11 Økonomiske og administrative konsekvenser
11.1 Lov om digital sikkerhet, NIS-direktivet og gjennomføringsforordningen
Virksomhetene som blir omfattet av loven anses å være så viktige for å opprettholde et velfungerende samfunn at dersom en slik virksomhet stanser eller vesentlig reduserer sine normale leveranser, har det konsekvenser for andre deler av samfunnet.
De økonomiske og administrative kostnadene knyttet til lovforslaget er vanskelig å tallfeste. Loven legger opp til at det i forskrift både vil bli utarbeidet nærmere kriterier for identifisering av tilbydere av samfunnsviktige tjenester og også spesifisering av sikkerhets- og varslingskrav. Forslag til forskrift vil selvsagt bli gjenstand for egen offentlig høring hvor det trolig vil komme noe mer konkret om eventuelle kostnader knyttet til blant annet sikkerhets- og varslingskrav.
Tiltakende digitalisering av samfunnet anses som viktig for videre økonomisk vekst, i både Norge og EØS. NIS-direktivet skal bidra til å fremme økonomisk vekst i EUs indre marked. Videre er hovedformålet med EØS-avtalen, som danner grunnlaget for gjennomføring av direktivet for Norges del, nettopp å stimulere til økonomisk vekst i hele EØS.
Digital sikkerhet er en avgjørende forutsetning for at digitaliseringen skal lykkes, og det er fastslått i en rekke dokumenter at det er behov for styrking av den digitale sikkerheten i Norge, blant annet i NOU 2015: 13 Digital sårbarhet – sikkert samfunn, Meld. St. 38 (2016–2017) IKT-sikkerhet – et felles ansvar, NOU 2018: 14 IKT-sikkerhet i alle ledd, Nasjonal strategi for digital sikkerhet og senest i Meld. St. 9 (2022–2023) Nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet – Så åpent som mulig, så sikkert som nødvendig. Gjennomføring av NIS-direktivet er etter departementets syn et viktig bidrag for å redusere digitale sårbarheter både i samfunnet og i den enkelte virksomhet.
Enkelte høringsinstanser har problematisert lovens uklare virkeområde og som en følge av dette gitt uttrykk for at det er vanskelig å se de økonomiske konsekvensene av lovforslaget. Oslo Kommune og KS – kommunesektorens organisasjon trekker frem at loven potensielt kan medføre kostnader det ikke er mulig å finne dekning for innen gjeldende budsjettrammer. Det omfatter både engangskostnader ved å tilpasse seg et nytt regelverk, og de løpende kostnadene ved vedlikehold, oppgradering og drift.
Andre høringsinstanser påpeker at de fleste virksomheter i dag må forventes å ha et fokus på digital sikkerhet, slik at selv om de ikke er underlagt krav til digital sikkerhet i sektorregelverk, vil det for de fleste medføre marginale kostnader å bli omfattet av loven.
Statens Helsetilsyn har i sitt høringssvar påpekt at nye oppgaver til tilsynsmyndighetene utfordrer sektorens samlede ressurser og medfører press på omprioritering fra tilsyn med helsetjenestens kjerneoppgaver til tilsyn med digital sikkerhet. Dette vil kunne kreve digital sikkerhetskompetanse og ressurser som en i dag ikke har. Samtidig påpeker de at dersom loven gir handlingsrom for å finne egnede løsninger for å ivareta tilsynsansvaret, og at tilsynet lar seg kombinere med sektormyndighetenes øvrige tilsyn på det digitale området, vil de økonomiske konsekvensene av forslaget være mer begrenset.
Departementet bemerker at bedre digital sikkerhet har flere positive sider. For det første er det her snakk om å styrke sikkerheten knyttet til viktig infrastruktur i landet. For det andre har god grunnsikring kriminalitetsforebyggende effekt, både for den enkelte virksomhet og for samfunnet. Norge som nasjon kan dessuten bli et mindre attraktivt sted å drive kriminell aktivitet. For det tredje vil god digital sikkerhet kunne være et konkurransefortrinn. I en direkte konkurranse kan virksomheten for eksempel tilby sikker drift eller god sikring av informasjon en tar vare på vegne av andre. Også globalt vil god digital sikkerhet i EØS som region kunne være en driver for å tiltrekke seg investorer.
