Justis- og beredskapsdepartementet publiserte 11. september 2024 forslag til forskrift til lov om digital sikkerhet. Forslaget klargjør hvilke virksomheter som underlegges digitalsikkerhetsloven og stiller mer detaljerte krav til sikkerhets- og risikostyring. Med kravene følger omfattende dokumentasjonsforpliktelser og økt ansvar for oppfølging av underleverandører.

Klargjøring av virkeområde

Digitalsikkerhetsloven ble vedtatt 12. desember 2023 og gjennomfører EUs direktiv om sikkerhet i nettverks- og informasjonssystemer (NIS1), men har enda ikke tredd i kraft. EU-medlemmer utenom EØS-statene forbereder seg for øvrig på gjennomføring av NIS2-direktivet innen 18. oktober 2024.

Behov for klargjøring av hvilke virksomheter som underlegges digitalsikkerhetsloven er en hovedårsak til utsatt ikrafttredelse. I forskriftens § 1 angis over 28 samfunnsviktige tjenestesektorer som underlegges loven, illustrert under.   

Svært mange tjenester innen transportsektoren (luftfart, vei- og togtransport) vil underlegges loven, sammen med en rekke tilbydere innen helse og kraftproduksjon. For flere tjenestesektorer benyttes terskelverdier det kan være krevende å ta stilling til om man møter eller ikke.

Opplistingen og tilhørende terskelverdier bygger på en kartlegging utført av NSM, og innebærer som utgangspunkt at det kun er virksomhetene innenfor nevnte sektorer som omfattes av loven. Ansvarlig departement vil imidlertid kunne fatte vedtak om at loven skal gjelde andre virksomheter.

Innenfor rammene av listen må virksomheten selv vurdere om den er omfattet, med meldeplikt til NSM jf. forslagets § 5. Merk at virksomheter i tillegg kan ha meldeplikt under NIS2-direktivet, f.eks. gjennom et datterselskap etablert i en EU-medlemsstat.  

Utover de samfunnsviktige tjenestene omfatter digitalsikkerhetsloven også tilbydere av digitale tjenester i form av nettbaserte markedsplasser, nettbaserte søkemotorer eller skytjenester. Her er det i forskriften foreslått et unntak for tilbydere med færre enn 50 ansatte og en årlig omsetning samlet balanse som ikke overstiger 100 millioner kroner.

Det er også foreslått at digitalsikkerhetsloven skal gjelde på Svalbard.

Sikkerhets- og risikostyring

Forskriftsforslaget konkretiserer digitalsikkerhetslovens generelle krav til sikkerhet og risikostyring for tilbydere av samfunnsviktige tjenester i §§ 6-14. Tilbydere må dermed sørge for å dokumentasjon som påviser at kravene er oppfylt, f.eks. i forbindelse med tilsyn. 

Krav til styringssystem følger av § 6. Tilbydere må etablere, vedlikeholde og dokumentere et styringssystem for sikkerhet som bygger på anerkjente standarder, og som bidrar til å forebygge, avdekke og håndtere hendelser. Virksomhetens leder er ansvarlig for at virksomheten har et forsvarlig sikkerhetsnivå.

Forslagets § 7 stiller krav til risikovurdering. Risikovurderingen forutsetter en kartlegging av tilbyderens nettverks- og informasjonssystemer og deres betydning for den samfunnsviktige tjenester. I tillegg må vurderingene redegjøre for trusselhendelser, sårbarheter, samt sannsynlighet og konsekvens dersom en hendelse skulle inntreffe. Basert på risikovurderingen må tilbydere gjennomføre organisatoriske, teknologiske, fysiske og personellmessige sikkerhetstiltak for å opprettholde et forsvarlig sikkerhetsnivå jf. § 8.

Blant organisatoriske tiltak angir forslaget skriftlige instrukser for rutiner og prosedyrer innenfor sikkerhet, tilpasset tilbyderens størrelse og kompleksitet.

Av teknologiske tiltak angis bl.a. to- eller flerfaktorautentisering for tilgang til IT-systemer, sikkerhetsovervåking, tiltak for å sikre at IT-systemer har tilstrekkelig kapasitet og robusthet, og tilgangskontroll med segmentering av tjenester.

Forslagets § 11 stiller krav til fysisk sikkerhet, eksemplifisert med krav til identifikasjon av bygninger, rom og tilstøtende områder med betydning for sikkerhetsnivået, og sikring av eksterne avhengigheter som strøm og datakommunikasjon.

