Prop. 109 LS (2022–2023)

Lov om digital sikkerhet (digitalsikkerhetsloven) og samtykke til godkjenning av EØS-komiteens beslutninger nr. 21/2023 og 22/2023 om innlemmelse i EØS-avtalen av direktiv (EU) 2016/1148 og forordningene (EU) 2018/151 og (EU) 2019/881

Til innholdsfortegnelse

2 Lovforslagets bakgrunn

2.1 Utviklingstendenser

Den omfattende digitaliseringen som preger samfunnsutviklingen er et viktig premiss for effektivisering av samfunnet, verdiskapning og økonomisk vekst. Digitale systemer er sentrale for alle samfunnsfunksjoner. Dersom de digitale systemene feiler, vil det kunne medføre store konsekvenser på alle nivåer i samfunnet. Digital sikkerhet er derfor helt avgjørende for å ivareta velferdssamfunnet, viktige samfunnsfunksjoner og nasjonale interesser. Digital sikkerhet er en avgjørende forutsetning for at digitaliseringen skal lykkes.

Den sikkerhetspolitiske situasjonen i verden er i endring, noe som påvirker det nasjonale trusselbildet og skaper sikkerhetsmessige utfordringer. Med komplekse trusler og verdikjeder blir det avgjørende med helhetlige sikkerhetstiltak og at myndighetene har mulighet til å følge opp og kontrollere at tiltak gjennomføres. De siste årene er det gjennomført flere utredninger og utarbeidet politiske dokumenter om digital sikkerhet, blant annet NOU 2015: 13 Digital sårbarhet – sikkert samfunn, Meld. St. 38 (2016–2017) IKT-sikkerhet – et felles ansvar, NOU 2018: 14 IKT-sikkerhet i alle ledd og nå sist i Meld. St. 9 (2022–2023) Nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet – Så åpent som mulig, så sikkert som nødvendig. Analysene som inngår i eller ligger til grunn for disse utredningene viser gjennomgående at utfordringene innenfor digital sikkerhet går på tvers av virksomheter, sektorer og landegrenser.

Nasjonal strategi for digital sikkerhet angir mål og prioriteringer som skal ligge til grunn for myndighetenes arbeid med digital sikkerhet. Strategien vektlegger behovet for en målrettet norsk deltagelse i det internasjonale samarbeidet for å styrke den globale digitale sikkerheten. Strategien understøttes av en egen tiltaksoversikt.

IKT-sikkerhetsutvalgets utredningNOU 2018: 14 IKT-sikkerhet i alle ledd ble overlevert til Justis- og beredskapsdepartementet 3. desember 2018. Ett av hovedtemaene i utredningen omhandler regulering av digital sikkerhet i norsk rett. Utvalget ble bedt om å vurdere om dagens regulering er hensiktsmessig for å oppnå forsvarlig digital sikkerhet. Utvalget uttaler i denne sammenheng at Norge har en mangelfull regulering av IKT-sikkerhet, og anbefaler derfor at det utarbeides en ny lov om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning.

I stortingsmelding Meld. St. 9 (2022–2023) Nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet – Så åpent som mulig, så sikkert som nødvendig uttaler regjeringen at de ønsker å bruke regulering som virkemiddel på områder innen digital sikkerhet der det gir klare nytteeffekter. Sikkerhetsloven regulerer digital sikkerhet innenfor sitt virkeområde. I meldingen er det varslet at regjeringen vurderer å fremme et forslag til ny lov om digital sikkerhet. Sentralt i dette er ansvarliggjøring av virksomheter innenfor samfunnsområder som har en særlig viktig rolle for opprettholdelsen av samfunnsmessig og økonomisk aktivitet, og å sikre gjennomføring av nasjonale råd og anbefalinger. Revisjonsrapporter fra EU-kommisjonen samt utviklingstrekk og erfaringer fra både Norge og andre EØS-stater vil spille en viktig rolle for hvordan regjeringen ønsker å videreutvikle loven.

Denne loven vil legge til rette for gjennomføringen av NIS-direktivet i norsk rett. Den vil også være et utgangspunkt for videre kravstilling og regulering innen digital sikkerhet. For å synliggjøre fremtidige ambisjoner om videreutvikling av regelverket, har departementet valgt å endre tittelen på loven sammenlignet med høringsnotatet fra «lov om sikkerhet i nettverk og informasjonssystemer», til «lov om digital sikkerhet».

2.2 Begrepsbruk

Det benyttes ulike begreper om digital sikkerhet i forskjellige bransjer og profesjoner. Eksempler er IKT-sikkerhet, cybersikkerhet, digital sikkerhet, informasjonssikkerhet og datasikkerhet. Begrepene er, med nyanseforskjeller, å betrakte som synonymer.

Justis- og beredskapsdepartementet har siden 2013 hatt samordningsansvaret for IKT-sikkerhet i sivil sektor, og gjennomgående brukt begrepet IKT-sikkerhet. Begrepet IKT-sikkerhet oppleves imidlertid av mange som problematisk da det anses å være teknisk orientert som typisk henvender seg til en virksomhets IT-avdeling og ikke til en virksomhets ledelse. Cybersikkerhet er også til dels problematisk da det ikke uten videre er intuitivt hva som inngår i begrepet, og at det ikke er et godt norsk begrep.

I denne proposisjonen benyttes «digital sikkerhet» gjennomgående om beskyttelse av «alt» som er sårbart fordi det er koblet til eller på annen måte avhengig av informasjons- og kommunikasjonsteknologi. Begrepet brukes synonymt med begrepene IKT-sikkerhet og cybersikkerhet. Begrepsvalget er i tråd med Nasjonal strategi for digital sikkerhet. Begrepet er lett forståelig, fremtidsrettet og i tråd med faguttrykkene for området ellers, slik som digitale angrep, digitale sårbarheter og digitale utfordringer.

