IKT-sikkerhetsutvalgets utredning og forslag om gjennomføring av NIS-direktivet er sendt på høring

Justis- og beredskapsdepartementet har sendt utredning fra IKT-sikkerhetsutvalget og utkast til lov som gjennomfører EUs direktiv om sikkerhet i nettverk og informasjonssystemer (NIS-direktivet) i norsk rett på høring.

Ny lov om sikkerhet i nettverk og informasjonssystemer – hva blir nytt og hvordan vil loven påvirke norske virksomheter?

Departementet har foreslått en ny sektorovergripende lov om sikkerhet i nettverk og informasjonssystemer som skal gjennomføre NIS-direktivet i norsk rett.

Lovforslaget vil medføre en rekke krav til norske myndigheter, samt forpliktelser til virksomheter som har en særlig viktig rolle i opprettholdelsen av et funksjonelt indre marked. Dette vil inkludere et bredt spekter av virksomheter som leverer tjenester innenfor blant annet helse, samferdsel, energi, finans og bank. Bare i den norske helsesektoren er det 17.000 virksomheter som vil falle inn under lovforslagets definisjon av tilbydere av helsetjenester.

Videre vil tilbydere av digital infrastruktur som IXP, DNS og TLD kunne være omfattet av lovforslaget, samt digitale tilbydere som leverer skytjenester, nettbaserte markedsplasser som Zalando, Komplett, Finn og Appstore etc., eller nettbaserte søkningsmotorer og søketjenester som Google, Bing og Yahoo.

Virksomheter som faller inn under loven vil bli pålagt to nye forpliktelser, herunder krav om risikostyring og en plikt til å gjennomføre IKT-sikkerhetstiltak som står i et rimelig forhold til den risikoen virksomheten står ovenfor, samt en plikt til å varsle myndighetene om alvorlige IKT-sikkerhetshendelser. Som en del av IKT-sikkerhetstiltakene skal virksomheter iverksette tiltak for å forebygge, avdekke og redusere virkningen av hendelser i nettverk og informasjonssystemer, med henblikk på opprettholdelse av deres tjenesteleveranser.

Hva gjelder varslingskravene tilsvarer ikke disse kravene til avviksmelding etter personvernforordningen art. 33, og virksomheter som er underlagt plikten bør derfor gjennomgå sine rutiner på dette området for å påse overholdelse av lovforslaget når det blir implementert.

Lovforslaget vil kunne få anvendelse på de områder som ikke har noen regler om IKT-sikkerhet i dag, samt fjerne tvil der sektorspesifikke sikkerhetsregler er uklare på om loven inkluderer IKT-sikkerhetskrav.

Videre vil lovforslaget også kunne tenkes å påvirke tilbydere som faller utenfor lovens virkeområde, eksempelvis ved at det blir stilt krav om overholdelse av lovforslagets plikter av tilbyderens kunder eller en potensiell oppdragsgiver i forbindelse med en anskaffelse.

NIS-direktivet er foreløpig ikke tatt inn i EØS-avtalen, og er derfor ikke bindende for norske myndigheter og bedrifter enda. Til tross for dette, legger departementet til grunn at det etter hvert vil bli innlemmet. EØS-landene har startet prosessen med å vurdere NIS-direktivets relevans, men ettersom EØS-prosessen ofte kan ta lang tid, har departementet vurdert å foreslå lovbestemmelser tilsvarende de som fremkommer av direktivet uavhengig av EØS-prosessen.

Det kan dermed være lurt for virksomheter som blir berørt av lovforslaget å allerede nå begynne å tenke på innrettelse etter bestemmelsene i direktivet.

Lovens virkeområde

Lovforslaget skiller mellom to type virksomheter som skal falle inn under lovens virkeområde. Den enkelte virksomhet må selv foreta en vurdering av hvorvidt de ut fra de nevnte bestemmelser og kriterier faller inn under virkeområdet til lovforslaget, og dermed er pålagt å gjennomføre IKT-sikkerhetstiltak og varsle om alvorlige IKT-sikkerhetshendelser.

Tilbydere av kritiske tjenester

Den første typen er tilbydere som nevnt i lovforslagets §4 første ledd nr. 1:

«virksomhet som leverer en tjeneste som er viktig for opprettholdelsen av kritiske samfunnsmessige- eller økonomiske aktiviteter, som er avhengig av nettverk og informasjonssystemer for å kunne levere tjenesten, og der en hendelse vil kunne få betydelig forstyrrende effekt på tjenesteleveransen.»

For å falle inn under bestemmelsen må tre krav være oppfylt.

Tilbyderen må for det første levere en kritisk samfunnsmessig eller økonomisk aktivitet. Hva som skal anses for å utgjøre kritiske samfunnsmessige eller økonomiske aktiviteter må vurderes konkret, men typiske eksempler er som tidligere nevnt virksomheter i følgende samfunnssektorer:

  • Bank
  • Digital infrastruktur (IXP, DNS og TLD)
  • Drikkevannsforsyning og -distribusjon
  • Energi (elektrisitet, olje og gass)
  • Finansmarkedsinfrastruktur
  • Helse
  • Samferdselstjenester (luft, jernbane, sjø og vei)

Telekommunikasjonsselskaper eller ISPer er unntatt fra regelverket, til tross for deres samfunnsmessige betydning.

