3 Lovens formål, virkeområde og forholdet til andre lover
3.1 Gjeldende rett
Det finnes i norsk rett i dag ingen tverrsektorielle eller sektorspesifikke lover som fullt ut tilsvarer NIS-direktivet. Blant de lovene som finnes, har sikkerhetsloven flest fellestrekk med NIS-direktivet. Formålet med sikkerhetsloven er å ivareta nasjonale sikkerhetsinteresser gjennom å sikre grunnleggende nasjonale funksjoner.
I Prop. 153 L (2016–2017) i punkt 6.4.2 uttaler Forsvarsdepartementet følgende om sikkerhetslovens formål:
«Departementet mener at lovens primære formål er å trygge de overordnede nasjonale sikkerhetsinteressene, ved å forebygge, motvirke og avdekke sikkerhetstruende virksomhet, det vil si tilsiktede handlinger der målet er å ramme interessene og tilsiktede handlinger som indirekte kan true interessene. I dette ligger det implisitt at beskyttelse av nasjonale sikkerhetsinteresser også omfatter beskyttelse av de grunnleggende nasjonale funksjonene som understøtter dem».
Sikkerhetsloven gjelder for virksomheter som har avgjørende betydning for grunnleggende nasjonale funksjoner. Dette er «tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser», jf. sikkerhetsloven § 1-5 nr. 2.
Departementene skal innenfor sine ansvarsområder fatte vedtak om at loven helt eller delvis skal gjelde for virksomheter som enten behandler sikkerhetsgradert informasjon, råder over informasjon, informasjonssystemer, objekter eller infrastruktur som har avgjørende betydning for grunnleggende nasjonale funksjoner, eller driver aktivitet som har avgjørende betydning for grunnleggende nasjonale funksjoner, jf. sikkerhetsloven § 1-3 første ledd bokstav a til c.
I tillegg gjelder sikkerhetsloven for statlige, fylkeskommunale og kommunale organer og leverandører av varer eller tjenester i forbindelse med sikkerhetsgraderte anskaffelser, jf. sikkerhetsloven § 1-2 første og andre ledd.
Det er imidlertid vesentlige forskjeller mellom sikkerhetsloven og NIS-direktivet. For det første angir sikkerhetsloven og direktivet ulike formål med sikringen. Sikkerhetslovens formål er å bidra til å ivareta nasjonale sikkerhetsinteresser ved å sikre grunnleggende nasjonale funksjoner som understøtter disse. NIS-direktivets formål er å forbedre det indre markedets funksjon, gjennom å stille sikkerhetskrav til nettverks- og informasjonssystemer som er nødvendige for å opprettholde leveransen av samfunnsviktige tjenester.
For det andre handler sikkerhetsloven i første rekke om å beskytte seg mot tilsiktede handlinger. NIS-direktivet har ikke en slik begrensning. I tillegg er det ulikheter når det gjelder hvilket sikkerhetsnivå som kreves, varsling av hendelser og tilsynsregime.
Lov 25. juni 2010 nr. 45 om kommunal beredskapsplikt, sivile beskyttelsestiltak og Sivilforsvaret (sivilbeskyttelsesloven) har som formål «å beskytte liv, helse, miljø, materielle verdier og kritisk infrastruktur ved bruk av ikke-militær makt når riket er i krig, når krig truer, når rikets selvstendighet eller sikkerhet er i fare, og ved uønskede hendelser i fredstid», jf. § 1. Loven gir blant annet bestemmelser om Sivilforsvaret, allmennhetens bistandsplikt i akuttsituasjoner, kommunal beredskapsplikt og beskyttelse av kritisk infrastruktur.
Lov 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven) har som formål å beskytte personopplysninger. Behandlingsansvarlige og databehandlere er derfor pålagt plikter om blant annet sikring av personopplysningene. For å ivareta informasjonens konfidensialitet, integritet og tilgjengelighet må informasjonssystemene som behandler personopplysningene sikres. Personopplysningsregelverket, forvaltningsloven og eforvaltningsforskriften gjennomgås nærmere i punkt 5.
En gjennomgang av gjeldende rett innen sektorregelverk viser at kravene som stilles i sektorene varierer. En rekke virksomheter er underlagt sikkerhetskrav av ulik art, men det er i mange tilfeller uklart om det kan tolkes slik at det stilles krav om digital sikkerhet. Tilsvarende er tilfelle for krav om varsling.
Eksisterende regelverk benytter dessuten til dels ulike begreper for å beskrive digital sikkerhet.
3.2 Direktivet
3.2.1 Innledning
NIS-direktivet retter seg mot virksomheter som leverer tjenester som er viktige for et velfungerende samfunn og næringsliv. Virksomhetene er delt i to hovedkategorier: tilbydere av samfunnsviktige tjenester, jf. artikkel 4 nr. 4 og tilbydere av digitale tjenester, jf. artikkel 4 nr. 6. Alle tjenestene er listet opp i direktivets vedlegg II og III.
NIS-direktivet gjelder ikke for virksomheter som er omfattet av europaparlaments- og rådsdirektiv 2002/21/EF av 7. mars 2002 om felles rammeregler for elektroniske kommunikasjonsnett og -tjenester (rammedirektivet), artikkel 13 bokstav a b. Direktivet er innlemmet i EØS-avtalen og gjennomført i norsk rett gjennom ekomregelverket. Ekomloven gjelder for tilbydere av elektronisk kommunikasjonsnett- og tjenester. Dette gjelder blant annet mobiltilbyder, bredbåndstilbyder og tilbydere av internettjenester.
