18 Krav til sikkerhet og robusthet i datasenter
18.1 Gjeldende rett
Det stilles få særskilte krav til datasentre under gjeldende regelverk. Det stilles ingen direkte krav til datasenternæringen i gjeldende ekomlov.
18.2 Endringsbehov
Datasenter er en infrastruktur som lagrer og bærer digitale tjenester og data. I et digitalisert samfunn som vårt, er elektroniske kommunikasjonsnett og datasentre grunnmuren i vår nasjonale digitale infrastruktur. Nettene er digitale transportveier, og datasentre er viktig for lagring av data og drift av digitale tjenester, både for privat og offentlig sektor. Det fremkommer av punkt 4.1 i strategien Norske datasenter – berekraftige, digitale kraftsenter fra august 2021 at:
«Norske datasenter står heilt sentralt i digitaliseringa av Noreg. Norske datasenter understøttar digitale tenester som er stadig viktigare for samfunnet. Forsvarleg tryggleik i komplekse digitale verdikjeder er derfor ei prioritert oppgåve, så vel i Noreg som i EU og verda elles. Norske datasenter må derfor lykkast med å dokumentere forsvarleg tryggleik – over tid – for å lykkast i både den norske og den internasjonale marknaden. Tryggleik i norske datasenter er ein sentral konkurranseparameter.
Digitale infrastrukturar og system blir stadig meir komplekse, omfattande og integrerte. Det blir skapt avhengnader og sårbarheiter på tvers av ansvarsområde, sektorar og nasjonar. Det blir forventa at digitale tenester skal vere tilgjengelege til ei kvar tid. Ei vellykka digitalisering handlar òg om at løysingane oppfyller krav til tryggleik og personvern for den enkelte på ein god måte, og at vi kan ha tillit til at digitale løysingar fungerer slik dei skal.»
Datasenternæringen i Norge er forholdsvis ny. Datasentre i Norge er likevel viktige for å sikre en robust nasjonal infrastruktur med raske, trygge og fleksible tjenester over hele landet. Mange viktige funksjoner i samfunnet hviler på tjenester som blir levert av datasentre, og datasentre legger til rette for innovasjon og effektivisering både i næringslivet og i det offentlige.
Mange kritiske tjenester leveres i dag fra datasentre, og avhengigheten til datasentrene kan utgjøre en stor samfunnsmessig sårbarhet. En rekke virksomheter er avhengige av datasentrene. Bortfall eller forringelse av tjenester vil kunne skape store utfordringer, herunder for grunnleggende nasjonale funksjoner og virksomheter som understøtter dette.
Myndighetene har derfor behov for å få oversikt over datasentrene, inkludert datasenter som utvinner krypto. Det er i tillegg behov for å innføre krav til sikkerhet og beredskap for datasentre, på lik linje med annen ekominfrastruktur. Det er også behov for at datasenteroperatørene settes i stand til å oppfylle kravene, blant annet gjennom muligheten til å innhente politiattest, og til dialog og veiledning fra myndigheten om oppfyllelse av sikkerhetskravene.
18.3 Forslaget i høringsnotatet 8. juli 2022 – tilleggshøringen
I høringen av ekomloven 2. juli 2021 om ny ekomlov ble det foreslått å gi myndigheten kompetanse til å treffe enkeltvedtak eller inngå avtale med virksomhet som tilbyr datasenter for å sikre oppfyllelse av nasjonale behov for sikkerhet og beredskap. Dette var ikke egnet til å oppfylle behovene for regulering av datasentre, og i tilleggshøring 8. juli 2022 om datasentre foreslo departementet en bredere og mer omfattende regulering.
For å sikre bedre oversikt over datasenternæringen i Norge, foreslo departementet i tilleggshøringen å innføre en registreringsplikt for datasenteraktører. Dette ville sikre oversikt over hvem som tilbyr datasentertjenester, herunder kontaktinformasjon til personer som er ansvarlig for datasenteroperatøren og datasenteroperatørens virksomhet. Dette vil også gjøre det lettere å tilpasse rammebetingelsene til næringen og kundene, og føre tilsyn med at de nye sikkerhetskravene etterleves. I tillegg vil ansvarlig person for datasentrene kunne kontaktes av andre myndigheter, for eksempel av politiet, når dette er nødvendig. I tillegg ble det foreslått en forskriftshjemmel for å sikre at registreringsplikten kan detaljeres i forskrift slik at den lettere kan tilpasses behovet i tiden fremover. Krav om registrering gjelder også for ekomtilbydere i dag.
Det er i all hovedsak private aktører som bygger datasentre. Dette gjøres ut ifra kommersielle strategier og mange datasentre har allerede god sikkerhet fordi kundene krever det. Driften bygger imidlertid på resultatkrav som ikke nødvendigvis tar hensyn til samfunnets sikkerhetsbehov i tilstrekkelig grad. Det er viktig å sikre den digitale grunnmuren. For ekominfrastruktur og -tjenester er det allerede stilt krav gjennom ekomloven og sikkerhetsloven. I tilleggshøringen om datasentre ble det foreslått å stille tilsvarende krav til datasentre i Norge, ved å stille krav om at datasenteroperatør skal tilby og opprettholde datasentertjenester med forsvarlig sikkerhet for brukerne i fred, krise og krig. Datasenteroperatør skal opprettholde forsvarlig beredskap, og viktige samfunnsaktører skal prioriteres ved behov.
