NOU 2018: 14

IKT-sikkerhet i alle ledd — Organisering og regulering av nasjonal IKT-sikkerhet

Til innholdsfortegnelse

2 Relevant EU-regelverk

2.1 EUs NIS-direktiv

NIS-direktivet ble vedtatt i EU 6. juli 2016.1 Det har som formål å styrke IKT-sikkerheten i EU ved å pålegge medlemsstatene å sørge for at samfunnsviktige virksomheter gjennomfører tiltak. Hver medlemsstat plikter å etablere en nasjonal strategi for IKT-sikkerhet, en nasjonal kompetent sikkerhetsmyndighet, et nasjonalt kontaktpunkt og en nasjonal enhet som skal håndtere digitale sikkerhetshendelser. Det stilles også krav om deltakelse i to internasjonale samarbeidsfora, det vil si en samarbeidsgruppe for strategisk styring (NIS samarbeidsgruppe) og et nettverk for nasjonale responsmiljøer (CSIRT nettverk). Videre plikter medlemsstatene å sørge for at tilbydere av samfunnsviktige tjenester og enkelte digitale tjenester vurderer sikkerhetsrisikoen knyttet til bruk av nettverk og informasjonssystemer, og at de varsler om alvorlige sikkerhetshendelser.

Direktivet trådte i kraft 8. august 2016, og medlemstatene måtte implementere de fleste av direktivets krav innen 9. mai 2018. Norge er foreløpig ikke forpliktet til å gjennomføre NIS-direktivet fordi prosessen med å innlemme direktivet i EØS-avtalen ikke er ferdig. Den norske regjeringen besluttet i desember 2016 å anse direktivet som EØS-relevant og akseptabelt. Island har inntatt samme posisjon. Liechtenstein har foreløpig ikke tatt endelig stilling. Det følger av utvalgets mandat at de skal legge til grunn at NIS-direktivet skal gjennomføres i norsk rett. For utvalget er direktivets bestemmelser om sikkerhets- og varslingskrav for virksomheter og hvilke krav som stilles til nasjonale myndigheter, mest relevant, og gjennomgangen nedenfor konsentrerer seg derfor om dette.

2.1.1 Sikkerhets- og varslingskrav for virksomheter

Direktivets krav retter seg mot virksomheter som leverer tjenester som er viktige for å opprettholde et velfungerende samfunn og næringsliv. Virksomhetene er delt i to hovedkategorier, tilbydere av samfunnsviktige tjenester (operators of essential service, se artikkel 4(4)) og tilbydere av digitale tjenester (digital service providers, se artikkel 4(6)). Alle tjenestene er listet opp i direktivets vedlegg II og III.

2.1.1.1 Tilbydere av samfunnsviktige tjenester

2.1.1.1.1 Virkeområde

En virksomhet anses som tilbyder av en samfunnsviktig tjeneste dersom tre kumulative kriterier er oppfylt (artikkel 5(2)):

  • (i) Virksomheten tilbyr en tjeneste som er viktig for å opprettholde kritiske samfunnsmessige eller økonomiske aktiviteter (artikkel 5(2)(a)). Det er tilstrekkelig å fastslå at virksomheten leverer en slik tjeneste som er opplistet i direktivet vedlegg II. Det er kun den delen av virksomheten som leverer den aktuelle tjenesten, som omfattes. For eksempel vil trafikkstyringen på en stor flyplass omfattes, mens butikkområdet ikke omfattes. Vedlegget utgjør utgangspunktet for direktivets virkeområde og omfatter følgende samfunnssektorer (ikke uttømmende):

    • energi (elektrisitet, olje og gass)

    • transport (luft, jernbane, sjø og vei)

    • helse (helsetjenester)

    • bank

    • finansmarkedsinfrastruktur

    • drikkevannsforsyning og -distribusjon

    • digital infrastruktur:

      • IXP – internet exchange point

      • DNS – domain name server service provider

      • TLD – top level domain name registries

    Se direktivet vedlegg II for nærmere spesifisering av hvilke tjenester som omfattes.