NIS-direktivet gjelder ikke for virksomheter som er omfattet av europaparlaments- og rådsforordning (EU) nr. 910/2014 av 23. juli 2014 om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked og om oppheving av direktiv 1999/93/EF. Forordningen er gjennomført i norsk rett gjennom lov 15. juni 2018 nr. 44 om elektroniske tillitstjenester. Virksomheter som er omfattet av lov om elektroniske tillitstjenester er tilbydere av elektronisk identifikasjon (eID), elektronisk signatur, elektronisk segl, tidsstemplingstjenester, elektronisk tjeneste for registrert sending og sertifikattjenester for nettstedsautentisering. Loven gjelder kun elektroniske tillitstjenester som tilbys til offentligheten og som har virkning overfor tredjemann.
NIS-direktivet skal ikke legge begrensninger på statenes muligheter til å iverksette tiltak for å ivareta essensielle statsfunksjoner, særlig nasjonal sikkerhet og opprettholdelse av lov og orden, herunder adgangen til å etterforske, oppdage og iretteføre kriminelle handlinger, jf. artikkel 1 nr. 6.
Det følger videre av artikkel 1 nr. 7 et unntak for virksomheter som er underlagt sektorspesifikt EØS-regelverk. Dersom slikt regelverk stiller krav om sikkerhet og varsling som har effekt som minst tilsvarer direktivets krav, skal sektorregelverket anvendes. Etter fortalepunkt 9 er det kun det aktuelle regelverket og hvordan det er implementert nasjonalt som skal tas i betraktning ved vurderingen av om bestemmelsen kommer til anvendelse.
Dersom regelen kommer til anvendelse er den aktuelle sektoren eller de virksomhetene som er underlagt regelverket unntatt fra direktivet. Anvendelsen av bestemmelsen skal rapporteres til EU-kommisjonen (for Norges del vil rapportering skje til EFTAs overvåkingsorgan).
3.2.2 Tilbydere av samfunnsviktige tjenester
Det følger av artikkel 5 nr. 2 at en virksomhet skal anses som tilbyder av en samfunnsviktig tjeneste dersom tre kumulative kriterier er oppfylt. De tre kriteriene følger av artikkel 5 nr. 2 bokstav a til c.
Det første kriteriet, jf. artikkel 5 nr. 2 bokstav a, er at virksomheten må tilby en tjeneste som er viktig for opprettholdelsen av kritiske samfunnsmessige eller økonomiske aktiviteter. I henhold til fortalepunkt 20 er det tilstrekkelig å fastslå at virksomheten leverer en slik tjeneste som er opplistet i direktivet vedlegg II. Det er kun den delen av virksomheten som leverer den aktuelle tjenesten som omfattes. For eksempel vil trafikkstyringen på en stor flyplass omfattes, mens butikkområdet ikke omfattes. Vedlegg II lister opp følgende samfunnssektorer:
Energi (elektrisitet, olje og gass)
Transport (luft, jernbane, sjø og vei)
Helse (helsetjenester)
Bank
Finansmarkedsinfrastruktur
Drikkevannsforsyning og -distribusjon
Digital infrastruktur
IXP – internet exchange point
DNS – domain name server service provider
TLD – top level domain name registries
Det fremgår av direktivets vedlegg II en nærmere spesifisering av hvilke tjenester som omfattes.
Det andre kriteriet, jf. artikkel 5 nr. 2 bokstav b, er at tjenesteleveransen må være avhengig av nettverks- og informasjonssystemer. Begrepet nettverks- og informasjonssystemer defineres i artikkel 4 nr. 1. Det tredje kriteriet, jf. artikkel 5 nr. 2 bokstav c, er at en hendelse i virksomhetens nettverks- og informasjonssystemer ville hatt betydelig forstyrrende virkning på leveransen av den samfunnsviktige tjenesten. Som det fremgår av punktene under er vurderingstemaet her tjenesteleveranse i en samfunnssammenheng, og ikke virksomhetens tjenesteleveranse isolert sett. Det er altså spørsmål om i hvilken grad det går utover samfunnets tilgang på en viss tjeneste, at den aktuelle virksomheten ikke leverer sitt bidrag til totalen som normalt.
Ved vurderingen av vesentligheten av en sikkerhetshendelses forstyrrende virkning skal både tverrsektorielle og sektorspesifikke momenter tas i betraktning. Artikkel 6 oppstiller en ikke uttømmende liste med tverrsektorielle momenter som skal vurderes:
antall brukere som baserer seg på tjenesten
andre vedlegg II-sektorers avhengighet av tjenesten
omfanget og varigheten av hendelsers mulige virkning på økonomiske og samfunnsmessige aktiviteter og samfunnssikkerhet
virksomhetens markedsandel
geografisk område som kan rammes av hendelsen
viktigheten av virksomhetens bidrag til leveranse av tjenesten, med tanke på alternative tjenestetilbydere
Det endelige virkeområdet for direktivet skal fastlegges gjennom en identifiseringsprosess i regi av hver enkelt stat. Det er opp til statene hvordan denne prosessen gjennomføres, så lenge direktivets krav om å opprette en liste over alle tilbydere av samfunnsviktige tjenester oppfylles. Det er for eksempel ikke krav om at det fattes enkeltvedtak om identifisering eller utpeking av hver enkelt virksomhet. Listen skal oppdateres jevnlig og minst hvert andre år.
Det er opp til statene å definere flere samfunnssektorer og tjenester som samfunnsviktige enn det som følger av direktivet. Se blant annet fortalepunkt 23.
3.2.3 Tilbydere av digitale tjenester
Digitale tjenester omfatter tilbydere av nettbaserte markedsplasser, nettbaserte søkemotorer og skytjenester.
