6 Krav om sikkerhet
6.1 Gjeldende rett
Per i dag finnes det kun for noen sektorer regler som tilsvarer NIS-direktivets krav om sikkerhet. En rekke virksomheter er underlagt sikkerhetskrav av ulik art, men det er i mange tilfeller uklart om det kan tolkes slik at det stilles krav om digital sikkerhet. Under følger en gjennomgang av et utvalg relevante tverrsektorielle regelverk med bestemmelser om sikkerhet.
Sikkerhetsloven stiller krav om sikring av informasjonssystemer som behandler skjermingsverdig informasjon eller som i seg selv har avgjørende betydning for grunnleggende nasjonale funksjoner, kalt skjermingsverdige informasjonssystemer, jf. § 6-1. I Prop. 153 L (2016–2017) punkt 10.5.3.4 legges det til grunn at skjermingsverdige informasjonssystemer kan utpekes som skjermingsverdige objekter eller infrastruktur.
Et informasjonssystem anses å ha avgjørende betydning for grunnleggende nasjonale funksjoner dersom bortfall eller svekkelse av systemets funksjonalitet vil svekke den grunnleggende nasjonale funksjonen det inngår i eller understøtter. Med grunnleggende nasjonale funksjoner menes tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser.
Loven, med tilhørende forskrifter, stiller relativt tydelige og omfattende krav til styringen av sikkerheten i virksomheten, herunder informasjonssystemsikkerheten. Departementet legger til grunn at sikkerhetskravene mer enn oppfyller direktivets krav, og henviser derfor til Prop. 153 L (2016–2017) for en nærmere beskrivelse av kravene.
Etter personopplysningsloven § 1 gjelder personvernforordningen som norsk lov. Personopplysningsloven inneholder ikke nasjonale bestemmelser om sikkerhet ved behandlingen av personopplysninger. Personvernforordningen artikkel 5 nr. 1 bokstav f og artikkel 32 er de viktigste sikkerhetsbestemmelsene. De må imidlertid ses i sammenheng med andre bestemmelser, slik som for eksempel artikkel 24. Se for øvrig fortalepunkt 39 og 83.
Begrepet informasjonssystem brukes ikke i bestemmelsen. Likevel fremgår det klart av sammenhengen at når det brukes informasjonssystemer til å behandle personopplysninger, så må disse sikres.
Det gjøres i lovens forarbeider punkt 16.4.2 nærmere rede for forordningens regler om sikkerhet, se Prop. 56 LS (2017–2018):
«Forordningens regler om informasjonssikkerhet følger av artikkel 32. Bestemmelsen fastslår at både den behandlingsansvarlige og databehandleren plikter å «gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen», jf. artikkel 32 nr. 1. Eksempler på slike tiltak fremgår av bokstav a til d. En angivelse av sentrale elementer i risikovurderingen følger av artikkel 32 nr. 2. Overholdelse av godkjente atferdsnormer etter artikkel 40 eller en godkjent sertifiseringsmekanisme etter artikkel 42 kan brukes som en faktor for å påvise at kravene til informasjonssikkerhet er oppfylt, jf. artikkel 32 nr. 3. Etter artikkel 32 nr. 4 skal den behandlingsansvarlige og databehandleren sikre at enhver som handler på vegne av den behandlingsansvarlige eller databehandleren bare behandler opplysninger etter instruks fra den behandlingsansvarlige, med mindre unionsretten eller medlemsstatenes rett pålegger en plikt til behandling.»
I forbindelse med høringen av den nye personopplysningsloven uttalte departementet i høringsnotatets punkt 13.5.3 om sikkerhetsbestemmelsene at:
«Etter departementets vurdering vil imidlertid anvendelse av reglene i artikkel 32 trolig lang på vei gi samme resultat som gjeldende regler slik de er formulert i personopplysningsloven § 13 og personopplysningsforskriften kapittel 2».
Datatilsynet har i sin veileder om internkontroll og informasjonssikkerhet, blant annet tatt for seg risikovurderinger knyttet til informasjonssystemer.
For forvaltningsorganer gjelder forskrift 25. juni 2004 nr. 988 om elektronisk kommunikasjon med og i forvaltningen (eForvaltningsforskriften). Forskriften er fastsatt med hjemmel i forvaltningsloven § 15 a. Forskriften gjelder for elektronisk kommunikasjon med forvaltningen og for elektronisk saksbehandling og kommunikasjon i forvaltningen. Formålet med forskriften er å legge til rette for sikker og effektiv bruk av elektronisk kommunikasjon med og i forvaltningen.