  • (ii) Tjenesteleveransen er avhengig av nettverk og informasjonssystemer (artikkel 5(2)(b)). Direktivet gir ikke nærmere veiledning om hva som ligger i dette.

  • (iii) Det tredje kriteriet er at en hendelse i virksomhetens nettverk og informasjonssystemer ville hatt vesentlig forstyrrende virkning på tjenesteleveransen (artikkel 5(2)(c)). Ved vurderingen av om en sikkerhetshendelse kan få vesentlig forstyrrende effekt på tjenesteleveransen, skal både tverrsektorielle og sektorspesifikke momenter tas i betraktning. Artikkel 6 inneholder en ikke uttømmende liste med tverrsektorielle momenter som skal vurderes:

    • antall brukere som baserer seg på tjenesten

    • andre vedlegg II-sektorers avhengighet av tjenesten

    • omfanget og varigheten av mulige virkning av hendelser på økonomiske og samfunnsmessige aktiviteter og samfunnssikkerhet

    • virksomhetens markedsandel

    • geografisk område som kan rammes av hendelsen

    • viktigheten av virksomhetens bidrag til leveranse av tjenesten, med tanke på alternative tjenestetilbydere

Det endelige virkeområdet for direktivet skal fastlegges gjennom en utpekingsprosess i regi av hver enkelt medlemsstat. Det er opp til medlemsstatene hvordan denne prosessen gjennomføres, så lenge direktivets krav om å opprette en liste over alle operatører av essensielle tjenester oppfylles. Listen skal oppdateres jevnlig og minst hvert andre år.

2.1.1.1.2 Sikkerhets- og varslingskrav

Sikkerhetskravene følger av artikkel 14(1) og (2). Virksomheten skal iverksette tekniske og organisatoriske tiltak som er hensiktsmessige og står i et rimelig forhold til risikoen som knytter seg til virksomhetens nettverks- og informasjonssystemer. For å sikre opprettholdelse av tjenesteleveransen skal virksomheten iverksette tiltak som er egnet til å forebygge og redusere virkningen av hendelser som truer sikkerheten i virksomhetens IKT-systemer. Ved vurderingen av hvilke tiltak som skal iverksettes, skal virksomheten ta hensyn til den tekniske utviklingen.

Litt forenklet sagt stiller direktivet krav om at virksomheten skal gjennomføre en vurdering av risikoen som knytter seg til IKT-systemene virksomheten bruker for å levere samfunnsviktige tjenester. Virksomheten skal så iverksette tiltak som er egnet til å redusere denne risikoen.

I fortalen er det sagt lite om hva som ligger i dette, og den kan ikke sies å gi særlig veiledning utover det som allerede følger av direktivbestemmelsene. Det fremgår av fortalepunkt 44 blant annet at landene gjennom innføring av passende lovgivningstiltak og frivillige bransjenormer skal fremme en risikostyringskultur som inkluderer risikovurdering og gjennomføring av proporsjonale sikkerhetstiltak. I fortalepunkt 46 står det at risikostyringstiltak omfatter tiltak for å identifisere risikoer for hendelser, med sikte på å forebygge, avdekke og håndtere hendelser og begrense skaden.

Det skal varsles om hendelser som har betydelig innvirkning på opprettholdelsen av tjenesteleveransen (artikkel 14(3)). Ved vurderingen av om innvirkningen har vært betydelig, skal det legges vekt på antall brukere av tjenesten som påvirkes, hendelsens varighet og størrelsen på det geografiske området som berøres av hendelsen. Varselet skal dessuten inneholde nok opplysninger til at det kan fastslås om hendelsen har virkninger utover Norges grenser.

Direktivet stiller krav om at nasjonale myndigheter skal føre tilsyn med virksomhetenes etterlevelse av kravene, jf. artikkel 15(1).

2.1.1.2 Tilbydere av digitale tjenester

2.1.1.2.1 Virkeområde

Den andre kategorien virksomheter omfatter tilbydere av nettbaserte markedsplasser, nettbaserte søkemotorer og skytjenester, i det videre omtalt som tilbydere av digitale tjenester eller DSP (digital service providers).