For det andre må tilbyderens tjeneste være avhengig av nettverk og informasjonssystemer. Dette kravet vil nesten alltid være oppfylt idet dagens samfunn i utstrakt grad benytter seg av nettverk og informasjonssystemer.

Til sist må en hendelse i nettverk og informasjonssystemet kunne få betydelig forstyrrende effekt på tilbyderens leveranse av tjenesten. Begrepet «betydelig forstyrrende effekt» må vurderes konkret. Ved vurderingen av effektens betydning oppstiller lovforslaget §4 første ledd nr. 6 en ikke uttømmende liste med momenter som skal vurderes:

  • Antall brukere som baserer seg på tjenesten
  • Andre vedlegg II-sektorers avhengighet av tjenesten
  • Omfanget og varigheten av hendelsers mulige virkning på økonomiske og samfunnsmessige aktiviteter og samfunnssikkerhet
  • Virksomhetens markedsandel
  • Geografisk område som kan rammes av hendelsen
  • Viktigheten av virksomhetens bidrag til leveranse av tjenesten, med tanke på alternative tjenestetilbydere

Tilbydere av digitale tjenester

Den andre typen virksomhet som vil bli omfattet av lovforslaget er tilbydere av digitale tjenester, og loven vil her gjelde for tilbydere av skytjenester, nettbaserte markedsplasser og nettbaserte søkningsmotorer og søketjenester, jf. lovforslagets §4 første ledd nr. 7 til nr. 9.

Skytjenester (cloud computing service) er digitale tjenester som tilgjengeliggjør en skalerbar og fleksibel samling av delbare databehandlingsressurser. Departementet har poengtert viktigheten av at alle skytjenester innenfor EØS-området overholder EU-rettslige krav til personvern og informasjonssikkerhet, både hva gjelder norske virksomheter som benytter skytjenester innenfor EØS-området samt etablering av internasjonale datasentre i Norge.

En nettbasert markedsplass er en digital tjeneste som tilrettelegger for forbrukere og næringsdrivende ved å inngå nettbaserte salgs- eller tjenesteavtaler med næringsdrivende, enten direkte på nettstedet til den nettbaserte markedsplassen eller på nettstedet til en næringsdrivende som benytter datatjenester som tilgjengeliggjøres av den nettbaserte markedsplassen.

En nettbasert søkemotor (online search engine) er etter lovforslagets §4 nr. 8 definert som en

«digital tjeneste som gjør det mulig for brukere å foreta søk på i prinsippet alle nettsteder eller nettsteder på et bestemt språk, på grunnlag av en forespørsel om et hvilket som helst emne i form av et nøkkelord, en setning eller andre inndata, og som viser lenker hvor det er mulig å finne informasjon om det forespurte innholdet».

Begrepet «tilbydere av digitale tjenester» er ikke ment å omfatte tilbydere av digitale tjenester som er mikrovirksomheter eller små virksomheter.

Bakgrunn

I kjølvannet av GDPRs implementering i norsk rett leverte IKT-sikkerhetsutvalget den 3. desember 2018 en utredning til Justis- og beredskapsdepartementet vedrørende gjennomføringen av NIS-direktivet og vurdering av behov for rettslig og organisatorisk regulering av IKT- sikkerhet i Norge.

Utredningen inneholder fem hovedanbefalinger, herunder:

  1. En ny lov om IKT-sikkerhet for samfunnskritiske virksomhet og offentlig forvaltning.
  2. Krav om IKT-sikkerhet ved alle offentlige anskaffelser.
  3. Opprettelsen av et Nasjonalt IKT- sikkerhetssenter.
  4. Tydeligere regulering av og ansvar for tilkoblede produkter og tjenester.
  5. Krav om tydeligere lederskap for nasjonal IKT-sikkerhet fra Justis- og beredskapsdepartementet.

Hva er NIS-direktivet?

NIS-direktivet er det første EU-direktivet som regulerer cybersikkerhet i Europa. Direktivet har som formål å styrke IKT-sikkerheten i EU, og er en av flere tiltak for å nå målene i EUs strategi for cybersikkerhet, «an Open, Safe and Secure cyberspace».

Direktivet ble vedtatt av EU-parlamentet den 6. juli 2016 og trådte i kraft i august i fjor. Direktivet er et minimumsdirektiv og setter dermed minimumskrav til medlemsstatene både når det gjelder direktivets virkeområde og krav til sikkerhet. Dette medfører at medlemsstatene kan velge å innføre strengere regler enn det som fremgår av direktivet. Departementet foreslår imidlertid at den nye loven skal tilsvare kravene i direktivet.

NIS-direktivet og gjeldende rett

Det er ingen tverrsektorielle eller sektorspesifikke lover i Norge som fullt ut tilsvarer kravene som følger av NIS-direktivet. Direktivet har flere fellestrekk med lov om nasjonal sikkerhet (sikkerhetsloven), men de to rettsaktene har et noe ulikt formål med sikringen.