Det følger av forskriften § 1 at:
«Forskriften gjelder for elektronisk kommunikasjon med forvaltningen og for elektronisk saksbehandling og kommunikasjon i forvaltningen når ikke annet er bestemt i lov eller i medhold av lov».
Bestemmelsen får dermed anvendelse på informasjonssystemer som brukes til saksbehandling og kommunikasjon med og i forvaltningen. På samme måte som at det ikke er enkelt å trekke et skarpt skille mellom et forvaltningsorgans saksbehandling og tjenesteproduksjon, er det heller ikke uten videre enkelt å trekke en skarp grense for hvilke informasjonssystemer forskriften gjelder for.
Sikkerhetskravene følger av eForvaltningsforskriften kapittel 3, Styring og kontroll med informasjonssikkerheten. Paragraf 15 stiller krav om internkontroll. Etter første og andre ledd skal det etableres mål og strategi for informasjonssikkerheten og et tilfredsstillende system for internkontroll. Det stilles ikke eksplisitte krav om for eksempel tekniske og organisatoriske tiltak.
6.2 Direktivet
6.2.1 Tilbydere av samfunnsviktige tjenester
Sikkerhetskravene som stilles til tilbydere av samfunnsviktige tjenester følger av artikkel 14 nr. 1 og 2. Tilbyderne skal sikre de nettverks- og informasjonssystemer som de bruker for å levere den samfunnsviktige tjenesten. Tilbyderen skal treffe tekniske og organisatoriske tiltak som er hensiktsmessige og står i et rimelig forhold til risikoen som knytter seg til nettverkene og informasjonssystemene. Ved vurderingen av hvilke tiltak som er proporsjonale skal det tas hensyn til den tekniske utviklingen. For å sikre opprettholdelse av tjenesteleveransen, skal tilbyderen treffe tiltak som er egnet til å forebygge, avdekke og redusere virkningen av hendelser som truer sikkerheten i tilbyderens IKT-systemer.
Nærmere om hva som ligger i dette er bare til en viss grad omhandlet i fortalen. Det gis ikke særlig veiledning utover det som allerede følger av direktivbestemmelsene. Det fremgår av fortalepunkt 44 blant annet at landene gjennom innføring av passende lovgivningstiltak og frivillige bransjenormer skal fremme en risikostyringskultur som inkluderer risikovurdering og gjennomføring av proporsjonale sikkerhetstiltak. I fortalepunkt 46 står det at risikostyringstiltak omfatter tiltak for å identifisere risikoer for hendelser, med sikte på å forebygge, avdekke og håndtere hendelser og begrense skaden.
NIS-samarbeidsgruppen har utarbeidet retningslinjer for hva som ligger i sikkerhetskraveti Reference document on security measures for Operators of Essential Services CG Publication 01/2018.
Etter NIS-direktivet artikkel 3 står statene fritt til å stille strengere sikkerhetskrav enn det som følger av direktivet. Overfor tilbydere av digitale tjenester er det ikke tilsvarende nasjonalt handlingsrom, jf. artikkel 16 nr. 10.
6.2.2 Tilbydere av digitale tjenester
Sikkerhetskravene som stilles til tilbydere av digitale tjenester følger av artikkel 16. Tilbyderen skal sikre nettverks- og informasjonssystemene den bruker for å levere tjenesten. Videre skal tilbyderen ha en risikobasert tilnærming til sikkerhetsarbeidet. Den skal iverksette sikkerhetstiltak som står i et rimelig forhold til risikoen tilbyderen står overfor. Det skal også iverksettes tiltak for å forebygge og minimere virkningen av hendelser i nettverks- og informasjonssystemer, med særlig henblikk på opprettholdelse av tjenesteleveransen. Sikkerhetstiltakene skal også ta hensyn til følgende fem elementer:
Sikkerheten i systemer og anlegg (informasjonssystemsikkerhet og fysisk sikkerhet)
Hendelseshåndtering
Styring av driftskontinuitet (opprettholdelse av tjenesteleveranser)
Overvåkning, revisjon og testing
Overholdelse av internasjonale standarder
Alle de fem punktene er nærmere spesifisert i gjennomføringsforordningen.
Det går tydelig frem av fortalen til direktivet at det skal stilles mindre strenge sikkerhetskrav til tilbydere av digitale tjenester da de anses noe mindre viktige enn de samfunnsviktige tjenestene. Det følger dessuten av fortalepunkt 49 at blant annet på grunn av digitale tjenesters grensekryssende natur, bør de være underlagt et regelverk som er harmonisert i hele EØS. Dette er ivaretatt gjennom gjennomføringsforordningen, som etterlater lite rom for nasjonale tilpasninger.
