12 Merknader til bestemmelsene i lovforslaget
Til § 1
Bestemmelsen angir lovens formål og reflekterer at loven både omfatter NIS-direktivets formål og skal legge til rette for å gjennomføre cybersikkerhetsforordningen. Lovens formål er i første punktum å bidra til å sikre grunnleggende krav til digital sikkerhet i virksomheter med særlig betydning for samfunnet ved å forebygge, avdekke og motvirke uønskede hendelser i nettverks- og informasjonssystemer som brukes for å levere samfunnsviktige tjenester.
Virksomheter med særlig betydning for samfunnet peker tilbake på det saklige virkeområdet, herunder tilbydere av samfunnsviktige tjenester innenfor de gitte sektorene og tilbydere av digitale tjenester.
Lovens formål bygger på NIS-direktivets formål, som er å styrke den digitale sikkerheten i EØS. I direktivets artikkel 1 nr. 1 fremgår det at direktivet fastsetter «tiltak med sikte på å oppnå et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i Unionen for å forbedre virkemåten til det indre marked». Fortalen gir en nærmere beskrivelse av direktivets bakgrunn, se særlig fortalepunkt 1 til 3.
Lovens formål knytter seg til opprettholdelse av tjenesteleveranser fra samfunnsviktige tjenester. Dette gjenspeiles i sikkerhets- og varslingskravene som stilles til tilbydere av samfunnsviktige tjenester i §§ 7 og 8 og til tilbydere av digitale tjenester i §§ 10 og 11.
Tilbyder av samfunnsviktige tjenester defineres i § 6 og tilbyder av digitale tjenester defineres i § 9.
Lovens formål i andre punktum er å legge til rette for sikkerhet i IKT-produkter, IKT-tjenester og IKT-prosesser. Ordlyden er ment å omfatte cybersikkerhetsforordningens bestemmelser om sikkerhetssertifisering.
Departementet viser ellers til de generelle merknadene i punkt 3.5.
Til § 2
Lovens § 2 angir lovens saklige virkeområde. Virkeområdet til loven tilsvarer NIS-direktivet artikkel 1 nr. 2 bokstav d.
I første ledd bokstav a fremgår det at loven gjelder for tilbydere av samfunnsviktige tjenester innenfor angitte samfunnssektorer. Disse sektorene er energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur. Tilbydere av samfunnsviktige tjenester er definert i lovforslaget § 6. I direktivet er tilbydere av samfunnsviktige tjenester definert i artikkel 4 nr. 4, jf. artikkel 5 nr. 2. Sektorene er listet opp i direktivets vedlegg II.
For tilbydere av samfunnsviktige tjenester vil terskelverdier eller andre kriterier som fastsettes i forskrift for identifisering, avgrense virkeområdet til tilbyderne som opererer innenfor en av sektorene angitt i § 2 første ledd bokstav a, og som i tillegg anses som en «tilbyder av en samfunnsviktig tjeneste» i lovens og direktivets forstand, jf. § 6 og artikkel 4 nr. 4, jf. artikkel 5 nr. 2. Dette innebærer at det kun er visse virksomheter innenfor de nevnte sektorene som vil være underlagt loven.
I første ledd bokstav b er det angitt at loven gjelder for tilbydere av digitale tjenester, med en henvisning til definisjonen av tilbyder av digitale tjenester i § 9. Tilbyder av digitale tjenester er definert i lovforslaget § 9 første ledd som virksomheter som tilbyr tjenester som definert i ehandelsloven § 1 andre ledd bokstav a og b i form av nettbaserte markedsplasser, nettbaserte søkemotorer eller skytjenester. I direktivet er tilbydere av digitale tjenester definert i artikkel 4 nr. 6, jf. artikkel 4 nr. 5. Direktivet viser til direktiv (EU) 2015/1535 artikkel 1 nr. 1 bokstav b og til direktivets vedlegg III. Direktiv (EU) 2015/1535 artikkel 1 nr. 1 bokstav b er gjennomført i norsk rett ved nevnte ehandelsloven § 1 andre ledd bokstav a og b, og det vises derfor til denne bestemmelsen for nærmere avgrensning av tilbydere av digitale tjenester. For tilbydere av digitale tjenester er virkeområdet konkret og uttømmende angitt, og det vil derfor ikke oppstilles terskelverdier for identifisering i forskrift, slik som for tilbydere av samfunnsviktige tjenester.