Det følger av NIS-direktivet artikkel 4 nr. 5 at med digital tjeneste menes tjenester som nevnes i vedlegg III. Videre henvises det til definisjonen av tjenester i Europaparlaments- og rådsdirektiv (EU) 2015/1535 av 9. september 2015 om en informasjonsprosedyre for tekniske regler og standarder og informasjonssamfunnstjenester (kodifisering) artikkel 1 nr. 1 bokstav b. Direktivet er gjennomført i lov 23. mai 2003 nr. 35 om visse sider av elektronisk handel og andre informasjonssamfunnstjenester (ehandelsloven). I § 1 bokstav a og b er informasjonssamfunnstjeneste definert som
enhver tjeneste som vanligvis ytes mot vederlag og som formidles elektronisk, over avstand og etter individuell anmodning fra en tjenestemottaker, samt
enhver tjeneste som består i å gi tilgang til, eller overføre informasjon over, et elektronisk kommunikasjonsnett, eller i å være nettvert for data som leveres av tjenestemottakeren
De tre digitale tjenestene som omfattes av NIS-direktivet defineres i artikkel 4 nr. 17, 18 og 19.
En nettbasert markedsplass er en digital tjeneste som gjør det mulig for forbrukere og næringsdrivende å inngå nettbaserte salgs- eller tjenesteavtaler med næringsdrivende, enten på nettstedet til den nettbaserte markedsplassen eller på nettstedet til en næringsdrivende som bruker datatjenester som leveres av den nettbaserte markedsplassen. Applikasjonsbutikker trekkes i fortalepunkt 15 frem som en type butikk som faller inn under denne kategorien.
En nettbasert søkemotor er en digital tjeneste som gjør det mulig for brukere å foreta søk på i prinsippet alle nettsteder på et bestemt språk, på grunnlag av en forespørsel om et hvilket som helst emne i form av et nøkkelord, en setning eller andre inndata, og som viser lenker hvor det er mulig å finne informasjon om det forespurte innholdet.
En skytjeneste er en digital tjeneste som gir tilgang til en skalerbar og fleksibel samling av delbare databehandlingsressurser.
I følge artikkel 16 nr. 11 omfattes ikke mikrovirksomheter og små virksomheter, jf. Kommisjonsrekommandasjon 2003/361/EF av 6. mai 2003 om definisjonen av mikroforetak og små og mellomstore bedrifter. Det vil si at virksomheter som har færre enn 50 ansatte og som har en årlig omsetning eller årlig samlet balanse som ikke overstiger 10 millioner euro ikke omfattes av direktivet.
Det skal ikke foretas en ytterligere identifisering av tilbydere av digitale tjenester. For denne kategorien skal det være like regler i hele EØS, jf. fortalepunkt 49. Det er derfor ikke noe nasjonalt handlingsrom hva gjelder definisjon av de digitale tjenestene eller sikkerhets- og varslingskrav, med unntak av de føringer som er gitt i artikkel 1 nr. 6, jf. artikkel 16 nr. 10. Dette har blant annet sammenheng med at aktiviteten er grenseoverskridende av natur, se nærmere fortalepunkt 57.
Av samme grunn har EU-kommisjonen i medhold av artikkel 16 nr. 8 utarbeidet gjennomføringsforordningen som konkretiserer direktivets krav om sikkerhet og varsling. Bestemmelsene hindrer imidlertid ikke den enkelte tilbyder fra å iverksette strengere sikkerhetstiltak enn det som følger av direktivet. Det følger dessuten av fortalepunkt 54 at offentlige virksomheter står fritt til gjennom kontrakt å kreve at tilbydere av digitale tjenester har et høyere sikkerhetsnivå enn det som følger av direktivet.
Det følger videre av fortalepunkt 58 at direktivet ikke utelukker statene fra å stille krav om sikkerhet og varsling til virksomheter som ikke faller inn under direktivets definisjon av tilbydere av digitale tjenester.
3.3 Forslaget i høringsnotatet
Departementet foreslo i høringsnotatet at lovens formål skal tilsvare NIS-direktivets formål, å bidra til å opprettholde kritisk samfunnsmessig og økonomisk aktivitet ved å forebygge, avdekke, motvirke og varsle tilsiktede og utilsiktede uønskede hendelser i nettverk og informasjonssystemer som brukes for å levere samfunnsviktige tjenester.
Siden virkeområdet i NIS-direktivet fremgår av vedlegg, foreslo departementet at Kongen kan gi forskrift med nærmere bestemmelser om lovens virkeområde. Det ble vurdert som mest hensiktsmessig at virkeområdet ikke fremgikk uttømmende av forskrift, da direktivet også forutsetter en nærmere kartlegging av hvilke virksomheter som faller inn under virkeområdet.
Departementet mente det var behov for en oversikt over begreper som loven benytter, og foreslo en bestemmelse hvor definisjonen av de fleste av lovens begreper fremgikk. Disse definisjonene tilsvarer i det vesentlige direktivets definisjoner.
Departementet foreslo også i høringsnotatet at dersom annen lov stiller krav om sikkerhet og varsling som minst tilsvarer departementets forslag til lov, skal annen lov benyttes.
3.4 Høringsinstansenes syn
Et flertall av høringsinstansene uttrykte støtte til høringsnotatet, blant annet Olje- og energidepartementet, Avinor, Statkraft, Direktoratet for e-helse, Oljedirektoratet, Nasjonal kommunikasjonsmyndighet, Statens jernbanetilsyn, Jernbanedirektoratet, Bane NOR SF, Helsedirektoratet, Telia Norge AS, Universitetet i Oslo UiO-CERT,Hovedredningssentralene, Hovedorganisasjonen for universitets- og høyskoleutdannede, Microsoft Norge, Direktoratet for samfunnssikkerhet og beredskap, Norsk Romsenter, Abelia, Datatilsynet, LO, Finanstilsynet og Næringslivets hovedorganisasjon. Telia Norge mener en slik tverrsektoriell lov vil heve sikkerhetsnivået i Norge samtidig som den standardiserer kravene til IKT-sikkerhet på tvers av bransjer. Telia Norge, Næringslivets hovedorganisasjon, Microsoft og Direktoratet for e-helse trekker også frem at forslaget vil bidra til å harmonisere reguleringen på tvers av landegrensene, noe som blant annet vil legge grunnlaget for felles sikkerhetsnivå og like konkurransevilkår.