Som nevnt i punkt 7.5 er noe av formålet med varslingskravene at myndighetene skal få bedre kunnskapsgrunnlag for å kunne forbedre arbeidet med sikkerhet. Dette vil etter hvert komme virksomheter, myndigheter og hele samfunnet til gode.
Det er viktig for norsk næringsliv og verdiskaping at tilsvarende regler som følger av direktivet også gjelder for Norge. For eksempel omfatter direktivet skytjenester. Fra norsk ståsted er det viktig at alle skytjenester innenfor EØS-området tilfredsstiller krav fra EU om både informasjonssikkerhet og personvern. Dette gjelder både for de norske virksomhetene som benytter skytjenester innenfor EØS-området, men det er også viktig dersom vi ønsker etablering av store, internasjonale datasentre i Norge. Det at Norge er omfattet av NIS-direktivet (og personvernforordningen) vil være med på å redusere usikkerhet knyttet til Norge som vertsnasjon.
I tillegg til konkurransehensyn er det også av rent sikkerhetsmessige hensyn et viktig moment at Norge faktisk gjennomfører kravene i NIS-direktivet. Angripere vil naturlig gå etter de svakeste leddene først. Når begrunnelsen for kravene delvis ligger i at alt henger sammen med alt, er det særlig viktig at alle følger opp kravene. Heri ligger også grunnen til at EU-kommisjonen kommer til å følge opp statenes etterlevelse av direktivet (for Norges del EFTAs overvåkingsorgan), og til at det må innføres krav ved lov og at myndighetene skal føre tilsyn og får sanksjonshjemler.
NIS-direktivet utgjør en viktig brikke i det digitale indre markedet i EØS. Hvis befolkningen ikke har tillit til de digitale tjenestene, så blir de ikke brukt. Et for lavt sikkerhetsnivå på de digitale tjenestene vil sette en effektiv stopper for den videre digitaliseringen.
For berørte virksomheter vil etterlevelse av kravene om sikkerhet og varsling kunne innebære økte kostnader. For berørte myndigheter vil forslaget innebære økte kostnader til gjennomføring av tilsyn og håndtering av varsler. Departementet forutsetter, i likhet med flere høringsinstanser, at mange virksomheter prioriterer arbeidet med digital sikkerhet og allerede har implementert et adekvat sikkerhetsnivå gitt dagens digitale trusselbilde. Departementet forutsetter, og erfarer gjennom dialog med andre departement og sentrale myndigheter, at også regulering av krav om digital sikkerhet i sektorregelverkene har tiltatt siden høringen. Også i EØS har fokuset på regulering av digital sikkerhet, både tverrsektorielt, men også i enkeltsektorer, økt betydelig de siste årene. Departementet mener derfor de krav loven stiller utgjør et minimum av det som må forventes av virksomheter og myndigheter hva gjelder digital sikkerhet i 2023 og utviklingen i den sikkerhetspolitiske situasjonen.
Når det gjelder inndekning av eventuelle økte kostnader mener departementet at kravene som følger av forslaget ikke er mer tyngende enn det som naturlig følger med samfunnsutviklingen. Digitaliseringen må ha som mål å bidra til effektivisering og økonomisk vekst. For å kunne ta del i dette er det nødvendig å investere i digital sikkerhet. Dette gjelder for både private og offentlige virksomheter. Private virksomheter som har en samfunnsmessig viktig rolle, har et selvstendig ansvar for å kunne levere sine tjenester. Forslaget krever ikke et spesielt høyt sikkerhetsnivå, men en grunnsikring. Gjennomføring av tiltak for å styrke den digitale sikkerheten vil ikke bare gagne samfunnet, men også den enkelte virksomhet.