Cybersikkerhetsforordningen benytter gjennomgående begrepet cybersikkerhet. I forordningen artikkel 2 nr. 1 defineres cybersikkerhet som «de aktivitetene som er nødvendige for å beskytte nett- og informasjonssystemer, brukerne av slike systemer og andre personer som berøres av cybertrusler». Forordningen regulerer blant annet cybersikkerhetssertifisering. For å klargjøre lovens elementer som peker tilbake på cybersikkerhetsforordningen, foreslås det at lovbestemmelsen som gir hjemmel til å gjennomføre forordningen benytter «sikkerhetssertifisering av IKT-produkter, IKT-tjenester og IKT-prosesser».

2.3 NIS-direktivet

2.3.1 Innledning

Direktiv (EU) 2016/1148 (NIS-direktivet) ble vedtatt i EU 6. juli 2016 og har som formål å styrke den digitale sikkerheten i EØS. Bakgrunnen for forslaget var at det, innen EU, ikke har vært implementert tilstrekkelige og helhetlige beskyttelsestiltak for å oppnå god nok sikkerhet i nettverks- og informasjonssystemer som er særlig viktige for det indre markeds funksjon. Statene har ulik kvalitet på de beskyttelsestiltak som er implementert, hvilket medfører en fragmentert tilnærming på EU-nivå.

NIS-direktivet omfatter utvalgte virksomheter som leverer tjenester som er viktige for å opprettholde et velfungerende samfunn og næringsliv. Virksomhetene som omfattes av direktivet får i hovedsak to forpliktelser. De skal gjennomføre sikkerhetstiltak som står i et rimelig forhold til den risikoen virksomheten står overfor og de skal varsle om alvorlige digitale hendelser.

Virksomhetene faller i to kategorier. For det første tilbydere av samfunnsviktige tjenester innenfor samfunnssektorene energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur. For det andre tilbydere av digitale tjenester, nærmere bestemt nettbaserte markedsplasser, nettbaserte søkemotorer og skytjenester.

Det stilles strengere krav til sikkerhet for tilbydere av samfunnsviktige tjenester enn for tilbydere av digitale tjenester. En konkretisering av kravene for sistnevnte kategori følger av gjennomføringsforordningen. Dette omtales nærmere i punkt 6 om krav til sikkerhet.

NIS-direktivet gir statene rom for nasjonal tilpasning på flere områder. Direktivet setter minimumskrav til statene når det gjelder både virkeområde og sikkerhetskrav. Det er for eksempel opp til den enkelte stat å inkludere flere samfunnssektorer og å stille strengere sikkerhetskrav enn det som følger av direktivet. Det er imidlertid ikke rom for å inkludere færre samfunnssektorer eller å stille mindre strenge krav.

EU-land har gjennomført direktivet på ulike måter. I Sverige trådte lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster i kraft 1. august 2018. I all hovedsak gjelder loven de delene av NIS-direktivet som retter seg mot tilbydere av samfunnsviktige og digitale tjenester. I Danmark er NIS-direktivet implementert gjennom reguleringer i den enkelte sektor. Lov nr. 437 av 8 mai 2018 om sikkerhed i net- og informationssystemer for operatører af væsentlige internetudvekslingspunkter m.v. trådte i kraft 10. mai 2018. Dette lovforslaget implementerer de deler av direktivet som stiller sikkerhetskrav til samtrafikkpunkter. I Storbritannia trådte The Network and Information Systems Regulations 2018 No. 506 i kraft 10. mai 2018. Regelverket gjelder alle direktivets krav, både de som retter seg mot tilbydere av samfunnsviktige og digitale tjenester, og krav som retter seg mot myndighetene.

I november 2022 vedtok EU direktiv (EU) 2022/2555, et nytt direktiv som opphever NIS1 (NIS2-direktivet). Direktivet er foreløpig ikke tatt inn i EØS-avtalen. Direktivets virkeområde er utvidet ved å legge til nye sektorer, og ved å innføre et størrelsestak slik at alle mellomstore og store bedrifter i utvalgte sektorer omfattes av virkeområdet. Skillet mellom tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester videreføres ikke. Virksomheter blir klassifisert ut fra deres betydning og delt inn i kategorier som henholdsvis grunnleggende og viktige, og underlagt forskjellige tilsynsregimer.

NIS2-direktivet styrker sikkerhetskravene til tilbyderne med en minimumsliste over grunntiltak som må anvendes, og gir mer presise bestemmelser for varsling av hendelser. I tillegg adresseres sikkerheten i forsyningskjeder og leverandørforhold. Flere av endringene i det nye direktivet anses som fornuftige presiseringer av NIS1, blant annet knyttet til presiseringer av varslingskrav. Dersom NIS2 blir tatt inn i EØS-avtalen vil det medføre behov for endringer i lov om digital sikkerhet. Slike endringer vil bli sendt på høring på vanlig måte.

2.3.2 Nasjonale rammeverk for sikkerhet i nettverks- og informasjonssystemer

Etter NIS-direktivets artikler 7, 8 og 9 plikter hver stat å etablere en nasjonal strategi for digital sikkerhet, en nasjonal kompetent sikkerhetsmyndighet, et nasjonalt kontaktpunkt og en nasjonal enhet som skal håndtere digitale sikkerhetshendelser. De nasjonale enhetene som skal håndtere sikkerhetshendelser benevnes i direktivet som såkalte CSIRT som står for «computer security incident response team». Proposisjonen vil i det videre gjennomgående benytte betegnelsen «responsmiljøer» eller «nasjonale responsmiljøer» om CSIRT.

Dersom oppgavene til sikkerhetsmyndigheten og kontaktpunktet er fordelt på flere virksomheter, skal disse samarbeide om gjennomføringen av direktivet, jf. artikkel 10.

