Et steg nærmere ikrafttredelse av digitalsikkerhetsloven og gjennomføring av våre EØS-rettslige forpliktelser

I september sendte Justis- og beredskapsdepartementet den såkalte digitalsikkerhetsforskriften på høring. Forskriftsforslaget presiserer virkeområdet til den kommende digitalsikkerhetsloven, som fremdeles ikke har trådt i kraft. Når forskriften blir vedtatt kan også loven tre i kraft, og dermed gjennomføre NIS1-direktivet i norsk rett.

Granskning og compliance

Digitalsikkerhetsloven og forslaget til digitalsikkerhetsforskrift pålegger omfattende – men viktige – plikter for å sikre grunnleggende krav til digital sikkerhet i virksomheter med særlig betydning for samfunnet. Herunder ved å forebygge, avdekke og motvirke uønskede hendelser i nettverk og informasjonssystemer som brukes for å levere samfunnsviktige tjenester og digitale tjenester. Dette gjøres blant annet gjennom å stille krav om etablering av styringssystem for digital sikkerhet, varslingsplikter, krav til digitale, fysiske og personelle sikkerhetstiltak, og tilsyn. Manglende etterlevelse av disse kravene kan medføre overtredelsesgebyr på opptil cirka 3,1 millioner kroner, eller 4 % av den samlede årsomsetningen i det forutgående regnskapsår.

Mens digitalsikkerhetsforskriften er et nødvendig ledd i gjennomføringen av NIS1-direktivet i norsk rett, stod flere andre land i EU klare til å implementere det nye NIS2-direktivet allerede i oktober 2024. Det nye NIS2-direktivet vil erstatte NIS1 i sin helhet. Norge vil derfor nå implementere et utdatert direktiv og dersom NIS2-direktivet tas inn i EØS-avtalen vil det bli behov for revisjon av digitalsikkerhetsloven samt endring eller opphevelse av digitalsikkerhetsforskriften. Dette forutsettes også av norske myndigheter.

Relevante sektorer

Digitalsikkerhetsloven § 2 fastsetter at loven gjelder for tilbydere av digitale tjenester slik dette er definert i ehandelsloven i form av nettbaserte markedsplasser, søkemotorer eller skytjenester, samt tilbydere av såkalte “samfunnsviktige tjenester” innenfor følgende sektorer:

Energi,
Transport,
Helse,
Vannforsyning,
Bank,
Finansmarkedsinfrastruktur, og
Digital infrastruktur.

I tillegg foreslås det i digitalsikkerhetsforskriften at ansvarlig departement i særlige tilfeller kan beslutte at andre virksomheter skal underlegges regelverket ved enkeltvedtak, slik reguleringen eksempelvis er etter sikkerhetsloven.

De syv relevante sektorene etter digitalsikkerhetsloven reflekterer virkeområdet i NIS1. NIS2, som trådte i kraft i EU i oktober, har et utvidet virkeområde og omfatter offentlige så vel som private virksomheter som er kritiske for økonomi og samfunn, og mer bestemt tilbydere av samfunnsviktige tjenester innen 18 definerte sektorer. Selv om NIS2-direktivet ikke har trådt i kraft i Norge enda, vil dette likevel være relevant for norske virksomheter og tjenestetilbydere som tilbyr sine tjenester i EU.

Hva utgjør en “samfunnsviktig tjeneste” i digitalsikkerhetslovens og -forskriftens forstand?

I tillegg til at virksomheten må operere innenfor én av de syv relevante sektorene nevnt over, stilles det tre kumulative vilkår som må være oppfylt for at en virksomhet skal anses som en tilbyder av “samfunnsviktige tjenester“:

(i) Virksomheten må levere en tjeneste som er viktig for å opprettholde kritiske samfunnsmessige eller økonomiske aktiviteter,

(ii) Virksomheten må være avhengig av nettverk og informasjonssystemer for å levere tjenesten, og

(iii) Virksomheten kan få tjenesteleveransen betydelig forstyrret av en hendelse.

NSM har gjennomført en kartlegging for å identifisere kriterier og terskelverdier som kan benyttes for å definere hvilke virksomheter som skal betraktes som tilbydere av “samfunnsviktige tjenester”. Terskelverdiene fungerer slik at det innenfor hver relevant sektor angis kategorier av tjenester eller størrelser på produksjon, drift eller antall brukere. Disse verdiene er i en viss grad forsøkt harmonisert på tvers av sektorene. I digitalsikkerhetsforskriften har departementet fastsatt terskelverdier for følgende sektorer:

Kraft,
Olje- og gassforsyning,
Luftfart,
Jernbanetransport, vegtransport og sjøtransport,
Helse,
Drikkevann,
Digital infrastruktur, og
Bank- og finansmarkedsinfrastruktur.

Når det skal avgjøres om en virksomhet er underlagt digitalsikkerhetsloven og -forskriften, er det nødvendig å undersøke hvilke krav og terskelverdier som gjelder for den enkelte virksomhet. Er vilkårene oppfylt skal virksomheten etter forskriftens § 5 melde fra til NSM og tilsynsmyndigheten.