Den nye sikkerhetsloven som trådte i kraft den 1. januar 2019 har som formål å ivareta nasjonale sikkerhetsinteresser ved å sikre grunnleggende nasjonale funksjoner, og handler først og fremst om sikring av informasjon, objekter og infrastruktur samt beskyttelse mot tilsiktede handlinger.

Personvernlovgivningen har også en side mot sikkerhet, og informasjonssystemer som skal sikres etter lovforslaget kan også tenkes å inneholde personopplysninger og dermed være underlagt gjeldende personvernlovgivning.

NIS-direktivet har som formål å oppnå et høyt felles nivå for sikkerhet i nett- og informasjonssystemer i EU for å forbedre virkemåten til det indre markedet, og har ingen begrensninger for hvilke handlinger som omfattes.

I tillegg er det ulikheter mellom rettsaktene når det gjelder hvilket sikkerhetsnivå som kreves i virksomheten, varsling av hendelser, tilsynsregime og prosessen for å angi virkeområde.

Myndighetskrav

Direktivet inneholder som nevnt bestemmelser som pålegger medlemstatene å gjennomføre en rekke tiltak for å styrke nasjonal kapasitet og internasjonalt samarbeid innenfor IKT-sikkerhet. Flere av disse kravene er krav til myndighetene selv, herunder krav om utarbeidelse av en nasjonal strategi for IKT-sikkerhet og etablering av en nasjonal enhet for håndtering av digitale sikkerhetshendelser.

Videre krever direktivet at medlemstatene skal peke ut minst én nasjonal myndighet som skal overvåke gjennomføringen av direktivet i landet og sørge for deltagelse i de to internasjonale samarbeidsgruppene som er etablert under direktivet. Etter alle solemerker vil denne oppgaven tilfalle Nasjonal kommunikasjonsmyndighet (Nkom).

Disse kravene krever ikke lovregulering, men vil bli fulgt opp av departementet parallelt med prosessen til den nye foreslåtte loven.

Krav til tilbydere av kritiske og digitale tjenester

Direktivet stiller minstekrav til private og offentlige virksomheter som er tilbydere av kritiske samfunnsmessige og økonomiske tjenenster og tilbydere av enkelte digitale tjenester. Kravene skal bidra til å styrke forebyggende sikkerhet og styrke beredskapen til å håndtere hendelser. Ved vurderingen av hva som er et passende sikkerhetsnivå skal virksomheten se hen til den teknologiske utviklingen og ta hensyn til følgende elementer:

  • Sikkerheten i systemer og utstyr/anlegg
  • Hendelseshåndtering
  • Styring av opprettholdelse av tjenesteleveransen
  • Overvåking, revisjon og testing
  • Anerkjente internasjonale standarder

Tilbydere som nevnt ovenfor må etter direktivets bestemmelser gjennomføre hensiktsmessige og forholdsmessige sikkerhetstiltak, og myndighetene skal føre tilsyn med tilbydernes etterlevelse av direktivet. Det vil stilles mindre strenge krav til tilbydere av digitale tjenester enn tilbydere av kritiske viktige samfunnsmessige og økonomiske tjenester.

Tilbydere vil også ha en plikt til å varsle den utpekte overvåkingsmyndigheten ved uønskede hendelser med betydelig innvirkning på tjenesteleveransen. Kravene er omtrent like for tilbydere av kritiske viktige samfunnsmessige og økonomiske tjenester og tilbydere av digitale tjenester. Ved vurderingen av om innvirkningen er betydelig skal det legges vekt på

  • Antall brukere som påvirkes av hendelsen
  • Hendelsens varighet
  • Størrelsen på det geografiske området som berøres av hendelsen

For tilbydere av digitale tjenester skal man i tillegg se hen til omfanget av funksjonalitetssvikten i tjenesten og omfanget av innvirkningen på økonomisk og samfunnsmessig aktivitet som følge av den uønskede hendelsen.

Det er ventet en forskrift med nærmere fastsettelse av de innholdsmessige kravene til sikkerhetskrav og varsling.

Mangelfull etterlevelse kan føre til administrative sanksjoner.

Hva nå?

Departementet har bedt om innspill til høringen med frist den 22. mars.

Regjeringen har ikke tatt endelig stilling til om NIS-direktivet skal gjennomføres i norsk rett, men departementet ønsker at høringsrunden belyser hvilke konsekvenser en gjennomføring av direktivet vil få for norske virksomheter. Til tross for at NIS-direktivet foreløpig ikke er inntatt i EØS-avtalen, legger departementet til grunn at det etter hvert vil bli innlemmet.

Departementet har uttalt at de ønsker at høringsinstansene skal vurdere utkastet til NIS-direktivet og utredningen hver for seg, idet Norge må være forberedt på å oppfylle direktivets minimumsforpliktelser uavhengig av utredningens anbefalinger.

Høringen gir anledning til å påvirke gjennomføringen av NIS-direktivet og Brækhus står klar til å bistå virksomheter som ønsker å inngi høringssvar.

Les mer om utredningen og lovforslaget her.