2.3.3 Samarbeid mellom statene og de nasjonale responsmiljøene

NIS-direktivet etablerer to internasjonale samarbeidsfora gjennom artiklene 11 og 12. Etter artikkel 11 skal det opprettes en samarbeidsgruppe for strategisk styring (NIS samarbeidsgruppe) med representanter fra statene, EU-kommisjonen og det europeiske byrået for nettverks- og informasjonssikkerhet (ENISA). Samarbeidsgruppen skal blant annet utarbeide en handlingsplan for implementering av direktivet, utarbeide strategiske råd til nettverket av nasjonale responsmiljøer og utveksle bestepraksis om informasjonsdeling relatert til hendelseshåndtering og kapasitetsbygging.

Etter artikkel 12 skal det opprettes et nettverk for nasjonale responsmiljøer bestående av representanter fra de nasjonale responsmiljøene og responsmiljøet i EU (CERT-EU). Nettverket skal fremme raskt og effektivt operativt samarbeid, samt utvikling av tillit mellom statene. EU-kommisjonen deltar som observatør og ENISA står for sekretariatet. Nettverkets arbeidsoppgaver vil blant annet bestå av informasjonsdeling om responsmiljøenes tjenester, operasjoner og samarbeidskapasiteter, informasjonsdeling om hendelser og samarbeid om felles respons mot hendelser.

2.3.4 Sikkerhetstiltak og varsling for tilbydere av samfunnsviktige tjenester

I artikkel 14 stilles det generelle og overordnede krav til sikkerheten hos tilbydere av samfunnsviktige tjenester. Blant annet gjennom innføring av krav om risikostyring skal statene sørge for at tilbydere av samfunnsviktige tjenester iverksetter sikkerhetstiltak som står i et rimelig forhold til risikoen den enkelte tilbyder står overfor. Det skal også iverksettes tiltak for å forebygge og minimere virkningen av hendelser i nettverks- og informasjonssystemer, med henblikk på opprettholdelse av tjenesteleveransen. Se nærmere artikkel 14 nr. 1 og 2.

For å legge til rette for harmonisert gjennomføring av artikkel 14 nr. 1 og 2, skal statene fremme bruk av europeiske og internasjonale standarder. ENISA skal bistå med rådgivning og retningslinjer.

Etter artikkel 14 nr. 3 skal statene sørge for at tilbydere av samfunnsviktige tjenester uten ugrunnet opphold varsler om hendelser som virker betydelig inn på kontinuiteten i de samfunnsviktige tjenestene de yter. Vurderingskriteriene for om innvirkningen er betydelig er listet opp i artikkel 14 nr. 4 bokstav a til c:

  • antallet brukere som påvirkes

  • hendelsens varighet

  • størrelsen på det geografiske området som berøres av hendelsen

Dette betyr altså at det kun skal varsles om hendelser som faktisk innvirker negativt på tjenesteleveransen. Det skal ikke varsles om fare for slik virkning, ei heller kompromittering av konfidensialitet, tilgjengelighet eller integritet der dette ikke har betydning for tjenesteleveransen. Det er den forhåndsbestemte kompetente myndigheten eller det nasjonale responsmiljøet som skal varsles. Dersom hendelsen også fører til brudd på personvernet skal den kompetente myndigheten samarbeide med personvernmyndighetene.

Etter artikkel 15 skal statene sørge for at den utpekte kompetente myndigheten har tilstrekkelig myndighet til å undersøke hvorvidt tilbydere av samfunnsviktige tjenester overholder kravene om sikkerhet etter artikkel 14. Dette innebærer blant annet at myndigheten skal kunne få tilgang til all informasjon som er nødvendig for å kunne undersøke sikkerheten hos tilbyderne og at tilbyderne skal kunne fremskaffe dokumentasjon og resultater fra tidligere tilsyn. I etterkant av en slik undersøkelse av dokumentasjon fra en tilbyder, skal den kompetente myndigheten kunne gi bindende pålegg om retting dersom det er behov.

2.3.5 Sikkerhetstiltak og varsling for tilbydere av digitale tjenester

Etter artikkel 16 skal statene sørge for at tilbydere av digitale tjenester iverksetter sikkerhetstiltak som står i et rimelig forhold til risikoen tilbyderen står overfor. Også overfor denne gruppen tilbydere skal det stilles krav om risikostyring. Det skal også iverksettes tiltak for å forebygge og minimere virkningen av hendelser i nettverks- og informasjonssystemer, med henblikk på opprettholdelse av tjenesteleveransen. Til forskjell fra tilbydere av samfunnsviktige tjenester kan statene, med visse unntak, ikke innføre strengere sikkerhetstiltak for tilbydere av digitale tjenester enn det direktivet legger opp til. Noe av begrunnelsen er at det for tilbydere av digitale tjenester er behov for harmoniserte sikkerhetskrav i EØS. Sikkerhetskravene som stilles til tilbydere av digitale tjenester er spesifisert i gjennomføringsforordningen.

Tilbydere av samfunnsviktige tjenester skal varsle en på forhånd bestemt kompetent myndighet om hendelser som virker betydelig inn på leveringen av en tjeneste som nevnt i vedlegg III og som de tilbyr i EØS, jf. artikkel 16 nr. 3. Etter artikkel 16 nr. 4 bokstav a til e skal det ved vurderingen av om innvirkningen er betydelig legges vekt på:

  • antallet brukere som påvirkes

  • hendelsens varighet

  • størrelsen på det geografiske området som berøres av hendelsen

  • omfanget av funksjonalitetssvikten i tjenesten

  • omfanget av innvirkningen på økonomisk og samfunnsmessig aktivitet

Etter artikkel 17 skal statene sørge for at den kompetente myndigheten kan agere dersom det er bevist at en tilbyder av digitale tjenester ikke har overholdt kravene i artikkel 16. Dette innebærer blant annet at myndigheten skal kunne få tilgang til all den informasjonen som er nødvendig for å vurdere sikkerhetsnivået hos tilbyderen og kunne kreve retting av ethvert brudd med artikkel 16.

2.4 Gjennomføringsforordningen

Forordning (EU) 2018/151 (gjennomføringsforordningen) ble vedtatt 30. januar 2018 og trådte i kraft 10. mai 2018. Forordningen er vedtatt av EU-kommisjonen med hjemmel i NIS-direktivets artikkel 16 nr. 8. Forordningen gjelder kun for tilbydere av digitale tjenester etter NIS-direktivet og utdyper og presiserer innholdet i kravene som følger av NIS-direktivet.

