Digitalsikkerhetsloven – Første i sitt slag

Som første av sitt slag stiller lov om digital sikkerhet sektorovergripende krav til digital sikkerhet og motstandsdyktighet for henholdsvis tilbydere av samfunnsviktige og digitale tjenester. Loven er ment å inkorporere Direktiv (EU) 2016/1148 (NIS-direktivet).

Det overordnede formålet med digitalsikkerhetsloven er å oppnå et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer som er nødvendige for å opprettholde leveransen av samfunnsviktige tjenester. Konkret vil loven sette tilbydere av samfunnsviktige tjenester bedre i stand til å treffe tilstrekkelige tekniske og organisatoriske tiltak for å styre sikkerhetsrisikoen i sine nettverks- og informasjonssystemer. Digitalsikkerhetsloven har en funksjonell tilnærming til hva som anses som et tilstrekkelig sikkerhetsnivå hos de samfunnsviktige tilbyderne, dette innebærer en presisering og en konkretisering av hvilke elementer som ligger i begrepet.

Sentralt i digitalsikkerhetsloven er at man ønsker å løfte virksomheter innenfor samfunnsområder som har en særlig viktig rolle for opprettholdelsen av samfunnsmessig og økonomisk aktivitet. 

Bakgrunn for lovforslaget

I 2016 utga DSB rapporten «samfunnets kritiske funksjoner» som beskriver hvilke funksjoner som er kritiske for samfunnssikkerheten og hvilken funksjonsevne som må opprettholdes i disse produksjonene. En rekke av disse virksomhetene har under det gjeldende sikkerhetsregelverket ikke vært dekket. At digitalsikkerhetsloven gjør sitt inntog i norsk rett er helt essensielt for å opprettholde kritisk samfunnsmessig og økonomisk aktivitet.

NSMs rapport «nasjonalt digitalt risikobilde 2023» påpeker at beredskapen for å håndtere omfattende cyberangrep mot Norge har store mangler. Evnen vår til å oppdage digitale angrep i Norge er for dårlig. Når stadig flere industrielle anlegg kobles fysisk til internett øker faren for alvorlige cyberangrep som også lammer fysisk infrastruktur. Dette er ikke en unik situasjon i Norge, snarere tvert imot. EU så at dette var tilfellet i mange land, og NIS-direktivet ble vedtatt i et forsøk på å skape harmoniserte regler for større motstandsdyktighet i hele det indre markedet. 

Digitalsikkerhetsloven: tilbydere av samfunnsviktige tjenester

Etter digitalsikkerhetsloven er det tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester som er omfattet av loven. Identifiseringen av samfunnsviktige tjenester baseres på en nedenfra-og-opp-tilnærming, dette innebærer at det er opp til den enkelte virksomhet å identifisere seg selv om samfunnsviktig. Virksomhetene må aktivt ta stilling til hvorvidt de anses som samfunnsviktige tjenester. Sektormyndighetene gis imidlertid anledning til å utpeke enkeltvirksomheter som loven skal gjelde for.

Nøyaktig hvilke virksomheter som er samfunnsviktige fastsettes basert på tre vilkår som alle må være oppfylt.

For det første må virksomheten tilby en tjeneste innenfor de angitte sektorene energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og  digital infrastruktur.

For det andre må tjenesteleveransen være avhengig av nettverk- og informasjonssystemer. Rent operasjonelle miljøer som ikke er koblet på nett faller derfor utenfor.

For det tredje må en hendelse i virksomhetens nettverks og informasjonssystemer ha betydelig forstyrrende virkning på leveransen av den samfunnsviktige tjenesten. Vurderingstemaet er tjenesteleveranse i en samfunnssammenheng, og ikke virksomhetens tjenesteleveranse isolert sett. Det er meningen å omfatte de virksomheter som er så viktig for samfunnet at en hendelse hos virksomheten får negativ virkning for samfunnet.

Det kan være vanskelig å mene noe om hvorvidt virksomhetens tjenesteleveranse i en samfunnssammenheng er kritisk. Derfor har Nasjonal sikkerhetsmyndighet og direktoratet for samfunnssikkerhet og beredskap på vegne av departementet og i samarbeid med berørte sektormyndigheter, gjort en nærmere og foreløpig vurdering av hvilke kriterier og terskelverdier som kan benyttes for å identifisere hvilke virksomheter som skal anses som tilbydere av samfunnsviktige tjenester etter lovforslaget. I denne vurderingen skal det legges vekt på blant annet:

  1. Antall brukere som er avhengig av tjenesten.
  2. Hvorvidt andre opplistede sektorer er avhengig av tjenesten. 
  3. Hvilken virkning en hendelse kan ha i form av omfang og varighet for økonomiske og samfunnsmessige aktiviteter eller samfunnssikkerheten for øvrig.
  4. Virksomhetens markedsandel
  5. Størrelse på det geografiske området som kan bli påvirket av en hendelse 
  6. Den berørte virksomhetens betydning for at det er tilstrekkelig tilgang på tjenesten, tatt i betraktning hvilke andre alternativer som finnes.
  7. Særlige sektorspesifikke forhold.

For eksempel vil trafikkstyringen på en stor flyplass omfattes av loven, men ikke butikkområdet.

Nærmere kriterier for identifisering av tilbydere av samfunnsviktige tjenester vil også kunne reguleres i forskrift.