Enkelte høringsinstanser trekker frem at gjennomføring av NIS-direktivet ikke vil ha noen innvirkning for deres virksomheter da kravene allerede finnes i eksisterende regelverk, blant andre Finanstilsynet, Petroleumstilsynet, Norges vassdrags- og energidirektorat og Norsk Vann. Norsk Vann skriver at de i sin gjennomgang av NIS-direktivet har tolket direktivet slik at dette i all hovedsak er implementert gjennom drikkevannsforskriftens krav.
Enkelte høringsinstanser er positive til gjennomføring av NIS-direktivet, men trekker frem at det bør vurderes om direktivet skal gjennomføres i sektorregulering. Dette gjelder blant andre Norges vassdrags- og energidirektorat og Posten Norge AS. Norges vassdrags- og energidirektorat mener at gjennomføring av NIS-direktivet i sektorregulering vil skape en større nærhet til regelverket. Videre at bestemmelsene i større grad kan konkretiseres og lettere harmoniseres med allerede eksisterende sikkerhetsregelverk. En mellomløsning kan ifølge Norges vassdrags- og energidirektorat være at de deler av NIS-direktivet som gjelder samfunnsviktige tjenester og som er knyttet til spesifikke sektorer gjennomføres i relevant sektorregelverk, mens bestemmelsene knyttet til digitale tjenester gjennomføres i sektorovergripende lov.
Enkelte høringsinstanser, blant andre Direktoratet for forvaltning og IKT (nå Digitaliseringsdirektoratet), har påpekt at formålet med loven fremstår som uklart. De uttaler at det bør fremgå at lovens hovedfokus er kontinuitet i drift.
Flere høringsinstanser støtter gjennomføring av NIS-direktivet, men trekker frem at lovforslaget har et uklart virkeområde, blant andre Luftfartstilsynet, Fagforbundet, Spekter, Norges vassdrags- og energidirektorat, Skatteetaten, Politiets sikkerhetstjeneste, Advokatforeningen, Statens Helsetilsyn og Legeforeningen. Skatteetaten skriver at lovforslaget etter deres vurdering kan være tydeligere på hvilke aktører som faller inn under det saklige virkeområdet som er angitt i lovforslaget § 2, på tross av forutsetningen om at det skal gis en nærmere presisering gjennom forskrift. Videre foreslår Skatteetaten at det inntas en nærmere avgrensning mot sikkerhetsloven slik man har gjort i Sverige. Legeforeningen trekker frem at rekkevidden til lovforslaget fremstår som uklar, og at de er usikre på hvilken innvirkning lovforslaget vil ha på helsesektoren. Statens Helsetilsyn trekker frem at det er viktig at det blir klart hvilke virksomheter og tjenester som omfattes av loven. Behovet for klarhet gjelder særlig siden loven innfører varslingsplikt og har hjemler for tilsynsmyndigheten til å kunne gi pålegg, ilegge tvangsmulkt og overtredelsesgebyr.
Flere av høringsinstansene trekker frem at det bør vurderes om loven skal ha et utvidet virkeområde utover NIS-direktivet, blant andre Forsvarsdepartementet, Helsedirektoratet, Utlendingsdirektoratet, Fagforbundet, Kunnskapsdepartementet, Spekter og Direktoratet for samfunnssikkerhet og beredskap. Utlendingsdirektoratet skriver at økende digitalisering utgjør en strukturell sårbarhet i samfunnet, og hvor offentlig og privat virksomhet har en gjensidig avhengighet. Utlendingsdirektoratet og Kartverket mener det er hensiktsmessig å vurdere om en slik lov også bør omfatte offentlig forvaltning.
I forbindelse med å utvide virkeområdet ser enkelte høringsinstanser hen til særlig IKT-sikkerhetsutvalgets anbefaling om en egen lov om IKT-sikkerhet for alle samfunnskritiske virksomheter og offentlig forvaltning, blant andre Samferdselsdepartementet, Nasjonal sikkerhetsmyndighet, Næringslivets sikkerhetsråd, Statens vegvesen, Teknisk-naturvitenskapelig forening, Kripos, Norsk Helsenett SF, KS – kommunesektorens organisasjon, Norges Bank, Norges ingeniør- og teknologorganisasjon, Departementenes sikkerhets- og serviceorganisasjon, Oslo kommune og Domstoladministrasjonen.
Simula UIB er positive til å gjennomføre NIS-direktivet først, før en eventuelt utvider virkeområdet. Simula UIB anbefaler at det samtidig som det samles erfaringer ved at loven får virke, igangsettes et arbeid som bygger et kunnskapsgrunnlag innen digitale verdikjeder. Simula UIB trekker frem at en god og målrettet utvidelse av loven til å dekke alle norske virksomheter vil kunne komme som en naturlig forlengelse av et slikt arbeid.
Enkelte høringsinstanser trekker frem behovet for også å vurdere andre virkemidler enn regulering innenfor digital sikkerhet, blant andre Abelia, Norsk senter for informasjonssikring og Datatilsynet. Politiets sikkerhetstjeneste, Direktoratet for e-helse, Direktoratet for IKT og fellestjenester i høyere utdanning og forskning og Helsedirektoratet trekker frem behov for veiledninger for hvordan eksisterende regelverk og lov som gjennomfører NIS-direktivet skal forstås og brukes.
Flere høringsinstanser har innspill til høringsnotatets foreslåtte bestemmelser om forholdet til andre lover. Enkelte høringsinstanser trekker frem at det er positivt at strengere særregelverk går foran en lov som gjennomfører NIS-direktivet, blant andre Sjøfartsdirektoratet, Telia og Forsvarsdepartementet. Forsvarsdepartementet skriver at de støtter denne tilnærmingen, da sikkerhetstiltak i ulike sektorer vil kunne kreve forskjellig tilnærming og utforming av krav til sikring. Advokatforeningen, Spekter, Samferdselsdepartementet, Kartverket, Statens vegvesen,Norges Rederiforbund, Politiets sikkerhetstjeneste og Statens helsetilsyn trekker frem at loven må klargjøre forholdet til annet tverrsektorielt og sektorspesifikt regelverk i Norge. Norges rederiforbund skriver at det må tilstrebes å unngå dublerende og motstridende reguleringer og lovverk.