Forordningens overordnede formål er tilsvarende NIS-direktivet, å oppnå et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i EØS for å forbedre virkemåten til det indre marked. Forordningens mer konkrete formål er å sette tilbydere av digitale tjenester bedre i stand til å treffe de tekniske og organisatoriske tiltak som er tilstrekkelige for å styre sikkerhetsrisiko i nettverks- og informasjonssystemene. Formålet er også å presisere hva som skal vektlegges for å identifisere om virkningen av en hendelse er «betydelig».

Gjennomføringsforordningen er en viktig presisering av overordnede krav for tilbydere av digitale tjenester. Presiseringene knyttet til elementer som skal vektlegges av tilbyderne når de skal etablere et sikkerhetsnivå som står i forhold til risikoen er funksjonelt utformet.

Selv om forordningen kun gjelder tilbydere av digitale tjenester, vil artikkel 3 og 4 om kriterier for å avgjøre hvorvidt en hendelse er betydelig og falle inn under varslingsplikten, også ha veiledende betydning for tilbydere av samfunnsviktige tjenester når det gjelder antall brukere som påvirkes, hendelsens varighet og størrelsen på det geografiske området som berøres. Disse parameterne er felles for tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester.

Gjennomføringsforordningen artikkel 2 spesifiserer hvilke momenter tilbydere av digitale tjenester skal ta i betraktning når de fastsetter og iverksetter tiltak for å garantere et nivå av sikkerhet i nettverks- og informasjonssystemer som benyttes i leveransen av tjenester som nevnt i vedlegg III til NIS-direktivet.

Der NIS-direktivet omtaler sikkerheten i systemer og utstyr i artikkel 16 nr. 1 bokstav a, presiserer forordningen at dette innebærer systematisk forvalting av nettverks- og informasjonssystemer, fysisk og miljømessig sikkerhet, forsyningssikkerhet og adgangskontroll, jf. artikkel 2 nr. 1.

Der NIS-direktivet omtaler hendelseshåndtering i artikkel 16 nr. 1 bokstav b, presiserer forordningen at det omfatter tiltak som innebærer opprettholdelse og overvåkning av deteksjonsprosesser, prosesser og retningslinjer for rapportering om hendelser, plan for reaksjon på hendelser og vurdering av hendelsenes alvorlighetsgrad, jf. artikkel 2 nr. 2.

I NIS-direktivet artikkel 16 nr. 1 bokstav c omtales håndtering av kontinuitet for tilbydere av digitale tjenester. Ifølge gjennomføringsforordningen artikkel 2 nr. 3 innebærer dette utarbeidelse av beredskapsplanverk og å opprettholde en katastrofeberedskapskapasitet som vurderes og testes jevnlig.

I NIS-direktivet artikkel 16 nr. 1 bokstav d omtales overvåkning, revisjon og testing. Det presiseres i gjennomføringsforordningen artikkel 2 nr. 4 at dette innebærer å gjennomføre planlagte sekvenser for observasjon og målinger, inspeksjoner for å sjekke om retningslinjer etterleves og en prosess for å avdekke mangler i systemers sikkerhetsmekanismer.

I NIS-direktivet artikkel 16 nr. 1 bokstav e vises det til at det skal tas hensyn til overholdelse av anerkjente internasjonale standarder. Ifølge gjennomføringsforordningen artikkel 2 nr. 5 innebærer dette standarder vedtatt av et internasjonalt standardiseringsorgan etter Europaparlamentets og Rådets forordning (EU) 1025/2012. Etter NIS-direktivets artikkel 19 kan det også benyttes andre standarder som er relevante for sikkerheten, herunder også nasjonale.

Gjennomføringsforordningen artikkel 2 nr. 6 stiller krav om at tilbyderne skal kunne fremlegge dokumentasjon om overnevnte som den kompetente myndighet etter NIS-direktivet trenger for å utøve sin kontroll.

Gjennomføringsforordningen artikkel 3 spesifiserer hvilke parametere som skal tas i betraktning for å avgjøre om virkningen av en hendelse er betydelig.

Etter NIS-direktivet artikkel 16 nr. 4 bokstav a skal det tas hensyn til antall berørte brukere som påvirkes av hendelsen, særlig brukere som er avhengige av tjenesten for å kunne yte egne tjenester. Etter gjennomføringsforordningen artikkel 3 nr. 1 bokstav a og b skal tilbydere av digitale tjenester kunne fastslå enten antallet av berørte fysiske og juridiske personer som det er inngått avtale om levering av tjeneste med, eller antallet berørte brukere som har benyttet tjenesten basert på tidligere trafikkdata.

Gjennomføringsforordningen presiserer i artikkel 3 nr. 2 hva som mener med en hendelses «varighet» i NIS-direktivet artikkel 16 nr. 4 bokstav b. Med varighet forstås tidsrommet fra avbrytelse av tjenesteleveranse hva gjelder tilgjengelighet, autentisitet eller fortrolighet, til det tidspunkt hvor tjenesten er gjenopprettet.

Artikkel 3 nr. 3 presiserer at ved avgjørelse av hendelsens geografiske omfang, jf. NIS-direktivet artikkel 16 nr. 4 bokstav c, må tilbyderne være i stand til å fastslå om hendelsen påvirker leveransen av tjenester i bestemte EU-land.

Når det gjelder omfanget av driftsforstyrrelser etter NIS-direktivet artikkel 16 nr. 4 bokstav d, presiserer gjennomføringsforordningen artikkel 3 nr. 4 at dette skal måles basert på om en eller flere av følgende egenskaper svekkes som følge av en hendelse: dataenes eller dermed tilknyttede tjenesters tilgjengelighet, autentisitet, integritet eller konfidensialitet.

