Prop. 109 LS (2022–2023)

Lov om digital sikkerhet (digitalsikkerhetsloven) og samtykke til godkjenning av EØS-komiteens beslutninger nr. 21/2023 og 22/2023 om innlemmelse i EØS-avtalen av direktiv (EU) 2016/1148 og forordningene (EU) 2018/151 og (EU) 2019/881

Til innholdsfortegnelse

4 Kommisjonens gjennomføringsforordning (EU) 2018/151 av 30. januar 2018 om fastsettelse av regler for anvendelse av europaparlaments- og rådsdirektiv (EU) 2016/1148 med hensyn til ytterligere spesifisering av de elementene som tilbydere av digitale tjenester skal ta hensyn til for å håndtere risikoene knyttet til sikkerheten i nettverks- og informasjonssystemer, og av parametrene for å avgjøre om en hendelse har en betydelig innvirkning

EUROPAKOMMISJONEN HAR

under henvisning til traktaten om Den europeiske unions virkemåte,

under henvisning til europaparlaments- og rådsdirektiv (EU) 2016/1148 av 6. juli 2016 om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen1, særlig artikkel 16 nr. 8, og

ut fra følgende betraktninger:

  • 1) I henhold til direktiv (EU) 2016/1148 står tilbydere av digitale tjenester fritt til å treffe tekniske og organisatoriske tiltak som de anser som hensiktsmessige og forholdsmessige for å håndtere risikoer for sikkerheten i sine nettverks- og informasjonssystemer, så lenge disse tiltakene sikrer et passende sikkerhetsnivå og tar hensyn til elementene som er omhandlet i det nevnte direktivet.

  • 2) Når tilbydere av digitale tjenester skal identifisere hensiktsmessige og forholdsmessige tekniske og organisatoriske tiltak, bør de gripe an informasjonssikkerhet på en systematisk måte gjennom en risikobasert tilnærming.

  • 3) For å ivareta sikkerheten i systemer og anlegg bør tilbydere av digitale tjenester gjennomføre vurderings- og analyseprosedyrer. Disse aktivitetene bør omfatte systematisk forvaltning av nettverks- og informasjonssystemer, fysisk og miljømessig sikkerhet, forsyningssikkerhet og adgangskontroll.

  • 4) Når tilbydere av digitale tjenester foretar en risikoanalyse som ledd i den systematiske forvaltningen av nettverks- og informasjonssystemer, bør de oppmuntres til å identifisere spesifikke risikoer og kvantifisere deres betydning, for eksempel ved å identifisere trusler mot kritiske ressurser og hvordan disse kan påvirke driften, og til å avgjøre hvordan disse truslene best kan avhjelpes på grunnlag av gjeldende kapasitet og ressursbehov.

  • 5) Personalpolitikken kan omfatte kompetansestyring, herunder aspekter knyttet til utviklingen av sikkerhetsrelaterte ferdigheter og bevisstgjøring. Når tilbydere av digitale tjenester skal fastsette hensiktsmessige retningslinjer for driftssikkerhet, bør de oppmuntres til å ta hensyn til aspekter ved endringsstyring, håndtering av sårbarhet, formalisering av drifts- og forvaltningspraksis og systemkartlegging.

  • 6) Retningslinjer for sikkerhetsarkitektur kan spesifikt omfatte atskillelse av nettverk og systemer samt særlige sikkerhetstiltak for kritiske funksjoner, for eksempel administrative operasjoner. Atskillelsen av nettverk og systemer kan gjøre det mulig for en tilbyder av digitale tjenester å skille mellom elementer som datastrømmer og databehandlingsressurser som tilhører en kunde, en gruppe av kunder, tilbyderen av digitale tjenester eller en tredjepart.

  • 7) Tiltakene som treffes med hensyn til fysisk og miljømessig sikkerhet, bør sikre en organisasjons nettverks- og informasjonssystemer mot skader forårsaket av hendelser som tyveri, brann, flom eller andre værfenomener, telekommunikasjonsfeil eller strømbrudd.

  • 8) Forsyningssikkerheten, for eksempel elektrisk kraft, brensel eller kjøling, kan omfatte forsyningskjedens sikkerhet, som særlig omfatter tredjepartsleverandørers og underleverandørers sikkerhet og hvordan de forvalter den. Sporbarhet av kritiske forsyninger viser til evnen tilbyderen av digitale tjenester har til å identifisere og registrere kildene til disse forsyningene.

