5 Sikkerhet og robusthet
5.1 Sikkerhet i elektroniske kommunikasjonsnett og -tjenester
5.1.1 Gjeldende rett
Ekomloven § 2-7 andre ledd gjelder varslingsregler ved brudd på kommunikasjonsvernet. Bestemmelsen slår fast at tilbyder uten ugrunnet opphold og senest innen 24 timer skal varsle abonnent eller bruker ved særlig risiko for brudd på sikkerheten ved sikkerhetsbrudd som har skadet eller ødelagt lagrede data og ved sikkerhetsbrudd som har krenket personvernet til abonnent eller bruker.
Sikkerhets- og beredskapsforpliktelsene som gjelder for tilbydere av elektroniske kommunikasjonsnett og -tjenester er i hovedsak nedfelt i gjeldende ekomlov §§ 2-7, 2-9 og 2-10, ekomforskriften kapittel 8, klassifiseringsforskrifta og forskrift om prioritet i mobilnett.
I henhold til ekomloven § 2-10 første ledd skal tilbyder tilby elektroniske kommunikasjonsnett og -tjenester med forsvarlig sikkerhet for brukerne i fred, krise og krig. Tilbyder skal opprettholde nødvendig beredskap, og viktige samfunnsaktører skal prioriteres ved behov.
Formålet med ekomloven § 2-10 første ledd er å sikre at tilbyder ivaretar den grunnleggende sikkerheten i nett og tjenester, og at man sørger for nødvendig beredskap også for å kunne håndtere situasjoner utover det normale.
I Prop. 69 L (2012–2013) Endringer i ekomloven på side 26 defineres begrepet «sikkerhet»:
«Sikkerhet innenfor elektronisk kommunikasjon defineres gjerne som sikring av tilgjengeligheten til ekomnett og -tjenester, sikring av nettets og kommunikasjonens integritet og sikring av kommunikasjonens konfidensialitet. Det vil si at nett og tjenester skal være sikret mot brudd og ha riktig kvalitet, og at nett, systemer og innhold skal være sikret mot manipulasjon og innsyn.»
Som det fremgår av utdraget favner ekomloven § 2-10 sikring av tilgjengelighet, integritet og konfidensialitet.
Ekomlovens krav til forsvarlig sikkerhet dekker grunnsikring ved både tilsiktede og utilsiktede hendelser. Forsvarlighetsnivået innebærer at nett og tjenester, selv i situasjoner med ekstraordinære påkjenninger, skal være tilgjengelige, og at integritet og konfidensialitet skal beskyttes.
I Prop. 69 L (2012–2013) Endringer i ekomloven punkt 5.2.3 og merknaden til § 2-10, ble det vist til at alle tilbydere skal oppfylle samme forsvarlighetsstandard som et slags minstenivå for sikkerhet. Hva som for øvrig må anses for å være forsvarlig vil fremkomme gjennom markedspraksis, tilgjengelig teknologi og internasjonale krav, samt gjeldende risiko- og trusselbilde.
Bestemmelsen utfyller sikkerhetslovens relevante bestemmelser for ekomsektoren. Sikkerhetskrav nedfelt i sikkerhetsloven gjelder for de virksomheter som er underlagt sikkerhetsloven ved vedtak. Det betyr at kravene i sikkerhetsloven gjelder i tillegg til kravene i ekomloven for disse virksomhetene. Ekomloven gjelder alle tilbydere av elektroniske kommunikasjonsnett og -tjenester.
Bestemmelsen er operasjonalisert i ekomforskriften kapittel 8 om sikkerhet og beredskap, i klassifiseringsforskrifta og i forskrift om prioritet i mobilnett.
5.1.2 Endringsbehov
5.1.2.1 Ekomdirektivet
Sikkerhet er i Ekomdirektivet definert langs aksene tilgjengelighet, autentisitet, integritet og konfidensialitet. Ekomdirektivet artikkel 40 nr. 1 pålegger medlemslandene å sørge for at tilbydere av offentlige elektroniske kommunikasjonsnett og -tjenester tar egnede og forholdsmessige tekniske og organisatoriske tiltak for risikostyring av sikkerheten i nett og tjenester. Sett hen til nyeste tekniske løsninger skal tiltakene ivareta og sørge for et sikkerhetsnivå som står i forhold til risikoen. Kryptering nevnes spesifikt som et mulig tiltak. Fokuset på at tiltakene skal være forholdsmessige, er nytt sammenlignet med det opphevede rammedirektivet.