I andre ledd følger et unntak fra lovens virkeområde for virksomheter som er omfattet av lov 15. juni 2018 nr. 44 om gjennomføring av EUs forordning om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked (lov om elektroniske tillitstjenester). Virksomheter som er omfattet av lov om elektroniske tillitstjenester vil ikke være omfattet av denne loven eller NIS-direktivet.
I tredje ledd oppstilles det en hjemmel for Kongen til å gi forskrift med nærmere bestemmelser om og unntak fra lovens virkeområde. Dette innebærer også at Kongen i forskrift kan gi myndighet til å utpeke enkeltvirksomheter som ikke tilfredsstiller terskelverdiene eller andre kriterier som defineres i forskrift, men som det av andre årsaker er viktig å underlegge regelverket.
Departementet viser ellers til de generelle merknadene i punkt 3.5.
Til § 3
I lovens § 3 reguleres lovens geografiske virkeområde. Bestemmelsen gjennomfører NIS-direktivet artikkel 18 nr. 1.
I første ledd bokstav a fremgår det at loven gjelder for tilbydere av samfunnsviktige tjenester som er etablert i Norge.
I første ledd bokstav b fremgår det at loven gjelder for tilbydere av digitale tjenester som har sitt hovedkontor i Norge, eller som har eller skal ha en representant etter § 12. Alternativet med representant gjelder for tilbydere som tilbyr digitale tjenester i Norge, men som ikke har hovedkontor i Norge.
I tredje ledd fremgår det at Kongen i forskrift kan bestemme at loven helt eller delvis skal gjelde for Svalbard, Jan Mayen og i bilandene.
Departementet viser ellers til de generelle merknadene i punkt 4.5.
Til § 4
I § 4 angis definisjoner.
I første ledd nr. 1 bokstav a til c defineres «nettverks- og informasjonssystemer». Definisjonen sammenfaller med tilsvarende definisjon i NIS-direktivet artikkel 4 nr. 1 bokstav a til c.
I første ledd nr. 2 defineres «sikkerheten i nettverks- og informasjonssystemer». Definisjonen sammenfaller med tilsvarende definisjon i NIS-direktivet artikkel 4 nr. 2.
I første ledd nr. 3 defineres «hendelse» som enhver hendelse med negativ virkning på sikkerheten i nettverks- og informasjonssystemer. Definisjonen sammenfaller med tilsvarende definisjon i direktivet artikkel 4 nr. 7 med unntak av at «reell negativ virkning» er erstattet med «negativ virkning» da «reell» anses overflødig.
Departementet viser ellers til de generelle merknadene i punkt 3.5.
Til § 5
I § 5 reguleres forholdet til andre lover. Dersom det stilles krav om sikkerhet og varsling i annen lov eller forskrift som minst tilsvarer kravene etter denne loven, skal annen lov eller forskrift benyttes. For virksomhetene som er underlagt slikt regelverk, vil det å bli omfattet av denne lovens virkeområde ikke medføre endringer. Bestemmelsen har en todelt funksjon. Dels gjennomfører den direktivets bestemmelse i artikkel 1 nr. 7 om at EØS-basert regelverk går foran direktivet dersom sikkerhets- og varslingskravene tilsvarer kravene i direktivet. Bestemmelsen vil imidlertid også gjelde for nasjonale sektorspesifikke regler om sikkerhet og varsling som i utgangspunktet ikke er EØS-baserte, men som likevel oppfyller NIS-direktivets krav. I slike tilfeller vil NIS-direktivets krav til sikkerhet og varsling bli ivaretatt av de sektorspesifikke reglene i stedet for de generelle kravene i lov om digital sikkerhet.
Anvendelse av § 5 vil ikke direkte unnta de aktuelle virksomhetene fra lovens virkeområde. Identifiseringsprosessen skal fortsatt gjennomføres, og virksomhetene vil underlegges direktivet og loven. Konsekvensene av å bli underlagt vil imidlertid i praksis være begrenset, gitt at regelverket man er underlagt har tilsvarende eller strengere sikkerhetskrav.
Departementet viser ellers til de generelle merknadene i punkt 3.5.1.
Til § 6
Paragraf 6 omhandler tilbydere av samfunnsviktige tjenester. Bestemmelsen gjennomfører NIS-direktivets artikkel 5 nr. 2 og artikkel 6.