  • 9) Brukere av digitale tjenester bør omfatte fysiske og juridiske personer som er kunder av eller abonnenter på en nettbasert markedsplass eller nettskytjeneste, eller som besøker et søkemotornettsted for å foreta nøkkelordsøking.

  • 10) Når det skal fastsettes om en hendelse har en betydelig innvirkning, bør tilfellene fastsatt i denne forordningen anses som en ikke-uttømmende liste over betydelige hendelser. Det bør trekkes erfaringer fra gjennomføringen av denne forordningen og fra samarbeidsgruppens arbeid med å innhente opplysninger om beste praksis i forbindelse med risikoer og hendelser og drøftingene av metodene for rapportering av hendelser som nevnt i artikkel 11 nr. 3 bokstav i) og m) i direktiv (EU) 2016/1148. Resultatet kan bli detaljerte retningslinjer for kvantitative terskler for meldingsparametrer som kan utløse meldingsplikten for tilbydere av digitale tjenester i henhold til artikkel 16 nr. 3 i direktiv (EU) 2016/1148. Kommisjonen kan eventuelt også vurdere å revidere de gjeldende tersklene som er fastsatt i denne forordningen.

  • 11) For at vedkommende myndigheter skal kunne bli underrettet om potensielle nye risikoer, bør tilbyderne av digitale tjenester oppmuntres til frivillig å rapportere enhver hendelse med kjennetegn som tidligere har vært ukjent for dem, for eksempel nye metoder for å utnytte sikkerhetshull («exploits»), angrepsvektorer eller trusselaktører, sårbarheter og farer.

  • 12) Denne forordningen bør få anvendelse dagen etter utløpet av fristen for innarbeiding av direktiv (EU) 2016/1148.

  • 13) Tiltakene fastsatt i denne forordningen er i samsvar med uttalelse fra komiteen for sikkerhet i nettverks- og informasjonssystemer nevnt i artikkel 22 i direktiv (EU) 2016/1148.

VEDTATT DENNE FORORDNINGEN:

Artikkel 1

Formål

Denne forordningen spesifiserer nærmere hvilke elementer tilbydere av digitale tjenester skal ta hensyn til når de identifiserer og treffer tiltak for å garantere et nivå av sikkerhet i nettverks- og informasjonssystemer som de bruker i forbindelse med tilbud av tjenester nevnt i vedlegg III til direktiv (EU) 2016/1148, og spesifiserer nærmere hvilke parametrer som skal tas i betraktning for å avgjøre om en hendelse har en betydelig innvirkning på leveringen av disse tjenestene.

Artikkel 2

Sikkerhetselementer

  • 1. Med sikkerhet i systemer og anlegg nevnt i artikkel 16 nr. 1 bokstav a) i direktiv (EU) 2016/1148 menes sikkerheten i nettverks- og informasjonssystemer og i deres fysiske miljø, som skal omfatte følgende elementer:

    • a) Systematisk forvaltning av nettverks- og informasjonssystemer, som innebærer en kartlegging av informasjonssystemer og utarbeiding av egnede retningslinjer for informasjonssikkerhetsstyring, herunder risikoanalyse, menneskelige ressurser, driftssikkerhet, sikkerhetsarkitektur, sikker livssyklusstyring for data og systemer og eventuelt kryptering og håndtering av slik kryptering.

    • b) Fysisk og miljømessig sikkerhet, som innebærer at det finnes et sett av tiltak for å ivareta sikkerheten i nettverks- og informasjonssystemene til tilbydere av digitale tjenester mot skader gjennom en risikobasert tilnærming som dekker alle farer, for eksempel systemfeil, menneskelige feil, skadelige handlinger eller naturfenomener.

    • c) Forsyningssikkerhet, som innebærer at det utarbeides og ajourføres egnede retningslinjer for å sikre tilgjengeligheten av og, dersom det er relevant, sporbarheten for kritiske forsyninger som brukes ved levering av tjenestene.

    • d) Adgangskontroll for nettverks- og informasjonssystemer, som innebærer at det finnes et sett av tiltak for å sikre at fysisk og logisk adgang til nettverks- og informasjonssystemer, herunder den administrative sikkerheten i nettverks- og informasjonssystemer, gis og begrenses på grunnlag av forretnings- og sikkerhetsmessige krav.