I ekomdirektivets fortale punkt 94 vises det til at sikkerhetstiltakene bør ta hensyn til alle relevante aspekter. Når det gjelder sikkerhet for nett og ressurser omfatter dette fysisk sikkerhet og miljøsikkerhet, forsyningssikkerhet, kontroll av tilgang til nett og integriteten til nett; når det gjelder håndtering av sikkerhetshendelser omfatter det prosedyrer for håndtering, kapasitet til å påvise sikkerhetshendelser, rapportering og kommunikasjon av sikkerhetshendelser; når det gjelder håndtering av kontinuitet i virksomheten omfatter det strategi for opprettholdelse av tjenester samt beredskapsplaner og kapasitet til gjenoppretting etter katastrofer; når det gjelder overvåking, revisjon og testing omfatter det strategier for overvåking og loggføring, planer for beredskapsøvelser, testing av nett og tjenester, sikkerhetsvurderinger og overvåking av etterlevelse, samt etterlevelse av internasjonale standarder.
Dersom det er hensiktsmessig for å forebygge og redusere virkningene av sikkerhetshendelser for brukerne og for andre nett og tjenester, skal det treffes tiltak.
Ekomdirektivet artikkel 40 nr. 2 pålegger medlemslandene å sørge for at tilbydere av ekomnett og -tjenester, uten unødig opphold, underretter myndigheten om sikkerhetshendelser som har hatt vesentlig innvirkning på driften av nett eller tjenester.
Ekomdirektivet artikkel 40 nr. 2 erstatter rammedirektivet artikkel 13a nr. 3 og konkretiserer krav til varsling. For å kunne vurdere betydningen av en sikkerhetshendelses virkning skal man se hen til følgende:
Antall brukere som er påvirket av sikkerhetshendelsen.
Varigheten av sikkerhetshendelsen.
Størrelsen på det geografiske området som er påvirket av sikkerhetshendelsen.
I hvilket omfang nettets eller tjenestens virkemåte er påvirket.
I hvilket omfang økonomiske eller samfunnsmessige aktiviteter er påvirket.
Videre oppstilles det en plikt til å underrette myndigheten i andre medlemsland og den europeiske unions byrå for nett- og informasjonssikkerhet (ENISA) i saker av relevans. En oversikt over mottatte varslinger skal sendes Kommisjonen og ENISA i en årlig rapport.
Ekomdirektivet henviser til at ENISA skal sørge for en koordinering av medlemslandene for å unngå ulike nasjonale krav som kan skape sikkerhetsrisiko og hindringer for det indre marked. ENISAs støttefunksjon får slik en tydeligere rolle.
Ekomdirektivet artikkel 40 nr. 3 fastslår at når det gjelder en konkret og betydelig trussel om en sikkerhetshendelse i offentlige tilgjengelige elektroniske kommunikasjonsnett eller offentlig tilgjengelige elektroniske kommunikasjonstjenester, skal tilbyderne av slike nett eller tjenester underrette de av brukerne som potensielt kan bli påvirket av en slik trussel om eventuelle vernetiltak eller avhjelpende tiltak som brukerne kan treffe. Tilbyderne skal også underrette brukerne om selve trusselen hvis dette er hensiktsmessig.
Ekomdirektivet artikkel 41 nr. 1 pålegger medlemsstatene å sikre at myndigheten har hjemmel til å gi tilbydere av offentlig tilgjengelig elektronisk kommunikasjonsnett eller offentlig tilgjengelig elektronisk kommunikasjonstjeneste bindende instrukser når det er påvist en alvorlig trussel, med formål å avhjelpe en sikkerhetshendelse eller hindre at en slik oppstår.
Videre pålegger ekomdirektivet artikkel 41 nr. 2 bokstav b medlemsstatene å sikre at myndigheten har hjemmel til å pålegge tilbyder av offentlig tilgjengelig elektronisk kommunikasjonsnett eller tilbyder av offentlig tilgjengelig elektronisk kommunikasjonstjeneste å underkaste seg en sikkerhetsrevisjon utført av et kvalifisert, uavhengig organ eller en kompetent myndighet. Resultatet av revisjonen skal stilles til rådighet for myndigheten, og kostnadene ved revisjonen skal betales av tilbyderen.
