8 Tilsyn
8.1 Gjeldende rett
I mange sektorer er det etablert myndigheter som fører tilsyn med det gjeldende regelverket. Men som det fremgår av punkt 3.1, 6.1 og 7.1 er det samtidig for mange sektorer uklart om gjeldende regelverk stiller krav om digital sikkerhet. Dermed er det også uklart om tilsynsmyndighetene kan føre tilsyn med den digitale sikkerheten.
For noen sektorer er det klart at gjeldende rett ikke dekker direktivets krav om tilsyn. Enten fordi det er klart at det ikke er etablert relevant sektormyndighet som fører tilsyn, eller at gjeldende regler ikke stiller tilstrekkelige sikkerhetskrav.
Under følger en gjennomgang av et utvalg relevante tverrsektorielle regelverk med bestemmelser om tilsyn.
Sikkerhetsloven kapittel 3 regulerer tilsyn. Lovens hovedregel følger av § 3-1 hvor det står at sikkerhetsmyndigheten (i praksis Nasjonal sikkerhetsmyndighet) fører tilsyn med virksomheter som omfattes av loven. Et sektordepartement kan imidlertid i henhold til andre ledd bestemme at «myndigheter med sektoransvar som fører tilsyn med beskyttelse av informasjon, informasjonssystemer, objekter eller infrastruktur», i stedet skal føre slikt tilsyn. I praksis betyr dette at gjeldende sektormyndigheter kan føre tilsyn etter sikkerhetsloven, så fremt de har kompetanse til det.
Sikkerhetsmyndigheten skal i tillegg føre tilsyn med andre tilsynsmyndigheter, jf. § 3-1 tredje ledd. Et slikt tilsyn skal undersøke om sektormyndighetenes tilsyn etter sikkerhetsloven føres i tråd med sikkerhetslovens krav og de grunnleggende kriteriene for tilsyn som er fastsatt av sikkerhetsmyndigheten.
Samarbeid mellom sikkerhetsmyndigheten og andre myndigheter med tilsynsansvar reguleres av § 3-2. Første ledd bestemmer at det skal inngås en samarbeidsavtale og at gjennomføring av tilsyn så langt det er mulig skal samordnes med andre tilsynsmyndigheter. Etter andre ledd skal sikkerhetsmyndigheten utarbeide og utvikle grunnleggende kriterier for tilsyn og legge til rette for felles opplæring av tilsynspersonell. Når det er nødvendig kan sikkerhetsmyndigheten medvirke til forberedelse og gjennomføring av tilsyn som i utgangspunktet skal utføres av en sektormyndighet.
Etter § 3-4 kan tilsynsmyndigheten kreve tilgang til virksomhetens informasjon, informasjonssystemer, objekter og infrastruktur. Tilsynsmyndigheten har etter § 3-6 mulighet til å gi pålegg om gjennomføring av tiltak som er nødvendige for å ivareta lovens formål.
Tilsyn med etterlevelse av personopplysningsregelverket er relativt utførlig regulert i personvernforordningen kapittel VI. Tilsynets oppgaver er listet opp i artikkel 57. I Norge vil det fortsatt være Datatilsynet som er den sentrale myndighet som skal føre tilsyn med etterlevelse av regelverket. Datatilsynet skal både føre tilsyn, håndheve anvendelsen av reglene og behandle klager. Tilsynsmyndigheten skal også ha rådgivnings- og informasjonsoppgaver. Den skal i tillegg vedta standardkontraktsvilkår, godkjenne atferdsnormer og bindende virksomhetsregler og utarbeide kriterier for akkrediterings- og sertifiseringsoppgaver.
Etter artikkel 58 skal tilsynsmyndigheten ha undersøkelsesmyndighet, myndighet til å beslutte korrigerende tiltak og til å godkjenne visse typer behandlinger samt standardregler.
eForvaltningsforskriften har ikke regler om tilsyn.
8.2 Direktivet
8.2.1 Innledning
NIS-direktivet artikkel 8 og 9 bestemmer at statene skal utpeke eller etablere et nasjonalt kontaktpunkt, en eller flere kompetente myndigheter og ett eller flere hendelseshåndteringsmiljøer.
Den (eller de) kompetente myndigheten(e) skal i henhold til artikkel 8 for det første dekke hele direktivets virkeområde, jf. direktivet vedlegg II og III. Rollen som kompetent myndighet kan tildeles en eller flere eksisterende nasjonale myndigheter. Kompetent myndighet skal overvåke anvendelsen av direktivet, herunder kunne føre tilsyn med tilbydernes etterlevelse av direktivet. Staten skal sørge for at kompetent myndighet har tilstrekkelige ressurser og virkemidler for gjennomføring av oppgavene som tillegges dem etter direktivet.
