1 Hovedinnholdet i proposisjonen
Justis- og beredskapsdepartementet foreslår i denne proposisjonen en ny lov om digital sikkerhet. I tillegg bes det om Stortingets samtykke til godkjenning av to beslutninger i EØS-komiteen.
Loven bygger på Europaparlaments- og rådsdirektiv (EU) 2016/1148 av 6. juli 2016 om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen (NIS-direktivet). Direktivet og tilhørende gjennomføringsforordning 2018/151 om spesifisering av NIS-direktivet artikkel 16 nr. 1 og nr. 4 (gjennomføringsforordningen) ble besluttet tatt inn i EØS-avtalen 3. februar 2023.
Forslaget til lov om digital sikkerhet er ment å være i samsvar med NIS-direktivet og øvrige sammenlignbare lands nasjonale lovgivning på området.
Loven skal forplikte virksomheter som har en særlig viktig rolle for å opprettholde kritisk samfunnsmessig og økonomisk aktivitet, til å overholde digitale sikkerhetskrav og varsle om alvorlige digitale hendelser. Loven skal bidra med forebyggende sikkerhetstiltak som gjør en virksomhet bedre rustet til å stå imot angrep mot nettverks- og informasjonssystemer de er avhengige av. Videre skal loven sikre planer for håndtering av uønskede hendelser. Loven stiller overordnede krav til sikkerhet og varsling, og virkeområdet er kun angitt i form av hvilke sektorer den gjelder i. Dette forutsetter et underliggende regelverk med tydeligere avgrensinger og konkretiseringer. Loven inneholder derfor en vid adgang til å fastsette nærmere bestemmelser i forskrift.
Loven etablerer rammeverk for tilsyn med virksomhetene og åpner for ileggelse av pålegg og eventuelt overtredelsesgebyr ved manglende oppfyllelse av pliktene. Myndighetene skal også ta imot varsler om alvorlige digitale hendelser. Departementet legger opp til at eksisterende myndighetsstruktur benyttes i størst mulig grad for å begrense behovet for nye kontaktpunkter for virksomhetene som blir underlagt regelverket, og for at myndigheter som allerede utfører oppgaver som ligner oppgaver denne loven pålegger dem, skal kunne samkjøre disse så langt det er mulig. Departementet mener videre at eksisterende myndigheter også bør føre tilsyn med virksomheter som per i dag ikke er underlagt tilsyn.
Europaparlaments- og rådsforordning (EU) 2019/881 av 17. april 2019 om ENISA (Den europeiske unions cybersikkerhetsbyrå), om cybersikkerhetssertifisering av informasjons- og kommunikasjonsteknologi og om oppheving av forordning (EU) nr. 526/2013 (cybersikkerhetsforordningen) ble også besluttet tatt inn i EØS-avtalen 3. februar 2023. Forordningen er planlagt inkorporert i forskrift til denne loven.
Norge deltok i beslutningene i EØS-komiteen med forbehold om Stortingets samtykke, jf. Grunnloven § 26 andre ledd. Det bes på denne bakgrunn om Stortingets samtykke til godkjenning av EØS-komiteens beslutninger om innlemmelse av rettsaktene.