Ekomsektoren, og tjenestene knyttet til sektoren, er i stadig større grad grenseoverskridende. Utfordringer rundt sikkerhet kan ikke løses av det enkelte land alene. Eksempelvis vil det være behov for å samkjøre regelverk på tvers av Europa for å legge til rette for varsling om sikkerhetshendelser mellom relevante myndigheter.
5.1.2.2 Nasjonale behov
Samfunnet er helt avhengig av elektronisk kommunikasjon. I utredninger om samfunnssikkerhet de senere årene har elektorinsik kommunikasjkon fått stor oppmerksomhet. Lysne-utvalget uttaler i sin rapport NOU 2015: 13 Digital sårbarhet – sikkert samfunn at:
«de verdiene og funksjonene som ekomnett og -tjenester leverer, er en helt sentral forutsetning for at andre samfunnsfunksjoner skal kunne levere det de skal. Samtidig er det en stadig økende forventning i samfunnet om at ekom som innsatsfaktor er stabil og tilgjengelig. […]»
Norske elektroniske kommunikasjonsnett og -tjenester har høy kvalitet og høy oppetid. Avhengigheten til elektroniske kommunikasjonsnett og -tjenester er økende og stadig mer kritisk. Krav til driftssikkerhet og kvalitet i nett og tjenester vil øke ytterligere i årene fremover.
Økt kompleksitet i nett og tjenester medfører økt risiko for tekniske feil, i tillegg til risiko for menneskelige feil, påvirkning utenfra, ulykker og økt angrepsflate. Hendelser som berører nett eller tjenester kan få konsekvenser for nettenes og tjenestenes funksjon og tilgjengelighet. Kontinuerlig og systematisk forebyggende driftssikkerhetsarbeid er en forutsetning for å forhindre og redusere konsekvensene.
På bakgrunn av dette foreslås endringer i ekomloven § 2-10 om sikkerhet og beredskap for å legge til rette for en ytterligere styrking av sikkerheten i elektroniske kommunikasjonsnett og -tjenester. Videre foreslås det flere bestemmelser om sikkerhet i loven og ytterligere operasjonalisering av sikkerhet i nett og tjenester på forskriftsnivå.
Departementets og Nasjonal kommunikasjonsmyndighets erfaring med tilsyn etter sikkerhetshendelser, tilsier at det kan være behov for forskriftshjemmel for å kunne stille krav om en uavhengig sikkerhetsrevisjon for å klargjøre og få nødvendig oversikt over virksomhetens sikkerhetsnivå. Gjeldende regelverk har ikke hjemmel for igangsettelse av uavhengig sikkerhetsrevisjon finansiert av tilbyderen selv etter pålegg fra myndigheten.
5.1.3 Forslaget i høringsnotatet 2. juli 2021
Teknologiutviklingen vil føre til en økende digitalisering innenfor alle kritiske samfunnsfunksjoner de nærmeste årene. Utviklingen forsterker koblingen mellom den digitale grunnmuren og samfunnsverdier som liv og helse, natur og miljø, økonomi, samfunnsstabilitet og demokratiske verdier og styringsevne. Infrastrukturens motstandsdyktighet mot naturhendelser og ekstreme påkjenninger blir stadig viktigere. Trusselaktørenes muligheter til å ramme virksomheter, infrastrukturer og tjenester i ekomsektoren er også mange.
Digitaliseringen i de ulike samfunnssektorene forutsetter tilgjengelige ekomnett og -tjenester som ivaretar kommunikasjonens konfidensialitet, autentisitet og integritet. Samfunnsutviklingen fordrer økt sikkerhet i nett og tjenester.
Utviklingen fører til at det er mer omfattende og komplekst å skulle holde oversikt over og vurdere beskyttelsesbehovet for enkeltkomponentene i infrastruktur og informasjonssystemer. Bruk av funksjonelle krav og rettslige standarder er grunnleggende for at forebyggende sikkerhet skal utvikle seg i takt med samfunnsutviklingen og endringer i risiko- og trusselbildet. Et funksjonelt regelverk stiller store krav til virksomhetens arbeid med forebyggende sikkerhet og til myndighetenes veilednings- og tilsynsarbeid for å oppnå et forsvarlig sikkerhetsnivå.
I henhold til sikkerhetskravene i gjeldende ekomregelverk har tilbyder et ansvar for å tilby elektroniske kommunikasjonsnett og -tjenester med forsvarlig sikkerhet for brukerne i fred, krise og krig, jf. gjeldende ekomlov § 2-10 første ledd.
