7 Krav om varsling
7.1 Gjeldende rett
I sektorene er det ulike krav til varsling av hendelser. En rekke sektorregelverk har generelle krav om varsling ved hendelser. Enkelte regelverk har konkrete krav til varsling ved digitale hendelser. Enkelte regelverk er det ikke krav til varsling av hendelser. Under følger en gjennomgang av et utvalg relevante tverrsektorielle regelverk med bestemmelser om varsling.
Ifølge sikkerhetsloven § 4-5 skal virksomheten varsle sikkerhetsmyndigheten og sektormyndigheten dersom den har blitt rammet av eller det er begrunnet mistanke om at sikkerhetstruende virksomhet har rammet eller vil kunne ramme virksomheten. Sikkerhetstruende virksomhet er i loven § 1-5 nr. 4 definert som tilsiktede handlinger som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser. Etter § 4-5 andre ledd er det også varslingsplikt selv om ikke egen virksomhet er truet, men «dersom den får kunnskap om en planlagt eller pågående aktivitet som kan medføre en ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser blir truet.»
Paragraf 4-5 første ledd bokstav c bestemmer at det også skal varsles om alvorlige brudd på krav til sikkerhet som følger av loven for øvrig. Hva som er årsaken til sikkerhetsbruddet har ikke betydning, hvilket innebærer at også ikke tilsiktede sikkerhetsbrudd skal varsles.
Det følger av særmerknaden til bestemmelsen at «[e]n forutsetning for at myndighetene skal kunne ha oversikt over sikkerhetstilstanden i de ulike samfunnssektorene, er at myndighetene får rettidig og tilstrekkelig informasjon om hendelser av betydning». Verken loven eller forskriftene konkretiserer ytterligere hva slags informasjon varselet skal inneholde.
I personopplysningsloven følger det av personvernforordningen artikkel 33 nr. 1 at brudd på personopplysningssikkerheten skal varsles til tilsynsmyndigheten. Brudd på personopplysningssikkerheten er i artikkel 4 nr. 12 definert som «et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet».
Artikkel 33 nr. 3 angir hva varselet skal inneholde av opplysninger. Behandlingsansvarlig skal varsle senest 72 timer etter å ha fått kjennskap til bruddet.
eForvaltningsforskriften stiller ikke krav om at virksomheten skal varsle om brudd på sikkerhetskravene i forskriften § 15.
7.2 Direktivet
7.2.1 Tilbydere av samfunnsviktige tjenester
Det følger av artikkel 14 nr. 3 at tilbydere av samfunnsviktige tjenester uten unødig opphold skal varsle tilsynsmyndigheten eller det nasjonale responsmiljøet om hendelser som virker betydelig inn på kontinuiteten i de samfunnsviktige tjenestene de yter.
I artikkel 4 nr. 7 defineres en «hendelse» som «ethvert tilfelle av reell negativ virkning på sikkerheten i nettverks- og informasjonssystemer». Med begrepet «sikkerhet i nettverks- og informasjonssystemer» menes «den evnen nettverk eller informasjonssystemer har til å tåle, på et gitt tillitsnivå, enhver handling som går ut over tilgjengeligheten, autentisiteten, integriteten eller tilliten til lagrede eller overførte eller behandlede data eller tilknyttede tjenester som tilbys eller er tilgjengelige via slike nettverks- og informasjonssystemer», jf. artikkel 4 nr. 2.
Det ligger i begrepet «ethvert tilfelle» at årsaken til hendelsen er irrelevant. Det som betyr noe er om tjenesteleveransen er redusert. Sett hen til nevnte definisjoner kan det imidlertid ikke bare vurderes om tjenestens tilgjengelighet er berørt. Hendelser som har negativ innvirkning på autentisitet, integritet eller konfidensialitet til data eller relaterte tjenester, kan potensielt utløse en varslingsplikt.
Ved vurderingen av om innvirkningen har vært betydelig skal det legges vekt på antall brukere av tjenesten som påvirkes, hendelsens varighet og størrelsen på det geografiske området som berøres av hendelsen. Varselet skal dessuten inneholde nok opplysninger til at det kan fastslås om hendelsen har virkninger utover Norges grenser.