I første ledd bokstav a til c defineres «tilbyder av en samfunnsviktig tjeneste» ved at tre kumulative kriterier må være oppfylt. Det første kriteriet, som er tilsvarende direktivet artikkel 5 nr. 2 bokstav a, er at virksomheten må tilby en tjeneste som er viktig for opprettholdelsen av kritiske samfunnsmessige eller økonomiske aktiviteter. I henhold til fortalepunkt 20 er det tilstrekkelig å fastslå at virksomheten leverer en slik tjeneste som er opplistet i direktivet vedlegg II. Det er kun den delen av virksomheten som leverer den aktuelle tjenesten som omfattes. For eksempel vil trafikkstyringen på en stor flyplass omfattes, mens butikkområdet ikke omfattes.
Det andre kriteriet, som er tilsvarende direktivet artikkel 5 nr. 2 bokstav b, er at tjenesteleveransen må være avhengig av nettverks- og informasjonssystemer. Begrepet nettverks- og informasjonssystemer defineres i artikkel 4 nr. 1, og gjentas i lovforslaget § 4 første ledd nr. 1.
Det tredje kriteriet, som er tilsvarende direktivet artikkel 5 nr. 2 bokstav c, er at en hendelse i virksomhetens nettverks- og informasjonssystemer ville hatt betydelig forstyrrende virkning på leveransen av den samfunnsviktige tjenesten. Vurderingstemaet er tjenesteleveranse i en samfunnssammenheng, og ikke virksomhetens tjenesteleveranse isolert sett. Det er altså spørsmål om i hvilken grad det går utover samfunnets tilgang på en viss tjeneste, at den aktuelle virksomheten ikke leverer sitt bidrag til totalen som normalt.
I andre ledd bokstav a til g oppstilles det en ikke uttømmende liste med momenter som det skal tas utgangspunkt i ved vurderingen av om en hendelse kan få betydelig forstyrrende innvirkning på tjenesteleveransen.
Det bemerkes at opplistingen av momenter det skal tas utgangspunkt i ved vurderingen av om en hendelse kan få betydelig forstyrrende innvirkning på tjenesteleveransen slik at virksomheten defineres som en tilbyder av en samfunnsviktig tjeneste, avviker noe fra de momenter det skal tas utgangspunkt i ved vurdering av hvorvidt en hendelse skal varsles, jf. lovforslaget §§ 8 og 11.
Departementet viser ellers til de generelle merknadene i punkt 3.5.2.
Til § 7
I § 7 oppstilles krav til sikkerhet for tilbydere av samfunnsviktige tjenester. Bestemmelsen gjennomfører NIS-direktivet artikkel 14 nr. 1 og 2.
Etter første ledd skal en tilbyder av en samfunnsviktig tjeneste gjennomføre en risikovurdering av nettverks- og informasjonssystemer som benyttes for å levere tjenesten.
Etter andre ledd skal tilbyderen iverksette hensiktsmessige og proporsjonale tekniske og organisatoriske tiltak som samlet skal sørge for et sikkerhetsnivå som er tilpasset risikoen. Ved vurderingen skal det blant annet ses hen til den teknologiske utviklingen.
Etter tredje ledd skal tilbyderen iverksette proporsjonale tiltak for å forebygge, avdekke og redusere konsekvensene av hendelser med det formål å opprettholde tjenesteleveransen.
Bestemmelsene om sikkerhet er funksjonsbaserte og sikter til forsvarlig sikkerhet. Det nærmere innholdet i sikkerhetskravene vil bli spesifisert i forskrift, jf. § 18 bokstav a. Sikkerhetskravene kan være tilfredsstilt ved å følge anerkjente standarder, generelle eller sektorspesifikke retningslinjer eller prinsipper for digital sikkerhet. Virksomhetene må vurdere om de gjennom allerede gjeldende tiltak tilfredsstiller lovens krav til sikkerhet, eller om det må iverksettes andre tiltak for å oppfyllet kravene basert på gjennomført risikovurdering.
Ved vurderingen av hva som er et forsvarlig sikkerhetsnivå skal det ses hen til den teknologiske utviklingen, både med tanke på nye trusler og sårbarheter og oppdatering av tiltak eller iverksetting av nye tiltak.
Gjennomføringsforordningen presiserer nærmere hva som ligger i sikkerhetskrav og hva som skal til for at en hendelse er betydelig og faller inn under varslingsplikten for tilbydere av digitale tjenester. Denne vil gjelde som forskrift i Norge og kan tjene som veiledning også for tilbydere av samfunnsviktige tjenester.