Ordlyden i ekomloven § 2-10 dekker allerede i dag i stor grad ekomdirektivet artikkel 40 nr. 1, men direktivet omfatter også begrepet autentisitet. Presiseringen er nærmere beskrevet i merknaden til bestemmelsen. Når det gjelder krav til beredskap ble dette foreslått endret fra nødvendig beredskap til forsvarlig beredskap for å være mer i tråd med forsvarlighetskravet for øvrig i bestemmelsen.
Det ble videre foreslått å lovfeste krav til systematisk oppfølging av sikkerhet og beredskap i nett og tjenester. Forsvarlig sikkerhet fordrer god sikkerhetsstyring fra virksomhetens side, og departementet ser det som hensiktsmessig å utdype dette nærmere i lov og forskrift. Ekomdirektivet stiller krav om at medlemsstatene skal sikre at tilbyderne treffer egnede og forholdsmessige tekniske og organisatoriske tiltak. I tillegg mener departementet at det kan være hensiktsmessig å operasjonalisere kravet til forsvarlig sikkerhet for å tydeliggjøre hva som forventes av tilbyderne. På denne bakgrunn ble det foreslått at tilbydere skal sørge for systematisk oppfølging av sikkerhet i nett og tjenester og at de skal dokumentere sitt sikkerhetsarbeid. Det fremgår ikke direkte av lovteksten at tiltakene skal være forholdsmessige, men dette er uansett et viktig forvaltningsprinsipp som også gjelder her. Det ble heller ikke foreslått å presisere i lovteksten at tiltak skal være egnede, da dette må anses å være underforstått. Ekomdirektivet slår fast at det skal treffes tiltak for å forebygge og redusere konsekvenser av sikkerhetshendelser for brukere og for andre nett og tjenester. Departementet har ikke foreslått å presisere dette i selve bestemmelsen, da dette anses å inngå i kravet om å opprettholde forsvarlig sikkerhet.
Nærmere krav til hva som er forsvarlig sikkerhet, systematisk oppfølging og dokumentasjonskravet, ble foreslått operasjonalisert i forskrift. Det ble blant annet foreslått at tiltakene som gjennomføres på bakgrunn av virksomhetens sikkerhetsstyringssystem, skal se hen til beste tilgjengelige tekniske løsning, og at det ved vurderingen av forsvarlighet skal tas hensyn til tiltakenes kostnad og nytteverdi, tjenestens betydning og anerkjente standarder.
Gjeldende andre ledd i ekomloven § 2-10 innebærer at myndigheten kan inngå avtaler med aktuelle tilbydere om å dekke kostnader ved å utføre tiltak som dekker nasjonale behov for sikkerhet i elektroniske kommunikasjonsnett eller -tjenester, utover kravet i første ledd der tilbyder må dekke kostnadene. I gjeldende ekomlov § 2-10 er det gitt forskriftshjemmel om at myndigheten kan fastsette at bestemmelsen skal gjelde andre enn tilbydere. Departementet mente i høringsbrevet at det burde presiseres at myndigheten skal kunne treffe enkeltvedtak eller inngå avtale med virksomhet knyttet til elektroniske kommunikasjonsnett og -tjenester, samt virksomheter som tilbyr tilhørende utstyr, fasiliteter og tjenester. Ettersom verdikjedene blir lengre ved at tilbydere av elektroniske kommunikasjonsnett og -tjenester rendyrker sine forretningsmodeller i egne selskaper og setter ut tjenester, kan utvikling medføre at myndigheten må kunne ilegge vedtak eller inngå avtaler med andre aktører enn de tradisjonelle tilbydere av elektroniske kommunikasjonsnett eller -tjenester. Myndigheten vil kunne ha behov for å treffe vedtak eller inngå avtaler med tilbyders underleverandører, entreprenørselskaper som er ansvarlige for utbygging og implementering av tekniske løsninger eller som står for utvidet beredskap, kompetanse eller holder lager for reservedeler. Praktisk viktig er også datasentre som regnes som en del av den digitale grunnmuren. Datasenteraktører kan for eksempel tilby leie av infrastruktur som kan leveres fra skyplattformer eller som dedikert infrastruktur. I tilfeller der det vurderes at det foreligger sårbarheter for sikkerhet i nett og tjenester, vil det kunne være behov for å treffe vedtak eller inngå avtaler med aktører som tilbyr datasentre som leverer eller understøtter kritiske tjenester.