Departementet foreslo i utgangspunktet at sikkerhetsreguleringen skulle gjelde alle datasentre som faller inn under definisjonen av datasenter i § 1-5. Sikkerhetskravene var med andre ord ment også å omfatte både «vanlige datasenter» og datasenter som utvinner krypto. Kryptodatasenter ble inkludert fordi disse forvalter verdier attraktive for kriminelle aktører, både i form av servere og annen infrastruktur, samt tilgang til kraftressurser. Departementet begrunnet blant annet dette med at Norge er folkerettslig forpliktet til å hindre at digital infrastruktur i Norge blir benyttet i digitale angrep mot andre land. Om et annet land har grunn til å tro at et datasenter i Norge benyttes på folkerettsstridig måte, har landet en viss folkerettslig adgang til å beskytte seg. Derfor er det etter departementets vurdering, hensiktsmessig at alle datasentre, også de som kun utvinner krypto, utarbeider, iverksetter og vedlikeholder planer for sikring av informasjon, informasjonssystemer og styringssystemer for å ivareta sin egen sikkerhet.
Departementet viste i tillegg til at det er mer hensiktsmessig å underlegge samme sikkerhetsregulering for alle datasentre, enn å sette sikkerhetskrav som kun skal gjelde for noen datasenter, fordi skillet mellom de ulike aktivitetene datasenter driver med (co-location og kryptoutvinning) kan være glidende. Dette gjelder særlig fordi også enkelte co-location sentre har kunder som utvinner kryptovaluta.
I tilleggshøringen om ny regulering for datasentre ble det inkludert et forslag om at datasentre skal omfattes av bestemmelsen om bruksbegrensninger slik at bruksbegrensninger som er nødvendig av hensyn til nasjonal sikkerhet eller andre viktige samfunnsinteresser, kan gjennomføres.
Departementet foreslo at datasenteroperatør kan kreve fremleggelse av politiattest, jf. punkt 5.3.1, og at ekomlovens sanksjonssystem kan tas i bruk ved overtredelser, jf. punkt 19 om tilsyn og sanksjoner. I enkelte andre bestemmelser var det ikke nødvendig å foreta endringer for å inkludere datasentre og datasenteroperatører fordi dette følger av at bestemmelsenes ordlyd eller av at lovens virkeområde utvides.
Forskriftshjemmelen som ble foreslått vil gi hjemmel for å fastsette nærmere regler om forsvarlig sikkerhet og beredskap i datasentre, finansering, nasjonal autonomi og sikkerhetsrevisjon, sikkerhetsstyring, risiko- og sårbarhetsanalyser, beredskapsplanlegging og øvelser. Det innebærer at det kan innføres krav om systematisk oppfølgning av sikkerhet og beredskap og at dette skal dokumenteres.
18.4 Høringsinstansenes syn
Flertallet av høringsinstanser, herunder Norsk Datasenter Industri og IKT-Norge, Bulk Data Centers AS, Stack Infrastructure Nordics, og Green Mountain, uttrykker en generell støtte til den foreslåtte reguleringen av datasenterindustrien og viser til at dette gir en anerkjennelse av datasentrenes rolle i samfunnsinfrastrukturen. Høringsinstansene støtter opp om myndighetenes intensjon om å regulere bransjen ved å stille krav til sikkerhet og beredskap, i tillegg til en registreringsplikt som sikrer en løpende oversikt over bransjen. Høringsinstansene oppfatter hovedintensjonen med reguleringen som positiv. Flere høringsinstanser peker på at selv om bransjen har innført strenge sikkerhetskrav, er det nødvendig at myndighetene definerer hva som kreves.
Kryptovault AS, Arcane Green Data AS (Arcane Crypto AB), Stokmarknes Datasenter AS (Handelsbygg Holding AS) og Norsk Data AS (Oslofjord Datasenter AS) deler oppfatningen at det er behov for nærmere regulering av datasentre som bærer samfunnsviktige oppgaver. Høringsinstansene støtter at det stilles krav for å sikre befolkningens adgang til samfunnsviktige- og samfunnskritiske tjenester, men viser til at datasentre er forskjellige med tanke på eierskap og verdikjede og at det må gjenspeiles i de reguleringer og sikkerhetskrav departementet ønsker å innføre. Høringsinstansene fremhever at unødig byrdefulle krav til norske datasentre vil svekke konkurranseevnen vis-à-vis konkurrenter globalt og regionalt, og at det vil være mer hensiktsmessig å skille mellom typer av datasentre basert på tjenestene som kundene til datasenteret yter.
Northern Data NOR AS påpeker at forslaget til regulering synes å dekke alle typer av datasentre uten å ta hensyn til betydningen av de tjenestene som leveres, og viser til at ikke alle digitale tjenester er samfunnsrelevante eller samfunnskritiske. Northern Data opplever at forslaget bygger på en misforståelse om at alle datasentre er kritisk infrastruktur.
Telenor uttrykker at man deler departementets syn på viktigheten av å stille krav til sikkerhet og beredskap i det digitale domenet, herunder også for datasentre, og at man har forståelse for at departementet ønsker tydeligere hjemler for å regulere datasentre.
Abelia er positiv til å styrke den digitale beredskapen og robustheten i den digitale infrastrukturen, og datasentre som en viktig del av det, og er i utgangspunktet ikke negativ til en registreringsplikt. Abelia er samtidig opptatt av at nye krav er forutsigbare og underbygger den nasjonale datasenterindustrien, og bidrar til å opprettholde og styrke Norge som datasenternasjon. Det fremheves i den sammenhengen fra Abelia at det er kritisk at norsk regulering i så stor grad som mulig harmoniserer med europeiske og internasjonale regelverk.
Næringslivets Hovedorganisasjon (NHO) er positiv til at det stilles tydelige krav til sikkerhet og transparens i forbindelse med datasentervirksomheten i Norge, og støtter overordnet innføringen av registreringsplikt. NHO mener likevel at næringslivet ikke skal belastes med informasjonskrav og -plikter som er unødvendige eller urimelig komplisert å skaffe til veie.