I likhet med flere andre regelverk som ivaretar sikkerhet, er bestemmelsene i digitalsikkerhetsloven og -forskriften funksjonsbaserte og tar utgangspunkt i standarden “forsvarlig sikkerhet“. Dette er en begrepsbruk vi kjenner igjen fra for eksempel reglene om generelle krav til forebyggende sikkerhetsarbeid i sikkerhetsloven kapittel 4, samt ekomloven § 2-10 om sikkerhet og beredskap. Virksomheten må vurdere om allerede eksisterende tiltak tilfredsstiller kravet til forsvarlig sikkerhet, eller om det må iverksettes nye tiltak for å overholde de nye kravene basert på gjennomført risikovurdering.

I den nye digitalsikkerhetsforskriften §§ 6 til 14 foreslås krav som samlet sett skal bidra til et minimumsnivå av sikkerhet i virksomhetens nettverk og informasjonssystemer. Departementet presiserer i høringsbrevet at sikkerhetstiltakene må vurderes konkret for den enkelte virksomhet, idet sikkerhetstiltakene skal være “hensiktsmessige, proporsjonale og samlet sørge for et sikkerhetsnivå som er tilpasset risikoen.” I dette ligger at omfanget av tiltakene og pliktene må tilpasses den enkelte virksomhet.

De konkrete sikkerhetspliktene som foreslås i forskriften er følgende:

Krav til styringssystem for sikkerhet: virksomheten må opprette et styringssystem for sikkerhet, kunne dokumentere dette og det må inngå som en del av den overordnede styringen av virksomheten. Departementet uttaler at styringssystemet bør baseres på anerkjente standarder og bidra til å forebygge, avdekke og håndtere hendelser, samt korrigere og gjenopprette sikkerheten i nettverk og informasjonssystemer ved hendelser.
Krav til å utføre risikovurdering(er): risikovurderinger er blant annet styrende for hvilke sikkerhetstiltak som er relevante og proporsjonale for virksomheten, som må utarbeide, vedlikeholde og dokumentere disse i tråd med anerkjente og relevante standarder for risikovurderinger. Departementet trekker særlig frem at risikovurderingen minst må inneholde:

(i) en kartlegging av virksomhetens nettverk og informasjonssystemer og hvilken betydning disse har for leveransen virksomheten tilbyr,

(ii) hvilke hendelser disse kan bli utsatt for,

(iii) en identifisering av sårbarheter i virksomheten,

(iv) sannsynligheten for at en hendelse kan inntreffe, samt konsekvens, og

(v) i hvilken grad virksomheten er avhengig av andre virksomheter for å fungere som tiltenkt.

Krav til risikohåndtering: virksomheten må implementere sikkerhetstiltak for å håndtere identifisert risiko, som minst skal bidra til å sørge for en sikker plattform, sikker drift og sikker hendelseshåndtering og -gjenoppretting.
Krav til sikkerhetstiltak, herunder:

(i) Organisatoriske sikkerhetstiltak – som at virksomheten må utarbeide relevant materiale for personell med tilgang til virksomhetens nettverk og informasjonssystemer (førstelinjen),

(ii) Teknologiske sikkerhetstiltak – som at virksomheten må iverksette sikkerhetstiltak tilpasset ut fra omfang, driftsmiljø, kompleksitet, funksjon, brukermiljø og risiko ved virksomhetens nettverk og informasjonssystemer, herunder to- eller flerfaktorautentisering, tilgangskontroll, segmentering og bruk av soner, tiltak for å sikre videreutvikling, og overvåkning.

(iii) Fysiske sikkerhetstiltak – som at virksomheten iverksetter nødvendige tiltak for å forhindre at uvedkommende får tilgang til lokasjoner og fysisk / teknisk infrastruktur, tiltak for å beskytte bygninger, rom og tilstøtende områder som har betydning for sikkerhetsnivået, mv.

(iv) Sikkerhetstiltak for personell – som iverksettelse av nødvendige sikkerhetstiltak overfor ansatte, leverandører, underleverandører og oppdragstakere, herunder adgangskontroll, brukerautentisering og tilgangskontroll.

Krav til hendelseshåndtering og beredskap: virksomheten må ha en beredskapsplan for håndtering av hendelser og varsling, herunder identifisering av hendelser, karakter og omfang, samt at det skal iverksettes nødvendige mottiltak og tiltak for å gjenopprette et forsvarlig sikkerhetsnivå.
Oppfølgningsplikt: virksomheten må aktivt følge opp leverandører og oppdragstakere, og sørge for at disse utfører arbeidet på en måte som gjør at virksomhetens krav til forsvarlig sikkerhet overholdes, for eksempel gjennom avtalevilkår og lignende der det fastsettes konkrete krav til sikkerhet.