Videre vil bestemmelsen omfatte aktører som har ansvar for felles funksjoner i nett og tjeneste, samtrafikkpunkt, virksomhet som har ansvar for passiv infrastruktur som bygg, anlegg, master osv. Departementet foreslo derfor endringer i ekomloven for å gjøre det klarere at flere aktører enn de tradisjonelle tilbyderne omfattes av reguleringen.
Det er etter departementets syn ingen tvil om at varslingssystemer vil falle inn under begrepet forsvarlig sikkerhet og at det kan vedtas forskriftsbestemmelser etter forslag til ny forskriftshjemmel. Krav til varsling ble derfor foreslått tatt inn i forskrift.
I henhold til ekomdirektivet artikkel 40 nr. 1 skal det ses hen til beste tekniske løsning når man vurderer tiltakene som iverksettes for å få et sikkerhetsnivå som står i forhold til risikoen. Kommunikasjonsverndirektivet inneholder en lignende formulering i artikkel 4, hvor det fremgår at tiltakene, tatt i betraktning de nyeste tekniske mulighetene og kostnadene ved gjennomføringen, skal garantere et sikkerhetsnivå som står i forhold til risikoen som foreligger. Uttrykket «state of the art» ble ikke reflektert i selve lovteksten da kommunikasjonsverndirektivet ble gjennomført i norsk rett gjennom endringer i ekomloven, men det fremgår av merknaden til ekomloven § 2-7 at det ved vurderingen av hva som er et nødvendig sikkerhetstiltak blant annet skal ses hen til hva som er den beste løsningen på markedet til enhver tid («state of the art»).
Som nytt element ble det foreslått at myndigheten i særlig tilfelle kan pålegge tilbyder å tilby elektronisk kommunikasjonstjeneste for å sikre viktige eller kritiske samfunnsfunksjoner av nasjonal betydning for samfunnet i tilfeller der tilbyder ikke velger å inngå avtale av kommersielle grunner. Ekomtjenester blir stadig viktigere i dagens digitaliserte samfunn, og formålet med denne bestemmelsen er å sikre at det finnes tilstrekkelige elektroniske kommunikasjonstjenester tilgjengelig hvor dette er særlig viktig for samfunnet. Departementet foreslo også i høringen at myndigheten skal kunne pålegge tilbyder å inngå samarbeid med annen nasjonal eller internasjonal virksomhet, når dette følger av viktige hensyn til nasjonal sikkerhet. Muligheten til å pålegge tilbyder å samarbeide med annen nasjonal eller internasjonal virksomhet var tidligere begrenset til de tilfellene der dette følger av internasjonal avtale. Etter departementets syn vil det imidlertid kunne oppstå situasjoner hvor myndigheten bør ha mulighet til å pålegge samarbeid også som følge av hensyn til nasjonal sikkerhet. Dette ble derfor foreslått tatt inn i loven.
Alle aktører som tilbyr en ekomtjeneste som omfattes av den nye definisjonen av ekomtjenester vil i utgangspunktet være omfattet av den foreslåtte bestemmelsen om sikkerhet i elektroniske kommunikasjonsnett og -tjenester. Det er imidlertid ikke gitt at sikkerhetsnivået skal være likt for alle tjenester. Dette er det tatt høyde for ved at tiltakene skal vurderes konkret i forhold til nytteverdi og forholdsmessighet.
Etter departementets syn kan det ikke utelukkes at det vil være behov for å unnta enkelte tilbydere eller enkelte tjenester fra hele eller deler av sikkerhetsbestemmelsen i ekomloven. Departementet foreslo derfor at det gis vedtakskompetanse og forskriftshjemmel til å unnta enkelte tilbydere eller enkelte tjenester. Det vil i den forbindelse være hensiktsmessig å følge utviklingen i Europa, og det er antatt at ENISA vil bidra til utviklingen av retningslinjer e.l. Etter departementets syn er det ønskelig at det fremgår direkte av bestemmelsens ordlyd at det kan gis forskrifter om nasjonal autonomi.
Departementet foreslo å operasjonalisere bestemmelsen om sikkerhet i elektroniske kommunikasjonsnett og -tjenester i forskrifter, blant annet i ny ekomforskrift.