Departementet viser ellers til de generelle merknadene i punkt 6.5.
Til § 8
I § 8 oppstilles krav om varsling for tilbydere av samfunnsviktige tjenester. Sammen med utfyllende forskrifter gjennomfører bestemmelsen NIS-direktivet artikkel 14 nr. 3 og 4.
I første punktum fremgår det at tilbyderen uten unødig opphold skal varsle det organ Kongen utpeker om hendelser som virker betydelig inn på tjenesteleveransen.
Hva som utgjør en «hendelse» i lovens forstand er definert i § 4 nr. 3. Varslingsplikten etter loven gjelder ikke for enhver hendelse som har betydelig innvirkning på tjenesteleveransen, men avgrenses til ethvert tilfelle av negativ virkning på sikkerheten i nettverks- og informasjonssystemer. Videre er varslingsplikten knyttet til tjenesteleveransen. Varslingsplikten gjelder altså for ethvert tilfelle av negativ virkning på sikkerheten i nettverks- og informasjonssystemer som har betydelig innvirkning på opprettholdelsen av tjenesteleveransen.
I andre punktum angis momenter som skal vektlegges ved vurderingen av om innvirkningen er betydelig. Det skal legges vekt på antall brukere som påvirkes, hendelsens varighet og størrelsen på det geografiske området som berøres av hendelsen.
Gjennomføringsforordningen presiserer nærmere hva som ligger i sikkerhetskrav og hva som skal til for at en hendelse er betydelig og faller inn under varslingsplikten for tilbydere av digitale tjenester. Denne vil gjelde som forskrift i Norge og kan tjene som veiledning også for tilbydere av samfunnsviktige tjenester.
Kravene til det nærmere innholdet i varselet vil bli angitt i forskrift, jf. § 18 bokstav a.
Departementet viser ellers til de generelle merknadene i punkt 7.5.
Til § 9
Paragraf 9 omhandler tilbydere av digitale tjenester. Bestemmelsen gjennomfører NIS-direktivet artikkel 4 nr. 5 og 6.
I første til fjerde ledd defineres tilbydere av digitale tjenester, nettbaserte markedsplasser, nettbaserte søkemotorer og skytjenester. Definisjonene bygger på tilsvarende definisjoner i NIS-direktivet artikkel 1 nr. 5, 17, 18 og 19.
En nettbasert markedsplass er en digital tjeneste som gjør det mulig for forbrukere og næringsdrivende å inngå nettbaserte salgs- eller tjenesteavtaler med næringsdrivende, enten på nettstedet til den nettbaserte markedsplassen eller på nettstedet til en næringsdrivende som bruker datatjenester som leveres av den nettbaserte markedsplassen. Applikasjonsbutikker trekkes i fortalepunkt 15 frem som en type butikk som faller inn i denne kategorien.
En nettbasert søkemotor er en digital tjeneste som gjør det mulig for brukere å foreta søk på i prinsippet alle nettsteder på et bestemt språk, på grunnlag av en forespørsel om et hvilket som helst emne i form av et nøkkelord, en setning eller andre inndata, og som viser lenker hvor det er mulig å finne informasjon om det forespurte innholdet.
En skytjeneste er en digital tjeneste som gir tilgang til en skalerbar og fleksibel samling av delbare databehandlingsressurser.
I femte ledd gis det hjemmel til at Kongen kan gi forskrift med nærmere bestemmelser om hvilke virksomheter som skal regnes som tilbydere av digitale tjenester.
Departementet viser ellers til de generelle merknadene i punkt 3.5.3.
Til § 10
Krav om sikkerhet for tilbydere av digitale tjenester reguleres i § 10. Bestemmelsen gjennomfører NIS-direktivet artikkel 16 nr. 1 og 2. Kravene er likelydende sikkerhetskravene som stilles til tilbydere av samfunnsviktige tjenester.
I første ledd oppstilles et krav om at tilbyderen av en digital tjeneste skal gjennomføre en risikovurdering av nettverks- og informasjonssystemer som benyttes for å levere tjenesten.