Personellsikkerhet reguleres i forslagets § 12, med fokus på tilgang basert på tjenstlig behov og opplæring- og bevissthetstrening.

Etter § 13 må virksomheter ha etablert en beredskapsplan for hendelseshåndtering og varsling, som skal testes regelmessig. Det stilles også krav til å involvere underleverandører i øvelser, hvor det er relevant.

Når det gjelder digitale tjenester innlemmer forskriftsforslaget EU’s gjennomføringsforordning 2018/151 som inneholder harmoniserte krav til digitale tjenesteytere på EU-nivå. Det er nokså stor overlapp mellom disse kravene og kravene til tilbydere av samfunnsviktige tjenester.  

Leverandørstyring

NIS2-direktivet stiller krav til kontroll av leverandørkjeder, og det ser ut til at departementet har latt seg inspirere av direktivet i forskriftsforslaget. Etter § 14 må leverandører av samfunnsviktige tjenester påse at tredjeparter som utfører arbeid som kan påvirke sikkerheten (typisk underleverandører), utfører arbeidet på en måte som gjør at virksomhetens krav til forsvarlig sikkerhet overholdes.

I tillegg er det presisert at tilbyderen gjennom avtalevilkår og lignende må fastsette konkrete krav til sikkerhet som er nødvendig for at bruk av leverandører er i tråd med tilbyderens egne krav til sikkerhet.

Kravene kan føre til mer komplekse og omfattende kontraktsforhandlinger, f.eks. ved kjøp av generiske standardprodukter som benyttes i levering av samfunnsviktige tjenester.

Varslingsplikt

Forskriftsforslaget legger opp til varslingsbestemmelser som bygger på modellen i NIS2-direktivet, jf. § 17. Ved hendelser som har betydelig innvirkning på tjenesteleveransen skal relevant tilsynsmyndighet varsles innen 24 timer, bl.a. med informasjon om berørt tjeneste, hendelse med mulig årsak og konsekvens, og berørte brukere. Informasjonen skal oppdateres innen 72 timer.

Leverandører av samfunnsviktige tjenester må i tillegg gi tilsynsmyndighet en hendelsesrapport senest en måned fra første varsel ble gitt.  Rapporten må inneholde oppdatert informasjon om hendelsen, og redegjøre for hvilke avbøtende tiltak som er iverksatt.

Tilsyn og overtredelsesgebyr

Digitalsikkerhetsloven bygger på en modell hvor sektormyndigheter fører tilsyn i den enkelte sektor. I forskriftsforslaget er det presisert at NSM vil være tilsynsmyndighet for virksomheter uten tilsynsmyndighet.

Etter digitalsikkerhetsloven kan uaktsomme eller forsettlige brudd på lovens krav til sikkerhet, varsling eller opplysningsplikt medføre overtredelsesgebyr. Forskriftsforslagets § 23 angir vurderingskriterier for fastsettelse av størrelsen på et overtredelsesgebyr. Det er bl.a. relevant om tilbyderen har hatt gevinst fra overtredelsen, samt innvirkning og størrelse på berørt markedet. Det vil være formidlene hvis tilbyderen har bistått tilsynsmyndigheten og gjennomført tiltak for å avverge en overtredelse.

Den øvre rammen for overtredelsesgebyr er foreslått satt til 25 ganger folketrygdens grunnbeløp (p.t. NOK 124,028) for offentlige virksomheter, og det høyeste av 25G og fire prosent av virksomhetens samlede omsetning for siste regnskapsår for private virksomheter.

Veien videre

Ettersom høringsfrist er satt til 11. desember 2024, vil digitalsikkerhetsloven trolig ikke tre i kraft før i 2025. Departementet jobber parallelt med utredning av nødvendige regelverksendringer for å gjennomføre NIS2-direktivet, og det kan dermed bli behov for lov- og forskriftsendringer relativt snarlig etter en eventuell ikrafttredelse. Samtidig ser vi at forskriftsforslaget har tilnærmet seg NIS2-direktivet på flere områder.

Dersom din virksomhet ligger an til å omfattes av digitalsikkerhetsloven, anbefaler vi å sette deg nøye inn i forskriftsforslaget og vurdere behov for innspill.

Tech Insight

Hold deg oppdatert på de siste lovgivningene innen teknologi og innovasjon på Tech Insight her.