerhetsloven skal virksomheter som er omfattet av sikkerhetsloven, varsle om hendelser allerede dersom det er begrunnet mistanke om en hendelse som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser. Det er tilstrekkelig at det er fare for indirekte skade. Etter lovutkastet om sikkerhet i nettverk og informasjonssystemer skal det varsles først etter at det er klart at hendelsen har hatt betydelig innvirkning på opprettholdelse av tjenesteleveransen. Terskelen for varsling etter sikkerhetsloven er således lavere enn etter lovutkastet, noe som er også påpekt i høringsnotatet (Justis- og beredskapsdepartementet, 2018, s. 48). Imidlertid er vurderingstemaet for varsling etter de to regelverkene ulikt utformet. Det innebærer at virksomheten i hvert tilfelle må vurdere om det skal varsles etter bare ett eller begge regelverkene.
Varslingsplikten etter sikkerhetsloven § 4-5 bokstav a og b som omfatter varsling dersom virksomheten har blitt rammet av sikkerhetstruende virksomhet, eller har begrunnet mistanke om at den eller andre virksomheter er eller vil kunne bli rammet av sikkerhetstruende virksomhet, begrenser seg til tilsiktede handlinger. Varslingsplikten etter sikkerhetsloven § 4-5 bokstav c rammer også utilsiktede handlinger og utløses ved alvorlige brudd på sikkerhetskravene i sikkerhetsloven kapittel 5 (informasjonssikkerhet), 6 (informasjonssystemsikkerhet) og 7 (objekt- og infrastruktursikkerhet). Dersom det alvorlige bruddet har betydelig innvirkning på tjenesteleveransen etter lovutkastet, og virksomheten faller innenfor begge regelverkenes virkeområde, tilsier det at virksomheten skal varsle etter begge regelverkene.
Varsling etter personopplysningsloven
Meldeplikten etter personopplysningsloven og GDPR gjelder brudd på personopplysningssikkerheten, det vil si «brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger», jf. GDPR art. 33, jf. art. 4 nr. 12. Formålet med personopplysningsloven er å beskytte personopplysninger, altså enhver opplysning om en identifisert eller identifiserbar fysisk person. Dersom bruddet gjelder opplysninger som ikke er personopplysninger, herunder anonymiserte opplysninger, er bruddet ikke meldepliktig etter GDPR og faller utenfor personopplysningslovens virkeområde, jf. pol. § 2 første ledd.
Etter personopplysningsloven er det behandlingsansvarlig - den som bestemmer formålene med behandlingen av personopplysninger og hvilke midler som skal benyttes - som har plikt til å melde om brudd på personopplysningssikkerhet til Datatilsynet uten ugrunnet opphold, med mindre bruddet sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter. Varsling skal skje senest innen 72 timer etter at den behandlingsansvarlige har fått kjennskap til bruddet. Databehandlere - virksomheter som behandler personopplysninger på vegne av den behandlingsansvarlige, for eksempel, skytjenesteleverandører - er pålagt uten ugrunnet opphold å underrette den behandlingsansvarlige om brudd på personopplysningssikkerheten, men skal normalt ikke varsle Datatilsynet selv.
Varslingsplikten etter personopplysningsloven skiller seg derfor fra lovutkastet på flere måter. Det er andre tilsynsmyndigheter som skal varsles, og det skal varsles om andre forhold. Hendelser som utløser varslingsplikt etter lovutkastet, og som også innebærer brudd på personopplysningssikkerheten, skal også varsles i henhold til begge regelverk.
Tilsynsmyndigheten for varsel
Justis- og beredskapsdepartementet i Norge har ikke tatt endelig stilling til hvilke myndigheter som skal ta imot varsler etter lovutkastet (Justis- og beredskapsdepartementet, 2018). Ifølge høringsnotatet vil eksisterende myndighetsstruktur kunne benyttes i stor grad, og det vil kunne variere fra sektor til sektor om det er sektormyndigheter eller responsmiljøer som skal motta varsler etter loven. Det ligger innenfor det nasjonale handlingsrommet å beslutte at for eksempel NSM NorCERT skal ta imot alle varsler etter loven. Lovutkastet legger opp til at det kan utpekes «ett eller flere responsmiljøer som skal kunne motta varsler etter loven», jf. § 11, og åpner i tillegg for at nærmere regler om responsmiljøer og hendelseshåndtering inntas i forskrift.
