Ny lov om cybersikkerhet vedtatt av stortinget
Lov om digital sikkerhet ble i dag vedtatt av Stortinget. Loven er Norges første sektorovergripende regelverk for digital sikkerhet, og forplikter offentlige og private aktører til å sikre grunnleggende krav til digital sikkerhet i nettverks- og informasjonssystemer som brukes for å levere samfunnsviktige tjenester og digitale tjenester.
Loven antas å få særlig stor innvirkning på virksomheter som tidligere ikke er underlagt krav til digital sikkerhet, i motsetning til f.eks. helse- og finanssektoren. Bedrifter som selv ikke omfattes av loven vil også kunne møte strengere krav fra kunder som er underlagt (f.eks. krav om dokumentasjon på sikkerhetstiltak og varslingsplikter). Vi ser også et økende fokus på god sikkerhetsstyring fra kjøpersiden og investorer i selskapstransaksjoner.
Mens digitalsikkerhetsloven gjennomfører EUs direktiv om sikkerhet i nettverks- og informasjonssystemer (NIS1), er NIS2-direktivet allerede vedtatt i EU med gjennomføringsfrist 18. oktober 2024. NIS2-direktivet avbøter på mangler i NIS1-direktivet ved å utvide og harmonisere virkeområdet og stiller minimumskrav til sikkerhetstiltak. Det gjenstår å se om regjeringen vil se hen til NIS2-direktivets forpliktelser og virkeområde, når digitalsikkerhetsloven etter hvert skal konkretiseres gjennom forskrifter.
Hvem blir gjenstand for digitalsikkerhetsloven?
Loven gjelder tilbydere av samfunnsviktige tjenester innenfor sektorene energi, transport, helse, vannforsyning, bank, firmamarkedsstruktur og digital infrastruktur, og tilbydere av digitale tjenester.
Tilbydere av samfunnsviktige tjenester er etter lovens § 6 første ledd virksomheter som:
- Leverer tjenester som er viktig for å opprettholde kritiske samfunnsmessige eller økonomiske aktiviteter
- Er avhengig av nettverks- og informasjonssystemer for å levere tjenesten, og
- Kan få tjenesteleveransen «betydelig forstyrret» av en hendelse.
Virksomheter innenfor relevante sektorer må selv vurdere om de omfattes av loven. Vurderingen er sammensatt, og det kan være utfordrende å evaluere om en er innenfor virkeområdet. Regjeringen vil presisere virkeområdet i en forskrift til loven (f.eks. med terskelverdier), samtidig som sektormyndigheter gis anledning til å utpeke enkeltvirksomheter loven skal gjelde for.
Fordi virkeområdet for digitalsikkerhetsloven skiller seg fra NIS2-direktivet, vil norske virksomheter risikere å møte ulike krav dersom de opererer i andre EØS-land.
Tilbydere av digitale tjenester er etter § 9 virksomheter som tilbyr informasjonssamfunnstjenester som definert i ehandelsloven § 1 i form av nettbaserte markedsplasser, nettbaserte søkemotorer eller skytjenester. Informasjonssamfunnstjenester er:
- Tjenester som vanligvis ytes mot vederlag og som formidles elektronisk, over avstand og etter individuell anmodning fra en tjenestemottaker, og/eller
- Tjenester som består i å gi tilgang til, eller overføre informasjon over, et elektronisk kommunikasjonsnett, eller i å være nettvert for data som leveres av tjenestemottakeren.
I NIS1-direktivet er det gjort unntak for tilbydere av digitale tjenester som er små- og mikrovirksomheter (virksomheter med under 50 ansatte og en årlig omsetning eller samlet balanse på under EUR 10 millioner). Dette unntaket er foreløpig ikke inntatt i digitalsikkerhetsloven, men antas å presiseres ved forskrift.
Hvordan overholde lovens krav?
Krav til grunnleggende sikkerhet
Tilbydere av samfunnsviktige tjenester og digitale tjenester underlegges krav om gjennomføring av risikovurdering og proporsjonale tekniske og organisatoriske tiltak for nettverks- og informasjonssystemer som benyttes i tjenesteleveransen jf. lovens §§ 7 og 10.
NIS-samarbeidsgruppen har utarbeidet retningslinjer for hva som ligger i sikkerhetskravet i Reference document on security measures for Operators of Essential Services. Blant relevante tiltak nevnes:
- Løpende kartlegging og risikovurdering av viktige informasjonssystemer, med fokus på nye trusler, sårbarheter, effektiviteten av tiltak og endringer i risikobildet grunnet endringer i systemarkitektur.