Det må gjøres en nærmere juridisk vurdering for hvorvidt en virksomhet er omfattet av digitalsikkerhetsloven. Antagelig er det en viss indikasjon hvorvidt virksomheten er nevnt i DSBs liste over virksomheter med kritisk samfunnsfunksjon og nøkkelpersonell

Hva krever digitalsikkerhetsloven?

Det er departementets vurdering at hvis tilbydere følger «NSMs grunnprinsipper for IKT-sikkerhet», vil de ivareta kravene som fremgår av loven og retningslinjene. Samtidig understreker departementet viktigheten av å se digital sikkerhet i sammenheng med tilbydernes mer generelle sikkerhetsstyringssystem og tilbydernes overordnede styringssystem. Det er også viktig å understreke formålet til digitalsikkerhetsloven, nemlig å sikre motstandsdyktighet i den samfunnsviktige delen av virksomheten – ofte er det da snakk om operasjonelle teknologier og komplekse systemer. Basert på bransje og behov bør det gjøres en nærmere vurdering av hvilke tiltak som bør iverksettes. Digitalsikkerhetsloven inneholder både bestemmelser om tilsyn og ikke minst overtredelsesgebyr og andre pålegg.

Forventede endringer i digitalsikkerhetsloven

EU innså at det opprinnelige NIS direktivet traff dårlig på noen punkter, man har derfor endret virkeområde og reglene noe i direktiv (EU) 2022/2555 (NIS2-direktivet). Det er hovedsakelig to aspekter som blir endret ved NIS2.

Det første er at virkeområdet blir betraktelig utvidet ved å legge til nye sektorer, og samtidig, for å ikke treffe for vidt har man innført et størrelsestak slik at bare mellomstore og store bedrifter i utvalgte sektorer omfattes av virkeområdet.

For det andre stiller NIS2 krav til sikkerhet i leverandørkjeder. Dette innebærer både at virksomheten må sørge for tilstrekkelig hos sine leverandører, men også at virksomheter kan omfattes av kravene gjennom å være leverandører til de utvalgte sektorene.

Det vil si at virksomheter innenfor sektorer energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur i første omfang må gjøre en omstilling for den norske digitalsikkerhetsloven. Det er likevel viktig at øvrige sektorer, særlig hvis man har eksponering mot resten av Europa, er forberedt på at det vil komme krav til informasjonssikkerhet for dem også. I forretningsforhold bør man også være forberedt på leverandører eller kunder i Europa anvender NIS2 allerede så tidlig som oktober 2024.

En figur som beskriver kritiske områder innen digitalsikkerhet

Ofte stilte spørsmål

Kan man bli omfattet av både sikkerhetsloven og digitalsikkerhetsloven, og hva betyr det for virksomheten?

Ja, dersom virksomheten er omfattet av sikkerhetsloven, og i tillegg er blant sektorene angitt i digitalsikkerhetsloven vil man være underlagt begge regelsettene. Selv om begge lovene regulerer sikkerhet i virksomheten, så er formålet bak regelsettene svært ulike. Sikkerhetsloven har som formål  å ivareta nasjonale sikkerhetsinteresser ved å sikre grunnleggende nasjonale funksjoner. NIS-direktivet og digitalsikkerhetsloven skal imidlertid sikre tilstrekkelig risikostyring i nettverks- og informasjonssystemer i samfunnskritiske virksomheter.  

I den grad virksomheten er underlagt begge regelsett må virksomheten være i stand til å differensiere mellom de verdier, trusler og risikoer som gjelder for de ulike regelsettene. Eksempelvis er det kun hendelser som har “nasjonal betydning” som dekkes av sikkerhetsloven, mens lov om digital sikkerhet ikke har en slik begrensing. Videre er trusselbildet i digitalsikkerhetsloven videre enn sikkerhetsloven som er begrenset til “tilsiktede handlinger”. Tilsynsregime og varsling av hendelser er også ulikt.

Hva med eksisterende sektorspesifikke krav til informasjonssikkerhet, går digitalsikkerhetsloven foran disse?

Nei, dersom virksomheten er pålagt sikkerhets- og varslingskrav i sektorspesifikk lovgivning som minst tilsvarer digitalsikkerhetsloven skal den sektorspesifikke lovgivning gå foran.

For eksempel vil bank og finansmarkedsinfrastruktur fremdeles anvende IKT-forskriftens § 5 om sikkerhet og § 9 om avviks- og endringshåndtering.

For mange bransjer er regelverk på område stadig skiftende og det bør gjøres en konkret vurdering av om de sektorspesifikke kravene da fult ut dekker digitalsikkerhetslovens krav. At en virksomhet er pålagt generelle sikkerhet- og varslingskrav i personopplysningsloven art. 32 og art. 33 er ikke dekkende.

Dersom man er usikker på om man faktisk etterlever alle kravene sektoriell lovgivning er nå tiden for å sette informasjonssikkerhet på agendaen. 

Hvordan skal du forberede deg til digitalsikkerhetsloven?

Mange virksomheter vil bli truffet av digitalsikkerhetsloven, og dersom man er usikker bør det gjennomføres en kartlegging.

  1. Vurder om virksomheten er innenfor virkeområdet til digitalsikkerhetsloven
  2.  Gjennomfør verdivurderinger
  3. Bestem ønsket modenhetsnivå
  4. Operasjonaliser relevante sikkerhetstiltak