Særlig om varsling av hendelser

Digitalsikkerhetsloven oppstiller krav om varsling. Den grunnleggende plikten er at tilbyderen skal, uten unødig opphold og uten hinder av taushetsplikt, varsle om hendelser som virker betydelig inn på tjenesteleveransen.

Varslingsplikten gjelder for hendelser med negativ virkning på sikkerheten i nettverk og informasjonssystemer. Årsaken til hendelsen er uten betydning for hvorvidt varslingsplikten inntrer. Varslingsplikten gjelder kun der hendelsen har “betydelig” innvirkning. Ved vurdering av om dette er tilfellet skal det bl.a. legges vekt på antall brukere som påvirkes, hendelsens varighet og størrelsen på det geografiske området som berøres av hendelsen. I denne sammenheng kan føringene i den såkalte gjennomføringsforordningen (EU 2018/151) være veiledende for når en hendelse har betydelig innvirkning, der det bl.a. er fastsatt at en hendelse anses for å ha betydelig innvirkning hvis den har medført minst én av følgende situasjoner:

Tjenesten er utilgjengelig i over 5 000 000 brukertimer. Med “brukertimer” menes antallet berørte brukere i EU i en periode på 60 minutter.
Hendelsen har ført til tap av integritet, autentisitet eller konfidensialitet i forbindelse med lagrede, overførte eller behandlede data og som er tilknyttet tjenester som tilbys av tilbyderen eller er tilgjengelige via tilbyderens nettverk og informasjonssystem, og tapet berører mer enn 100 000 brukere i EU,
Hendelsen har medført risiko for offentlig sikkerhet eller tap av menneskeliv,
Hendelsen har forårsaket materielle skader på over 1 000 000 euro for minst én bruker i EU.

Etter digitalsikkerhetsforskriften § 17 skal varsel gis til tilsynsmyndigheten senest innen 24 timer etter at tilbyder fikk kjennskap til hendelsen. Videre må tilbyderen oppdatere varselet innen 72 timer, samt at det senest innen en måned fra første varsel skal utarbeides en fullstendig hendelsesrapport som inneholder oppdatert informasjon samt opplysninger om iverksatte og planlagte avhjelpende tiltak. På dette punktet er digitalsikkerhetsforskriften identisk med kravene som er gjeldende i EU fra oktober gjennom implementeringen av NIS2-direktivet.

Sikkerhet generelt og digital sikkerhet spesielt blir stadig viktigere og innebærer en vesentlig økning i Wiersholms juridiske og strategiske rådgivning på dette feltet. Nedenfor gir vi noen råd om hva man bør tenke på når man vurderer virksomhetens sikkerhetsrisiko og arbeid:

Kartlegg hvilke lover og regler som gjelder for din virksomhet. Er din virksomhet å anse som en tilbyder av en samfunnsviktig tjeneste eller digital tjeneste, pålegges særskilte sikkerhetskrav gjennom digitalsikkerhetsloven og -forskriften. I tillegg kan tjenestetilbydere som tilbyr sine tjenester innenfor EU også få forpliktelser etter det nye NIS2-direktivet, og for disse blir det dermed nødvendig å undersøke direktivets utvidede virkeområde.
Kartlegg relevante kriterier og terskelverdier dersom din virksomhet opererer innenfor en av de relevante sektorene. Sektorspesifikke kriterier er fastsatt i digitalsikkerhetsforskriften, og varierer både ut fra tjeneste, størrelse på produksjon, drift og antall brukere.
Vurderes det at din virksomhet faller innenfor lovens virkeområde, må det meldes fra til NSM eller tilsynsmyndigheten med relevante virksomhetsopplysninger og informasjon om tjenesten din virksomhet tilbyr, kort tid etter at loven trer i kraft.
Kartlegg eksisterende sikkerhetstiltak i din virksomhet, og undersøk hvorvidt disse tilfredsstiller de nye og skjerpede kravene i digitalsikkerhetsloven og -forskriften.
Om din virksomhet ikke har det på plass fra før, må det etableres et styringssystem for sikkerhet som baserer seg på anerkjente standarder og som må kunne dokumenteres.
Kartlegg virksomhetens nettverk og informasjonssystemer, sårbarheter, hvilke hendelser disse kan bli utsatt for, sannsynligheten for at en hendelse kan inntreffe og konsekvens, og få disse punktene inn i virksomhetens mal for risikovurdering. Ta en kikk på veiledere fra sektormyndigheter eller NSM, men sørg for at risikovurderingene er tilpasset din konkrete virksomhet.
Forbered en plan for hensiktsmessige og proporsjonale sikkerhetstiltak dersom en hendelse skulle inntre, herunder organisatoriske, teknologiske og fysiske sikkerhetstiltak, samt sikkerhetstiltak for dine ansatte, kontraktører og leverandører.
Skisser en beredskapsplan for håndtering av hendelser og varsling, og sørg for at relevante tidsfrister overholdes.
Sørg for at virksomheten aktivt følger opp leverandører og oppdragstakere i tråd med oppfølgningsplikten, og implementer sikkerhetskrav overfor disse gjennom avtalevilkår og lignende.