Utvalgte hurtiglenker

    Proposisjoner til Stortinget

    Prop. 109 LS (2022–2023)

    Lov om digital sikkerhet (digitalsikkerhetsloven) og samtykke til godkjenning av EØS-komiteens beslutninger nr. 21/2023 og 22/2023 om innlemmelse i EØS-avtalen av direktiv (EU) 2016/1148 og forordningene (EU) 2018/151 og (EU) 2019/881

    Til innholdsfortegnelse
    Neste kapittel
    Forrige kapittel

    10 Samtykke til godkjenning av EØS-komiteens beslutninger

    10.1 Innledning

    EØS-komiteen fattet to beslutninger 3. februar 2023 om innlemmelse i EØS-avtalen av NIS-direktivet, gjennomføringsforordningen til NIS-direktivet og cybersikkerhetsforordningen. Beslutningene ble fattet med forbehold om Stortingets samtykke, da gjennomføringen i norsk rett nødvendiggjør lovendring, jf. Grunnloven § 26 annet ledd. Stortinget inviteres gjennom denne proposisjonen til å samtykke til godkjenning av EØS-komiteens beslutning.

    Fyldigere omtale av innholdet i rettsaktene står i punkt 2.3, 2.4 og 2.5.

    10.2 EØS-komiteens beslutning nr. 21/2023 om innlemmelse i EØS-avtalen av NIS-direktivet og gjennomføringsforordningen

    EØS-komiteens beslutning nr. 21/2023 inneholder en innledning og fem artikler. I fortalen vises det til EØS-avtalen og spesielt artikkel 98. Beslutningen gjør tilføyelser til EØS-avtalens vedlegg XI og protokoll 37.

    Artikkel 1 lister opp tilleggene til vedlegg XI til EØS-avtalen. Det legges til et nytt punkt 5cpa som viser til Europaparlamentets- og Rådets direktiv (EU) 2016/1148 om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen. I punktet presiseres det, i tråd med EØS-avtalen artikkel 101 om tilknytning til komiteer, at EFTA-statene skal delta fullt ut i samarbeidsgruppen og skal ha de samme rettighetene og forpliktelsene som EU-medlemsstatene, bortsett fra retten til å stemme.

    Videre legges det til et nytt punkt 5cpaa som viser til EU-kommisjonens gjennomføringsforordning (EU) 2018/151 om fastsettelse av regler for anvendelse av europaparlaments- og rådsdirektiv (EU) 2016/1148 med hensyn til ytterligere spesifisering av de elementene som tilbydere av digitale tjenester skal ta hensyn til for å håndtere risikoene knyttet til sikkerheten i nettverks- og informasjonssystemer, og av parameterne for å avgjøre om en hendelse har en betydelig innvirkning.

    Artikkel 2 slår fast at et nytt punkt 47 skal tilføyes til EØS-avtalens protokoll 37 der komiteene er oppført. Punktet gjelder samarbeidsgruppen for NIS-direktivet.

    Artikkel 3 slår fast at teksten i direktiv (EU) 2016/1148 og gjennomføringsforordning (EU) 2018/151 på islandsk og norsk, som skal publiseres i EØS-tillegget til Den europeiske unions tidende, skal være autentisk/offisiell.

    Artikkel 4 slår fast at beslutningen trer i kraft 4. februar 2023, under forutsetning av at EØS-komiteen har mottatt alle meddelelser etter avtalens artikkel 103 nr. 1.

    Artikkel 5 slår fast at beslutningen skal kunngjøres i EØS-avdelingen av og EØS-tillegget til Den europeiske unions tidende.

    10.3 EØS-komiteens beslutning nr. 22/2023 om innlemmelse i EØS-avtalen av cybersikkerhetsforordningen

    EØS-komiteens beslutning nr. 22/2023 inneholder en innledning og 5 artikler. I fortalen vises det til EØS-avtalen og spesielt artikkel 98. Beslutningen gjør tilføyelser til EØS-avtalens vedlegg XI og protokoll 37.