Det følger av direktivet artikkel 4(5) at med digital tjeneste menes tjenester som nevnes i NIS-direktivet vedlegg III. Videre henvises det til definisjonen av tjenester i europaparlaments- og rådsdirektiv (EU) 2015/1535 av 9. september 2015 om en informasjonsprosedyre for tekniske regler og standarder og informasjonssamfunnstjenester (kodifisering) artikkel 1(1)(b):

«service» means any Information Society service, that is to say, any service normally provided for remuneration, at a distance, by electronic means and at the individual request of a recipient of services

I vedlegg I til direktivet er det tatt inn en veiledende liste over tjenester som ikke omfattes av definisjonen.

Bestemmelsene i dette direktivet er gjennomført i lov 17. desember 2004 nr. 101 om europeisk meldeplikt for tekniske regler m.m. (EØS-høringsloven). I § 3 nr. 5 menes med informasjonssamfunnstjeneste «enhver tjeneste som vanligvis ytes mot vederlag, og som formidles elektronisk over avstand og etter individuell anmodning fra en tjenestemottaker».2 Også her henvises det til en liste over tjenester som ikke omfattes av definisjonen.

De tre digitale tjenestene som omfattes av NIS-direktivet, defineres i artikkel 4(17), 4(18) og 4(19). En skytjeneste (cloud computing service) er en digital tjeneste som gir tilgang til en skalerbar og fleksibel samling av delbare databehandlingsressurser. En nettbasert markedsplass (online marketplace) er en digital tjeneste som gjør det mulig for forbrukere og næringsdrivende å inngå nettbaserte salgs- eller tjenesteavtaler med næringsdrivende, enten på nettstedet til den nettbaserte markedsplassen eller på nettstedet til en næringsdrivende som bruker datatjenester som leveres av den nettbaserte markedsplassen. En nettbasert søkemotor (online search engine) er en digital tjeneste som gjør det mulig for brukere å foreta søk på i prinsippet alle nettsteder på et bestemt språk, på grunnlag av en forespørsel om et hvilket som helst emne i form av et nøkkelord, en setning eller andre inndata, og som viser lenker hvor det er mulig å finne informasjon om det forespurte innholdet.

Ifølge artikkel 16(11) omfattes ikke mikrovirksomheter og små virksomheter, jf. Kommisjonsrekommandasjon 2003/361/EF av 6. mai 2003 om definisjonen av mikroforetak og små og mellomstore bedrifter.3 Det vil si at virksomheter som har færre enn 10 ansatte, og som har en årlig omsetning eller årlig samlet balanse som ikke overstiger 2 millioner euro, ikke omfattes av direktivet.

Det skal ikke foretas en identifisering av tilbydere av digitale tjenester, i motsetning til ordningen for tilbydere av samfunnsviktige tjenester.

For denne kategorien skal det være lik regulering i hele EU. Det er derfor ikke noe nasjonalt handlingsrom hva gjelder sikkerhetskravene eller definisjonen av de digitale tjenestene som er omfattet. Dette har blant annet sammenheng med at aktiviteten er grenseoverskridende av natur. Av samme grunn har kommisjonen i medhold av artikkel 16(10) utarbeidet et gjennomføringsregelverk som konkretiserer direktivets krav om sikkerhet og varsling.4

2.1.1.2.2 Sikkerhets- og varslingskrav

Sikkerhetskravene følger av artikkel 16, hvor det står at tilbydere av digitale tjenester skal ha en risikobasert tilnærming til sikkerhetsarbeidet. De skal iverksette sikkerhetstiltak som står i et rimelig forhold til risikoen virksomheten står overfor. Det skal også iverksettes tiltak for å forebygge og minimere virkningen av hendelser i nettverk og informasjonssystemer, med særlig henblikk på opprettholdelse av tjenesteleveransen.