Som nevnt over vil de fleste virksomhetene som omfattes av direktivet også være omfattet av personopplysningsloven. Departementet mener det ikke vil medføre særlige ekstra kostnader å sikre informasjonssystemer i henhold til forslaget, dersom systemet allerede er sikret i henhold til personopplysningsloven.
Offentlige myndigheter må som utgangspunkt kunne finne inndekning for merarbeidet som følger av forslaget innenfor gjeldende budsjettrammer. Skulle det ikke være tilstrekkelig vil det være opp til den enkelte sektor å finne tilstrekkelige midler, enten gjennom omprioritering eller tilførsel av friske midler, som må behandles som en del av den ordinære budsjettprosessen.
Som tidligere omtalt vil både virkeområdet, sikkerhetskrav, krav til varsling mv. nærmere konkretiseres i forskrift. Nærmere bestemmelser om tilsyn og hvordan tilsyn skal gjennomføres vil også være gjenstand for konkretisering i underliggende regelverk. Det samme gjelder hvilke myndigheter som skal føre tilsyn.
Det er forholdet mellom dagens krav på den ene siden, og NIS-direktivets krav på den andre siden som vil utgjøre direktivets og gjennomføringsforordningens økonomiske og administrative konsekvenser. En total oversikt over konsekvensene fordrer en vurdering av sikkerhetsnivået i hver virksomhet som underlegges regelverket. Ut fra forordningens presisering av overordnede krav innebærer dette i stor grad å utarbeide retningslinjer og planverk knyttet til de krav NIS-direktivet oppstiller. Forordningens presiseringer medfører således ikke økonomiske eller administrative konsekvenser som ikke allerede er forutsatt at vil påløpe som følge av innføringen av NIS-direktivet i norsk rett.
11.2 Cybersikkerhetsforordningen
Norge er allerede assosiert medlem av ENISA (uten stemmerett). Medlemskapet ivaretas av både Justis- og beredskapsdepartementet og Kommunal- og distriktsdepartementet- Kostnadene fordeles likt mellom departementene og dekkes innenfor det enkelte departementets budsjett. Etter at forordningen trådte i kraft i EU i 2019, har kontingenten for medlemmer av ENISA økt. For 2021 og 2022 utgjorde den samlede kontingenten for norsk deltakelse i ENISA henholdsvis omlag 5,6 og 5,3 mill. kroner. De økte kostnadene er kostnader som allerede effektueres, uavhengig av om forordningen implementeres i EØS-avtalen eller ikke. Organisering og styring av ENISA er lite forandret etter at forordningen trådte i kraft i EU i 2019, og departementet kan ikke se at innlemmelse av forordningen i EØS-avtalen vil medføre store endringer for Norges rolle i ENISA.
Hva gjelder cybersikkerhetssertifiseringsordningen vil forordningen innebære å avklare blant annet hvordan og hvem som utpekes til sertifiseringsmyndighet. Både Nasjonal sikkerhetsmyndighet og Nasjonal kommunikasjonsmyndighet har relevant kompetanse, så dette spørsmålet må vurderes nærmere. Per i dag har Nasjonal kommunikasjonsmyndighet en rolle når det gjelder funksjonalitet i ekomnett og ikke minst for utstyr som bruker radio. Nasjonal sikkerhetsmyndighet har på sin side allerede gjennomført sertifisering av operative sikkerhetstjenester og tjenestemiljøer. Det forutsettes at den nasjonale cybersikkerhetssertifiseringsmyndigheten deltar i den europeiske cybersikkerhetssertifiseringsgruppen, som vil ha en viktig rolle ved utarbeidelse av nye sertifiseringsordninger under rammeverket. Nasjonal sikkerhetsmyndighet deltar i den europeiske cybersikkerhetssertifiseringsgruppen i dag, men har som nevnt ikke blitt formelt utpekt til dette. Det er likevel naturlig å se for seg at Nasjonal sikkerhetsmyndighet innehar en overordnet myndighet etter forordningen.