Justis- og beredskapsdepartementet støtter at datasentre i Norge underlegges regelverk tilsvarende reguleringen som er foreslått for ekomtilbyderne.
Forsvarsdepartementet mener det er positivt at det stilles krav til forsvarlig sikkerhet for sivile installasjoner og datasentre, og støtter at det gjøres unntak for forsvarssektoren. Departementet oppfatter at intensjonen er å regulere private aktører som tilbyr tjenester fra datasentre eller som etablerer og opererer egne datasentre for å produsere tjenester.
Nasjonal Sikkerhetsmyndighet (NSM) er positiv til regulering av datasentre, men mener forslaget på enkelte punkter er utilstrekkelig, blant annet når det gjelder virkeområde, herunder definisjonene i forslaget.
Nasjonal kommunikasjonsmyndighet støtter forslaget om å stille nærmere krav til sikkerhet for datasentre, og at en registreringsplikt er viktig for å føre kontroll med denne viktige delen av den digitale infrastrukturen. Nasjonal kommunikasjonsmyndighet mener det er nødvendig å underlegge datasenteroperatørene visse sikkerhetskrav, på linje med kravene til ekomtilbydere.
Skatteetaten er positiv til forslag til nye regler om sikkerhetskrav og beredskap for datasentre. Etaten påpeker at den opererer egne, virksomhetsinterne, datasentre for sin egen tjenesteproduksjon, saksbehandling og databehandling som allerede er underlagt strenge sikkerhetskrav. Skatteetaten forutsetter derfor at definisjonen ikke er ment å omfatte datasentre hos offentlige myndigheter, men anmoder om at dette klargjøres i proposisjonsteksten.
Norges Bank støtter i hovedsak forslaget til regulering av datasentre, herunder registreringsplikt for datasenteraktører og krav til sikkerhet og beredskap. Norges Bank er bekymret over konsentrasjonsrisiko i form av at mange aktører i bank- og betalingssystemet er avhengig av noen få sentrale IKT-leverandører og datasentre, og viser til at disse ikke er underlagt tilsvarende regulering og tilsyn som de konsesjonspliktige aktørene i bank- og betalingssystemet. Norges Bank er derfor positiv til at reguleringsforslaget legger opp til tilsyn med og styrket beredskap i datasentre.
Folkehelseinstituttet (FHI) støtter forslaget til ny ekomlov med ny regulering av datasentre og understreker at strengere regulering av datasentre er utelukkende i tråd med myndighetens interesser. FHI viser til at det både vil gi FHI trygghet som dataforvaltere og fremme forutsigbarhet og tillit i innkjøpsprosesser og mellom leverandører som dekkes av lovhjemmelen. Samtidig antar FHI at reguleringen ikke vil ha betydelige praktiske eller økonomiske konsekvenser for myndighetens nåværende leverandører av datasentertjenester, slik som blant annet Norsk Helsenett og Tjenester for sensitive data (TSD), da disse er godt etablerte og profesjonelle aktører som ser ut til å helt eller i stor grad oppfylle de nye sikkerhetskravene som foreslås.
Politidirektoratet, Politiets sikkerhetstjeneste og Kripos er positive til og støtter ytterligere regulering av datasentre, men mener forslagene ikke er omfattende nok til å forebygge de risikoer politiet har vist til, eller til å gi politiet tilstrekkelig og tilsvarende evne til avverging og etterforskning av kriminell aktivitet på datasenterområdet som på andre områder. Kripos mener reguleringen bør utvides og skjerpes og at nødvendige krav til sikkerhet, beredskap og myndighetskontroll så langt er vektlagt i for liten grad, i forhold til ønsket om å utnytte næringspotensialet i datasenternæringen.
Politiets fellestjenester (PFT) støtter som ansvarlig for politiets datasenter, at politiet ikke er omfattet av definisjonen i ekomloven § 1-5. PFT viser til at politiet har et særlig behov for å kunne hemmeligholde både lokasjon og innhold i sine datasentre, både der politiet er eier og der politiet er leietaker.
Statsforvalteren i Trøndelag mener forslaget til regulering er et bra tiltak for å få oversikt over datasentre med innhold, og peker på at en god og oppdatert oversikt vil være viktig også som grunnlag for å kunne vurdere at forbruk med lavt prioritet slås av i en situasjon med kraftrasjonering.
NRK er positiv til å sikre og styrke sikkerheten og beredskapen til datasentre, men mener at det er viktig at andre grunnleggende hensyn ivaretas. Herunder vurderer NRK at det er flere forhold i forslaget til ny regulering som kan være problematiske i forhold til kildevernet. Dette gjelder også dersom sikkerhetsloven skulle få anvendelse på datasentre.
Brønnøysundregistrene vurderer at forslaget vil medføre nye registrerings- og rapporteringsplikter, som da legges til virksomhetens eksisterende forpliktelser. Brønnøysundregistrene viser til «Lov om Oppgaveregisteret» § 4 og gjør oppmerksom på kravet om at ny eller endret rapporteringsplikt skal meldes til oppgaveregisteret før endringene settes i kraft. Brønnøysundregistrene estimerer omfanget av potensielt berørte bedrifter til ca. 32 500 enheter.
