Ny lov om digital sikkerhet
Digitale systemer og tjenester spiller stadig en viktigere rolle i samfunnet, og angrep på disse kan gi store konsekvenser. Digital sikkerhet er derfor en nasjonal interesse som må ivaretas. Nasjonal sikkerhetsmyndighets rapport om sikkerhetsfaglige råd for 2023 viser at norsk beredskap lenge har vært mangelfull.
Stortinget vedtok 12 desember 2023 ny lov om digital sikkerhet (digitalsikkerhetsloven) som første steg i arbeidet med å redusere digitale sårbarheter i Norge. Loven anerkjenner behovet for forent digital sikkerhet på tvers av sektorer og legger fundamentet for gjennomføring av NIS1 (Direktiv (EU) 2916/1148) og cybersikkerhetsforordningen (Forordning (EU) nr. 526/2013) i norsk rett. Formålet er å øke utvalgte virksomheters digitale forsvarsevne og vil supplere eksisterende sikkerhetskrav i regulerte sektorer.
Hvem gjelder loven for?
Virksomheter skal selv vurdere om de kvalifiserer under lovens to kategorier: tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester.
Tilbydere av samfunnsviktige tjenester leverer tjenester mot sektorene energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur, som er viktig for å opprettholde kritiske samfunnsmessige eller økonomiske aktiviteter. De må videre være avhengig av nettverks- og informasjonssystemer for å levere tjenesten, og kunne få tjenesteleveransen betydelig forstyrret av en hendelse.
En tilbyder av digitale tjenester defineres som en virksomhet som tilbyr nettbaserte markedsplasser, nettbaserte søkemotorer eller skytjenester. NIS1-direktivet gjør unntak for tilbydere av digitale tjenester som kvalifiserer som mikro- eller små virksomheter under Kommisjonsrekommandasjon 2003/361/EF. Virksomheter med færre enn 50 ansatte og med en årlig omsetning eller årlig samlet balanse under 10 millioner euro omfattes dermed ikke. Tilsvarende unntak kommer ikke til utrykk i digitalsikkerhetsloven. Departementet uttaler at de ser det mer hensiktsmessig å regulere dette, samt gi en nærmere definisjon av mikro- og små virksomheter i forskrift, uten at det hintes nærmere om hvordan dette skal gjøres.
Krav til kvalifiserende virksomheter
Loven pålegger kvalifiserende virksomheter å foreta risikovurderinger av deres tjenester og innføre proporsjonale sikkerhetstiltak for å forebygge, avdekke og redusere konsekvenser av mulig angrep. Det faktiske virkeområde, hvordan virksomheter skal foreta risikovurderinger og hvilke sikkerhetstiltak som anses tilstrekkelige er ikke angitt. Allerede under første høringsrunde ble det varslet av blant annet Advokatforeningen at lovens uklarhet sannsynligvis vil bidra til fragmentert etterlevelse. En nærliggende antagelse er at det vil komme nærmere retningslinjer for hvordan risikovurderinger skal foretas, samt konkrete sikring- og varslingskrav.
Forarbeidene presiserer at den konkrete risikovurderingen vil være styrende for nødvendige tiltak i samsvar med NIS1-direktivets tilnærming hvor særlig sektor, den teknologiske utviklingen, tilbyderens egenart og hvilke sikkerhetsstyringssystem som benyttes vil være viktige momenter. Lovvedtaket er ment å samsvare med NIS1-direktivet selv om direktivet ikke gjennomføres i sin helhet. NIS-samarbeidsgruppens retningslinjer vil derfor kunne være et relevant hjelpemiddel for aktuelle virksomheter.