8.2.2 Tilbydere av samfunnsviktige tjenester
Artikkel 15 regulerer tilsyn med tilbydere av samfunnsviktige tjenester. Tilsynsmyndighetene skal ha hjemler til å innhente følgende fra tilbyderne av samfunnsviktige tjenester:
Nødvendig informasjon for å kunne vurdere sikkerheten i deres nettverks- og informasjonssystemer, herunder dokumentert sikkerhetspolicy
Dokumentasjon som viser effektiv gjennomføring av sikkerhetspolicyen, slik som resultater av sikkerhetsrevisjoner utført av kompetent inspektør og, i sistnevnte tilfelle, stille resultatene og den underliggende dokumentasjonen til rådighet for kompetent myndighet
Når det anmodes om slike opplysninger eller slik dokumentasjon, skal formålet med anmodningen angis og hvilke opplysninger som kreves skal presiseres. Kompetent myndighet skal i henhold til artikkel 15 nr. 4 samarbeide tett med personvernmyndighetene når hendelser som innebærer brudd på personopplysningsregelverket håndteres.
8.2.3 Tilbydere av digitale tjenester
Artikkel 17 regulerer tilsyn med tilbydere av digitale tjenester. Det følger av artikkel 17 nr. 1 at når det foreligger dokumentasjon på at en tilbyder av digitale tjenester ikke oppfyller direktivets krav, skal kompetent myndighet i ettertid ved behov gjennomføre tilsyn.
Tilsynsmyndigheten kan da kreve at tilbyderen
gir nødvendige opplysninger for å kunne vurdere sikkerheten i nettverks- og informasjonssystemene deres, herunder en dokumentert sikkerhetspolicy
utbedrer eventuelle avvik
I følge fortalepunkt 60 kan relevant informasjon for eksempel komme fra tilbyderen selv, en annen tilsynsmyndighet (også i andre land), eller fra en bruker av tjenesten. Tilsynsmyndighetene bør derfor ikke ha en forpliktelse til å kontrollere tilbydere av digitale tjenester.
Det følger av artikkel 17 nr. 3 at myndigheter i ulike stater skal samarbeide og bistå hverandre ved behov i de tilfeller en tilbyder har sitt hovedforetak eller representant i én stat og sine nettverks- og informasjonssystemer i en annen.
8.3 Forslaget i høringsnotatet
Departementet foreslo at Kongen utpeker en eller flere tilsynsmyndigheter som skal føre tilsyn med tilbydere av samfunnsviktige og digitale tjenester.
Forslaget innebar også at det skal fremgå av loven at det bare skal føres tilsyn med tilbydere av digitale tjenester etter at tilsynsmyndigheten har mottatt opplysninger om overtredelser av bestemmelser gitt i eller i medhold av lovforslaget og når tilsynsmyndigheten finner det nødvendig.
Departementet foreslo at tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester etter pålegg fra tilsynsmyndigheten skal gi de opplysninger den krever for å utføre sine oppgaver. Det ble også foreslått at tilsynet til enhver tid skal ha uhindret adgang til ethvert sted som omfattes av loven.
Av forslaget fremgår også at tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester plikter å medvirke til gjennomføring av tilsynet.
8.4 Høringsinstansenes syn
Enkelte høringsinstanser støtter prinsippet om å bruke eksisterende tilsynsmyndigheter for tilsyn med etterlevelse av NIS-direktivet, blant andre Helsedirektoratet og Direktoratet for e-helse. Helsedirektoratet mener at det imidlertid fordrer god og bred kunnskap om feltet hos tilsynsmyndigheten og at det lovfestes et mer aktivt tilsyn enn det som ble foreslått.
Enkelte høringsinstanser trekker frem at det må klargjøres hvilke tilsynsmyndigheter som skal føre tilsyn etter en lov som gjennomfører NIS-direktivet, blant andre Advokatforeningen og Kartverket.
Flere høringsinstanser trekker frem at tilsyn etter en lov som gjennomfører NIS-direktivet må sees i sammenheng med tilsyn etter andre sektorregelverk og tverrsektorielle regelverk, blant andre Samferdselsdepartementet, Advokatforeningen, Teknisk-naturvitenskapelig forening, Direktoratet for IKT og fellestjenester i høyere utdanning og forskning, Statens Helsetilsyn, Direktoratet for e-helse, Finans Norge og Kartverket. Teknisk-naturvitenskapelig forening skriver at de er særlig opptatt av at de ulike tilsynsorganenes roller og fullmakter avklares og at de opererer mer enhetlig i sine tilsyn med digital sikkerhet. Særlig må man vurdere om man har tilstrekkelig hjemmel til å føre tilsyn med underleverandører og å føre teknisk IKT-tilsyn.