I forordningen spesifiseres hvilke momenter tilbydere av digitale tjenester skal ta i betraktning når de fastsetter og iverksetter tiltak for å garantere et nivå av sikkerhet i nettverks- og informasjonssystemer som benyttes i leveransen av tjenester som nevnt i vedlegg III til NIS-direktivet. Videre spesifiseres hvilke kriterier som skal tas i betraktning ved fastsettelsen av hvorvidt en hendelse har betydelige konsekvenser for leveringen av disse tjenestene.
6.3 Forslaget i høringsnotatet
Departementet foreslo i høringsnotatet at krav om sikkerhet for tilbydere av samfunnsviktige tjenester og digitale tjenester tilsvarer NIS-direktivets krav om sikkerhet. Det betyr at tilbyderne skal gjennomføre en risikovurdering av nettverks- og informasjonssystemer som benyttes for å levere tjenesten. For å redusere risikoen skal tilbyderne iverksette hensiktsmessige og proporsjonale tekniske og organisatoriske sikkerhetstiltak. For å opprettholde tjenesteleveransen skal tilbyderne iverksette tiltak for å forebygge, avdekke og redusere konsekvensene av hendelser.
Departementet foreslo i høringsnotatet at Kongen kan gi forskrift med nærmere bestemmelser om sikkerhetskrav.
6.4 Høringsinstansenes syn
Enkelte høringsinstanser er positive til sikkerhetskravene som fremgår av høringsnotatet, blant andre Domstoladministrasjonen og Direktoratet for IKT og fellestjenester i høyere utdanning og forskning.
For å sikre sammenheng med øvrig virksomhetsstyring anbefaler Direktoratet for forvaltning og IKT (nå Digitaliseringsdirektoratet) at loven inkluderer en bestemmelse om at risikostyringen skal inngå i helhetlig styring og kontroll. Direktoratet anbefaler at man gjenbruker formuleringer fra eforvaltningsforskriften § 15, for eksempel ved å ta inn bestemmelser om at risikostyringen på IKT-sikkerhetsområdet bør være en integrert del av en helhetlig internkontroll, og at omfang og innretning på internkontrollen skal være tilpasset risiko.
I følge Direktoratet for forvaltning og IKT (nå Digitaliseringsdirektoratet) vil et slikt tillegg klargjøre at risikostyring innen lovens område bør knyttes til øvrig risikostyring i virksomheten. Videre at det vil sikre samsvar med annet regelverk og anbefaling i internasjonale standarder. Dersom ordensforskrifter ikke ønskes i bestemmelsen, mener direktoratet man kan oppnå noe av det samme ved å føye til i bestemmelsen at arbeidet skal være risikobasert og systematisk.
Enkelte høringsinstanser mener at kravene om sikkerhet burde være tydeligere, blant andre Skatteetaten,Teknisk-naturvitenskapelig forening,Statens Helsetilsyn og Advokatforeningen. Advokatforeningen er av den oppfatning at departementet før ikrafttredelse av loven må klargjøre hvilke krav som konkret stilles med tanke på risikovurdering og passende tiltak.
Næringslivets hovedorganisasjon trekker frem at implementeringen av NIS-direktivet vil bety innføring av lovgivning og nye IKT-sikkerhetskrav til tilbydere av digitale tjenester som foreløpig ikke har vært underlagt slike krav. Næringslivets hovedorganisasjon mener det er påliggende at regelverket som nå innføres er enkelt og gjennomførbart for bedriftene det omfatter, og at myndighetenes opplysnings- og informasjonsvirksomhet rundt dette er god.
6.5 Departementets vurderinger
Departementet mener det er behov for bestemmelser som stiller krav til digital sikkerhet i virksomhetene som er omfattet av lovforslaget. Selv om enkelte regelverk til dels kan ha relativt like sikkerhetskrav, mener departementet det likevel er mest hensiktsmessig at det blir stilt likelydende krav om digital sikkerhet innenfor kategoriene tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester. Kravene kommer til uttrykk i lovforslaget §§ 7 og 10. Departementet vil likevel understreke at kravene som stilles etter loven og direktivet utgjør minimumskrav til digital sikkerhet, og at de ikke er til hinder for at tilbyderne iverksetter strengere sikkerhetstiltak enn de som følger av direktivet og loven. Dette følger også av direktivets fortalepunkt 6.