For tilbydere av samfunnsviktige tjenester anser departementet NSMs grunnprinsipper for IKT-sikkerhet som tilstrekkelige for overenstemmelse med krav om forsvarlig sikkerhet. Hva som er nødvendige og proporsjonale sikkerhetstiltak i det konkrete tilfellet vil imidlertid variere, og anvendelsen av prinsippene må vurderes konkret. Det er ikke uttalt hvorvidt disse vil bli stadfestet ved forskrift eller forblir retningslinjer. Det uttales dertil at behovet for tydelige krav må balanseres mot behovet for dynamisk utvikling og fleksibilitet. Kommende forskrifter vil dermed sannsynligvis forbli mer retningsgivende fremfor å tilby konkrete regler.
Hva gjelder leverandører av digitale tjenester stilles det mindre strenge krav ettersom disse stort sett anses mindre samfunnsviktige. Samtidig krever departementet en risikobasert tilnærming i hvert konkrete tilfelle. Til forskjell fra samfunnsviktige tjenester er digitale tjenester generelt av mer grenseoverstridende natur, hvor behovet for et harmonisert regelverk er viktigere. Gjennomføringsforordning 2018/151 om spesifisering av NIS-direktivet artikkel 16 nr. 1 og nr. 4 (gjennomføringsforordningen) gir derfor mindre adgang for nasjonal tilpasning. Harmoniseringen skal sikres ved at digitale tjenesteleverandører må hensynta:
- Informasjonssystemsikkerhet og fysisk sikkerhet
- Hendelseshåndtering
- Styring av driftskontinuitet (opprettholdelse av tjenesteleveranser)
- Overvåkning, revisjon og testing
- Overholdelse av internasjonale standarder
Det nærmere innholdet i disse tiltakene vil presiseres med forskrift, basert på gjennomføringsforordning.
Varsling og tilsyn
Virksomhetene pålegges en plikt til å varsle utnevnt tilsynsorgan om hendelser som virker betydelig inn på tjenesteleveransen uten unødig opphold. Mens vurderingen av varslingsplikt er hovedsakelig lik for samfunnsviktige og digitale tjenester, hvor det skal legges vekt på antall pårørte brukere og geografisk område, skal det for digitale tjenester også vektlegges viktigheten av tjenesten og dens økonomiske og/eller samfunnsmessige aktivitet.
Tilsynsorganet skal påse at loven etterleves gjennom en rekke virkemidler inkluderende inspeksjoner og krav om fremlegging av nødvendig informasjon, pålegg, overtredelsesgebyr og tvangsmulkt. Departementet har varslet kommende forskrift, og foreslår sektormyndigheter som ansvarlig tilsynsorgan. En slik tilnærming forutsetter imidlertid tilstrekkelig kompetanse, og at det gis sektoroverstridende retningslinjer for å forebygge ulik praksis.
Fra NIS1 til NIS2
NIS1-direktivet er et minimumsdirektiv og tillater staten å stille strengere krav og utvide virkeområde dersom ønskelig. Loven er ifølge departementet ment som et utgangspunkt for videre utvikling av regulering innen digital sikkerhet. NIS2-direktivet ble vedtatt i EU 14. desember 2022 og vil oppheve NIS1-direktivet fra 17. oktober 2024. Det nye direktivet er en erkjennelse av at NIS1-direktivet har vært et godt utgangspunkt, men fremdeles pålegger en utilstrekkelig standard for digital sikkerhet. Det løftes særlig fram at regelverkets uklarhet tilknyttet særlig sikkerhetskrav og tilsyn har ført til en fragmentert implementering i medlemslandene som hindrer et effektivt vern.
NIS2-direktivet er foreløpig ikke tatt inn i EØS-avtalen. Dersom direktivet inntas, vil dette nødvendiggjøre endringer i digitalsikkerhetsloven og tilhørende forskrifter. For virksomheter som tilbyr tjenester i både Norge og EU vil dette innebære at virksomhetene må forholde seg til både digitalsikkerhetsloven og NIS2-direktivet. Det kan således tenkes at man for slike virksomheter vil være tjent med å begynne arbeidet med å etterleve kravene i NIS2-direktivet.