Det går tydelig frem av premissene til direktivet at det skal stilles lavere sikkerhetskrav til disse tjenestene, da de anses noe mindre viktige enn de samfunnsviktige tjenestene. Det følger av artikkel 17 at myndighetene kun skal kontrollere disse virksomhetene dersom de får klare indikasjoner på at direktivets krav ikke er fulgt. Det forutsettes dessuten i fortalepunkt 57 at sikkerhetsnivået for denne kategorien virksomheter skal harmoniseres i EU.5

2.1.2 Myndigheter

Medlemsstatene skal utpeke eller etablere et nasjonalt kontaktpunkt, en eller flere kompetente myndigheter og et eller flere hendelseshåndteringsmiljøer (artikkel 8 og 9).

Det nasjonale kontaktpunktet skal sikre samarbeid mellom medlemslandene, med relevante myndigheter i andre land, med NIS-samarbeidsgruppen og med CSIRT-nettverket. Rollen som nasjonalt kontaktpunkt kan tildeles en allerede eksisterende myndighet.

Den kompetente myndigheten skal kunne føre tilsyn med virksomhetenes etterlevelse av direktivet. Rollen som kompetent myndighet kan tildeles en eller flere eksisterende nasjonale myndigheter. Både det nasjonale kontaktpunktet og den kompetente myndigheten skal samarbeide med politiet og Datatilsynet.

Hendelseshåndteringsmiljøet, eventuelt hendelseshåndteringsmiljøene, skal oppfylle kravene som følger av vedlegg I til direktivet, dekke minst virkeområdet til direktivet og være ansvarlig for risiko- og hendelseshåndtering i henhold til en konkret plan. Et hendelseshåndteringsmiljø kan utpekes eller etableres som en del av en kompetent myndighet.

Slik som direktivets krav er utformet, står medlemslandene fritt til å organisere seg slik de vil, så lenge de tre funksjonene er på plass. For Norges del er det altså ikke nødvendig å endre på gjeldende organisering innenfor IKT-sikkerhet for å oppfylle direktivets krav. Imidlertid må det vurderes om NSM oppfyller direktivets krav om kompetent myndighet, om gjeldende hendelseshåndteringsmiljøer oppfyller direktivets krav, og om myndighetene har tilstrekkelige hjemler til å føre tilsyn med etterlevelse av direktivets krav til virksomhetene.

2.2 Cybersecurity Act6

Forslaget til en ny forordning om ENISA og IKT-sikkerhetssertifisering (heretter Cybersecurity Act) består av tre deler: først en generell del, deretter en del om ENISA og til slutt en del om sertifisering av IKT-produkter og -tjenester.7

Del I inneholder formål, virkeområde og definisjoner. Formålet med forordningen er å sikre et velfungerende indre marked med et høyt nivå av cybersikkerhet, motstandsdyktighet og tillit i EU. Dette skal man oppnå ved å fastsette mål og oppgaver for EUs Cybersikkerhetsbyrå (ENISA) samt å etablere et felleseuropeisk rammeverk for sikkerhetssertifisering av IKT-produkter og tjenester (jf. artikkel 1). Forordningen inngår som et element i EUs digitaliseringsstrategi, som har som formål å stimulere til økonomisk vekst og øke EUs konkurransekraft. Forslaget gir ENISA en sterkere og mer sentral rolle ved at byrået skal understøtte medlemslandenes gjennomføring av NIS-direktivet, og ved å motvirke trusler på en mer aktiv måte.

2.2.1 ENISA

Del II innebærer at ENISA skal få et permanent og styrket mandat. ENISAs navn foreslås også endret til EUs Cybersikkerhetsbyrå (EU Cybersecurity Agency). På anmodning fra medlemslandene skal byrået kunne bistå operativt i grenseoverskridende cyberhendelser. Byrået skal utvikle og administrere et EU-rammeverk for sikkerhetssertifisering av IKT-produkter og -tjenester. Forordningen setter i denne sammenheng også et krav om at medlemslandene skal etablere tilsynsmyndigheter for sikkerhetssertifisering.