  • 2. Når det gjelder hendelseshåndtering nevnt i artikkel 16 nr. 1 bokstav b) i direktiv (EU) 2016/1148, skal tiltakene som treffes av tilbyderen av digitale tjenester, omfatte følgende:

    • a) Opprettholdelse og testing av påvisningsprosesser og -prosedyrer for å sikre at avvik oppdages til rett tid og i tilstrekkelig grad.

    • b) Prosesser og retningslinjer for rapportering av hendelser og kartlegging av svakheter og sårbarheter i informasjonssystemene deres.

    • c) Respons i samsvar med fastsatte prosedyrer og rapportering av resultatene av tiltaket som er truffet.

    • d) En vurdering av hendelsens alvorlighetsgrad med dokumentasjon av kunnskapen fra hendelsesanalysen og innsamling av relevant informasjon som kan tjene som bevis og støtte en kontinuerlig forbedringsprosess.

  • 3. Med styring av driftskontinuitet nevnt i artikkel 16 nr. 1 bokstav c) i direktiv (EU) 2016/1148 menes en organisasjons evne til å opprettholde eller eventuelt gjenopprette leveringen av tjenester på akseptable forhåndsdefinerte nivåer etter en forstyrrende hendelse og skal omfatte

    • a) utarbeiding og bruk av beredskapsplaner basert på en driftskonsekvensanalyse for å sikre kontinuitet i tjenestene som leveres av tilbydere av digitale tjenester, som skal vurderes og testes regelmessig, for eksempel gjennom øvelser,

    • b) katastrofeberedskap, som skal vurderes og testes regelmessig, for eksempel gjennom øvelser.

  • 4. Overvåkingen, revisjonen og testingen nevnt i artikkel 16 nr. 1 bokstav d) i direktiv (EU) 2016/1148 skal omfatte utarbeiding og ajourføring av retningslinjer for

    • a) gjennomføring av en planlagt rekke observasjoner eller målinger for å vurdere om nettverks- og informasjonssystemene fungerer etter hensikten,

    • b) inspeksjon og verifisering for å kontrollere om en standard eller et sett med retningslinjer blir fulgt, om registreringene er nøyaktige og om målene for effektivitet og virkning nås,

    • c) en prosess som er beregnet på å avdekke mangler i sikkerhetsmekanismene i et nettverks- og informasjonssystem som beskytter data og opprettholder den tilsiktede funksjonaliteten. En slik prosess skal omfatte tekniske prosesser og personell som er involvert i driftsflyten.

  • 5. Med internasjonale standarder nevnt i artikkel 16 nr. 1 bokstav e) i direktiv (EU) 2016/1148 menes standarder som er vedtatt av et internasjonalt standardiseringsorgan som nevnt i artikkel 2 nr. 1 bokstav a) i europaparlaments- og rådsforordning (EU) nr. 1025/20122. I henhold til artikkel 19 i direktiv (EU) 2016/1148 kan europeisk eller internasjonalt anerkjente standarder og spesifikasjoner som er relevante for sikkerheten i nettverks- og informasjonssystemer, herunder eksisterende nasjonale standarder, også brukes.

  • 6. Tilbydere av digitale tjenester skal sikre at de har tilstrekkelig dokumentasjon tilgjengelig til at vedkommende myndighet kan kontrollere samsvar med sikkerhetselementene angitt i nr. 1, 2, 3, 4 og 5.

Artikkel 3

Parametrer som skal tas i betraktning for å avgjøre om virkningen av en hendelse er betydelig

  • 1. Med hensyn til antallet brukere som er berørt av en hendelse, særlig brukere som er avhengige av tjenesten for å yte egne tjenester som nevnt i artikkel 16 nr. 4 bokstav a) i direktiv (EU) 2016/1148, skal tilbyderen av digitale tjenester kunne anslå enten

    • a) antallet berørte fysiske og juridiske personer som det er inngått en avtale om levering av tjenesten med, eller

    • b) antallet berørte brukere som har brukt tjenesten, særlig basert på tidligere trafikkdata.