Enkelte høringsinstanser har gitt innspill på departementets foreslåtte bestemmelser om definisjoner. Departementenes sikkerhets- og serviceorganisasjon og Næringslivets hovedorganisasjon peker på at det er ulik terminologi i ulikt regelverk. Næringslivets hovedorganisasjon mener at myndighetene må søke å harmonisere og standardisere bruk av begreper brukt innenfor det digitale feltet.
3.5 Departementets vurderinger
3.5.1 Formål og virkeområde
Med fravær av tverrsektorielle eller sektorspesifikke lover som fullt ut tilsvarer NIS-direktivet, mener departementet at det er behov for en lov som omfatter direktivets formål, jf. forslag til lovens § 1. Selv om det finnes tverrsektorielle og sektorspesifikke lover og forskrifter som på ulikt vis setter krav til digital sikkerhet og varsling av uønskede hendelser, er det en rekke aktuelle virksomheter som per i dag ikke er omfattet av krav til digital sikkerhet og varsling. Gjennomføring av NIS-direktivet er etter departementets syn et viktig bidrag for å redusere digitale sårbarheter både i samfunnet og i den enkelte virksomhet.
Departementet merker seg at flere høringsinstanser ser at en norsk lov kan bidra til å heve sikkerhetsnivået i Norge, men også harmonisere krav som stilles på tvers av landene i EØS. Departementet mener dette er et viktig formål med loven, men ser ikke grunn til å presisere dette nærmere i formålsbestemmelsen.
Formålet med NIS-direktivet er å forbedre det indre markedets funksjon, gjennom å stille sikkerhetskrav til nettverks- og informasjonssystemer som er nødvendige for å opprettholde leveransen av samfunnsviktige tjenester. Det vil da dreie seg om tjenester som er viktige for samfunnets funksjonalitet i sin helhet og der et avbrudd i tjenesten hindrer gjennomføring av økonomisk virksomhet, genererer omfattende økonomiske tap, undergraver brukernes tillit og medfører alvorlige konsekvenser for økonomien i landet og i EØS.
Formålet med cybersikkerhetsforordningen er å sikre at det indre markedet fungerer på tilfredsstillende måte og samtidig oppnår et høyt nivå av cybersikkerhet, cyberresiliens (motstandsdyktighet) og tillit i EØS, gjennom permanente regler om ENISA og en ramme for cybersertifisering av IKT-produkter, IKT-tjenester og IKT-prosesser.
Forslag til ordlyd i formålsbestemmelsen søker å ivareta formålet til både NIS-direktivet og cybersikkerhetsforordningen. Departementet påpeker at lovens formål også må sees i sammenheng med sikkerhetskravene som stilles til tilbyderne og som fremgår av loven §§ 7 og 10. Sikkerhetstiltak skal gjennomføres for å redusere risiko i systemer som benyttes til en tjenesteleveranse for nettopp å opprettholde leveransen av samfunnsviktige tjenester. Høringsnotatet la opp til en formålsbestemmelse som ligger nært opp til NIS-direktivets formål. Med økningen i oppmerksomhet om viktigheten av digital sikkerhet, er det naturlig å anta at det vil komme nye EØS-rettslige krav og nasjonale reguleringer som har sin naturlige plass i en lov om digital sikkerhet. Departementet bemerker derfor at det i fremtiden kan være grunn til å justere formålsbestemmelsen til å i større grad reflektere helheten av reguleringer innenfor digital sikkerhet. Dette synes også i tråd med en av anbefalingene i NOU 2018: 14 IKT-sikkerhet i alle ledd, hvor det anbefales en lov med krav til IKT-sikkerhet i alle samfunnskritiske virksomheter og offentlig forvaltning.
Mange høringsinstanser påpeker at lovens virkeområde er uklart.
Lovens saklige virkeområde fremgår av lovforslaget § 2. Hva som menes med henholdsvis tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester følger av definisjonene angitt i henholdsvis § 6 første ledd og § 9 første ledd. Definisjonene bygger på NIS-direktivet vedlegg II og III som inneholder en nærmere angivelse av hvilke tjenester som omfattes. Utover disse definerte subjektene følger ingen annen angivelse av virkeområde enn sektortilhørighet. Departementet merker seg høringsinstansenes synspunkter om angivelse av lovens virkeområde. Departementet mener at det ikke er hensiktsmessig å forsøke å angi virkeområdet mer konkret i lovs form. Det må fremkomme ytterligere kriterier og terskelverdier som tilpasses den enkelte sektor og delsektor i størst mulig grad for en nærmere avgrensning av virkeområdet. Departementet mener dette må fremkomme i forskrift. Etter direktivet forutsettes det også at det skal føres en liste over tilbydere av samfunnsviktige tjenester i hvert land direktivet gjelder, og at denne gjennomgås jevnlig og ajourføres ved behov. Dette tilsier også at regelverket og virkeområdet har en viss dynamikk, som er vanskelig å ivareta i lovs form.