    Artikkel 1 viser til EØS-avtalens vedlegg XI og at teksten i nr. 5cp skal lyde: Europaparlaments- og rådsforordning (EU) 2019/881 av 17. april 2019 om ENISA (Den europeiske unions cybersikkerhetsbyrå), om cybersikkerhetssertifisering av informasjons- og kommunikasjonsteknologi og om oppheving av forordning (EU) nr. 526/2013 (cybersikkerhetsforordningen).

    Artikkel 1 lister videre opp de bestemmelsene i forordningen som gjelder med tilpasninger:

    • a) Med mindre annet er fastsatt under, og uten at det berører bestemmelsene i avtalens protokoll 1, skal betegnelsen ‘medlemsstat(er)’ og andre betegnelser i forordningen som viser til deres myndigheter, i tillegg til den betydning de har i forordningen, også omfatte EFTA-statene og deres myndigheter.

    • b) Med hensyn til EFTA-statene skal Byrået, slik og når det er hensiktsmessig, bistå EFTAs overvåkingsorgan eller eventuelt Den faste komité i utførelsen av deres respektive oppgaver.

    • c) Med hensyn til EFTA-statene skal henvisninger til unionsretten forstås som henvisninger til EØS-avtalen

    • d) I artikkel 14 skal nytt nummer lyde: ‘5. EFTA-statene skal delta fullt ut i styret og skal der ha de samme rettighetene og pliktene som EUs medlemsstater, unntatt stemmerett.’

    • e) I artikkel 28 skal nytt nummer lyde: ‘4. Ved anvendelse av denne forordningen skal forordning (EF) nr. 1049/2001 få anvendelse på alle Byråets dokumenter som også angår EFTA-statene.’

    • f) I artikkel 30 skal nytt nummer lyde: ‘3. EFTA-statene skal delta i bidraget fra Unionen nevnt i nr. 1 bokstav a. For dette formålet skal framgangsmåtene fastsatt i EØS-avtalens artikkel 82 nr. 1 bokstav a og protokoll 32 få tilsvarende anvendelse.’

    • g) I artikkel 34 skal nytt ledd lyde: ‘Som unntak fra artikkel 12 nr. 2 bokstav a og artikkel 82 nr. 3 bokstav a i Tilsettingsvilkår for andre tjenestemenn i Den europeiske union kan statsborgere i EFTA-stater som nyter fulle borgerrettigheter, tilsettes på kontrakt av Byråets daglige leder.’

    • h) I artikkel 35 skal nytt ledd lyde: ‘EFTA-statene skal tilstå Byrået og dets ansatte privilegier og immunitet tilsvarende de som er omhandlet i protokollen om Den europeiske unions privilegier og immunitet.’

    • i) I artikkel 40 skal nytt nummer lyde: ‘3. Som unntak fra artikkel 12 nr. 2 bokstav e, artikkel 82 nr. 3 bokstav e og artikkel 85 nr. 3 i Tilsettingsvilkår for andre tjenestemenn i Den europeiske union skal språkene nevnt i EØS-avtalens artikkel 129 nr. 1 anses av Byrået, med hensyn til sine ansatte, som et av Unionens språk nevnt i artikkel 55 nr. 1 i traktaten om Den europeiske union.’

    • j) I artikkel 62 skal nytt nummer lyde: EFTA-statene skal delta fullt ut, uten stemmerett, i ECCG

    Artikkel 2 slår fast at et nytt punkt 48 skal tilføyes til EØS-avtalens protokoll 37 der komiteene er oppført. Punktet gjelder «Den europeiske cybersikkerhetssertifiseringsgruppen» etter forordningen.

    Artikkel 3 slår fast at teksten i forordningen på islandsk og norsk, som skal publiseres i EØS-tillegget til Den europeiske unions tidende, skal være autentisk/ offisiell.