Norge har i dag en sertifiseringsordning for sikkerhet i IT-produkter etter ISO/IEC 15408 (Common Criteria), jf. Norges tilslutning til Common Criteria Recognition Arrangement (CCRA) og SOG-IS Mutual Recognition Arrangement (SOG-IS MRA). Nasjonal sikkerhetsmyndighet har rollen som sertifiseringsmyndighet for IT-sikkerhet (SERTIT) etter disse avtalene.
Ved innføringen av forordningen er det planlagt to sertifiseringsordninger – EUCC for produktsertifisering etter ISO/IEC 15408 og EUCS for sertifisering av skytjenester. Ved innføringen av EUCC vil sertifisering etter SOG-IS MRA opphøre, og sertifisering etter CCRA på sikt tilpasses denne ordningen.
Kravet om etablering av nasjonale organ i henhold til rammeverket for cybersikkerhetssertifisering vil innebære økonomiske konsekvenser. Nasjonal sikkerhetsmyndighet har avsatt to stillinger til arbeid med sertifiseringsordningen for IT-sikkerhet. Disse stillingene har både ansvar for rollen som sertifiseringsmyndighet og sertifiseringsorgan. Ved inkorporeringen av forordningen vil ikke lenger den nasjonale sertifiseringsmyndigheten inneha rollen som sertifiseringsorgan. Samtidig vil den nasjonale sertifiseringsmyndigheten blant annet ha ansvar for mottak av klager, egenerklæringer, utpeking av sertifiseringsorgan samt føre tilsyn med disse. Grunnet stor fleksibilitet i hvordan de nasjonale sertifiseringsmyndighetene kan utføre sine oppgaver og manglende erfaringsgrunnlag, er det vanskelig å vurdere ressursbehovet med særlig nøyaktighet. Det anslås at det vil måtte avsettes ressurser til å følge opp den enkelte sertifiseringsordning, herunder utpeking av sertifiseringsorgan, mottak av eventuelle klager og egenerklæringer og tilsyn med sertifiseringsorganene. Videre vil det være behov for ressurser til oppfølging av den europeiske cybersikkerhetssertifiseringsgruppen, kontakt med Norsk Akkreditering og andre relevante myndighetsaktører. Basert på tilgjengelig kunnskap om den fremtidige ordningen, anslås det ressursmessige merbehovet derfor til minimum to årsverk (ett årsverk per ordning).
Forordningen utvider virkeområdet for sertifisering fra kun produkter til også å dekke tjenesteleveranser og prosesser. Riktig bruk av gode sertifiseringsordninger kan bidra til å øke den samlede evnen til å motstå ulike former for cyberoperasjoner og dermed gi samfunnsøkonomisk gevinst. Videre vil også anskaffelsesprosesser kunne forenkles gjennom å stille krav til bruk av sertifiserte produkter, tjenester eller prosesser. Norske virksomheter som har ønsket å få produkter sertifisert etter ISO/EIC 15408, har til nå nytt godt av at selve sertifiseringen har blitt utført vederlagsfritt av sertifiseringsmyndighet for IT-sikkerhet. Etter forordningen vil sertifisering i utgangspunktet gjøres av kommersielle sertifiseringsorganer, og dette medfører en betydelig merkostnad for disse virksomhetene. Samtidig er det viktig å understreke at bruken av sertifiserte produkter, tjenester og prosesser i utgangspunktet er frivillig, derfor vil et marked for sertifiserte produkter, tjenester eller prosesser være styrt av tilbud og etterspørsel. Dette må også sees i sammenheng med NIS2-direktivet, hvor det i noen grad legges opp til krav om sertifisering.
Flere av de ledende sertifiseringsorganene i verden har i dag tilhold i Norge, sertifisering etter forordningen kan derfor åpne for et nytt virksomhetsområde for disse, noe også norske teknologibedrifter kan nyte godt av. Effekten av denne synergien vil være størst dersom det legges opp til en internasjonal anerkjennelse av sertifikater utstedt under sertifiseringsordningen, slik det er lagt opp til i implementeringen av sertifiseringsordningen EUCC.