18.4.1 Definisjoner
Flere høringsinstanser, deriblant Norsk Datasenter Industri/IKT Norge, Green Mountain, Kryptovault med flere har merknader til de foreslåtte definisjonene i loven. Siden det er første gang datasentersektoren reguleres og det derfor er første gang det foreslås legaldefinisjoner, gjennomgås innspillene til definisjonene i det følgende. Det er videre verdt å merke seg at den foreslåtte definisjonen i ny ekomlov § 1-5 av tjenester som leveres i et «co-location datasenter» ikke helt sammenfaller med bransjens definisjon ved å inkludere IaaS (Infrastructure-as-a-Service) i definisjonen. Et samlokaliseringsdatasenter («co-location datasenter») er i bransjesammenheng å oppfatte som et datasenter som tilbyr og leverer fysisk innplassering av kunders IT-utstyr, og tilhørende tjenester knyttet til det fysiske datasenteret, blant annet strømforsyning, kjøling, fysisk sikkerhet, tilgangskontroll og tilgang til nettverk og nettverksleverandører. Det foreslås at IaaS må tas ut av forslaget til definisjon.
Når det gjelder «virksomhetsinterne datasenter» ber Norsk Datasenter Industri/IKT Norge om at definisjonen utdypes og tydeliggjøres, for å klargjøre om dette unntaket gjelder kun aktørene i ekomsektoren eller generelt for datasentre i privat eller offentlig eie.
Telenor mener generelt at det er viktig med tydelighet i definisjonene som legges til grunn for ny regulering, jf. forslag til endringer i § 1-5, og anmoder om at det på egnet måte i definisjonen av datasenter tydeliggjøres et klart skille mellom anlegg (det vil si bygg/rom/kraftforsyning/kjøling) samt tjenestene som leveres i dette, til forskjell fra servere/data som utgjør bidrag til hele eller deler av produksjonen av digitale tjenester.
Etter Abelia sitt syn er definisjonen av hva som er et datasenter noe uklar og denne skaper forvirring, både rundt hvilke type datasentre som omfattes av regelverket og hvor grensen går for hva som er et datasenter utover elektrisk effekt. Det bør også klargjøres hvorvidt virksomhetsinterne datasentre omfattes av reguleringen. I tillegg mener Abelia det er behov for et tydeligere skille mellom et datasenter og et næringsanlegg hvor datalagring- og/eller prosessering er en betydelig del av, men ikke nødvendigvis hovedfunksjonen.
Green Mountain viser til at definisjonen på datasenter i lovforslaget avviker fra den definisjonen som gis i forskrift til særavgifter § 3-12-6 (redusert elavgift for datasenter), og tar til orde for at definisjonen av datasenter bør samkjøres.
Kryptovault AS er negativ til høringsforslaget og uttrykker at definisjonen av datasentertjenester omfatter langt mer enn bare drift av datasenter. Etter Kryptovault AS sitt syn vil det være mer hensiktsmessig at klienter av datasentre bærer ansvaret for hvilke sikkerhetskrav som er nødvendige i forbindelse med den aktivitet som skal knyttes til datasenteret. Et alternativ er at registreringsplikten og sikkerhetskravene blir gjeldende for datasentre som har kunder som tilbyr eller drifter samfunnskritiske tjenester.
Northern Data AS mener det er fullt mulig å definere tjenester som bør være omfattet av høyere nivå av sikkerhet og kontroll, og begrense reguleringen til disse. Høringsinstansen viser til at ikke-kritiske tjenester er selvregulert av markedet, og at sikkerheten allerede er god i mange datasentre fordi kundene krever det.
Nasjonal sikkerhetsmyndighet (NSM) mener det bør tydeliggjøres i selve lovteksten at også samlokaliseringsdatasentre (såkalte co-location-datasentre) omfattes av bestemmelsen. Et samlokaliseringsdatasenter har ofte innplassert utstyr og infrastruktur i leide haller hos datasenteroperatøren, og må omfattes av definisjonen av datasenteroperatør.
Norges vassdrags- og energidirektorat (NVE) mener det er uklart hvilken effekt det siktes til i ny ekomlov § 1-5 nr. 36, og foreslår at «abonnert elektrisk effekt» eller «målt elektrisk effekt» vil være riktig begrep å bruke.
Skatteetaten forutsetter at egne virksomhetsinterne datasentre hos offentlige myndigheter ikke omfattes av reguleringen, og ber om at dette klargjøres.
Politidirektoratet og Politiets Fellestjenester støtter forslaget om at politiet ikke skal omfattes av definisjonen i ny ekomlov § 1-5 nr. 36. Politiet har et behov for å skjerme informasjon om hvilke datasentre etaten benytter. Det er et klart behov for å kunne hemmeligholde både lokasjon og innhold i disse datasentrene, både der politiet eier og der politiet er leietaker.
Kripos mener det er problematisk når forslaget til regulering understreker betydningen av at datasenternæringen skal underlegges krav tilsvarende annen «ekominfrastruktur» eller regulering tilsvarende «ekomtilbydere» for øvrig, at det samtidig innføres egne definisjoner av datasenter, datasentertjeneste og datasenteroperatør. Dette er problematisk fordi mye av reguleringen som etablerer forpliktelser i forhold til og gir rettigheter til politiet er knyttet opp mot tilbyderbegrepet og tilhørende elektronisk kommunikasjonstjeneste.
Kripos mener også at definisjonen av datasenter i ny ekomlov § 1-5 i for stor grad er utformet ut ifra ønske om å ha oversikt over de datasentre som antas å ha samfunnskritisk betydning, mens mindre aktører ikke er tatt med. Kripos understreker at selv «små» datasentre kan benyttes til svært omfattende og alvorlig kriminalitet, og at behovet for å kunne håndheve norsk lov overfor disse er like stor som hos de datasentrene som nå foreslås omfattet av reguleringen.
Forsvarsdepartementet oppfatter at intensjonen med forslaget er å regulere private aktører som tilbyr tjenester fra datasentre eller som etablerer og opererer egne dedikerte datasentre for å produsere tjenester. Forsvarsdepartementet støtter derfor forslaget til unntak for forsvarssektoren i høringsnotatets forslag.