Varsling av hendelser skal ikke medføre utvidet ansvar for tjenestetilbyderen. I fortalepunkt 57 trekkes det frem at ved eventuell offentliggjøring av hendelser må hensyn til publikums behov for informasjon veies opp mot mulige omdømme- og kommersielle konsekvenser for den som er rammet av hendelsen. I denne sammenhengen må myndighetene ta særlig hensyn til behovet for å holde informasjon om produktsårbarheter hemmelig frem til det foreligger en tilstrekkelig god løsning på problemet.
Det følger av fortalepunkt 47 at kompetente myndigheter skal kunne utstede nasjonale retningslinjer om når og på hvilken måte tilbydere av samfunnsviktige tjenester skal varsle om hendelser.
Dersom det foreligger en hendelse som har betydelig innvirkning på opprettholdelsen av tjenesteleveransen, skal tilbyderen av den samfunnsviktige tjenesten varsle tilsynsmyndigheten eller det nasjonale responsmiljøet «uten unødig opphold». I veilederen for varsling utgitt av NIS-samarbeidsgruppen Reference document on Incident Notification for Operators of Essential Services Circumstances of notification CG Publication 02/2018 er det gitt retningslinjer for tidspunktet for varsling.
7.2.2 Tilbydere av digitale tjenester
Det følger av artikkel 16 nr. 3 at tilbydere av digitale tjenester uten unødig opphold skal varsle tilsynsmyndigheten eller det nasjonale responsmiljøet om hendelser som virker betydelig inn på leveringen av en tjeneste som nevnt i vedlegg III og som de tilbyr i EØS.
Omtalen over av definisjonene av begrepene «hendelse» og «sikkerheten i nettverks- og informasjonssystemer» er relevant også her.
For tilbydere av digitale tjenester skal det tas hensyn til følgende parametere når det skal fastslås om virkningen av en hendelse er betydelig:
antallet brukere som påvirkes av hendelsen, særlig brukere som er avhengig av tjenesten for å kunne yte egne tjenester
hendelsens varighet
størrelsen på det geografiske området som berøres av hendelsen
omfanget av forstyrrelsen for tjenestens funksjon
omfanget av virkningen for økonomiske og samfunnsmessige aktiviteter
De fem punktene er nærmere spesifisert i gjennomføringsforordningen.
Slik som artikkel 14 nr. 3 avsluttes også artikkel 16 nr. 3 med at varsling av hendelser ikke skal medføre utvidet ansvar for tjenestetilbyderen.
Tilsvarende som for tilbydere av samfunnsviktige tjenester, skal tilbydere av digitale tjenester varsle om hendelser som har betydelig innvirkning på opprettholdelsen av tjenesteleveransen «uten unødig opphold».
7.3 Forslaget i høringsnotatet
Departementet foreslo i høringsnotatet at krav om varsling for tilbydere av samfunnsviktige tjenester og digitale tjenester tilsvarer NIS-direktivets krav om varsling.
Videre ble det foreslått at tilbydere av samfunnsviktige tjenester skal varsle det organ Kongen utpeker om hendelser som har betydelig innvirkning på opprettholdelsen av tjenesteleveransen. Varselet skal inneholde nok opplysninger til at det kan fastslås om hendelsen har virkninger utover Norges grenser. Varslingsplikten ble foreslått til å bare gjelde dersom tilbyderen har tilgang til informasjon som er nødvendig for å kunne vurdere om hendelsen har betydelig innvirkning på tjenesteleveransen.
Departementet foreslo at Kongen kan gi forskrift med nærmere bestemmelser om varslingskrav.
7.4 Høringsinstansenes syn
Enkelte høringsinstanser mener at kravene om varsling burde være tydeligere, blant andre Skatteetaten,Statens Helsetilsyn og Advokatforeningen. Advokatforeningen mener det er viktig for pliktsubjektenes etterlevelse av regelverket at krav til når varsel skal inngis og innhold i varselet utpensles ytterligere i forskrifter og eventuelle veiledninger. Kartverket, Utlendingsdirektoratet og Statens Helsetilsyn mener det må klargjøres hvordan de som er underlagt flere regelverk skal varsle flere responsmiljøer og tilsynsmyndigheter, og hvordan ansvars- og myndighetsfordelingen er mellom de ulike responsmiljøene og tilsynsmyndighetene. Kartverket og Utlendingsdirektoratet mener videre at det vil det være mer hensiktsmessig med et felles varslingssystem for virksomhetene.