Når det gjelder omfanget av virkningen på økonomisk og samfunnsmessig virksomhet, jf. NIS-direktivet artikkel 16 nr. 4 bokstav e, presiserer gjennomføringsforordningen i artikkel 3 nr. 5 at tilbydere skal kunne avgjøre om hendelsen har medført betydelige materielle eller ikke-materielle tap for brukerne, for eksempel med hensyn til helse, sikkerhet eller skade på eiendom.

Artikkel 3 nr. 6 slår fast at tilbydere av digitale tjenester ikke er forpliktet til å innsamle informasjon om overstående som de ikke har adgang til.

Artikkel 4 angir nærmere konkrete parametere for å fastslå om virkningen av en hendelse er betydelig, jf. NIS-direktivet artikkel 16 nr. 4.

2.5 Cybersikkerhetsforordningen

2.5.1 Innledning

Forordning (EU) 2019/881 (cybersikkerhetsforordningen) ble vedtatt i EU 17. april 2019 og har som formål å sikre et velfungerende indre marked med et høyt nivå av cybersikkerhet, motstandsdyktighet og tillit innad i EØS, jf. forordningen artikkel 1. Dette skal oppnås ved å

  1. fastsette mål, oppgaver og organisatoriske forhold for ENISA, og

  2. etablere et rammeverk for opprettelse av europeiske cybersikkerhetssertifiseringsordninger for å sikre et tilstrekkelig nivå av cybersikkerhet for IKT-produkter, IKT-tjenester og IKT-prosesser i Unionen, samt for å unngå oppsplittingen av det indre markedet med hensyn til cybersikkerhetssertifiseringsordninger i Unionen.

Cybersikkerhetsforordningen opphever forordning (EU) 526/2013 av 21 mai 2013 om det europeiske byrå for nett- og informasjonssikkerhet (ENISA) og om oppheving av forordning (EF) nr. 460/2004.

Forordningen regulerer to hovedområder: ENISA og cybersikkerhetssertifisering.

2.5.2 ENISA

Forordningen innebærer at ENISA får et styrket budsjett, flere ansatte og et styrket og permanent mandat (jf. artikkel. 3) og byrået vil dermed spille en større rolle innen digital sikkerhet i EØS. ENISA vil med et permanent mandat ivareta rollen som Den Europeiske Unions Byrå for Cybersikkerhet. ENISA skal etter anmodning kunne bistå statene med grenseoverskridende hendelseshåndtering, herunder blant annet rådgivning, analyse og tekniske undersøkelser. ENISA skal også særlig bistå og legge til rette for statenes kapasitetsutbygging, operasjonelt samarbeid og forskning og utvikling.

ENISA skal utføre oppgavene de pålegges gjennom denne forordningen, og andre oppgaver som følger av andre rettsakter som vedrører cybersikkerhet, blant annet NIS-direktivet.

2.5.3 Cybersikkerhetssertifisering

Forordningen etablerer et nytt regelverk for sikkerhetssertifisering av IKT-produkter, IKT-tjenester og IKT-prosesser jf. artikkel 46 til 65. Noe av bakgrunnen for dette er at trusselbildet og økningen av IKT-kriminalitet har fremtvunget ulike nasjonale sertifiseringsregelverk. Konsekvensen er blant annet fragmenterte og lite hensiktsmessige ordninger som ikke samspiller effektivt inn mot det indre marked i EØS.

ENISA får viktige oppgaver i forbindelse med å utvikle og administrere dette rammeverket. Forordningen stiller i denne sammenheng også et krav om at statene skal etablere tilsynsmyndigheter og andre roller for sikkerhetssertifisering.

Forordningen innfører ikke direkte operasjonelle sertifiseringsordninger, men etablerer et rammeverk for etablering av spesifikke europeiske sertifiseringsordninger for IKT-produkter, IKT-tjenester og IKT-prosesser. Disse vil bli utarbeidet etter forslag fra ENISA og vedtatt som gjennomføringsrettsakter fra EU-kommisjonen.

En cybersikkerhetssertifiseringsordning vil i henhold til forordningen attestere at IKT-produktene, IKT-tjenestene og IKT-prosessene som er sertifisert i overensstemmelse med ordningen og oppfyller fastsatte sikkerhetskrav. De europeiske sertifiseringsordningene vil ikke selv utvikle tekniske standarder, men benytte eksisterende standarder om tekniske krav og evalueringsprosedyrer som produktene skal overholde. Etter artikkel 51 skal sertifiseringsordningene utformes slik at de, basert på relevans for den aktuelle prosess, produkt- eller tjenestegruppen, tar hensyn til flere sikkerhetsmål, herunder:

  • Beskytte data mot utilsiktet eller uautorisert lagring, behandling eller offentliggjøring, og beskytte data mot utilsiktet eller uautorisert ødeleggelse, tap eller endring, i hele IKT-produktet, tjenesten eller prosessens levetid.

  • Sikre at kun autoriserte personer, programmer eller maskiner har adgang til dataene, herunder blant annet gjennom tilstrekkelig logging av type data og hvilke handlinger som er utført.

  • Verifisere at IKT-produkter, tjenester eller prosesser ikke inneholder kjente sårbarheter, og at disse er sikre som følge av standardinnstillinger og innebygget sikkerhet.

  • Sikre tilgjengelighet og tilgang til data ved tilfeller av fysiske eller tekniske hendelser.

  • Sikre at IKT-produkter og -tjenester innehar ajourført software og hardware fri for kjente sårbarheter, samt er gitt mekanismer for sikker oppdatering.

Videre innebærer forordningens bestemmelser at ordningene skal fastsette flere spesifikke elementer knyttet til omfang og innhold i cybersikkerhetssertifiseringen, jf. artikkel 54. Det omfatter blant annet valg av aktuelle IKT-produkter, -tjenester og prosesser, spesifisering av cybersikkerhetskrav (for eksempel med henvisning til relevante standarder eller tekniske spesifikasjoner), evalueringskriterier og -metoder og det tillitsnivået de er ment å garantere, herunder grunnleggende, betydelig eller høyt, jf. artikkel 52. For tillitsnivået «grunnleggende» vil det i en sertifiseringsordning også kunne åpnes for en forenklet prosedyre med selvvurdering, jf. artikkel 53.