Enkelte høringsinstanser trekker frem at tilsynsrollen til Nasjonal sikkerhetsmyndighet etter sikkerhetsloven må sees i sammenheng med tilsynsfunksjonen i en lov som gjennomfører NIS-direktivet, blant andre Forsvarsdepartementet, Nasjonal sikkerhetsmyndighet og Direktoratet for samfunnssikkerhet og beredskap. Nasjonal sikkerhetsmyndighet og Direktoratet for samfunnssikkerhet og beredskap mener at de bør utpekes som tilsynsmyndighet i henhold til loven. Forsvarsdepartementet trekker frem at en beslutning om å utpeke Nasjonal sikkerhetsmyndighet som tilsynsmyndighet ikke må påvirke direktoratets oppgaveløsning innenfor sikkerhetslovens virkeområde negativt.
8.5 Departementets vurderinger
Særlig fordi mange virksomheter per i dag ikke er underlagt tilsyn om digital sikkerhet, foreslår departementet i lovforslaget §§ 13-17 bestemmelser om tilsyn og sanksjoner som er ment å dels tilsvare direktivets krav. Det vil gis nærmere bestemmelser om tilsyn i forskrift, jf. forslag til § 18 bokstav b.
Departementet ser for seg en tilsynsmodell der myndigheter med sektoransvar fører tilsyn etter loven i den enkelte sektor. En forutsetning for en slik modell er at sektormyndighetene har tilstrekkelig kompetanse innenfor digital sikkerhet og gjennomføring av tilsyn. Der sektormyndighetene ikke allerede besitter nødvendig kompetanse innen digital sikkerhet, vil denne loven fungere som en pådriver for opparbeidelse av kompetanse på dette feltet. Der det per i dag eksisterer sektormyndigheter og de utpekes etter § 13 til å føre tilsyn etter denne loven, forutsettes det at deres hjemler justeres slik at de er i samsvar med loven når det gjelder tilsyn og sanksjonering. Videre bestemmelser om tilsyn fastsettes i forskrift.
Rollen som tilsynsmyndighet vil blant annet innebære å ha oversikt over og kontrollere den digitale sikkerhetstilstanden i egen sektor, og gi nødvendige pålegg om forbedringer, jf. § 15. I tillegg vil myndigheten til å fatte vedtak om tvangsmulkt og ilegge overtredelsesgebyr ligge til tilsynsmyndighetene, jf. §§ 16 og 17. Det er en klar forutsetning i lovforslaget at tilsynsmyndigheten gis tilgang til de opplysningene som er nødvendige for å gjennomføre tilsynet, jf. § 14. Departementet ser derfor behov for å presisere at plikten til å gi opplysninger ikke skal begrenses av taushetsplikt, og har inntatt et tillegg om dette i lovforslaget § 14 tredje ledd. I likhet som ved varsling vil det ved tilsyn kunne inngå behandling av opplysninger omfattet av regler om taushetsplikt for særlige yrkesutøvere, jf. tvisteloven § 22-5 og straffeprosessloven § 119. Slike opplysninger bør også kunne innhentes ved tilsyn uten hinder av taushetsplikt og departementet vil vurdere å klargjøre dette i forskrift, jf. forslaget til § 18 bokstav b.
I tråd med direktivet legges det til rette for forskjellige tilsynsregimer for henholdsvis tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester. Departementet ser det som mest hensiktsmessig at denne ulikheten reguleres i forskrift med hjemmel i forslag til § 18 bokstav b. I forskrift kan det for eksempel reguleres at det bare føres tilsyn med tilbydere av digitale tjenester etter at tilsynsmyndigheten har mottatt opplysninger om overtredelser av bestemmelser gitt i eller i medhold av denne loven og når tilsynsmyndigheten finner det nødvendig, slik som forutsatt i direktivet.
Departementet har for øvrig sett det som hensiktsmessig at det også gis hjemmel i lov til å gi forskrift om nasjonalt kontaktpunkt for sikkerhet i nettverks- og informasjonssystemer. En naturlig kandidat til rollen som nasjonalt kontaktpunkt er Nasjonal sikkerhetsmyndighet. Som kontaktpunkt vil Nasjonal sikkerhetsmyndighet for eksempel kunne ha en koordinerende rolle, og bistå tilsynsmyndighetene gjennom veiledning. Etter departementets syn vil en slik koordinerende rolle også være viktig for å sikre en sektorovergripende tilsynssamordning, og et tverrsektorielt perspektiv.