18.4.2 Tillatte bruksbegrensninger
Enkelte høringsinstanser som Norsk Datasenter Industri/IKT-Norge og Green Mountain uttrykker skepsis til forslaget om å inkludere datasentre i bestemmelsen om tillatte bruksbegrensning fordi forslaget åpner for svært inngripende tiltak fra myndighetenes side. Høringsinstansene viser til at forslaget vil kunne få potensielt ødeleggende konsekvenser for en datasenteroperatør og at internasjonale kunder også kan vurdere dette som en risikofaktor som gjør det mindre attraktivt å investere og operere i det norske markedet.
Justis- og beredskapsdepartementet påpeker at Norge er forpliktet, i henhold til folkeretten, til å forhindre at digital infrastruktur i Norge blir benyttet i digitale angrep på andre land.
Kripos støtter departementets forslag om å klargjøre at datasenteroperatør omfattes av reglene om bruksbegrensninger i ny ekomlov, og mener at reglene i første og andre ledd er helt nødvendige for nasjonal sikkerhet og andre viktige samfunnsinteresser.
18.4.3 Registreringsplikt
Flere høringsinstanser, herunder Green Mountain, Norges Bank, Telenor, Næringslivets Hovedorganisasjon, Abelia, Nasjonal sikkerhetsmyndighet og Nasjonal kommunikasjonsmyndighet, stiller seg positive til forslaget om å innføre en registreringsplikt for datasenteroperatører. Det er imidlertid ulike synspunkter på hvor terskelverdien for å omfattes av reguleringen skal settes. Det nærmere innholdet i registreringsplikten, samt terskelverdien som er innslagspunkt for reguleringen, er foreslått regulert i forskrift, og behandles derfor ikke nærmere her. Enkelte høringsinstanser mener samtidig at en slik registrering bør være så enkel som mulig, at næringslivet ikke skal belastes med informasjonskrav og -plikter som er unødvendige eller urimelig komplisert å skaffe til veie.
Kryptovault AS, Arcane Green Data AS (Arcane Crypto AB), Stokmarknes Datasenter AS (Handelsbygg Holding AS) og Norsk Data AS (Oslofjord Datasenter AS) uttaler derimot at det vil være mer hensiktsmessig at kunder av datasentre bærer ansvaret for hvilke sikkerhetskrav som er nødvendige i forbindelse med den aktivitet som skal knyttes til datasenteret. Det finnes allerede et internasjonalt anerkjent klassifiseringsregime som en slik løsning harmonerer med. En frivillig sertifiseringsordning, hvor datasenteret selv kan velge å registrere seg og dokumentere omfattende sikkerhetstiltak, eller at registreringsplikten kun skal omfatte datasentre med kunder som tilbyr eller drifter samfunnskritiske tjenester, vil være en mer effektiv måte å oppnå formålet bak forslaget fra departementet.
Kripos støtter forslaget om registreringsplikt for datasenteroperatør på lik linje med ekombransjen for øvrig, og ser stor nytte av en oversikt over næringens operatører. Som høringsforslaget fremhever, vil dette avhjelpe politiets behov for å komme i kontakt med aktuelle datasentre.
Politiet Sikkerhetstjeneste (PST) anfører at forslaget om registreringsplikt i mindre grad vil løse de utfordringene PST møter, da det viktige for PST er at lovverket legger til rette for at norske myndigheter kan gjøre seg kjent med identiteten til de aktørene som faktisk disponerer serverne i norske datasentre, og følgelig gi PST tilgang til datatrafikken som passerer gjennom sentrene. PST påpeker at for PST er det vesentlig å kunne identifisere den reelle leietakeren i datasentre og kunne spore datatrafikk knyttet til disse i de saker som ligger under PSTs ansvarsområde.
18.4.4 Sikkerhetskrav i datasenter
Flere høringsinstanser, herunder Norsk Datasenter Industri/IKT Norge, Bulk Data Centers AS, Green Mountain, Stack Infrastructure Nordics, Telenor, Norges Bank, Abelia, Politidirektoratet, Kripos, Nasjonal sikkerhetsmyndighet og Nasjonal kommunikasjonsmyndighet, stiller seg positive til forslaget om å stille sikkerhetskrav til datasentre og uttrykker at dette er viktig for å sikre den digitale grunnmuren.
Northern Data NOR AS og Kryptovault AS, Arcane Green Data AS (Arcane Crypto AB), Stokmarknes Datasenter AS (Handelsbygg Holding AS) og Norsk Data AS (Oslofjord Datasenter AS) stiller imidlertid spørsmål ved forslaget til regulering som synes å dekke alle typer av datasentre uten å ta hensyn til betydningen av de tjenestene som leveres, og viser til at ikke alle digitale tjenester er samfunnsrelevante eller samfunnskritiske.
Telenor uttaler:
«Det stilles videre krav til sikkerhet i datasentre tilsvarende det som vil gjelde for ekomnett og -tjenester. Det legges dermed opp til at datasenteroperatørene har et ansvar for «forsvarlig sikkerhet». Telenor ønsker velkomment ytterligere sikkerhetskrav i datasentre, men vil bemerke at grad av sikkerhet for datasentre vil avhenge av de tjenestene som produseres i sentret, og at et slikt krav vil medføre at det er et behov for at datasenteroperatøren opprettholder en oversikt over hvilke tjenester deres kunder produserer og vurderer hvilke sikringstiltak som er nødvendige. Det bør etter Telenors oppfatning klargjøres at det for datasenteroperatøren er sikkerheten til anlegget og datasentertjenestene som sådan som skal vurderes, og ikke sikkerheten til tjenestene som produseres i senteret. Det må påhvile de som benytter anlegget og datasentertjenestene et ansvar om å sikre forsvarlig sikkerhet av sitt utstyr og informasjon i henhold til de lover og regler disse er underlagt, herunder for eksempel sikkerhetsloven.