Etter andre ledd skal tilbyderen iverksette hensiktsmessige og proporsjonale tekniske og organisatoriske sikkerhetstiltak som samlet skal sørge for et sikkerhetsnivå som er tilpasset risikoen. Videre fremgår det at ved vurderingen av hva som er et forsvarlig sikkerhetsnivå skal tilbyderen se hen til den teknologiske utviklingen og ta hensyn til momentene listet opp i bokstav a til e. Momentene er sikkerheten i systemer og utstyr/anlegg (bokstav a), hendelseshåndtering (bokstav b), styring av opprettholdelse av tjenesteleveransen (bokstav c), overvåking, revisjon og testing (bokstav d) og anerkjente internasjonale standarder (bokstav e).
Det følger av direktivets fortalepunkt 49 at det skal stilles mindre strenge sikkerhetskrav til tilbydere av digitale tjenester enn til tilbydere av samfunnsviktige tjenester. Videre fremgår det at tilbydere av digitale tjenester, på grunn av sin tverrnasjonale karakter, bør være underlagt en mer harmonisert tilnærming i EU. Nærmere presisering av sikkerhetskravene for tilbydere av digitale tjenester er presisert i gjennomføringsforordningen som skal gjelde som forskrift til loven.
Det følger av tredje ledd at tilbyderen skal iverksette tiltak for å forebygge, avdekke og redusere konsekvensene av hendelser, for å opprettholde tjenesteleveransen.
Departementet viser ellers til de generelle merknadene i punkt 6.5.
Til § 11
Krav om varsling for tilbydere av digitale tjenester reguleres i § 11. Sammen med forskrifter gjennomfører bestemmelsen NIS-direktivet artikkel 16 nr. 3 og 4.
I første punktum fremgår det at tilbyderen av en digital tjeneste skal varsle det organ Kongen utpeker om hendelser som har betydelig innvirkning på tjenesteleveransen.
Hva som utgjør en «hendelse» i lovens forstand er definert i § 4 nr. 3. Varslingsplikten etter loven gjelder ikke for enhver hendelse som har betydelig innvirkning på opprettholdelsen av tjenesteleveransen, men avgrenses til ethvert tilfelle av reell negativ virkning på sikkerheten i nettverks- og informasjonssystemer. Varslingsplikten gjelder altså for ethvert tilfelle av reell negativ virkning på sikkerheten i nettverks- og informasjonssystemer som har betydelig innvirkning på opprettholdelsen av tjenesteleveransen.
Etter andre punktum skal det ved vurderingen av om innvirkningen er betydelig legges vekt på antall brukere som påvirkes av hendelsen, dens varighet, størrelsen på det geografiske området som berøres, omfanget av funksjonalitetssvikten i tjenesten og omfanget av innvirkningen på økonomisk og samfunnsmessig aktivitet.
De nærmere kravene til innholdet i varselet vil fremgå av forskrift, jf. § 18 bokstav a. Gjennomføringsforordningen, som skal gjelde som forskrift, presiserer også hva som skal til for at en hendelse har betydelig virkning.
Departementet viser ellers til de generelle merknadene i punkt 7.5.
Til § 12
I § 12 fastsettes det en plikt for tilbydere av digitale tjenester som ikke har sitt hovedkontor i Norge eller en EØS-stat, og som tilbyr digitale tjenester i Norge, om å utpeke en representant i Norge, med mindre tilbyderen har utpekt en representant i en annen EØS-stat hvor tjenestene tilbys. Bestemmelsen kommer kun på spissen i tilfeller hvor en tilbyder tilbyr digitale tjenester i Norge uten å utpeke en representant i en EØS-stat. Bestemmelsen gjennomfører NIS-direktivet artikkel 18 nr. 2.
Departementet viser ellers til de generelle merknadene i punkt 4.5.
Til § 13
I § 13 fremgår det at Kongen utpeker en eller flere tilsynsmyndigheter som skal føre tilsyn med tilbydere av samfunnsviktige og digitale tjenester. Den nærmere gjennomføringen av tilsynet, og eventuelle begrensninger av tilsynet med tilbydere av digitale tjenester, vil bli regulert i forskrift, jf. § 18 bokstav b. Sammen med forskrifter gjennomfører bestemmelsen NIS-direktivet artikkel 8 nr. 1 og 2.
Departementet viser ellers til de generelle merknadene i punkt 8.5.
Til § 14
I § 14 stilles det krav til tilbyderne om opplysningsplikt og å gi tilgang til lokaler og utstyr i forbindelse med tilsyn. Bestemmelsen gjennomfører NIS-direktivet artikkel 15 nr. 1 og 2 og artikkel 17 nr. 1 og 2.