Som noen høringsinstanser har påpekt er et alternativ å endre sektorlovgivning slik at det blir klart at det stilles krav i tråd med NIS-direktivet. For de virksomhetene som ikke er omfattet av relevant sektorregelverk måtte det blitt utformet nye lovregler. Departementet har funnet en slik tilnærming mindre hensiktsmessig. Mange virksomheter er allerede underlagt sikkerhetskrav, men det er ikke alltid klart om disse omfatter krav om digital sikkerhet. Departementet mener at et felles regelverk om digital sikkerhet vil kunne fjerne slik tvil. Om det er ikke er digitale sikkerhetskrav i sektorregelverket, vil den nye loven etablere dette. Departementet mener også at et felles regelverk er lettere å forvalte med tanke på harmonisering både nasjonalt og internasjonalt. Videre er en tverrsektoriell lov et godt utgangspunkt for videre regelverksutvikling blant annet i tråd med den felles satsingen innen cybersikkerhet i EØS eller andre nasjonale behov. Departementet mener det er fornuftig å følge prosessene i EU, særlig i tilknytning til NIS-direktivet, og i første omgang gjennomføre et regelverk som legger til rette for innføring av direktivet slik det foreligger. EU-kommisjonens revisjonsrapporter og erfaringer i andre EØS-stater, vil spille en viktig rolle for hvordan departementet deretter ønsker å videreutvikle loven, både med hensyn til virkeområde, men også med tanke på sikkerhetskrav og kontroll.
I tråd med direktivet artikkel 1 nr. 3 foreslår departementet i loven § 2 andre ledd et uttrykkelig unntak for virksomheter som omfattes av lov om elektroniske tillitstjenester. Av artikkel 1 nr. 3 følger det også at virksomheter som er omfattet av direktiv 2002/21 artikkel 13a og 13b ikke er omfattet av direktivets sikkerhets- og varslingskrav. Direktivet er gjennomført i norsk rett i ekomloven. Departementet ser ikke behov for en bestemmelse om dette i loven, da ekomsektoren ikke er nevnt i lovforslaget § 2 første ledd.
Departementet viser også til at EU-kommisjonen i sin kommunikasjon (COM/2017/0476 final) «Making the most of NIS» nyanserer unntaket for «ekom-virksomheter» noe. Det følger av kommunikasjonen punkt 5.2 at dersom virksomheten i tillegg tilbyr digitale tjenester, jf. direktivet vedlegg III eller samfunnsviktige tjenester, jf. direktivet vedlegg II, punkt 7, så må virksomheten når det gjelder disse tjenestene forholde seg til bestemmelsene i direktivet.
Departementet legger til grunn EU-kommisjonens forståelse av direktivet. Departementet foreslår derfor at virksomheter underlagt ekomregelverket ikke uttrykkelig unntas virkeområdet, da det kan fremstå misvisende dersom virksomheten likevel vil være omfattet dersom de i tillegg tilbyder digitale tjenester eller samfunnsviktige tjenester.
Departementet bemerker at NIS2-direktivet opphever unntaket for virksomheter omfattet av ekomregelverket og lov om tillitstjenester. Det fremgår i fortalepunkt 92 at det er ønskelig at disse virksomhetene drar nytte av det rammeverket som er etablert, ikke minst etableringen av responsmiljøer for varsling og arbeidet i NIS samarbeidsgruppe.
NIS-direktivets artikkel 1 nr. 7 oppstiller et unntak fra direktivet der det foreligger EØS-regelverk som stiller minst like strenge krav til sikkerhet og varsling som kravene etter direktivet.
EU-kommisjonen fremhever finanssektoren, og særlig sektorene bank- og finansmarkedsinfrastruktur som nevnt i nr. 3 og 4 i vedlegg II, som en sektor med relevant sektorregelverk om sikkerhet og varsling. Disse sektorene trekkes også frem i NIS-direktivets fortalepunkt 12 og 13.
I lovforslaget § 5 er det inntatt en bestemmelse som regulerer forholdet til andre lover. I bestemmelsen fremgår det at «[k]rav om sikkerhet og varsling i §§ 7, 8, 10 og 11 gjelder ikke så langt tilsvarende krav er fastsatt i eller i medhold av annen lov.»
Bestemmelsen regulerer forholdet mellom den foreslåtte loven og annen lovgivning som stiller krav om sikkerhet og varsling. Dersom tilbyderen er underlagt sikkerhets- og varslingskrav som minst tilsvarer kravene i den foreslåtte loven, skal kravene i annen lov benyttes. Tilsvarende gjelder for krav i forskrift gitt i medhold av lov.
Et eksempel på lovgivning med sikkerhets- og varslingskrav som ikke tilsvarer kravene i ny lov om digital sikkerhet er personvernforordningen, gjennomført som lov ved personopplysningsloven. Etter forordningen artikkel 32 skal behandlingsansvarlige og databehandlere sørge for egnet sikkerhetsnivå og etter artikkel 33 melde fra til tilsynsmyndigheten ved brudd på personopplysningssikkerheten. Disse kravene er knyttet til sikkerheten til opplysningene om personene og ikke sikkerheten i nettverks- og informasjonssystemene som sådanne.
Bank og finansmarkedsmarkedsinfrastruktur er eksempler på sektorer som har sikkerhets- og varslingskrav som tilsvarer kravene i den nye loven. Begge sektorene er omfattet av forskrift 21. mai 2003 nr. 630 om bruk av informasjons- og kommunikasjonsteknologi som stiller krav til sikkerhet (§ 5) og avviks- og endringshåndtering (§ 9).
Forslaget til § 5 vil ha en todelt funksjon. Dels gjennomfører den direktivets bestemmelse i artikkel 1 nr. 7 om at EØS-basert regelverk går foran direktivet dersom sikkerhets- og varslingskravene tilsvarer kravene i direktivet. Bestemmelsen vil imidlertid også gjelde for nasjonale sektorspesifikke regler om sikkerhet og varsling som i utgangspunktet ikke er EØS-baserte, men som likevel oppfyller NIS-direktivets krav. I slike tilfeller vil NIS-direktivets krav til sikkerhet og varsling bli ivaretatt av de sektorspesifikke reglene i stedet for de generelle kravene i lov om digital sikkerhet.