Målene for ENISAs arbeid følger av artikkel 4:

  • Byrået skal være et ekspertisesenter og bistå i EU-kommisjonens arbeid med cybersikkerhet

  • Byrået skal bistå unionen og medlemslandene med å utvikle og implementere strategier for cybersikkerhet

  • Byrået skal støtte kapasitetsbygging og beredskap ved å bistå unionen, medlemslandene og offentlige og private interessenter, for å øke egenbeskyttelsen av nettverks- og informasjonssystemer og utvikle ferdigheter og kompetanse innenfor cybersikkerhet

  • Byrået skal fremme samarbeid og koordinering mellom medlemsland, unionen og relevante interessenter, herunder privat sektor, om saker knyttet til cybersikkerhet

  • Byrået skal øke cybersikkerhetskapabiliteter på EU-nivå for å komplettere medlemslandenes tiltak for å forebygge og håndtere cybertrusler, særlig i grenseoverskridende cyberhendelser

  • Byrået skal fremme bruken av sertifisering, blant annet ved å bidra til etablering og vedlikehold av et felleseuropeisk rammeverk for sikkerhetssertifisering, for å øke transparens og verifisering av IKT-produkter og -tjenester med det formål å styrke tilliten til det digitale indre marked

  • Byrået skal bidra til økt kunnskap og kompetanse om cybersikkerhet for både privatpersoner og virksomheter

2.2.2 Sertifisering av IKT-produkter og -tjenester

Forordningen del III foreslår et nytt regelverk for sikkerhetssertifisering av IKT-produkter og -tjenester, jf. art 43 og 44. Noe av bakgrunnen for dette er at trusselbildet og økningen av IKT-kriminalitet har tvunget frem ulike nasjonale sertifiseringsregelverk. Konsekvensen er blant annet fragmenterte og lite hensiktsmessige ordninger som ikke samspiller effektivt inn mot EUs indre marked (interoperabilitetsutfordringer).

Målet med et felleseuropeisk regelverk er å fremme IKT-sikkerhet som et konkurransefortrinn og bidra til forbrukernes tillit til IKT-produktene, samtidig som IKT-sikkerhetsnivået blir hevet. Et felles regelverk vil også kunne redusere sertifiseringskostnader. Initiativet supplerer og støtter også gjennomførelsen av NIS-direktivet ved å gi de virksomheter som er omfattet av direktivet, et verktøy for å påvise etterlevelse av direktivet for hele EU. Forslaget innfører ikke direkte operasjonelle sertifiseringsordninger, men etablerer et rammeverk av regler for innførelse av spesifikke europeiske sertifiseringsordninger for IKT-produkter og -tjenester, som blir utarbeidet av ENISA og vedtatt ved «gjennomførelsesrettsakter» (beskrevet lenger nede).

En cybersikkerhetssertifiseringsordning vil i henhold til forslaget attestere at IKT-produktene og -tjenestene som er sertifisert oppfyller fastsatte sikkerhetskrav. For eksempel beskyttelsesevne mot kompromittering, tilgjengelighet, autentisering, integritet og konfidensialitet av de dataene som oppbevares eller behandles i produktet eller tjenesten. De europeiske sertifiseringsordningene vil ikke selv utvikle tekniske standarder, men benytte eksisterende standarder om tekniske krav og evalueringsprosedyrer som produktene skal overholde. Sertifiseringsordningene skal utformes slik at de, basert på relevans for den aktuelle produkt- eller tjenestegruppen, tar hensyn til flere sikkerhetsmål (jf. artikkel 45), herunder

  • beskytte data mot utilsiktet eller uautorisert behandling eller ødeleggelse

  • sikre at kun autoriserte personer, programmer eller maskiner har adgang til dataene, blant annet gjennom tilstrekkelig logging av type data og hvilke handlinger som er utført

  • sikre tilgjengelighet og tilgang til data (restore) ved tilfeller av fysiske eller tekniske hendelser

  • sikre at IKT-produkter og -tjenester innehar ajourført programvare fri for kjente sårbarheter og er gitt mekanismer for sikker oppdatering