    Artikkel 4 slår fast at beslutningen trer i kraft 4. februar 2023, under forutsetning av at EØS-komiteen har mottatt alle meddelelser etter avtalens artikkel 103 nr. 1, eller på den dagen EØS-komiteens beslutning nr. 21/2023 av 3. februar 2023 trer i kraft, alt etter hva som inntreffer sist.

    Artikkel 5 slår fast at beslutningen skal kunngjøres i EØS-avdelingen av og EØS-tillegget til Den europeiske unions tidende.

    Til slutt følger det med en felleserklæring fra avtalepartene som erklærer følgende:

    «Partene erkjenner at innlemmingen av denne rettsakten ikke berører den direkte anvendelsen av protokoll 7 om Den europeiske unions privilegier og immunitet på statsborgere i EFTA-stater på territoriet til den enkelte medlemsstat i Den europeiske union i henhold til artikkel 11 i nevnte protokoll.»

    10.4 Konklusjon

    Rettsaktene er en del av EUs cybersikkerhetsstrategi som har som formål å sikre et globalt og åpent internett med sterkt vern mot risiko for at grunnleggende rettigheter og friheter i Europa kan bli truet. Et styrket samarbeid i EUs regi vil være av stor betydning for å løse fremtidige utfordringer innen digital sikkerhet. Det er viktig at Norge sikres en plass i dette samarbeidet, da nåværende og fremtidige utfordringer ikke kan løses av en stat alene.

    Nettverks- og informasjonssystemer er forbundet med hverandre og store forstyrrelser i ett land kan få konsekvenser for andre land. Nettverks- og informasjonssystemers robusthet og stabilitet, samt kontinuiteten i de sentrale tjenestene er avgjørende for et velfungerende indre marked, og særlig for det digitale indre markeds videreutvikling.

    Både NIS-direktivet og cybersikkerhetsforordningen har som hovedformål å forbedre det indre markeds funksjon.

    NIS-direktivet har direkte innvirkning på berørte tilbyderes rammevilkår og indirekte for alle andre virksomheter ved at sikkerheten i sentral infrastruktur blir bedret.

    Gjeldene forordning om ENISA (som erstattes av cybersikkerhetsforordningen) er en del av EØS-avtalen og i dag gjennomført i ekomregelverket. Erfaringen fra arbeidet i ENISA er at byrået bidrar med viktige innsikter og bidrag innen digital sikkerhet som det ut fra et norsk standpunkt er ønskelig å delta i og være med på å forme.

    Sertifisering av IKT-produkter, IKT-tjenester og IKT-prosesser vil etter forordningen inntil videre være frivillig. Innen en viss tid skal EU-kommisjonen ha gjort en første vurdering av hvorvidt enkelte sertifiseringsordninger skal gjøres obligatoriske. Det vil i første omgang være snakk om sektorer som er omfattet av NIS-direktivet. Flere norske virksomheter vil dermed kunne bli bundet av krav til sertifisering av IKT-produkter, IKT-tjenester eller IKT-prosesser. Ettersom leverandører av slike tjenester ofte er globale og/eller europeiske, er felles-europeiske løsninger riktig.

    Forslag til lov om digital sikkerhet med tilhørende forskrifter vil gjennomføre NIS-direktivet. Gjennomføringsforordningen og cybersikkerhetsforordningen vil tas inn i norsk rett i sin helhet ved inkorporering i forskrift med hjemmel i forslag til ny lov om digital sikkerhet.

    Neste kapittel
    Forrige kapittel
    Neste kapittel
    Forrige kapittel
    Til forsiden
    Til toppen
    Tilbakemeldingsskjema

    Fant du det du lette etter?

    Tusen takk for ditt svar!

    Det er ikke deg, det er oss.

    Det oppsto en uventet feil med serveren. Prøv igjen senere.