Direktoratet for samfunnssikkerhet og beredskap støtter krav om varsling av alvorlige digitale sikkerhetshendelser og mener det vil gi tilgang til informasjon om både trusler og sårbarhet – en kunnskap som vil bidra til enda bedre arbeid med digital sikkerhet i fremtiden. Direktoratet for samfunnssikkerhet og beredskap mener videre at varsling av uønskede hendelser som rammer nettverks- og informasjonssystemer må inngå som del av det ordinære forvaltnings- og krisehåndteringssystemet. NorSIS foreslår at de angjeldende paragrafer endres slik at det kun er for de virksomheter som ikke er knyttet til et etablert responsmiljø at myndighetene kan gå inn og bestemme hvilket organ det skal varsles til.
7.5 Departementets vurderinger
7.5.1 Varslingskrav
Selv om enkelte lover og forskrifter har relativt like varslingskrav som NIS-direktivet, mener departementet det likevel er mest hensiktsmessig at det i den foreslåtte loven blir stilt likelydende krav om varsling av hendelser til myndighetene. Se forslag til lovens §§ 8 og 11. Det vil følge av loven § 5, at i den grad denne typen hendelser etter gjeldende regelverk allerede varsles til relevante myndigheter, vil direktivet ikke medføre endringer. I motsatt fall vil tilbyderen måtte følge direktivets varslingskrav. Departementet registrerer at direktivet benytter en noe ulik ordlyd i varslingskravene for de to kategoriene av tilbydere. Tilbydere av samfunnsviktige tjenester skal varsle om hendelser som «virker betydelig inn på kontinuiteten i de samfunnsviktige tjenestene de yter», mens tilbydere av digitale tjenester skal varsle om hendelser som «virker betydelig inn på leveringen av en tjeneste [...] som de tilbyr». Departementet anser at denne nyanseforskjellen ikke er til hinder for at det i loven kan etableres likelydende varslingskrav for tilbyderne. Departementet foreslår at varsling skal skje ved hendelser som «virker betydelig inn på tjenesteleveransen». Dersom det er behov for å fange opp nyanseforskjellen som direktivet har lagt opp til, kan dette reguleres i forskrift.
Det er flere grunner til at hendelser skal varsles til myndighetene. For det første av hensyn til den aktuelle tilbyderen. Dersom denne har behov for bistand fra myndighetene til å håndtere hendelsen, er det en forutsetning at det varsles til rette myndighet og at varselet inneholder nok informasjon til at det er mulig for den som blir varslet å bistå. For det andre vil sektormyndigheten få muligheten til å varsle videre til andre i samme sektor, til nasjonale myndigheter, og i enkelte tilfeller til andre land. For det tredje skal varslinger danne et nyttig kunnskapsgrunnlag for sikkerhetsmyndighetene.
Ved utformingen av bestemmelsene om varsling mener departementet å fange opp det samme som direktivets krav.
Det legges opp til at eksisterende myndighetsstruktur i størst mulig grad skal benyttes, og departementet anser det som mest hensiktsmessig at tilbydere innenfor en sektor varsler til ett punkt, og fortrinnsvis et punkt de kjenner fra før.
Utover den generelle føringen i direktivet om at det skal stilles noe mindre strenge krav til tilbydere av digitale tjenester, gis det ikke særlige føringer på hvor store forskjeller det er snakk om eller hva dette betyr i praksis utover det som er presisert i gjennomføringsforordningen.
Ved fastsettelse av krav om varsling, er tidspunktet det skal varsles sentralt. Etter direktivet skal tilbyderne varsle «uten unødig opphold», jf. artikkel 14 nr. 3 og 16 nr. 3. Departementet har inntatt tilsvarende ordlyd i lovforslaget §§ 8 og 11.
Innenfor rammen «uten unødig opphold», vil departementet presisere tidspunktet for varsling nærmere i forskrift. Etter departementets syn vil fristen for å varsle kunne bero på blant annet hvilken sektor tilbyderen tilhører.