Det følger av første ledd at tilbyderne skal gi tilsynsmyndigheten de opplysninger den krever for å utføre sine oppgaver og gi tilgang til virksomhetens lokaler og utstyr og yte nødvendig bistand ved tilsynsmyndighetens undersøkelser.
Etter andre ledd gjelder opplysningsplikten og medvirkningsplikten etter første og andre ledd uten hinder av lovbestemt taushetsplikt.
Departementet viser ellers til de generelle merknadene i punkt 9.5.
Til § 15
I § 15 gis tilsynsmyndigheten hjemmel til å gi pålegg om retting. Bestemmelsen gjennomfører NIS-direktivet artikkel 15 nr. 3.
Det følger av første punktum at ved overtredelse av bestemmelser gitt i eller i medhold av loven kan tilsynsmyndigheten gi tilbydere pålegg om at forholdet skal bringes i orden.
I andre punktum fremgår det at tilsynsmyndigheten skal sette en frist for oppfyllelse av pålegget.
Departementet viser ellers til de generelle merknadene i punkt 9.5.
Til § 16
Tvangsmulkt reguleres i § 16.
I første ledd første punktum fremgår det at for å sikre at pålegg etter § 15 blir oppfylt, kan tilsynsmyndigheten ilegge en tvangsmulkt.
I første ledd andre punktum fremgår det at tvangsmulkten kan fastsettes som løpende mulkt eller som et engangsbeløp.
I andre ledd fremgår det at tilsynsmyndigheten i særlige tilfeller kan frafalle påløpt tvangsmulkt.
Departementet viser ellers til de generelle merknadene i punkt 9.5.
Til § 17
Lovens § 17 regulerer overtredelsesgebyr. Bestemmelsen gjennomfører NIS-direktivet artikkel 21.
I første ledd fremgår det at tilsynsmyndigheten kan ilegge en tilbyder overtredelsesgebyr dersom tilbyderen eller noen som handler på dennes vegne har overtrådt §§ 7, 8, 10, 11 eller 14.
Det fremgår i andre ledd at dersom den ansvarlige for overtredelsesgebyret er et foretak som inngår i et konsern, hefter foretakets morselskap og morselskapet i det konsern selskapet er en del av for beløpet.
I tredje ledd første punktum er det fastsatt at adgangen til å pålegge overtredelsesgebyr foreldes etter fem år.
I tredje ledd andre punktum fremgår det at fristen avbrytes når tilsynsmyndigheten gir forhåndsvarsel om eller fatter vedtak om overtredelsesgebyr.
Departementet viser ellers til de generelle merknadene i punkt 9.5.
Til § 18
Lovens § 18 er en fellesbestemmelse om hva som kan reguleres videre i forskrift. Loven for øvrig har også noen steder egne forskriftshjemler knyttet til enkelte bestemmelser.
I bokstav a er det oppstilt en hjemmel til at Kongen kan gi forskrift med nærmere bestemmelser om krav til sikkerhet og varsling i samsvar med §§ 7, 8, 10 og 11.
I bokstav b er det oppstilt en hjemmel til at Kongen kan gi forskrift med nærmere bestemmelser om tilsyn med tilbydere underlagt loven, med henvisning til lovens § 13 om tilsyn. Slike nærmere bestemmelser kan for eksempel være regler som innskrenker tilsynsadgangen overfor tilbydere av digitale tjenester slik som forutsatt i direktivet artikkel 17 nr. 1.
I bokstav c er det oppstilt en hjemmel til at Kongen kan gi forskrift om opplysningsplikt og tilgang til lokaler og utstyr, jf. § 14.
I bokstav d er det oppstilt en hjemmel til at Kongen kan gi forskrift om ileggelse og utmåling av tvangsmulkt og overtredelsesgebyr jf. §§ 16 og 17. Slik forskrift kan regulere tvangsmulktens størrelse og varighet, om gjennomføring av tvangsmulkten og om klage. For overtredelsesgebyr kan forskriften regulere blant annet vilkår for å ilegge overtredelsesgebyr, om størrelsen på overtredelsesgebyret, om rente og tilleggsgebyr dersom overtredelsesgebyret ikke blir betalt ved forfall og om frafall av ilagt overtredelsesgebyr.