Videre bør det ikke legges opp til krav som medfører at datasenterleverandøren har behov for innsikt i hvilke tjenester som produseres eller hvordan disse tjenestene er sikret. Dette ansvaret bør ligge på eier av tjenesten, som selv vil måtte vurdere sikkerhetsnivået for tjenesten, også hensyntatt evt. annet regelverk, og velge leverandør ut fra det. Ved behov for økt sikkerhet ut over det datasenteroperatøren i utgangspunktet tilbyr, bør dette baseres på markedsmessige forhandlinger mellom partene».
Abelia og Næringslivets Hovedorganisasjon uttaler at grad av sikkerhet for datasentre vil avhenge av de tjenestene som produseres i sentret. De foreslåtte kravene vil medføre at det er behov for at datasenteroperatøren har oversikt over hvilke tjenester deres kunder produserer og vurderer hvilke sikringstiltak som er nødvendige for disse. Det bør klargjøres at datasenteroperatøren skal ivareta sikkerheten til anlegget og datasentertjenestene, og ikke sikkerheten til tjenestene som produseres i senteret.
18.4.5 Kildevern
NRK har i sin høringsuttalelse uttrykt støtte til forslaget om å sikre og styrke sikkerheten og beredskapen til datasentre. Samtidig minner NRK om at det er viktig at kildevernet og medienes uavhengighet hensynstas. NRK påpeker at kildevernet den senere tid er blitt utsatt for press fra flere kanter, både fordi den teknologiske utviklingen har åpnet for innsamling av informasjon og overvåkning av kommunikasjon på en måte NRK ikke tidligere har sett, og fordi myndighetene er gitt utvidede lovhjemler til å gjøre bruk av blant annet skjult innsamling. Dette medfører et behov for å styrke kildevernet. En fri og uavhengig presse er en grunnpilar i ethvert fungerende demokrati og derfor er det viktig å sørge for at mediene ikke på noen måte kan oppfattes som myndighetenes «forlengede arm». NRK fremhever derfor at det er viktig at det presiseres i loven eller forarbeidene at adgangen til å drive tilsyn ikke omfatter tilgang til data (innholdsdata). NRK ber om at det presiseres at tilsynsmyndigheten hverken skal ha tilgang til lagrede data eller data under overføring eller transitt. NRK viser til at kildevernet også omfatter data som mer indirekte kan lede til at kilder identifiseres. Dersom NRKs egne anlegg omfattes av lovforslaget, ber NRK om at disse særskilt unntas av hensynene som fremgår ovenfor.
18.5 Departementets vurdering
For departementet er det viktig å få en oversikt over datasenterbransjen ved å stille krav til registrering av datasentre. Det er også viktig å kunne stille krav til forsvarlig sikkerhet. Departementet opprettholder derfor i hovedsak forslaget til regulering av datasentre i ny ekomlov § 3-7. De fleste høringsinstanser er positive til at det stilles krav til datasentre i ny ekomlov. Noen få høringsinstanser mener at en regulering er unødvendig og at bransjen selv håndterer sikkerhet, uten at det stilles myndighetskrav. Enkelte instanser mener at forslaget ikke går langt nok i kriminalitetsbekjempelsesøyemed eller gir politiet de nødvendige verktøyene for å håndtere etterforskning og andre strafferettslige forhold i tilknytning til datasentre. Departementet viser til at den foreslåtte reguleringen av datasentre er et første skritt for å regulere en bransje som til nå i stor grad har vært uregulert. I tillegg foreslår departementet en mer omfattende forskriftshjemmel som ivaretar justissektorens behov for å ivareta hensynet til kriminalitetsbekjempelse og nasjonal sikkerhet. Forskriftshjemmelen åpner blant annet for at datasenteroperatøren skal føre oppdaterte lister over egne kunder og deres plassering i datasenteret. Kunnskap om hvem som er kunder i et datasenter, hvor i senteret de har sin virksomhet og rask tilgang til slik informasjon kan være avgjørende for at politiet og EOS-tjenestene skal kunne oppfylle sine samfunnsoppdrag. Det er viktig både å kunne identifisere kunden og kunne lokalisere dennes datastrøm. Det foreslås derfor at forskriften skal kunne gi hjemmel for politiet og EOS-tjenestene på nærmere vilkår til å kunne innhente denne informasjonen i forebyggende øyemed. Departementet understreker samtidig at nærmere regler i forskrift må balanseres opp mot næringens behov for hensiktsmessige rammevilkår.
Departementet vil videre utrede om andre aktører, blant annet virksomheter som tilbyr relevante lagrings- og vertstjenester, skal pålegges pliktene i ekomloven med betydning for kriminalitetsbekjempelse og ivaretagelse av nasjonal sikkerhet, herunder lagring og utlevering av IP-data og plikt til å tilrettelegge for lovbestemt tilgang til informasjon.
18.5.1 Definisjoner
Definisjonene er sentrale for å avgrense virkeområdet for de foreslåtte bestemmelsene om datasenter. Det er viktig at definisjonene er formulert og avgrenset på en klar og tydelig måte, og departementet har vurdert innspillene som er gitt av høringsinstansene til ordlyden i definisjonene av datasenter, datasentertjeneste og datasenteroperatør i § 1-5. Når det gjelder Kripos’ innspill om at «tilbyderbegrepet» bør benyttes i stedet for begrepet «datasenteroperatør» med begrunnelsen at «ekomtilbyder» i dagens ekomlov gir visse rettigheter for politiet i deres kriminalitetsbekjempelse og dette derfor vil lette politiets arbeid, understreker departementet at en datasenteroperatør ikke er en ekomtilbyder. Departementet viser også til at ekomtilbyder ilegges en rekke plikter og gis rettigheter i ekomloven som ikke er aktuelle for en datasenteroperatør. Det er derfor nødvendig å skille de to reguleringssubjektene tilbyder og datasenteroperatør. Reguleringen av datasentre i ny ekomlov medfører i tillegg at en ny bransje reguleres, og departementet mener derfor det er behov for egne definisjoner av datasentre, datasentertjeneste og datasenteroperatør i lovforslaget, for å sikre forutsigbarhet og tydelighet rundt reguleringen. Departementet opprettholder derfor forslaget om datasenteroperatør som eget reguleringssubjekt.