5.1.4 Høringsinstansenes syn
Flere høringsinstanser støtter forslaget til styrkede sikkerhetsbestemmelser. Det nasjonale statsadvokatembetet (NAST) mener at de foreslåtte bestemmelsene og forskriftshjemlene er svært viktig for både private og nasjonale interesser. Næringslivets Hovedorganisasjon (NHO) støtter at gjeldende bestemmelser videreføres i ny ekomlov og -forskrift med justeringer for å gjøre ordlyden mer i tråd med ekomdirektivets artikkel 40 og med forsvarlighetskravet for øvrig i bestemmelsen. Telenor ser det som positivt at departementet har fokus på å legge til rette for å ytterligere styrke sikkerheten i elektroniske kommunikasjonsnett og -tjenester. Huawei anser lovforslagets bidrag til å sikre at elektroniske kommunikasjonstjenester leveres med forsvarlig sikkerhet som spesielt viktig. GlobalConnect er svært positive til at departementet foreslår mer presise sikkerhetskrav, hvilket vil øke forutsigbarheten for både tilbydere og tilsynsmyndigheter. Samtidig mener GlobalConnect at forslaget ikke går så langt at det fratar tilbyderne den viktige fleksibiliteten funksjonskravene skal fremme. Nasjonal kommunikasjonsmyndighet mener det er viktig at sikkerhetsbestemmelsene har fått en større plass i forslaget til ny lov og forskrift og at formålsbestemmelsen gir en tydelig retning. Innlandet fylkeskommune uttrykker at den tydelige styrkingen av sikkerhet og beredskap er positiv. Innlandet fylke har en utfordrende infrastruktur for kommunikasjonstjenester og opplever ofte bortfall av mobilnettene. Innlandet fylkeskommune mener det er viktig med søkelys på vern mot bortfall og en tydeligere ansvarsfordeling og prioritering. Ice viser til at viktige samfunnsaktører ikke er pålagt å sikre seg mot nedetid, og at verken anbudet for departementene gjennom DSS eller staten ved DFØ etterspør reserveløsninger. Ved driftsstans eller langvarig nedetid hos eksisterende tilbyder hos staten, vil det være svært krevende raskt å erstatte med midlertidig tilgang til alternativt mobilnett. Ice er av den oppfatning at prioritetsabonnement alene ikke er en god reserveløsning for personell med kritiske samfunnsfunksjoner og synes det er uforståelig med plikter overfor tilbyderne uten at staten tar sitt nødvendige ansvar. Ice mener at staten bør pålegge aktører med samfunnskritiske oppgaver å planlegge for bruk av alternative mobilnett ved eventuell nedetid hos sin operatør. Ice opplever at blålysetatene jobber godt med denne type avtaler og rammeverk, mens andre instanser bekrefter at dette ikke er et tema selv om det enkelt kan løses gjennom eSIM. Regelrådet mener utredningen mangler en helhetlig beskrivelse av berørt næringsliv og at virkninger for næringslivet kun er vurdert overordnet. Regelrådet kan ikke se at virkninger er forsøkt tallfestet og mener at det på noen punkter kunne vært gjort forsøk på å finne estimater eller eksempler på kostnader, for eksempel ved en sikkerhetsrevisjon.
Flere høringsinstanser har kommentert forholdet mellom sektorlovgivningen, sikkerhetsloven og personvernlovgivningen, med tilhørende ulike tilsynsmyndigheter. IKT-Norge mener at det ikke alltid er klart hvilken tilsynsmyndighet som har ansvaret, eventuelt om det er overlappende kompetanse mellom tilsynsmyndigheter, og viser til at det er uklart grensesnitt mellom ekomlovens sektorregulering og de generelle reglene i sikkerhetsloven og personvernlovgivningen. Etter IKT-Norges vurdering må man være varsom med å innføre generelle regler knyttet til beskyttelse av nasjonale interesser og funksjoner gjennom sektorlovgivningen. Man bør i så fall følge samme prinsipper som for beskyttelse av nasjonale interesser og funksjoner, og slike tiltak bør forbeholdes tilbydere og tjenester som faktisk har betydning for nasjonale interesser og funksjoner ved at de utpekes etter samme prinsipper som for sikkerhetslovgivningen. IKT-Norge mener at staten bør ta kostnadene for økte sikkerhetstiltak som først og fremst skal ivareta nasjonale interesser og funksjoner.
GlobalConnect viser til at handlingsnormene i sikkerhetsloven både overlapper og utfyller sikkerhetskravene i sektorreguleringen, uten at lovgiver tidligere har avklart forholdet mellom dem. Dette gjør regelverket mindre forutsigbart for de regulerte aktørene, og det skaper en risiko for at tilsynsmyndighetene velger det regelsettet som passer best med tanke på for eksempel kompetansen til å ilegge sanksjoner eller hvilket regelverk som har de enkleste saksbehandlingsreglene.
