Regulering av datasentre i Norge – fokus på sikkerhet og beredskap
Forskrift om datasenter (Datasenterforskriften) trådte i kraft 1. januar 2025 i Norge. Datasenterforskriften innebærer en betydelig endring i reguleringen av datasentre i Norge, med fokus på sikkerhet, beredskap og registrering. Forskriften pålegger datasenteroperatører å sikre at kravene i forskriften følges både av operatørene selv og av dem som utfører arbeid for dem. Ettersom manglende overholdelse kan medføre overtredelsesgebyr, bør datasenteroperatører umiddelbart sørge for at deres virksomheter overholder forskriftens krav.
Et av disse kravene er registreringsplikten. I henhold til registreringskravene skal datasenteroperatører registrere seg hos Nasjonal kommunikasjonsmyndighet (Nkom) før oppstart. Datasenterforskriften regulerer en rekke typer informasjon som skal registreres, inkludert detaljer som navn, organisasjonsnummer, adresse og informasjon om tjenester og strømbruk. Eksisterende operatører må oppfylle registreringskravene innen 1. juli 2025.
Datasenterforskriften stiller også flere krav til sikkerhet og beredskap av datasentre, inkludert krav til etablering, overholdelse, opplæring, kvalitetssikring og dokumentasjon av et styringssystem for sikkerhet, og krav til risiko- og sårbarhetsvurderinger som skal kunne identifisere organisatoriske, fysiske, logiske og menneskelige sikkerhetstiltak. Datasenteroperatører skal også sikre forsvarlig sikkerhet i datasentre gjennom grunnleggende tiltak som barrierer, deteksjons-, verifikasjons- og reaksjonstiltak. Grunnsikringstiltakene skal utarbeides, iverksettes og vedlikeholdes. Datasenteroperatørene skal også planlegge og dokumentere ytterligere tiltak og ha en plan for å gjenopprette et forsvarlig sikkerhetsnivå. Forskriften stiller videre minimumskrav for sikring av informasjon, informasjonssystemer og styringssystemer, og stiller krav til beredskapsplaner og øvelser for å ivareta forsvarlig sikkerhet i datasenteret.
Nasjonal kommunikasjonsmyndighet (Nkom) fører tilsyn med at virksomheter overholder Datasenterforskriften, og kan ilegge overtredelsesgebyr, som fastsettes etter vurderingsmomenter som operatørens skyld, overtredelsens grovhet og foretakets omsetning. Nkom kan videre pålegge datasenteroperatørene å gjennomføre sikkerhetsrevisjoner og kreve nasjonal autonomi i krisesituasjoner. Dersom det oppstår vesentlige brudd på datasenterets eller datasentertjenestens tilgjengelighet, autentisitet, integritet eller konfidensialitet, stiller forskriften krav om varsling til Nkom og kunder.
For å styrke nasjonal sikkerhet og kriminalitetsbekjempelse har Digitaliserings- og forsvarsdepartementet allerede foreslått noen endringer i datasenterforskriften. I henhold til forslaget skal datasenteroperatører ha oppdatert kundeinformasjon og operatørene kan bli pålagt å utlevere informasjonen til Nkom, NSM, PST og politiet når det er nødvendig for å stanse eller avverge lovbrudd eller ivareta nasjonal sikkerhet. For utenlandske operatører er det også foreslått et krav om en stedlig representant i Norge. Representanten skal kunne møte opp fysisk og ha nødvendig fullmakt og kunnskap til å kunne følge opp henvendelser fra myndighetene, herunder pålegg om utlevering av informasjon.