Tilbydere av sertifiserte IKT-produkter, tjenester eller prosesser skal også offentliggjøre enkelte supplerende opplysninger, blant annet veiledninger og anbefalinger for å bistå sluttbrukerne med sikker konfigurasjon, installasjon, bruk, drift og vedlikehold. Det skal angis hvor lenge det tilbys sikkerhetsstøtte og det skal gjøres mulig for sluttbruker å orientere seg om sårbarheter samt å kunne melde om sårbarheter de selv oppdager.

Det skal være frivillig å benytte seg av sertifiseringsregelverket. EU-kommisjonen vil imidlertid regelmessig vurdere effekten og anvendelsen av de vedtatte sertifiseringsordningene, og hvorvidt en ordning skal gjøres obligatorisk.

Forordningen legger opp til at de europeiske sertifiseringsordningene skal utarbeides av ENISA primært etter anmodning fra EU-kommisjonen basert på EU-kommisjonens arbeidsprogram, jf. artikkel 48. Utarbeidelse skal skje med bistand fra og i tett samarbeid med den Europeiske Cybersikkerhetssertifiseringsgruppen (ECCG) jf. artikkel 49. ECCG er opprettet etter forordningens artikkel 62, og skal fungere som et ekspertorgan sammensatt av representanter for nasjonale sertifiseringsmyndigheter.

Når en europeisk cybersikkerhetssertifiseringsordning har blitt vedtatt kan produsenter og tilbydere av IKT-tjenester søke sertifisering for deres produkter, tjenester eller prosesser. Sertifiseringen er i henhold til forordningen frivillig, med mindre annet blir fastsatt jf. omtale av artikkel 56 over.

Sertifisering og utstedelse av cybersikkerhetsattest skal utføres av samsvarsvurderingsorganer som er akkreditert til å utføre sertifiseringer primært for tillitsnivåene «grunnleggende» og «betydelig» jf. artikkel 56 nr. 4. For tillitsnivået «høyt» er det primært en nasjonal cybersikkerhetssertifiseringsmyndighet som utsteder sertifikatet. Hvordan dette gjøres beror på hvordan sertifiseringsordningen er utformet. Akkrediteringen av samsvarsorganer utføres av nasjonale akkrediteringsorganer som er utpekt i henhold til forordning (EF) nr. 765/2008 om krav til akkreditering og markedsovervåkning i forbindelse med markedsføring av produkter. I medhold av lov 12. april 2013 nr. 13 om det frie varebytte i EØS (EØS-vareloven) § 3 første ledd er Norsk Akkreditering pekt ut som nasjonalt akkrediteringsorgan i Norge. Forordningen åpner for at man kan fastsette i en sertifiseringsordning at sertifiseringen i godt begrunnede tilfeller skal foretas av et offentlig organ jf. artikkel 56 nr. 4, 5 og 6, jf. artikkel 60.

Etter artikkel 57 vil nasjonale sertifiseringsordninger som allerede er omfattet av en europeisk sertifiseringsordning opphøre fra det tidspunkt det fastsettes i en gjennomføringsrettsakt som etablerer en ny ordning etter artikkel 49. Selv om en ordning opphører, vil utstedte attester gjelde til utløpsdato. Nasjonale sertifiseringsordninger som ikke er omfattet av en europeisk cybersikkerhetssertifiseringsordning vil fortsatt bestå.

Forordningen innebærer at det må utpekes minst én myndighet i hvert land som kan føre tilsyn med sertifiseringen, herunder blant annet at samsvarsorganene overholder regelverket, at de attester som organene har utstedt er i overenstemmelse med kravene som følger av forordningen og at de er i henhold til den europeiske cybersikkerhetssertifiseringsordningen.

Etter artikkel 58 skal den nasjonale myndigheten være uavhengig av de enheter den fører tilsyn med, og statene skal sikre at nasjonale sertifiseringsmyndigheters aktiviteter vedrørende utstedelse av sertifiseringsattester etter artikkel 56 nr. 5 bokstav a og nr. 6 er strengt adskilt fra sine tilsynsaktiviteter.

Den nasjonale myndigheten skal kunne behandle klager i forbindelse med attester utstedt av etterlevelsesorganene.

Etter artikkel 62 etablerer forordningen en europeisk cybersikkerhetssertifiseringsgruppe (ECCG) bestående av alle statenes nasjonale sertifiseringstilsynsmyndigheter. Gruppen skal både gi råd til EU-kommisjonen i cybersikkerhetssertifiseringspolitikk, samt samarbeide med ENISA om å utarbeide forslag til europeiske cybersikkerhetssertifiseringsordninger, følge utviklingen, fremme samarbeid og støtte gjennomføringen av ordningen med fagfellevurdering. Gruppen kan også foreslå for EU-kommisjonen konkrete ordninger som ENISA bør få i oppdrag å utarbeide.

Etter artikkel 65 skal statene fastsette regler for sanksjoner for brudd på forordningens bestemmelser og de europeiske sertifiseringsordninger. Sanksjonene skal være effektive, stå i rimelig forhold til bruddet og ha avskrekkende effekt.

2.6 Metode for gjennomføring av rettsaktene

NIS-direktivet pålegger private virksomheter plikter. Direktivbestemmelser som berører privates rettigheter og plikter, må gjennomføres i eller i medhold av lov. Departementet foreslår at NIS-direktivet gjennomføres delvis i lov og delvis i forskrift. Departementet legger opp til at det blir utarbeidet en forskrift som utfyller loven, og at lov om digital sikkerhet og tilhørende forskrift trer i kraft samtidig. Cybersikkerhetsforordningen og gjennomføringsforordningen vil i sin helhet inkorporeres som forskrift, hjemlet i lov om digital sikkerhet.

