Utvalgte hurtiglenker

    Proposisjoner til Stortinget

    Prop. 109 LS (2022–2023)

    Lov om digital sikkerhet (digitalsikkerhetsloven) og samtykke til godkjenning av EØS-komiteens beslutninger nr. 21/2023 og 22/2023 om innlemmelse i EØS-avtalen av direktiv (EU) 2016/1148 og forordningene (EU) 2018/151 og (EU) 2019/881

    Til innholdsfortegnelse
    Neste kapittel
    Forrige kapittel

    10 Samtykke til godkjenning av EØS-komiteens beslutninger

    10.1 Innledning

    EØS-komiteen fattet to beslutninger 3. februar 2023 om innlemmelse i EØS-avtalen av NIS-direktivet, gjennomføringsforordningen til NIS-direktivet og cybersikkerhetsforordningen. Beslutningene ble fattet med forbehold om Stortingets samtykke, da gjennomføringen i norsk rett nødvendiggjør lovendring, jf. Grunnloven § 26 annet ledd. Stortinget inviteres gjennom denne proposisjonen til å samtykke til godkjenning av EØS-komiteens beslutning.

    Fyldigere omtale av innholdet i rettsaktene står i punkt 2.3, 2.4 og 2.5.

    10.2 EØS-komiteens beslutning nr. 21/2023 om innlemmelse i EØS-avtalen av NIS-direktivet og gjennomføringsforordningen

    EØS-komiteens beslutning nr. 21/2023 inneholder en innledning og fem artikler. I fortalen vises det til EØS-avtalen og spesielt artikkel 98. Beslutningen gjør tilføyelser til EØS-avtalens vedlegg XI og protokoll 37.

    Artikkel 1 lister opp tilleggene til vedlegg XI til EØS-avtalen. Det legges til et nytt punkt 5cpa som viser til Europaparlamentets- og Rådets direktiv (EU) 2016/1148 om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen. I punktet presiseres det, i tråd med EØS-avtalen artikkel 101 om tilknytning til komiteer, at EFTA-statene skal delta fullt ut i samarbeidsgruppen og skal ha de samme rettighetene og forpliktelsene som EU-medlemsstatene, bortsett fra retten til å stemme.

    Videre legges det til et nytt punkt 5cpaa som viser til EU-kommisjonens gjennomføringsforordning (EU) 2018/151 om fastsettelse av regler for anvendelse av europaparlaments- og rådsdirektiv (EU) 2016/1148 med hensyn til ytterligere spesifisering av de elementene som tilbydere av digitale tjenester skal ta hensyn til for å håndtere risikoene knyttet til sikkerheten i nettverks- og informasjonssystemer, og av parameterne for å avgjøre om en hendelse har en betydelig innvirkning.

    Artikkel 2 slår fast at et nytt punkt 47 skal tilføyes til EØS-avtalens protokoll 37 der komiteene er oppført. Punktet gjelder samarbeidsgruppen for NIS-direktivet.

    Artikkel 3 slår fast at teksten i direktiv (EU) 2016/1148 og gjennomføringsforordning (EU) 2018/151 på islandsk og norsk, som skal publiseres i EØS-tillegget til Den europeiske unions tidende, skal være autentisk/offisiell.

    Artikkel 4 slår fast at beslutningen trer i kraft 4. februar 2023, under forutsetning av at EØS-komiteen har mottatt alle meddelelser etter avtalens artikkel 103 nr. 1.

    Artikkel 5 slår fast at beslutningen skal kunngjøres i EØS-avdelingen av og EØS-tillegget til Den europeiske unions tidende.

    10.3 EØS-komiteens beslutning nr. 22/2023 om innlemmelse i EØS-avtalen av cybersikkerhetsforordningen

    EØS-komiteens beslutning nr. 22/2023 inneholder en innledning og 5 artikler. I fortalen vises det til EØS-avtalen og spesielt artikkel 98. Beslutningen gjør tilføyelser til EØS-avtalens vedlegg XI og protokoll 37.

    Artikkel 1 viser til EØS-avtalens vedlegg XI og at teksten i nr. 5cp skal lyde: Europaparlaments- og rådsforordning (EU) 2019/881 av 17. april 2019 om ENISA (Den europeiske unions cybersikkerhetsbyrå), om cybersikkerhetssertifisering av informasjons- og kommunikasjonsteknologi og om oppheving av forordning (EU) nr. 526/2013 (cybersikkerhetsforordningen).

    Artikkel 1 lister videre opp de bestemmelsene i forordningen som gjelder med tilpasninger:

    • a) Med mindre annet er fastsatt under, og uten at det berører bestemmelsene i avtalens protokoll 1, skal betegnelsen ‘medlemsstat(er)’ og andre betegnelser i forordningen som viser til deres myndigheter, i tillegg til den betydning de har i forordningen, også omfatte EFTA-statene og deres myndigheter.

    • b) Med hensyn til EFTA-statene skal Byrået, slik og når det er hensiktsmessig, bistå EFTAs overvåkingsorgan eller eventuelt Den faste komité i utførelsen av deres respektive oppgaver.

    • c) Med hensyn til EFTA-statene skal henvisninger til unionsretten forstås som henvisninger til EØS-avtalen

    • d) I artikkel 14 skal nytt nummer lyde: ‘5. EFTA-statene skal delta fullt ut i styret og skal der ha de samme rettighetene og pliktene som EUs medlemsstater, unntatt stemmerett.’

    • e) I artikkel 28 skal nytt nummer lyde: ‘4. Ved anvendelse av denne forordningen skal forordning (EF) nr. 1049/2001 få anvendelse på alle Byråets dokumenter som også angår EFTA-statene.’