Telenor ser det som nødvendig at forholdet mellom sikkerhetskravene som stilles i henholdsvis ekomloven og sikkerhetsloven forklares nærmere, særlig med henblikk på sikkerhetsnivå. De to lovverkene har ulike anvendelsesområder og formål, og en naturlig konsekvens av dette må etter Telenors syn være at det generelle kravet til «forsvarlig sikkerhet» også gis ulikt innhold.
Forholdet mellom kravene til «nødvendige sikkerhetstiltak» i § 3-1 (Vern av kommunikasjon og data) og «forsvarlig sikkerhet» i § 3-8 (Sikkerhet i nett og tjenester) kunne også etter Telenors vurdering vært klargjort. IKT-Norge spør om «nødvendige» sikkerhetstiltak i § 3-1 og «forsvarlig» sikkerhet i nett og tjenester i § 3-8 innebærer ulike materielle krav med hensyn til sikkerhetsnivå.
IKT-Norge mener at departementets beskrivelse av at nett og tjenester skal være tilgjengelige og at integriteten, autentisiteten og konfidensialiteten skal beskyttes, gir lite konkret veiledning. NHO fremholder at krav om systematisk oppfølging og dokumentasjonskrav på sikkerhet og beredskap i ekomnett og -tjenester, må være proporsjonale og teknologinøytrale. Sikkerhetsnivået trenger ikke nødvendigvis være likt for alle typer tjenester, ettersom trusselbildet og sikkerhetsbehovene vil være forskjellig for ulike typer tjenester. Selv om det legges opp til at kravene og tiltakene skal vurderes i forhold til nytteverdi, forholdsmessighet og beste tilgjengelige tekniske løsning, er NHO bekymret for at ordlyden i ny ekomlov § 3-8 (Sikkerhet i nett og tjenester) ikke er forståelig nok til å ivareta dette. IKT-Norge og Telenor fremhever at bestemmelsen ikke må forstås slik at beste tilgjengelige løsning i praksis blir et minstekrav til tilbyderne. Sikkerhet vil kunne være en egen konkurranseparameter der sluttbrukerne ideelt sett bør kunne vurdere sitt eget behov utover det som anses som forsvarlig og forholdsmessig sikkerhet.
GlobalConnect ber departementet om å gi ytterligere veiledning om hva som utgjør «beste tilgjengelige tekniske løsning» i ekomsektoren eller hvilke standarder som er «anerkjente». GlobalConnect ønsker også ytterligere veiledning om innholdet i «forsvarlig sikkerhet» innenfor ekomsektoren i form av merknader mv. GlobalConnect ber om at veiledningsrollen tydelig skilles organisatorisk fra tilsynsrollen, og at regelverket fastsetter prosedyrer for hvordan regulerte virksomheter kan anmode om veiledning som går utover forvaltningslovens minimumskrav, og hvilken betydning råd, veiledning mv. får for etterlevelsen.
Nelfo peker på at reguleringen må operasjonaliseres. Det må sikres at traséer til sentrale infrastrukturpunkter er redundante og sikres utover kommersielle hensyn, og at det ved bortfall av ekom er tilgjengelig personell og materiell slik at retting kan skje raskest mulig. Videre mener Nelfo at med sårbarheten som ligger i lengre verdikjeder og utenlandske aktører, må myndighetene legge til rette for at det over tid er tilgjengelig nasjonal kompetanse for å håndtere hendelser og feil.
Samfunnsbedriftene energi viser til at når krav til beredskap endres fra «nødvendig» til «forsvarlig», må aktørene selv inviteres med på å utvikle en standard som lar seg gjennomføre i daglig drift. Telia oppfatter at en endring fra «nødvendig» til «forsvarlig» beredskap ikke vil innebære noen realitetsforskjell for tilbyderne i praksis. IKT-Norge og Norges Televisjon (NTV) oppfatter endringen fra «nødvendig» til «forsvarlig» beredskap som en skjerpelse. IKT-Norge, Lyse og Telia ber om at dersom endringen er ment å innebære en realitetsforskjell eller en skjerpelse, må dette presiseres og forklares nærmere av hensyn til forutsigbarhet for aktørene.