Avsluttende kommentarer
Utkastet til NIS-lov, sikkerhetsloven og personopplysningsloven har ulikt formål og tar sikte på å beskytte ulike verdier. Sikkerhetsloven krever beskyttelse av skjermingsverdige informasjonssystemer/ objekter/ infrastruktur. Personopplysningsloven og -forordningen krever beskyttelse av personopplysninger. Utkast til ny NIS-lov stiller krav til beskyttelse av nettverk og informasjonssystemer som er nødvendige for å kunne levere samfunnsviktige tjenester og visse digitale tjenester. Til tross for disse ulike utgangspunktene har lovgiver valgt en relativt lik tilnærming til sikkerhet på de ulike områdene. Alle tar utgangspunkt i en funksjonell tilnærming til sikkerhet ved i all hovedsak å stille generelle krav til å implementere egnede tekniske og organisatoriske tiltak som skal gi en forsvarlig sikkerhet basert på konkrete risikovurderinger. Og alle stiller også krav til varsling ved sikkerhetsbrudd, dog med litt ulike vilkår for når varslingsplikten inntrer, og hvem varselet skal gis til.
I lys av utviklingen i både teknologi og trusselbilde samt de tilleggskrav til sikkerhet som fremkommer av blant annet sektorspesifikk lovgivning som vi ikke har gått nærmere inn på her, skal det ikke underslås at det er krevende for virksomheter både å forstå hvilke konkrete krav som stilles, og sikre nødvendig kompetanse og ressurser til å etterleve kravene. Vår oppfatning er likevel at virksomhetene vil komme langt i retning av å oppfylle aktuelle lovkrav ved å følge internasjonalt anerkjente standarder for risikostyring og informasjonssikkerhet. Gjennom gode risikovurderinger og etablering av styringssystemer for informasjonssikkerhet vil virksomhetene ha et godt fundament for å vurdere og implementere konkrete tiltak som ikke bare oppfyller lovkrav til sikring av nettverk og informasjonssystemer, men også andre digitale trusler som virksomhetene står overfor.
ENISA. (2016). Technical guidelines for the implementation of minimum security measures for Digital Service Providers (WP2016 3.2.4). Hentet 17. februar 2020 fra https://www.enisa.europa.eu/publications/minimum-security-measures-for-d...
ENISA. (2017). Incident notification for DSPs in the context of the NIS Directive: A comprehensive guideline on how to implement incident notification for Digital Service Providers, in the context of the NIS Directive (WP2016 3-2-1). Hentet 17. februar 2020 fra https://www.enisa.europa.eu/publications/incident-notification-for-dsps-...
ENISA. (2018). Guidelines on assessing DSP and OES compliance to the NISD security requirements (WP2018 O.2.2.3). Hentet 17. februar 2020 fra https://www.enisa.europa.eu/publications/guidelines-on-assessing-dsp-sec...
EU-kommisjonen. (2017). Making the most of NIS - towards the effective implementation of Directive (EU) 2016/1148 (COM (2017) 476 final/2). Hentet 17. februar 2020 fra https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:52017DC0476
NOU 2018: 14. (2018). IKT-sikkerhet i alle ledd: Organisering og regulering av nasjonal IKT-sikkerhet. IKT-sikkerhetsutvalget. Hentet 17. februar 2020 fra https://www.regjeringen.no/no/dokumenter/nou-2018-14/id2621037/
Justis- og beredskapsdepartementet. (2018). Høring om utkast til lov som gjennomfører NIS-direktivet i norsk rett (Høringsnotat). Hentet 17. februar 2020 fra https://www.regjeringen.no/contentassets/387a3609dde7484aa58bd8ae4492073...
NIS Cooperation Group. (2018a). Reference document on security measures for Operators of Essential Services (CG Publication 01/2018). Hentet 17. februar 2020 fra https://ec.europa.eu/digital-single-market/en/nis-cooperation-group
NIS Cooperation Group. (2018b). Reference document on Incident Notification for Operators of Essential Services: Circumstances of notification (CG Publication 02/2018). Hentet 17. februar 2020 frahttps://ec.europa.eu/information_society/newsroom/image/document/2018-30...
NIS Cooperation Group. (2018c). Guidelines on notification of Digital Service Providers Incidents: Formats and procedures (CG Publication 06/2018). Hentet 17. februar 2020 fra https://ec.europa.eu/digital-single-market/en/nis-cooperation-group
Forsvarsdepartementet. (2017). Proposisjon til Stortinget (forslag til lovvedtak) Lov om nasjonal sikkerhet (sikkerhetsloven) (Prop. 153 L (2016-2017)). Hentet 17. februar 2020 fra https://www.regjeringen.no/no/dokumenter/prop.-153-l-2016-2017/id2556988/