Departementet foreslår at det i lovteksten angis at tilbydere av samfunnsviktige tjenester innenfor visse sektorer er omfattet av loven, og at det i forskrift blir nærmere regulert hvilke typer virksomheter som anses å være tilbydere av samfunnsviktige tjenester. Dette vil sikre fleksibilitet med hensyn til behov for endringer i tråd med samfunnsutviklingen og regelverksutvikling i EØS. I forskriften vil også sikkerhets- og varslingskravene som stilles til både tilbydere av samfunnsviktige tjenester og digitale tjenester spesifiseres nærmere. Forskriften vil også gi nærmere regler om responsfunksjoner, tilsyn, tvangsmulkt og overtredelsesgebyr.

Departementet har merket seg en tiltakende regelverksutvikling i EØS om digital sikkerhet. En del av rettsaktene har et teknisk og faglig preg som passer inn i forskrift. Ambisjonen er at lov om digital sikkerhet skal kunne fungere som en rammelov som legger til rette for gjennomføring av flere rettsakter innenfor digital sikkerhet. Departementet foreslår derfor en egen bestemmelse som gir hjemmel til å gjennomføre forpliktelser som følger av EØS-avalen og andre internasjonale avtaler som understøtter lovens regler og formål, jf. forslag til § 18 bokstav f. Gjennomføring av cybersikkerhetsforordningen som forskrift foreslås hjemlet i forslag til § 19. Bestemmelsen er utformet på en slik måte at den viser til forordningens tittel, formål og virkeområde knyttet til cybersikkerhetssertifisering.

2.7 Høringen

Justis- og beredskapsdepartementet sendte 21. desember 2018 på høring et utkast til lov som forbereder gjennomføring av NIS-direktivet i norsk rett. Høringsnotatet ble sendt sammen med IKT-sikkerhetsutvalgets utredning NOU 2018: 14 IKT-sikkerhet i alle ledd.

Høringsnotatet ble sendt til følgende høringsinstanser:

  • Departementene

  • Statsministerens kontor

  • Agder lagmannsrett

  • Arbeids- og velferdsdirektoratet

  • Brønnøysundregistrene

  • Cyberforsvaret

  • Datatilsynet

  • De nasjonale forskningsetiske komiteene

  • Departementenes sikkerhets- og serviceorganisasjon

  • Direktoratet for barnehage, utdanning og IKT

  • Direktoratet for e-helse

  • Direktoratet for forvaltning og IKT (nå Digitaliseringsdirektoratet)

  • Direktoratet for internasjonalisering og kvalitetssikring i høyere utdanning

  • Direktoratet for nødkommunikasjon

  • Direktoratet for samfunnssikkerhet og beredskap

  • Domstoladministrasjonen

  • Ekom-CERT

  • Etterretningstjenesten

  • Finanstilsynet

  • Fiskeridirektoratet

  • Folkehelseinstituttet

  • Forbrukerrådet

  • Forsvarets forskningsinstitutt

  • Fylkesmennene (nå statsforvalterne)

  • Helsedirektoratet

  • Hovedredningssentralen Nord

  • Hovedredningssentralen Sør

  • Integrerings- og mangfoldsdirektoratet

  • Jernbanedirektoratet

  • Jernbanetilsynet

  • Justervesenet

  • Kompetanse Norge

  • Konkurransetilsynet

  • Kriminalpolitisentralen (Kripos)

  • Kystverket

  • Landbruksdirektoratet

  • Luftfartstilsynet

  • Mattilsynet

  • Meteorologisk institutt

  • Miljødirektoratet

  • Nasjonal kommunikasjonsmyndighet

  • Nasjonal sikkerhetsmyndighet

  • Norges Bank

  • Norges forskningsråd

  • Norges vassdrags- og energidirektorat

  • Norsk romsenter

  • Norsk utenrikspolitisk institutt

  • NSM NorCERT

  • Oljedirektoratet

  • Petroleumstilsynet

  • Politidirektoratet

  • Politiets sikkerhetstjeneste

  • Regelrådet

  • Regjeringsadvokaten

  • Riksadvokaten

  • Sjøfartsdirektoratet

  • Skattedirektoratet

  • Statens helsetilsyn

  • Statens jernbanetilsyn

  • Statens kartverk

  • Statens legemiddelverk

  • Statens strålevern

  • Statens vegvesen

  • Statistisk sentralbyrå

  • Teknologirådet

  • Toll- og avgiftsdirektoratet

  • Unit – Direktoratet for IKT og fellestjenester i høyere utdanning og forskning

  • Utdanningsdirektoratet

  • Utlendingsdirektoratet

  • Valgdirektoratet

  • Vegtilsynet

  • Økokrim

  • Det Kongelige Hoff

  • Riksrevisjonen

  • Sametinget

  • Stortingets kontrollutvalg for etterretnings-, overvåkings- og trygghetstjenester (EOS-utvalget)

  • Stortingets ombudsmann for forvaltningen (nå Stortingets ombud for forvaltningen)