    • f) I artikkel 30 skal nytt nummer lyde: ‘3. EFTA-statene skal delta i bidraget fra Unionen nevnt i nr. 1 bokstav a. For dette formålet skal framgangsmåtene fastsatt i EØS-avtalens artikkel 82 nr. 1 bokstav a og protokoll 32 få tilsvarende anvendelse.’

    • g) I artikkel 34 skal nytt ledd lyde: ‘Som unntak fra artikkel 12 nr. 2 bokstav a og artikkel 82 nr. 3 bokstav a i Tilsettingsvilkår for andre tjenestemenn i Den europeiske union kan statsborgere i EFTA-stater som nyter fulle borgerrettigheter, tilsettes på kontrakt av Byråets daglige leder.’

    • h) I artikkel 35 skal nytt ledd lyde: ‘EFTA-statene skal tilstå Byrået og dets ansatte privilegier og immunitet tilsvarende de som er omhandlet i protokollen om Den europeiske unions privilegier og immunitet.’

    • i) I artikkel 40 skal nytt nummer lyde: ‘3. Som unntak fra artikkel 12 nr. 2 bokstav e, artikkel 82 nr. 3 bokstav e og artikkel 85 nr. 3 i Tilsettingsvilkår for andre tjenestemenn i Den europeiske union skal språkene nevnt i EØS-avtalens artikkel 129 nr. 1 anses av Byrået, med hensyn til sine ansatte, som et av Unionens språk nevnt i artikkel 55 nr. 1 i traktaten om Den europeiske union.’

    • j) I artikkel 62 skal nytt nummer lyde: EFTA-statene skal delta fullt ut, uten stemmerett, i ECCG

    Artikkel 2 slår fast at et nytt punkt 48 skal tilføyes til EØS-avtalens protokoll 37 der komiteene er oppført. Punktet gjelder «Den europeiske cybersikkerhetssertifiseringsgruppen» etter forordningen.

    Artikkel 3 slår fast at teksten i forordningen på islandsk og norsk, som skal publiseres i EØS-tillegget til Den europeiske unions tidende, skal være autentisk/ offisiell.

    Artikkel 4 slår fast at beslutningen trer i kraft 4. februar 2023, under forutsetning av at EØS-komiteen har mottatt alle meddelelser etter avtalens artikkel 103 nr. 1, eller på den dagen EØS-komiteens beslutning nr. 21/2023 av 3. februar 2023 trer i kraft, alt etter hva som inntreffer sist.

    Artikkel 5 slår fast at beslutningen skal kunngjøres i EØS-avdelingen av og EØS-tillegget til Den europeiske unions tidende.

    Til slutt følger det med en felleserklæring fra avtalepartene som erklærer følgende:

    «Partene erkjenner at innlemmingen av denne rettsakten ikke berører den direkte anvendelsen av protokoll 7 om Den europeiske unions privilegier og immunitet på statsborgere i EFTA-stater på territoriet til den enkelte medlemsstat i Den europeiske union i henhold til artikkel 11 i nevnte protokoll.»

    10.4 Konklusjon

    Rettsaktene er en del av EUs cybersikkerhetsstrategi som har som formål å sikre et globalt og åpent internett med sterkt vern mot risiko for at grunnleggende rettigheter og friheter i Europa kan bli truet. Et styrket samarbeid i EUs regi vil være av stor betydning for å løse fremtidige utfordringer innen digital sikkerhet. Det er viktig at Norge sikres en plass i dette samarbeidet, da nåværende og fremtidige utfordringer ikke kan løses av en stat alene.

    Nettverks- og informasjonssystemer er forbundet med hverandre og store forstyrrelser i ett land kan få konsekvenser for andre land. Nettverks- og informasjonssystemers robusthet og stabilitet, samt kontinuiteten i de sentrale tjenestene er avgjørende for et velfungerende indre marked, og særlig for det digitale indre markeds videreutvikling.

    Både NIS-direktivet og cybersikkerhetsforordningen har som hovedformål å forbedre det indre markeds funksjon.

    NIS-direktivet har direkte innvirkning på berørte tilbyderes rammevilkår og indirekte for alle andre virksomheter ved at sikkerheten i sentral infrastruktur blir bedret.

    Gjeldene forordning om ENISA (som erstattes av cybersikkerhetsforordningen) er en del av EØS-avtalen og i dag gjennomført i ekomregelverket. Erfaringen fra arbeidet i ENISA er at byrået bidrar med viktige innsikter og bidrag innen digital sikkerhet som det ut fra et norsk standpunkt er ønskelig å delta i og være med på å forme.

    Sertifisering av IKT-produkter, IKT-tjenester og IKT-prosesser vil etter forordningen inntil videre være frivillig. Innen en viss tid skal EU-kommisjonen ha gjort en første vurdering av hvorvidt enkelte sertifiseringsordninger skal gjøres obligatoriske. Det vil i første omgang være snakk om sektorer som er omfattet av NIS-direktivet. Flere norske virksomheter vil dermed kunne bli bundet av krav til sertifisering av IKT-produkter, IKT-tjenester eller IKT-prosesser. Ettersom leverandører av slike tjenester ofte er globale og/eller europeiske, er felles-europeiske løsninger riktig.

    Forslag til lov om digital sikkerhet med tilhørende forskrifter vil gjennomføre NIS-direktivet. Gjennomføringsforordningen og cybersikkerhetsforordningen vil tas inn i norsk rett i sin helhet ved inkorporering i forskrift med hjemmel i forslag til ny lov om digital sikkerhet.

    Neste kapittel
    Forrige kapittel
    Neste kapittel
    Forrige kapittel
    Til forsiden
    Til toppen