Taushetsplikten skal ikke være til hinder for at tilbydere underlagt loven eller myndighet etter loven utleverer opplysninger til andre aktører eller offentlige organer når det er innenfor lovens formål. Departementet har derfor sett et behov for å presisere at varsling skal skje uten hinder av taushetsplikt, og har inntatt dette tillegget i lovforslaget §§ 8 og 11. Dette er for å ivareta operative hensyn ved hendelseshåndtering, og for å fjerne enhver tvil om hvorvidt en hendelse skal varsles. Det skal ikke deles mer enn det som er nødvendig for å oppnå formålet. Som antydet i punkt 5.6 vil det i forbindelse med hendelseshåndtering og varsling kunne inngå behandling av særlige kategorier av personopplysninger, herunder helseopplysninger, i forbindelse med håndtering i helsesektoren. Slike opplysninger kan være omfattet av regler om taushetsplikt for særlige yrkesutøvere, jf. tvisteloven § 22-5 og straffeprosessloven § 119. Opplysningene bør kunne innhentes uten hinder av taushetsplikt og departementet vil vurdere å klargjøre dette i forskrift, jf. forslag til § 18 bokstav a.
Direktivets angivelse av hva varselet minst skal inneholde, samt begrensningene i varslingsplikten for tilbydere av digitale tjenester, foreslås regulert i forskrift, jf. forslag til forskriftshjemmel i § 18 bokstav a.
7.5.2 Responsmiljø
Etter artikkel 9 i NIS-direktivet skal hver stat utpeke en eller flere nasjonale responsmiljøer som skal oppfylle kravene som følger av direktivet vedlegg I. Responsmiljøet skal blant annet overvåke hendelser på nasjonalt nivå, respondere på hendelser, bidra med analyser og situasjonsforståelse og delta i nettverket av responsmiljøer som er etablert av direktivet.
Direktivet stiller ikke krav om mer enn ett responsmiljø eller at alle hendelser skal rapporteres direkte til responsmiljøet.
I høringsnotatet foreslo departementet at Kongen kan utpeke ett eller flere responsmiljøer som skal kunne motta varsler etter loven. Videre at Kongen i forskrift kan gi nærmere bestemmelser om responsmiljøer og hendelseshåndtering.
Enkelte høringsinstanser støtter departementets vurderinger når det gjelder nasjonale responsmiljøer ved at det bør legges til rette for at de virksomheter som omfattes av loven varsler om hendelser i de samme kanalene som allerede er opprettet, blant andre Norsk Helsenett og Helsedirektoratet.
Enkelte høringsinstanser mener at kravene om responsmiljøer må klargjøres, blant andre Statens Helsetilsyn og Advokatforeningen. Statens Helsetilsyn skriver at det må klargjøres hvordan de som er underlagt flere regelverk skal varsle flere responsmiljøer og tilsynsmyndigheter, og hvordan ansvars- og myndighetsfordelingen er mellom de ulike respons- og tilsynsmyndigheter. Advokatforeningen mener at departementet må klargjøre hvilke responsmiljøer og tilsynsmyndigheter pliktsubjektene etter loven skal forholde seg til før ikrafttredelse av loven, eventuelt før ikrafttredelse av bestemmelser om varsling og tilsyn trer i kraft. Advokatforeningen mener også at departementet må klargjøre hvordan pliktsubjektene etter lovforslaget skal forholde seg til ulike responsmiljøer og tilsynsmyndigheter når pliktsubjektene også er underlagt annet tverrsektorielt og/eller sektorspesifikt regelverk.
Departementet foreslo i høringsnotatet på dette punktet regler utover minimumskravene i direktivet. Direktivet stiller ikke krav som nødvendiggjør lovregulering av hendelseshåndteringsmiljøer.
Departementet går ikke inn for å videreføre forslaget om en egen bestemmelse om responsmiljøer som varslingsmottakere. I bestemmelsen om varslingsplikt for tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester foreslås det at varselet sendes til «det organ Kongen utpeker». Med dette gis det forskriftshjemmel til å utpeke det organ som anses som mest hensiktsmessig til å motta varselet. Sammen med forskriftshjemmelen i forslag til § 18 bokstav a, legges det til rette for en fornuftig varslingsordning i forskrift. Dette inkluderer muligheten til å utpeke nasjonale responsmiljøer ved forskrift.
Departementet mener, i likhet med flere av høringsinstansene at varslingsplikten, herunder særlig hvem det skal varsles til, må være tydelig og enkelt. I utgangspunktet er det hensiktsmessig med likhet for alle tilbyderne. Departementet mener derfor at en nærmere utpeking av hvem det skal varsles til, organiseringen av varsling, varselmottak og videre-varsling, skal skje i forskrift gitt med hjemmel i lovens varslingsbestemmelser.