Den digitale transformasjonen har drevet frem behovet for robuste sikkerhetstiltak i lys av det økte risiko- og trusselbildet. Stortinget vedtok 12. desember i fjor lov om digitalsikkerhet, digitalsikkerhetsloven. Loven gjelder for tilbydere av samfunnskritiske tjenester og digitale tjenestetilbydere og markerer en milepæl i Norges tilnærming til informasjonssikkerhet.
Digitalsikkerhetsloven kan likevel kritiseres for å være vag og gir uklare regler både med tanke på hvilke virksomheter som er omfattet og hvilke konkrete krav som stilles. I den forbindelse kan det stilles spørsmålstegn til om loven er egnet til å faktisk øke motstandsdyktigheten mot digitale hendelser i samfunnet som tiltenkt. Vi gir deg en kort innføring i hva digitalsikkerhetsloven innebærer, samt et kort sideblikk til øvrige eksisterende og kommende regler om informasjonssikkerhet.
Formål og virkeområde
Digitalsikkerhetslovens formål er å styrke motstandsdyktigheten mot uønskede digitale hendelser i nettverks- og informasjonssystemer som brukes av tilbydere som leverer samfunnsviktige tjenester og utvalgte digitale tjenester. Hensikten med loven er å forebygge, avdekke og motvirke digitale angrep.
Digitalsikkerhetsloven skal implementere NIS 1-direktivet i norsk rett, et EU-basert rammeverk, som gjelder for samfunnskritiske virksomheter, kritisk infrastruktur, og utvalgte digitale tjenester. Sektorer som omfattes inkluderer energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur, og digital infrastruktur.
Tilbyder av samfunnsviktige tjenester
For at enkelte virksomheter skal anses som samfunnsviktig etter regelverket stilles det for det første krav til at virksomheten er avhengig av informasjon og kommunikasjonssystemer, og for det andre må en IKT-hendelse kunne føre til betydelig forstyrrelser på en tjenesteleveranse.
Hva som anses som «betydelig» angis ikke tydelig i loven, men loven oppstiller ulike skjønnsmessige kriterier. Her må virksomheter selv vurdere ut fra kriteriene om de er omfattet, i det minste inntil videre før mer konkrete angivelser bestemmes i forskrift, i tillegg kan vi trolig forvente at også sektormyndigheter kommer til å utpeke spesifikke virksomheter som loven skal gjelde for.
Tilbyder av digitale tjenester
En tilbyder av en digital tjeneste er virksomheter som tilbyr tjenester som definert i ehandelsloven § 1 bokstav a og b, herunder nettbaserte markedsplasser, nettbaserte søkemotorer eller skytjenester.
To hovedforpliktelser
Virksomheter blir 1) pålagt å iverksette sikkerhetstiltak etter en risikobasert tilnærming og 2) blir forpliktet til å varsle ved store digitale sikkerhetshendelser.
Konsekvenser ved manglende overholdelse av regelverket
Tilsynsmyndigheter kan både ilegge tvangsmulkt og overtredelsesgebyr ved brudd på digitalsikkerhetsloven.
Fragmentarisk lovverk og flere regelverk på trappene – hva skal virksomheter forholde seg til?
Virksomheter kan være underlagt sikkerhetskrav av ulik art fra ulike regelsett. Før digitalsikkerhetsloven ble vedtatt var enkelte sikkerhetskrav regulert i Sikkerhetsloven. Sikkerhetsloven skal beskytte mot tilsiktede handlinger. For finansforetak stilles det krav til informasjonssikkerhet gjennom IKT-forskriften og i tidligere nyhetsbrev skrev vi om det kommende finansregulatoriske rammeverket DORA, i «Nytt EU-regelverk for digital sikkerhet i finanssektoren.
Når de ventede EU-regelverkene først blir gjennomført i norsk rett, vil finansforetak i utgangspunktet være underlagt både NIS-direktivet og DORA. For å lempe den administrative byrden for finansielle virksomheter som kan være underlagt flere regelverk, presiserer DORA at finansielle virksomheter ved motstrid kun trenger å forholde seg til kravene i DORA og ikke NIS-2-direktivet. Selv om vi i førsteomgang implementerer NIS-2-direktivets forgjenger, kan det antas at en slik tilsvarende presisering vil implementeres også her i Norge for å harmonisere reglene med resten av Europa. Når det gjelder IKT-leverandører, kan for eksempel skytjenesteleverandører bli underlagt begge regelsettene som har hver sine egne sanksjonsmekanismer. Selv om det kan ta tid før DORA blir gjennomført i norsk rett, vil norske IKT-leverandører måtte forholde seg til DORA dersom leverandøren leverer ytelser til finansielle foretak som befinner seg i Europa da regelverket er grenseoverskridende.
Er du usikker på hvilke regler du som virksomhet må forholde deg til, er det bare å ta kontakt for å sparre med oss i Føyen.