Det er et uttalt mål med lovforslaget at de samfunnsviktige og digitale tjenestene faktisk blir levert. Det er direkte sammenheng mellom formålsbestemmelsen og sikkerhetskravene, for å gjøre det tydeligere hva som er poenget med sikringen og hvilke nettverks- og informasjonssystemer som skal sikres.
Departementet har ved utforming av bestemmelsen om sikkerhetskrav ment å fange opp det samme som direktivets krav. Direktivet konkretiserer i liten grad sikkerhetskravet utover det som følger av bestemmelsene.
Flere av høringsinstansene, blant andre Advokatforeningen, har pekt på at kravene om sikkerhet bør være tydeligere, og at det bør klargjøres hvilke krav som konkret stilles med tanke på risikovurdering og passende tiltak.
Departementet er enig i at innholdet i krav om sikkerhet, herunder kravet om å iverksette hensiktsmessige og proporsjonale tekniske og organisatoriske sikkerhetstiltak, bør presiseres. En tydeliggjøring av hvilke krav som stilles vil etter departementets syn bidra til at formålet med sikkerhetskravene, og i forlengelsen lovens og direktivets formål, oppnås. Videre vil det gjøre kravene mer forutberegnelige og sikre en likere praktisering. Dette vil være både i tilbydernes og tilsynsmyndighetenes interesse. En tydeliggjøring av krav om sikkerhetstiltak har også en side til sanksjonering ved overtredelser av kravene.
Utover den generelle føringen i direktivet om at det skal stilles noe mindre strenge krav til tilbydere av digitale tjenester, gis det ikke særlige føringer på hvor store forskjeller det er snakk om eller hva dette betyr i praksis. For tilbydere av digitale tjenester er, i tråd med direktivet, momenter som skal hensyntas konkretisert i lovforslaget § 10 andre ledd bokstav a til e. Kravene som stilles til tilbydere av digitale tjenester er ytterligere konkretisert i gjennomføringsforordningen. Departementets vurdering er at forordningens bestemmelser bør vedtas som forskrift til den loven som denne proposisjonen omhandler. En slik forskrift vil i så fall bli hørt på vanlig måte på et senere tidspunkt.
For tilbydere av samfunnsviktige tjenester vil NIS-samarbeidsgruppens retningslinjer gi støtte til tilbydernes vurderinger ved implementering av tiltak. Det er departementets vurdering at hvis tilbydere følger «NSMs grunnprinsipper for IKT-sikkerhet», vil de ivareta kravene som fremgår av loven og retningslinjene. I den forbindelse ønsker departementet også å vektlegge viktigheten av å se digital sikkerhet i sammenheng med tilbydernes mer generelle sikkerhetsstyringssystem og tilbydernes overordnede styringssystem.
Krav om sikkerhet etter lovforslaget §§ 7 og 10 reguleres nærmere i forskrift, jf. lovforslagets § 18 bokstav a. Samtidig må nærhetsprinsippet og sektoransvaret tas i betraktning. Hvilke tiltak som bør iverksettes kan variere avhengig av hvilken sektor det er tale om og den enkelte tilbyderens egenart. En for detaljert regulering i forskrift kan i lys av dette være lite hensiktsmessig. Den digitale utviklingen taler også for at reguleringen bør være dynamisk og fleksibel. Ved utforming av forskrift om krav om sikkerhet for tilbydere av samfunnsviktige tjenester må derfor behovet for tydeligere krav balanseres mot behovet for dynamiske og fleksible krav. Anbefalingen fra Direktoratet for forvaltning og IKT (nå Digitaliseringsdirektoratet) om å knytte risikostyring innen digital sikkerhet til øvrig risikostyring i virksomheten vil være et av flere momenter som må vurderes nærmere fastsatt i forskrift.
I lovforslaget §§ 7 og 10 i andre ledd andre punktum vises det til at det ved vurderingen av hva som er et forsvarlig sikkerhetsnivå blant annet skal ses hen til den teknologiske utviklingen. Dette følger også av direktivet, men det er ikke presisert noe nærmere. Etter departementets vurdering bør den teknologiske utviklingen hensyntas både med tanke på nye trusler og sårbarheter og oppdatering av tiltak eller iverksetting av nye tiltak.
Det følger av lovforslaget § 5, at i den grad tilstrekkelig sikkerhet oppnås gjennom gjeldende regelverk, vil loven ikke medføre endringer. I motsatt fall vil tilbyderen måtte følge lovens sikkerhetskrav.