Til forskjell fra unntaksbestemmelsen i lovforslaget § 2 andre ledd, vil § 5 ikke unnta tilbyderen fra virkeområdet til loven. Dette innebærer for tilbydere av samfunnsviktige tjenester at identifiseringsprosessen for virksomheter i hver sektor fremdeles skal gjennomføres, og myndighetene i sektoren vil pålegges oppgaver etter loven. Anvendelse av regelen foreslått i § 5 innebærer at underleggelse av loven ikke vil medføre endringer for de aktuelle virksomhetene ved sikkerhet og varsling, ettersom de allerede følger minst tilsvarende krav. Konsekvensene for virksomhetene vil derfor være begrenset, ettersom kravene i annen lov skal benyttes.
Myndigheter eller andre funksjoner i sektoren vil få nye oppgaver gjennom loven. Bakgrunnen for at departementet ønsker at virksomheter som allerede følger regelverk med minst tilsvarende krav om sikkerhet og varsling underlegges loven, er at det vil knytte sektorene sammen i et felles regelverk. Etter departementets syn vil dette gi en bedre tverrsektoriell oversikt, og gi grunnlag for samarbeid knyttet til forebyggende digital sikkerhet, og også operasjonelt samarbeid, både nasjonalt og internasjonalt.
Departementet har vurdert om det er grunn til å gjøre flere uttrykkelige unntak fra lovens virkeområde for sektorer hvor eksisterende sektorlovgivning mer enn oppfyller sikkerhets- og varslingskravene. Departementet har særlig vurdert om det bør gjøres unntak for virksomheter underlagt sikkerhetsloven. Dette kunne vært aktuelt fordi tiltak som skal sikre nasjonal sikkerhet i utgangspunktet er et nasjonalt anliggende og fordi artikkel 1 nr. 6 uttrykkelig uttaler at direktivet ikke berører tiltak som statene treffer for å ivareta blant annet nasjonal sikkerhet. Departementet har likevel kommet til å ikke foreslå et slikt unntak. Det anses hensiktsmessig at også virksomheter underlagt sikkerhetsloven er en del av rammeverket for digital sikkerhet, og at det for disse virksomhetene heller vil være aktuelt å benytte unntaksbestemmelsen i § 5, eventuelt at det i forskrift kan angis særskilte regler. Etter departementets vurdering har det selvstendig verdi at tilbydere av samfunnsviktige tjenester i Norge utpekes og identifiseres.
3.5.2 Tilbydere av samfunnsviktige tjenester
Tilbydere av samfunnsviktige tjenester er definert i lovforslaget § 6 første ledd, og omfatter virksomheter innenfor sektorer nevnt i NIS-direktivets vedlegg II, og som oppfyller kriteriene som følger av direktivet artikkel 5 nr. 2.
Et vilkår i definisjonen av en samfunnsviktig tjeneste er at en hendelse vil kunne få betydelig forstyrrende virkning på tjenesteleveransen, se lovforslaget § 6 andre ledd og direktivet artikkel 5 nr. 2 bokstav c. Vilkåret «betydelig forstyrrende virkning» tilsvarer direktivet artikkel 6. I § 6 andre ledd bokstav a til g angis hva det skal legges vekt på ved vurderingen av om en hendelse kan få betydelig forstyrrende virkning. Vurderingstemaet er hvilken samfunnsvirkning en hendelse i virksomheten kan få. Det er dermed ikke bare spørsmål om en hendelse helt eller delvis kan slå ut den enkelte virksomhetens tjenesteleveranse. Dette er et viktig moment for direktivets og dermed også lovens virkeområde. Det er meningen å omfatte de virksomheter som er så viktig for samfunnet at en hendelse hos virksomheten får negativ virkning for samfunnet.
Nasjonal sikkerhetsmyndighet har på vegne av departementet og i samarbeid med berørte sektormyndigheter gjort en nærmere og foreløpig vurdering av hvilke kriterier og terskelverdier som kan benyttes for å identifisere hvilke virksomheter som skal anses som tilbydere av samfunnsviktige tjenester etter lovforslaget. Nærmere kriterier for identifisering av tilbydere av samfunnsviktige tjenester vil reguleres i forskrift. Dette vil oppføres i en liste som omtalt over under punkt 3.2.2.
Ettersom formålet med en opplistet oversikt også er å sikre en overgripende harmonisering mellom statenes bedømming av hva som anses som samfunnsviktige tjenester, må det tas hensyn til hvordan andre stater gjør sine avveininger av hva som utgjør samfunnsviktige tjenester, samtidig som det må tilpasses norske forhold.
Direktoratet for samfunnssikkerhet og beredskap har i sitt høringssvar foreslått at lovens virkeområde utvides utover de sektorer som omfattes av NIS-direktivet slik at det harmoniserer med DSBs rammeverk «Samfunnets kritiske funksjoner». En slik tilnærming innebærer at virkeområdet utvides til blant annet å omfatte politiets og påtalemyndighetens ansvarsområder, redningstjenesten, mat- og drivstofforsyning og meteorologiske og satellittbaserte tjenester. Etter departementets vurdering er det på nåværende tidspunkt mest hensiktsmessig å sørge for en lov som gjennomfører NIS-direktivets bestemmelser. Dersom NIS2-direktivet blir tatt inn i EØS-avtalen vil dette utløse behov for å se på virkeområdet på nytt. Departementet viser videre til at EU har vedtatt et direktiv (EU) 2022/2557 om motstandsdyktigheten til kritiske enheter, hvor det stilles krav om å koordinere gjennomføringen av direktivet med gjennomføringen av NIS2-direktivet. En vurdering av forholdet mellom samfunnets kritiske funksjoner og lov om digital sikkerhet hører naturlig inn i dette arbeidet.
Ved identifisering av virksomheter underlagt loven vil det som utgangspunkt være to mulige tilnærminger, enten utpeking ved enkeltvedtak (ovenfra og ned) eller selv-identifisering basert på nærmere fastsatte kriterier og terskelverdier (nedenfra og opp).