Departementet viser til at definisjon av datasenter i forskrift om særavgifter § 3-12-6 nå er opphevet, jf. Prop. 1 S (2022–2023) om Nasjonalbudsjett for 2023. Departementet har i etterkant av høringen justert definisjonen av datasenter i § 1-5 nr. 36 for i større grad å være i samsvar med EUs definisjon av datasenter. Det har også vært et behov for klarere å avgrense datasenterdefinisjonen mot skytjenester eller datasentertjenester som produseres i datasenteret da dette per nå ikke er ment omfattet av definisjonen.
Datasentertjeneste defineres i § 1-5 nr. 37. Departementet har vurdert høringsinnspill fra datasenterbransjen, herunder at definisjonen ikke bør omfatte IT-infrastrukturtjenester, og har justert definisjonen for i større grad reflektere hvilke tjenester de fleste datasentre i Norge leverer. Den foreslåtte definisjonen samsvarer også i større grad med datasentertjeneste slik det fremgår av NIS2-direktivet. Datasentertjeneste defineres som «en tjeneste som legger til rette for innplassering, tilkobling og drift av IT- og nettverksutstyr for datalagring, dataprosessering eller dataoverføring. Tjenesten omfatter i tillegg fysisk sikkerhet, strøm og kjøling, og kan inkludere andre relaterte tjenester».
Forslaget i høringsnotatet unntok virksomhetsinterne datasentre hos tilbydere av elektronisk kommunikasjon, med begrunnelse at reguleringen av sikkerheten til de elektroniske kommunikasjonstjenestene allerede dekkes av kravene i ekomloven. Telenor, Abelia samt Norsk Datasenter Industri og IKT-Norge har pekt på at ordlyden i definisjonen av datasenteroperatør er utydelig og det er uklart om unntaket gjelder kun aktører i ekomsektoren eller datasentre i privat eller offentlig eie generelt. I tillegg foreslår NSM at det spesifiseres at definisjonen av datasenteroperatør også omfatter leietaker i et samlokaliseringsdatasenter.
Departementet ser at høringsforslaget til § 1-5 nr. 38 kan klargjøres, samtidig er departementet opptatt av at virksomhetsinterne datasentre, både i privat og i offentlig regi, også kan være bærere av samfunnskritiske funksjoner. Det er viktig at det er tydelig hvilke aktører som omfattes av regelverket, samtidig som det er et mål at reguleringen skal bidra til å ivareta og styrke sikkerheten i datasentre på bred basis. Departementet mener derfor at det er viktig at virksomhetsinterne datasentre omfattes av reguleringen. Videre er departementets oppfatning at ordlyden i høringsforslaget til § 1-5 nr. 38 i utgangspunktet omfatter samlokaliseringsdatasenter. For å unngå uklarhet om hvilke aktører som omfattes, foreslår departementet å spesifisere dette tydeligere i definisjonen. Departementet er også enig i Norges vassdrags- og energidirektoratets innspill når det gjelder omtalen av begrepet knyttet til å måle terskelverdien og endrer dette til «abonnert elektrisk effekt».
18.5.2 Tillatte bruksbegrensninger
Flere høringsinstanser er negative til muligheten for å innføre bruksbegrensninger og viser til at dette åpner opp for svært inngripende tiltak fra myndighetene. De mener dette vil være negativt for muligheten til å tiltrekke internasjonale kunder. Dersom forslaget skal opprettholdes, er det behov for en presisering av tilfeller hvor myndighetene kan pålegge bruksbegrensninger. Kripos derimot viser til betydningen av en hjemmel som gir myndighet til å innføre bruksbegrensninger i særlige tilfeller. Departementet er enig i at pålegg om bruksbegrensning vil kunne utgjøre et stort inngrep i virksomheten for et enkelt datasenter, men fremhever at det er tydelige begrensninger i bestemmelsen for hvordan og i hvilke tilfeller den kan benyttes av myndighetene. Forslaget til bestemmelse klargjør at det kun er av hensyn til nasjonal sikkerhet eller andre viktige samfunnsinteresser at myndigheten kan pålegge en datasenteroperatør å gjennomføre bruksbegrensninger. I tillegg skal datasenteroperatør gjennomføre nødvendige bruksbegrensninger i nødsituasjoner som innebærer alvorlige trusler mot liv eller helse, nasjonal sikkerhet eller offentlig orden eller fare for sabotasje. Etter departementets syn representerer vilkårene i bestemmelsen en tydelig presisering og avgrensning av i hvilke tilfeller bestemmelsen kan brukes. Bestemmelsen vil kun benyttes i nødstilfeller, og vil representere et avvik fra normal drift. Departementet vurderer at det er behov for å opprettholde forslaget til § 3-8 (tillatte bruksbegrensninger) i tråd med høringsforslaget.