  • Bodø kommune

  • Fauske kommune

  • Færder kommune

  • Gausdal kommune

  • Harstad kommune

  • Hemsedal kommune

  • Kristiansand kommune

  • Kvænangen kommune

  • Longyearbyen lokalstyre

  • Lørenskog kommune

  • Molde kommune

  • Oslo kommune

  • Trondheim kommune

  • Finnmark fylkeskommune

  • Hordaland fylkeskommune

  • Oppland fylkeskommune

  • Telemark fylkeskommune

  • Troms fylkeskommune

  • Vestfold fylkeskommune

  • Arkitektur- og designhøgskolen i Oslo

  • Christian Michelsens Institutt

  • Det norske Nobelinstitutt

  • Fafo

  • Institutt for fredsforskning

  • Institutt for journalistikk

  • Norges Handelshøgskole

  • Norges miljø- og biovitenskapelige universitet

  • Norges teknisk- og naturvitenskapelige universitet

  • Politihøgskolen

  • Sintef

  • Teknologisk institutt

  • UiOCERT

  • Universitetet i Agder

  • Universitetet i Bergen

  • Universitetet i Oslo

  • Universitetet i Stavanger

  • Universitetet i SørØst Norge

  • Universitetet i Tromsø

  • Aerospace Industrial Maintenance Norway

  • Andøya Space Center

  • Avinor

  • Bane NOR SF

  • Flytoget

  • Gassco AS

  • Helse Midt RHF

  • Helse Nord RHF

  • Helse Sør-Øst RHF

  • Helse Vest RHF

  • Helse-CERT

  • Innovasjon Norge

  • Norsk Helsenett SF

  • Norsk rikskringkasting AS

  • Posten Norge AS

  • Simula UIB

  • Statkraft AS

  • Statnett SF

  • Uninett

  • UNINETT/NORID

  • Akademikerne

  • Amnesty International Norge

  • Arbeidsgiverforeningen Spekter

  • Bedriftsforbundet

  • Den Norske Advokatforening

  • Den Norske Atlanterhavskomité

  • Den Norske Dataforening

  • Den norske Helsingforskomité

  • Distriktenes energiforening

  • Energi Norge AS

  • Fagforbundet

  • Fagpressen

  • Fellesforbundet

  • Finans Norge

  • Finansieringsselskapenes forening

  • Forum for informasjonssikkerhet i kraftforsyningen

  • Hovedorganisasjonen Virke

  • IKT-Norge

  • Industri Energi

  • Kommunal informasjonssikkerhet

  • KS – Kommunesektorens organisasjon

  • Kontaktutvalget for telesaker i kraftforsyningen

  • Landsorganisasjonen i Norge

  • Norges ingeniør- og teknologiorganisasjon

  • Norges Juristforbund

  • Norges Rederiforbund

  • Norsk Havneforening

  • Norsk Journalistlag

  • Norsk Olje og Gass

  • Norsk Presseforbund

  • Norsk Tjenestemannslag

  • Norsk Vann

  • Næringslivets hovedorganisasjon

  • Næringslivets sikkerhetsorganisasjon

  • Næringslivets sikkerhetsråd

  • Samfunnsviterne

  • Standard Norge

  • Unio

  • Virke

  • Yrkesorganisasjonenes Sentralforbund

  • Abelia

  • Accenture

  • Altibox

  • Apple

  • ATEA

  • Bankenes standardiseringskontor

  • Basefarm

  • BDO

  • Boston Consulting Group

  • Bouvet

  • Broadnet

  • Cap Gemini

  • Cargo Net AS

  • Cisco

  • Computas

  • Dataequipment

  • Datametrix

  • Devoteam

  • DNB

  • Equinor

  • Evry

  • Experis

  • Falck Nutec

  • Gartner Group

  • GET

  • Gjensidige

  • Grenland Rail AS

  • Hafslund AS

  • Hydro

  • IBM

  • ICE

  • Jotne

  • Kongsberg Gruppen ASA

  • Kongsberg Satellite Services AS

  • KPMG

  • Kraft-CERT

  • LKAB Malmtrafikk AB

  • Lyse AS

  • McKinsey

  • Microsoft

  • Mnemonic AS

  • NAMMO AS

  • NETS

  • NorConsult

  • NorSIS

  • NTT Com Security

  • Oslo Børs

  • PWC

  • Safetec

  • Skagerak energi

  • Software innovation

  • Sopra Steria

  • Space Norway AS

  • Telenor

  • TelenorCERT

  • Telia

  • Thales Norge AS

  • Viken fiber

  • VPS (verdipapirsentralen)

  • Watchcom

66 høringsinstanser hadde merknader:

  • Abelia

  • Advokatforeningen

  • Arbeidsgiverforeningen Spekter

  • Avinor

  • Bane NOR SF

  • Datatilsynet

  • Den norske legeforeningen

  • Departementenes sikkerhets- og serviceorganisasjon

  • Direktoratet for e-helse

  • Direktoratet for forvaltning og IKT

  • Direktoratet for samfunnssikkerhet og beredskap

  • Domstoladministrasjonen

  • Fagforbundet

  • Finans Norge

  • Finanstilsynet

  • Forbrukerrådet

  • Forsvarsdepartementet

  • Fylkesmannen i Vestfold og Telemark

  • Helsedirektoratet

  • Helsetilsynet

  • Hovedredningssentralene

  • Jernbanedirektoratet

  • KS – Kommunesektorens organisasjon

  • Kartverket

  • Kompetanse Norge

  • Kunnskapsdepartementet

  • LO

  • Luftfartstilsynet

  • Microsoft Norge

  • NHO

  • Norges ingeniør- og teknologorganisasjon

  • Nasjonal kommunikasjonsmyndighet

  • Nasjonal sikkerhetsmyndighet

  • Norges Bank

  • Norges Rederiforbund

  • Norges vassdrags- og energidirektorat

  • Norsk Helsenett SF

  • Norsk Romsenter

  • Norsk Vann BA

  • Norsk olje og gass

  • Norsk senter for informasjonssikring

  • Næringslivets Sikkerhetsråd

  • Olje- og energidepartementet

  • Oljedirektoratet

  • Oslo kommune

  • Petroleumstilsynet

  • Politidirektoratet (med uttalelse fra Kripos)

  • Politiets sikkerhetstjeneste

  • Posten Norge AS

  • Regelrådet

  • Samferdselsdepartementet

  • Samferdselsdepartementet

  • Simula UIB

  • Sjøfartsdirektoratet

  • Skatteetaten

  • Statens jernbanetilsyn

  • Statens vegvesen

  • Statistisk sentralbyrå

  • Statkraft Energi AS

  • Teknisk-naturvitenskapelig forening

  • Telia Norge AS

  • Unio

  • Direktoratet for IKT og fellestjenester i høyere utdanning og forskning

  • Universitetet i Oslo / UiO-CERT

  • Utlendingsdirektoratet

  • Vegtilsynet

Høringsinstansenes syn vil bli behandlet under redegjørelsen for de ulike lovforslagene.

Til forsiden