Videre innebærer forslaget at ordningene skal fastsette flere spesifikke elementer knyttet til omfang og innhold i cybersikkerhetssertifiseringen. Det omfatter blant annet valg av aktuelle IKT-produkter og -tjenester, spesifisering av cybersikkerhetskrav (f.eks. med henvisning til relevante standarder eller tekniske spesifikasjoner), evalueringskriterier og -metoder og det tillitsnivået de er ment å garantere, herunder grunnleggende, betydelig eller høyt, jf. artikkel 46 og 47. Det foreslås ulike sertifiseringsordninger for ulike kategorier av produkter og tjenester: kritiske applikasjoner og høyrisikoapplikasjoner (fra biler til kraftstasjoner), mye brukte digitale tjenester, nettverk og systemer (fra rutere til e-post, brannmur og antivirus) og masseproduserte tilkoblede produkter som utgjør tingenes internett (f.eks. lyspærer og nettkameraer), e-post eller brannmurer. Det skal være frivillig å benytte seg av sertifiseringsregelverket.

Nasjonale sikkerhetssertifiseringsordninger for IKT-produkter og -tjenester som omfattes av en europeisk sertifiseringsordning, vil i henhold til forordningens artikkel 49(1) opphøre fra det tidspunkt som følger av gjennomføringsrettsakten hvor ordningen vedtas, jf. artikkel 44(4). Formålet er å sikre harmonisering og unngå fragmentering av det indre marked. Medlemslandene skal heller ikke vedta nye nasjonale sertifiseringsordninger for IKT-produkter og -tjenester som allerede er omfattet av en europeisk ordning. Allerede utstedte attester i henhold til en nasjonal sertifiseringsordning vil være gyldig frem til utløpsdato, jf. artikkel 49(3).

Forslaget innebærer at det må utpekes en myndighet i hvert land som kan føre tilsyn med sertifiseringen, herunder at etterlevelsesorganene overholder regelverket, at de attester som organene har utstedt, er i overenstemmelse med kravene som følger av forordningen, og at de er i henhold til den europeiske cybersikkerhetssertifiseringsordningen. Den nasjonale myndigheten skal kunne behandle klager i forbindelse med attester utstedt av etterlevelsesorganene.

Forslaget legger opp til at det etableres en europeisk cybersikkerhetssertifiseringsgruppe, jf. artikkel 53, bestående av alle medlemslands nasjonale sertifiseringstilsynsmyndigheter. Gruppen skal både gi råd til kommisjonen i cybersikkerhetssertifiseringspolitikk og samarbeide med ENISA om å utarbeide forslag til europeiske cybersikkerhetssertifiseringsordninger. Gruppen kan også foreslå for kommisjonen konkrete ordninger som ENISA bør få i oppdrag å utarbeide. Kommisjonen innehar formannskapet og sekretariatsfunksjonen for gruppen med bistand fra ENISA, jf. artikkel 50. Medlemslandene skal ifølge forslaget fastsette rettsregler for sanksjoner for brudd på forordningens bestemmelser og de europeiske sertifiseringsordninger. Sanksjonene skal være effektive, stå i rimelig forhold til bruddet og ha avskrekkende effekt, jf. artikkel 54. Effekten av ENISAs nye rolle og virkningen av sertifiseringsordningen skal evalueres hvert femte år.

Fotnoter

1.

Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union.

2.

I direktivet defineres begrepet tjeneste med blant annet begrepet information society service, mens loven definerer begrepet informasjonssamfunnstjeneste. Dette innebærer ikke en realitetsforskjell.

3.

Høring om en mulig revisjon av rekommandasjonen ble startet av EU-kommisjonen 6. februar 2018.

4.

EU (2018) Commission implementing regulation (EU) 2018/151.

5.

Ibid.

6.

Basert på Regjeringen (2018) Cybersecurity Act. Foreløpig posisjonsnotat.

7.

Proposal for a regulation of the European Parliament and of the Council on ENISA, the «EU Cybersecurity Agency», and repealing regulation (EU) 526/2013, and on Information and Communication Technology Cybersecurity Certification («Cybersecurity Act») KOM (2017) 477.
Til forsiden