I bokstav e er det oppstilt en hjemmel til at Kongen kan gi forskrift om at den som forsettlig eller uaktsomt overtrer forskrift gitt i medhold av bokstav a, kan ilegges overtredelsesgebyr. Bestemmelsen sørger for at det kan fastsettes at også overtredelse av forskriftens krav om sikkerhet og varsling kan utløse overtredelsesgebyr.
I bokstav f er det oppstilt en hjemmel til at Kongen kan gi forskrift om gjennomføring av forpliktelser som følger av EØS-avtalen og andre internasjonale avtaler som understøtter lovens regler og formål. Det vil i første omgang være aktuelt å inkorporere gjennomføringsforordning 2018/151 om spesifisering av NIS-direktivet artikkel 16 nr. 1 og nr. 4. Bestemmelsen legger også til rette for gjennomføring av senere rettsakter som understøtter lovens formål.
I bokstav g er det oppstilt en hjemmel til at Kongen kan gi forskrift om behandling av personopplysninger. Rettsgrunnlag for behandling av personopplysninger er lovens angivelse av oppgaver samt personvernforordningens bestemmelser om rettsgrunnlag. De nærmere bestemmelsene om formål, behandlingsansvar, hvilke personopplysninger som kan behandles, viderebehandling, utlevering og sletting vil fremgå av forskrift.
I bokstav h er det oppstilt en hjemmel til at Kongen kan gi forskrift om nasjonalt kontaktpunkt for sikkerhet i nettverks- og informasjonssystemer. Bestemmelsen tydeliggjør at et slikt kontaktpunkt også skal utpekes, i tillegg til tilsynsmyndighet og myndighet som skal motta varsler. Sammen med forskrifter gjennomfører bestemmelsen NIS-direktivet artikkel 8 nr. 3.
Til § 19
Lovens § 19 er ment å tydeliggjøre hjemmelen til å gjennomføre cybersikkerhetsforordningen ved forskrift. Bestemmelsen benyttes til å fastsette supplerende og utfyllende regler til cybersikkerhetsforordningen der det er aktuelt. Den vil også kunne benyttes til å gjennomføre delegerte rettsakter fra EU-kommisjonen innen sikkerhetssertifisering.
I bestemmelsen er det oppstilt en hjemmel til at Kongen kan gi forskrift om sikkerhetssertifisering av IKT-produkter, IKT-tjenester og IKT-prosesser for å gjennomføre forpliktelser etter EØS-avtalen. Med sikkerhetssertifisering menes cybersikkerhetssertifisering slik det er angitt i cybersikkerhetsforordningen.
I bokstav a til c er det en ikke uttømmende liste over hva det kan gis forskrift om.
Etter bokstav a kan det gis forskrift om utpeking av sertifiseringsmyndighet. Med «sertifiseringsorganer» menes i denne sammenheng samsvarsorganer som utfører sertifisering i tråd med cybersikkerhetssertifiseringsordninger, jf. artikkel 60 i (EU) 2019/881 cybersikkerhetsforordningen.
Etter bokstav b kan det gis forskrift om tilsyn med sertifiseringsorganer som tilbyr sikkerhetssertifisering av IKT-produkter, IKT-tjenester og IKT-prosesser. Det anses nødvendig med en egen hjemmel for tilsyn med disse tilbyderne som ikke nødvendigvis vil være de samme som tilbydere av samfunnsviktige tjenester eller digitale tjenester. I forskriften kan det gis bestemmelser om hvem som kan føre tilsyn, hvilken medvirkningsplikt som gjelder for partene det føres tilsyn med, og om stedlig adgang.
Etter bokstav c kan det gis forskrift om pålegg om retting, tvangsmulkt og overtredelsesgebyr ved overtredelse av krav til sikkerhetssertifisering. Også her er det nødvendig med egne hjemler da de aktuelle pliktsubjektene ikke nødvendigvis vil være de samme som tilbydere av samfunnsviktige tjenester og digitale tjenester. Det vil i første omgang være aktuelt med bestemmelser om pålegg og sanksjoner knyttet til overtredelse av cybersikkerhetssertifiseringsordninger vedtatt gjennom gjennomføringsrettsakter, jf. artikkel 49 i (EU) 2019/881 cybersikkerhetsforordningen. Sanksjonene skal være effektive, stå i rimelig forhold til bruddet og ha avskrekkende effekt.
Departementet viser ellers til omtalen i punkt 2.5.
Til § 20
Bestemmelsen åpner for at deler av loven kan tre i kraft til forskjellige tidspunkt.