- Gjennomføring og oppfølging av informasjonssikkerhetspolicyer og et styringssystem for informasjonssikkerhet.
- Systemsegregering, filtrering av trafikk mot viktige informasjonssystemer og bruk av kryptografi.
- Administrasjon av brukerkontoer, tilgangsstyring og tilgangsrettigheter basert på tjenstlig behov.
- Vedlikehold av IT-systemer gjennom å definere prosedyrer for installasjon av nye versjoner, plikt til å innhente informasjon om sårbarheter og utelukkende bruke støttede og oppdaterte applikasjoner.
Departementet uttaler i lovforarbeidene at dersom tilbyderne følger «NSMs grunnprinsipper for IKT-sikkerhet«, vil kravene som loven og retningslinjene stilles bli ivaretatt. Det forventes også at krav til sikkerhetstiltak vil konkretiseres gjennom en forskrift til loven.
Varslingsplikt
Tilbydere av samfunnsviktige tjenester pålegges varslingsplikt etter § 8 ved sikkerhetshendelser som «virker betydelig» inn på en tjeneste. Varsling skal gjøres uten unødig opphold og uten hinder av taushetsplikt. Relevante momenter i vurderingen av om varslingsplikt har inntruffet er antall brukere som påvirkes, hendelses varighet og størrelsen på det geografiske område som berøres.
Varslingsplikt for tilbydere av digitale tjenester følger av § 11. Bestemmelsen speiler i hovedsak forpliktelsene i § 8, men i vurderingen av om innvirkningen er betydelig skal det også legges vekt på omfanget av funksjonalitetssvikten i tjenesten og innvirkningen på økonomisk og samfunnsmessig aktivitet.
Tilsyn og administrative reaksjoner
Regjeringen skal etter § 13 utpeke en eller flere tilsynsmyndigheter som skal føre tilsyn. Departementet har foreslått en modell hvor sektormyndigheter fører tilsyn i den enkelte sektor (f.eks. vil Mattilsynet trolig føre tilsyn med tilbydere innen vannforsyningssektoren). I praksis vil denne modellen kunne medføre risiko for ulik praktisering av loven fra ulike tilsynsmyndigheter.
Tilsynsmyndighetene gis et bredt spekter av virkemidler for å håndheve loven, bl.a. pålegg om å bringe forhold i orden, tvangsmulkt og overtredelsesgebyr. Myndighetene kan videre gjennomføre fysiske inspeksjoner og kreve fremlagt opplysninger som er nødvendig for at tilsynsmyndighetene skal kunne utføre oppgavene sine (f.eks. dokumentasjon på gjennomførte sikkerhetstiltak), jf. § 14.
Overtredelsesgebyr kan ilegges etter § 17 dersom tilbyderen eller noen som handler på dennes vegne har overtrådt lovens krav til sikkerhet, varsling eller plikt til å gi informasjon eller tilgang til tilsynsmyndighetene. Størrelsen på gebyret fastsettes basert på flere momenter, bl.a. hva slags overtredelse det er snakk om, om det har skjedd over tid og om det er tale om gjentakende og gjenstridige handlinger. I tillegg kan virksomhetens eller konsernets omsetning vektlegges.
Lovforarbeidene presiserer at overtredelsesgebyr også kan ilegges fysiske personer som opptrer på vegne av en tilbyder dersom et er nødvendig i det enkelte tilfellet. Digitalsikkerhetsloven tydeliggjør dermed ledelsens ansvar for god sikkerhetsstyring i virksomheten.
Veien videre
Innlemmelse av NIS2-direktivet er for øyeblikket til vurdering i EØS-statene, og forventes ikke gjennomført i Norge med det første. Under Stortingets behandling av digitalsikkerhetsloven ble det imidlertid fremmet forslag fra Høyre og Venstre om å be
regjeringen vurdere hvilke tilpasninger som må gjøres i lov om digital sikkerhet for å tilfredsstille kravene i NIS2-direktivet, og sende forslag til endringer på høring uavhengig av prosessen med å ta NIS2-direktivet inn i EØS-avtalen.
Forslaget ble ikke vedtatt, men det synes å være et visst politisk press om gjennomføring av NIS2-direktivet i Norge uavhengig av EØS-prosessen. Som nevnt vil også regjeringen kunne se hen til forpliktelsene i NIS2-direktivet i de varslede forskriftene til digitalsikkerhetsloven.