Ovenfra og ned-tilnærmingen er for eksempel valgt for utpeking av grunnleggende nasjonale funksjoner og virksomheter med avgjørende betydning for disse etter sikkerhetsloven. Fordelen med en slik tilnærming er at den gir sektormyndighetene god oversikt over verdikjedene og avhengighetene i sektoren. Ulempen er at en slik løsning blir svært ressurskrevende da loven vil ha et vesentlig bredere nedslagsfelt enn sikkerhetsloven. En ovenfra og ned-tilnærming vil medføre at det tar lengre tid før loven får anvendelse, da utpeking og den foregående analysen vil ta tid. På den andre siden vil en nedenfra og opp-tilnærming gi sektormyndighetene mindre kontroll, men likevel ikke mer enn det som kan aksepteres. Over tid vil sektormyndighetene kunne danne seg et bedre bilde over kravene til digital sikkerhet i sektoren og ha oversikt over virksomhetene og regelverket.
I høringssvaret fra Teknisk-naturvitenskapelig forening påpekes det at det er en risiko for at virksomheter enten skriver seg unødvendig inn i loven og dermed pådrar seg unødvendige kostnader, eller definerer seg ut av lovens virkeområde og dermed ikke har tilstrekkelig sikkerhet eller varsler ved alvorlige hendelser. Ved valg av en nedenfra og opp-tilnærming vil det være en forutsetning at det utarbeides tilstrekkelig konkrete terskelverdier slik at eventuelle usikkerheter rundt hvorvidt en virksomhet er omfattet blir redusert i størst mulig grad.
Etter departementets syn fremstår en nedenfra og opp-tilnærming, der virksomhetene selv vil identifisere seg, som den mest hensiktsmessige. For å sikre at virksomheter som ikke tilfredsstiller terskelverdiene, men som kan være i en særstilling, og slik likevel har en rolle at de bør omfattes av loven, mener departementet det vil være hensiktsmessig at sektormyndighet gis anledning til å utpeke enkeltvirksomheter loven skal gjelde for. Dette vil gi sektormyndighetene nødvendig fleksibilitet, og ligner på vedtakskompetansen som sikkerhetsmyndigheten har etter sikkerhetsloven § 1-3. Også her må nærmere vilkår for en slik utpeking fremgå av underliggende regelverk og departementet vurderer at forskriftshjemmelen i § 2 tredje ledd er dekkende for dette formålet.
Ved utarbeidelsen av terskelverdier er det lagt til grunn arbeid gjort i andre europeiske land, særlig Storbritannia og Sverige. Den foreløpige kartleggingen av terskelverdiene er utarbeidet av Nasjonal sikkerhetsmyndighet i dialog med Direktoratet for samfunnssikkerhet og beredskap og sektormyndighetene i de sektorene som omfattes av loven. Terskelverdiene er søkt harmonisert på tvers av sektorer slik at innslagspunktet for loven vil være likest mulig uavhengig av sektor.
Videre er det lagt vekt på å benytte allerede eksisterende sektorregelverk, herunder terskelverdier der det foreligger, og harmonisere disse med terskelverdiene etter loven. Terskelverdiene identifiserer hvilke tjenester som er viktige for å opprettholde kritiske samfunnsmessige eller økonomiske aktiviteter, jf. lovforslaget § 6 første ledd bokstav a og direktivet artikkel 5 nr. 2, jf. artikkel 4 nr. 4. Virksomheter som yter disse tjenestene vil være underlagt loven. Tilnærmingen med terskelverdier vil fungere ved at det innenfor hver sektor eksempelvis angis kategorier av tjenester eller størrelser på produksjon, drift eller brukere. Dersom virksomheten leverer en tjeneste som oppfyller kriteriene, vil den være omfattet av lovens virkeområde. Terskelverdiene som identifiserer tjenestene skal utformes så konkret at det skal være mulig for virksomheter selv å avgjøre hvorvidt de leverer den omtalte tjenesten.
3.5.3 Tilbydere av digitale tjenester
«Tilbyder av digitale tjenester» og «digitale tjenester» er definert i direktivet artikkel 4 henholdsvis nr. 6 og 5, og omfatter tilbydere av skytjenester, digitale markedsplasser og digitale søkemotorer. Digitale tjenester er omtalt i direktivets fortalepunkt 15 til 17.
På dette området er hensikten i enda større grad å få ensartede regler i hele EØS, både hva gjelder virkeområde og sikkerhets- og varslingsplikter. De aktuelle virksomhetene må dermed vurdere om de er omfattet ut ifra lovforslagets bestemmelser. Tilbydere av digitale tjenester er definert i lovforslaget § 9 første ledd. Også definisjonen av digitale tjenester tilsvarer NIS-direktivets definisjoner. Departementet ser det som uhensiktsmessig å definere dette på en annen måte enn det som følger av direktivet.
Nærmere krav og presiseringer for å sikre like forutsetninger i Norge som i resten av EØS forutsetter at det i forskrift tas inn bestemmelser som spesifiserer hvilke momenter tilbydere av digitale tjenester skal ta i betraktning når de fastsetter og iverksetter tiltak for å garantere et nivå av sikkerhet i nettverks- og informasjonssystemer som benyttes i leveransen av tjenester som nevnt i vedlegg III til NIS-direktivet. Herunder også hvilke kriterier som skal tas i betraktning ved fastsettelsen av hvorvidt en hendelse har betydelig innvirkning på leveringen av disse tjenestene.
I direktivet artikkel 16 nr. 11 fremgår det at direktivet ikke skal gjelde for tilbydere av digitale tjenester som er mikrovirksomheter og små virksomheter, slik dette er definert i Kommisjonsrekommandasjon 2003/361/EF av 6. mai 2003. Det vil si at virksomheter som har færre enn 50 ansatte og som har en årlig omsetning eller årlig samlet balanse som ikke overstiger 10 millioner euro ikke omfattes av direktivet. Departementet ser det som mest hensiktsmessig å regulere dette og en nærmere definisjon av mikrovirksomheter og små virksomheter i forskrift.