Norske datasentre må forberede seg på en ny hverdag. I Føyens artikkel om viktige utvidelser i ny ekomlov ga vi en oversikt over hvordan datasentervirksomhet blir regulert for første gang i lov. Med den nye datasenterforskriften, innføres ytterligere regler for datasenterdrift i Norge.
Reglene innebærer blant annet at datasentre må registrere seg hos Nasjonal kommunikasjonsmyndighet (NKOM) og forskriften angir de opplysninger som må oppgis. Det gis utfyllende regler knyttet til gjennomføring av tiltak som skal sikre et forsvarlig sikkerhet- og beredskapsnivå. I tillegg får myndighetene en adgang til å bestemme hvordan og hva datasentre skal brukes til i krise- og beredskapssituasjoner.
Hvem blir berørt?
Med datasenterforskriften vet vi hvilke datasenteroperatører som blir underlagt kravene i datasenterreguleringene i ekomloven og datasenterforskriften. Datasenteroperatører må følge kravene hvis den tilbyr tilgang til datasentertjenester mot vederlag eller datasenteret har abonnert elektrisk effekt over en viss størrelse. Terskelen er satt til 0,5 MW.
Registreringsplikt
Forskriften gir detaljerte krav til innholdet i registreringsplikten, herunder navn, org.nr, nettadresse og fysisk lokasjon. Det er verdt å merke seg at datasenteroperatører også må registrere informasjon om norske statlige, fylkeskommunale og kommunale myndigheter, organer og virksomheter som er kunde hos datasenteroperatører.
Omfattende sikkerhetstiltak
Det gis mer spesifikke bestemmelser om hvordan datasenteroperatører skal sørge for å opprettholde et forsvarlig sikkerhet- og beredskapsnivå ved levering av datasentertjenester. Dette innebærer blant annet:
- Styringssystem for sikkerhet: Datasenteroperatørene må etablere et styringssystem for sikkerhet som er forankret i virksomhetens ledelse.
- Risiko- og sårbarhetsvurderinger: Det må gjennomføres regelmessige risiko- og sårbarhetsvurderinger for å identifisere og håndtere potensielle trusler.
- Sikkerhetstiltak: Datasentrene må implementere passende organisatoriske, fysiske, menneskelige og logiske (tekniske) sikkerhetstiltak
- Beredskapsplanlegging: Det må utarbeides beredskapsplaner og foretas øvelser for å håndtere ulike typer hendelser, som strømbrudd, brann og cyberangrep
- Revisjon: NKOM kan pålegge sikkerhetsrevisjon av hele eller deler av datasentervirksomheten
- Varsling: Datasenteroperatørene må ha rutiner for å varsle om uønskede hendelser til NKOM
Sikring av «nasjonal autonomi» og prioriteringer
Forskriften inneholder også en bestemmelse med overskriften «Adgang til å pålegge datasentrene å ha nasjonal autonomi». Det er noe vanskelig å forstå hva overskriften er ment til å regulere. Bestemmelsen sikter til at NKOM har myndighet til å pålegge datasenteroperatører å drifte og vedlikeholdetjenestetilbud med personell og tekniske løsninger i Norge i krise og beredskapssituasjoner.
NKOM gis også en rett til å pålegge datasenteroperatører å prioritere «viktige samfunnsaktører» ved gjenopprettelse til normal drift etter hendelser som har medført forstyrrelser og nedetid. Slik gis NKOM en nokså vid og skjønnsmessig adgang til å pålegge drift og prioriteringer, der virksomheter er nødt til å nedprioritere egen virksomhet og kunder.
Konsekvenser for bransjen
Den nye forskriften kan kanskje medføre økte kostnader for enkelte aktører i datasenterbransjen, både knyttet til implementering av sikkerhetstiltak og oppfyllelse av kravene til nasjonal autonomi. Dette kan føre til høyere priser for kundene. Samtidig vil forskriften bidra til å styrke datasikkerheten og beredskapen i Norge, noe som har for tiden er høyt på agendaen hos myndighetene. For de store datasenteraktørene vil forskriften ha liten betydning med tanke på reelle sikkerhetstiltak, da disse aktørene allerede har gode systemer på plass. Det er allerede nå varslet at det vil komme ytterligere endringer i regelverket, som er forventet sendt på høring i løpet av våren. Blant annet ønskes det regulering som tar sikte på å sørge for å forebygge, avverge, stanse og etterforske kriminalitet og håndtere bortfall av datasentertjenester som er av betydning for samfunnet.