  • 2. Med varigheten av en hendelse som nevnt i artikkel 16 nr. 4 bokstav b) menes tidsrommet fra avbruddet i normal levering av tjenesten med hensyn til tilgjengelighet, autentisitet, integritet eller fortrolighet til tidspunktet for gjenoppretting.

  • 3. Når det gjelder størrelsen på det geografiske området som er berørt av hendelsen, nevnt i artikkel 16 nr. 4 bokstav c) i direktiv (EU) 2016/1148, skal tilbyderen av digitale tjenester kunne fastslå om hendelsen påvirker leveringen av tjenestene i bestemte medlemsstater.

  • 4. Omfanget av driftsforstyrrelser i tjenesten nevnt i artikkel 16 nr. 4 bokstav d) i direktiv (EU) 2016/1148 skal måles med hensyn til én eller flere av følgende egenskaper som påvirkes negativt av en hendelse: dataenes eller de tilknyttede tjenestenes tilgjengelighet, autentisitet, integritet eller fortrolighet.

  • 5. Når det gjelder omfanget av virkningen på økonomisk og samfunnsmessig virksomhet nevnt i artikkel 16 nr. 4 bokstav e) i direktiv (EU) 2016/1148, skal tilbyderen av digitale tjenester kunne konkludere, basert på indikasjoner som for eksempel arten av sitt kontraktsforhold med kunden eller, der det er relevant, det potensielle antallet berørte brukere, om hendelsen har forårsaket betydelige materielle eller ikke-materielle tap for brukerne, for eksempel med hensyn til helse, sikkerhet eller skade på eiendom.

  • 6. Ved anvendelse av nr. 1, 2, 3, 4 og 5 skal tilbydere av digitale tjenester ikke være pålagt å innhente tilleggsopplysninger som de ikke har tilgang til.

Artikkel 4

En hendelses betydelige innvirkning

  • 1. En hendelse skal anses å ha en betydelig innvirkning dersom den har ført til minst én av følgende situasjoner:

    • a) Tjenesten som leveres av en tilbyder av digitale tjenester, var utilgjengelig i mer enn 5 000 000 brukertimer, der uttrykket brukertimer viser til antallet berørte brukere i Unionen i et tidsrom på 60 minutter.

    • b) Hendelsen har ført til tap av integritet, autentisitet eller fortrolighet for lagrede, overførte eller behandlede data eller tilknyttede tjenester som tilbys av eller er tilgjengelige via et nettverks- og informasjonssystem hos tilbyderen av digitale tjenester, og tapet berører flere enn 100 000 brukere i Unionen.

    • c) Hendelsen har medført risiko for offentlig orden, offentlig sikkerhet eller tap av menneskeliv.

    • d) Hendelsen har forårsaket materiell skade for minst én bruker i Unionen og skaden for denne brukeren overstiger 1 000 000 euro.

  • 2. På grunnlag av opplysninger om beste praksis som er innhentet av samarbeidsgruppen ved utførelsen av sine oppgaver i henhold til artikkel 11 nr. 3 i direktiv (EU) 2016/1148, og drøftingene i henhold til direktivets artikkel 11 nr. 3 bokstav m), kan Kommisjonen revidere tersklene fastsatt i nr. 1.

Artikkel 5

Ikrafttredelse

  • 1. Denne forordningen trer i kraft den 20. dagen etter at den er kunngjort i Den europeiske unions tidende.

  • 2. Den får anvendelse fra 10. mai 2018.

Denne forordningen er bindende i alle deler og kommer direkte til anvendelse i alle medlemsstater.

Utferdiget i Brussel 30. januar 2018.

For Kommisjonen

Jean-Claude Juncker

President

Fotnoter

1.

EUT L 194 av 19.7.2016, s. 1.

2.

Europaparlaments- og rådsforordning (EU) nr. 1025/2012 av 25. oktober 2012 om europeisk standardisering og om endring av rådsdirektiv 89/686/EØF og 93/15/EØF samt europaparlaments- og rådsdirektiv 94/9/EF, 94/25/EF, 95/16/EF, 97/23/EF, 98/34/EF, 2004/22/EF, 2007/23/EF, 2009/23/EF og 2009/105/EF og om oppheving av rådsvedtak 87/95/EØF og europaparlaments- og rådsbeslutning nr. 1673/2006/EF (EUT L 316 av 14.11.2012, s. 12).

Til forsiden