18.5.3 Registreringsplikt
De fleste høringsinstanser har uttalt seg om registreringsplikten og stiller seg positive til forslaget. Departementet fremhever behovet for å få bedre oversikt over datasenterbransjen og kontaktpersoner i de ulike datasentrene. En registreringsplikt er nødvendig for at myndighetene skal kunne føre tilsyn med at datasenterreguleringen oppfylles, og ellers utføre sine øvrige lovpålagte oppgaver, som for eksempel hendelseshåndtering, etterforskning, kartlegging av datasentrenes kritikalitet og avdekke konsentrasjonsrisiko av samfunnskritiske tjenester og hvor disse blir levert fra. Departementet erkjenner at registreringsplikten ikke vil løse alle utfordringer knyttet til identifisering av aktører som opererer datasentre, men at registreringsplikten vil være et første skritt. Forslaget til § 3-7 første ledd om registreringsplikten opprettholdes derfor i tråd med høringsforslaget.
Departementet viser til høringsinnspill fra Kryptovault AS, Arcane Green Data AS (Arcane Crypto AB), Stokmarknes datasenter AS (Handelsbygg Holding AS) og Norsk Data AS (Oslofjord Datasenter AS) samt Northern Data NOR AS og Stack Infrastructures, som stiller spørsmål ved hensikten med en terskelverdi for registreringsplikt basert på størrelse, og fremhever at det kan medføre risiko for at mindre datasentre som leverer kritiske tjenester faller utenfor registreringsplikten. Samtidig som et av hovedformålene er bedre oversikt og kontroll med datasenternæringen, er departementet opptatt av at reguleringen treffer de viktigste aktørene som opererer datasentre og datasentertjenester i Norge. Departementet vurderer derfor at det er hensiktsmessig med en viss terskel for registreringsplikten. I lys av høringsinnspillene vil departementet foreta en ny vurdering av terskelverdiens størrelse som skal fastsettes i forskrift. Departementet fastholder at det i definisjonen av datasenteroperatør skal fastsettes en terskelverdi i forskrift.
18.5.4 Sikkerhetskrav i datasenter
De fleste høringsinstansene har uttalt seg positivt til forslaget om å stille krav til sikkerhet og beredskap i datasenter, og påpeker at dette er viktig for å sikre den digitale grunnmuren.
Etter departementets syn vil regulering av datasenterbransjen være nødvendig for å sikre «forsvarlig sikkerhet». Vurderingstema for forsvarlighetskravet foreslås angitt i lovbestemmelsen. Kravet til «forsvarlig sikkerhet» presiseres nærmere gjennom detaljkrav i forskrift, men vil også ytterligere defineres og utpensles gjennom veiledning og dialog med sektormyndighet. Loven åpner for en risikobasert tolkning, og anerkjente bransjestandarder tillegges vekt.
Innholdet i kravet til «forsvarlig sikkerhet» vil være gjenstand for en dynamisk utvikling i takt med den teknologiske utviklingen og hva som er teknisk gjennomførbart, samt det til enhver tid gjeldende behov for sikkerhet i datasenteret. Prinsippet om forholdsmessighet og balanse mellom sikkerhetskrav og kostnader gjelder. Krav til forsvarlig sikkerhet og nivået eller graden av sikkerhet som kreves vil også påvirkes av hvilke tjenester datasenteret leverer. De foreslåtte kravene vil medføre at det er behov for at datasenteroperatøren har oversikt over hvilke tjenester deres kunder produserer og vurderer hvilke sikringstiltak som er nødvendige for disse. Departementet presiserer likevel at det for datasenteroperatøren er sikkerheten til anlegget og datasentertjenestene som sådan som skal vurderes og ivaretas, og ikke sikkerheten til tjenestene som produseres i senteret av datasenterets kunder.
Departementet foreslår basert på justissektorens innspill at forskriftshjemmelen i § 3-7 i større grad må åpne opp for å kunne forskriftsfeste krav til nasjonal sikkerhet og kriminalitetsbekjempelse i datasenter. Dette er nå reflektert gjennom en tilføyelse i § 3-7 femte ledd. Departementet understreker samtidig at nærmere regler i forskrift må balanseres opp mot næringens behov for hensiktsmessige rammevilkår.
18.5.5 Kildevern
NRK har i sin høringsuttalelse uttrykt bekymring for at kildevernet og medienes uavhengighet ikke hensyntas ved innføring av ny ekomlov. NRK har særlig anmodet om at det presiseres at tilsynsmyndigheten verken skal ha tilgang til lagrede data eller data under overføring eller transitt. NRK viser til at kildevernet også omfatter data som mer indirekte kan lede til at kilder identifiseres. Etter departementets vurdering vil et tilsyn gjennomført med hjemmel i ekomloven, ikke kompromittere kildevernet eller medienes uavhengighet. Det understrekes likevel at tilsynskompetansen, herunder adgangen til å få tilgang til opplysninger og lokaler med videre, må utøves i tråd med de alminnelige skrankene for inngrep i ytrings- og informasjonsfriheten, jf. Grunnloven § 100 og EMK artikkel 10. Tilsynet vil i utgangspunktet gjelde tilsyn med og vurderinger av systemsikkerheten til infrastrukturen, rutiner, loggføring etc. Tilsyn vil ikke omfatte tilgang til innholdsdata. Med disse skrankene, er det departementets vurdering at kildevernet ikke vil settes i fare ved innføring av ekomlovens bestemmelser.
Det vises for øvrig til at NRKs beredskapsansvar nedfelt i kringkastingsloven, som innebærer at det i en krise eller lignende situasjoner kringkastes viktig informasjon fra statsmyndighet til allmennheten via NRK P1. Departementet mener også av denne grunn at det vil være uheldig om NRKs egne anlegg unntas virkeområdet for bestemmelsene om datasenter, da det vil kunne være av betydning for den lovpålagte beredskapsplikten som påhviler NRK at det føres tilsyn med ivaretakelsen av sikkerheten i slike datasentre tilknyttet denne virksomheten. Departementet foreslår derfor at NRK ikke unntas datasenterreguleringen.