NTV legger videre til grunn at begrepet «forsvarlig» forutsetter at det må gjøres relevante kost-/nyttevurderinger av aktuelle tiltak, og fremhever at det er vesentlige forskjeller mellom ulike ekomnett og andre kommunikasjonsplattformer både med hensyn til teknologi, virkemåte, funksjon og formål. Hvilke tekniske og organisatoriske tiltak den enkelte tilbyder i praksis må gjennomføre for å oppfylle forsvarlighetskravet, vil derfor måtte variere og tilpasses den enkelte tilbyder og den type nett og tjenester tilbyder tilbyr, herunder hva det enkelte nett brukes til.
Flere høringsinstanser har gitt innspill om at krav til forholdsmessighet må fremgå mer direkte av lovteksten. NTV mener at kravet til forholdsmessighet bør implementeres i lovteksten, og at det ikke er tilstrekkelig å bare vise til det alminnelige forholdsmessighetsprinsippet i forarbeidene. NTV bemerker at det synes å være en motstrid mellom kravet til forholdsmessighet og uttalelsene på side 42 i merknadene til § 3-8 (Sikkerhet i nett og tjenester) om at det i kravet til «forsvarlighetsnivå» blant annet ligger at «tilbyder skal treffe alle nødvendige tiltak for å sikre størst mulig tilgjengelighet». Slik NTV ser det, må formuleringen om størst mulig tilgjengelighet endres i lys av forholdsmessighetsprinsippet og den interesseavveining som § 3-8 andre ledd annet punktum gir anvisning på knyttet til hva som utgjør et forsvarlig sikkerhetsnivå. Abelia, IKT-Norge, Lyse, Telenor og Telia mener at kravet til forholdsmessighet bør reflekteres direkte i lovteksten. Telia mener at kravet i praksis innebærer at flere løsninger enn den best tilgjengelige vil kunne anses som å oppfylle kravet. Lyse mener at dersom kravet fremkommer direkte av ordlyden vil Nasjonal kommunikasjonsmyndighet og tilbyderne være bevisste på at de kostnader som påføres tilbyder i forbindelse med et vedtak må stå i forhold til tjenestens betydning og tiltakets samfunnsmessige nytteverdi. Telenor mener at merknadene bør klargjøre at forholdsmessighetsprinsippet er styrende for hvilke tiltak tilbydere må treffe. Videre mener selskapet at uttalelsene i merknadene til § 3-8 (Sikkerhet i nett og tjenester) om at det i kravet til «forsvarlighetsnivå» blant annet ligger at «tilbyder skal treffe alle nødvendige tiltak for å sikre størst mulig tilgjengelighet», kan komme i konflikt med prinsippet om forholdsmessighet.
Abelia viser til at næringslivsaktører som pålegges å levere myndighetsgitte oppgaver eller tjenester med kritisk samfunnsfunksjon må få dekket merkostnadene ved dette. Abelia mener at omfattende og kostbare krav til sikkerhet og robusthet ut over hva som er nødvendig for ansvarlig virksomhetsdrift bør kompenseres i større grad enn i dag, og at tilsvarende bør gjelde der Nasjonal kommunikasjonsmyndighet fatter vedtak som innebærer at aktørene pålegges kostnader. Lyse anfører at staten bør ta kostnadene for økte sikkerhetstiltak som skal ivareta nasjonale interesser og funksjoner. Når det gjelder beredskap synes Lyse det er lite hensiktsmessig at tilbyder skal bære store deler av kostnadene knyttet til at fellesskapet er avhengig av sikre elektroniske kommunikasjonsnett og -tjenester.
NHO er enig i at utviklingen i retning av mer rendyrkede forretningsmodeller og lengre verdikjeder i ekomsektoren medfører behov for at myndigheter kan ilegge vedtak eller inngå avtale om sikringstiltak også med andre aktører enn tradisjonelle ekomtilbydere. NHO stiller seg derfor bak den endring som foreslås i ny ekomlov § 3-8 tredje ledd for å presisere dette, men peker på at det er viktig at myndighetene i forvaltningen av denne muligheten legger vekt på proporsjonalitet og kost-nytte vurderinger. Telenor peker på at den relaterte tjenesten som skal omfattes, bør være relevant for sikkerheten til kommunikasjonsnett eller kommunikasjonstjenesten slik at det ikke er enhver form for relatert tjeneste som omfattes av sikkerhetskravet.
Til forslaget om at myndigheten gis mulighet til å kreve refundert såkalte unødvendige kostnader fra virksomheten når virksomheten foretar anskaffelser der staten skal kompensere merkostnader, mener Telenor at ordlyden «økonomisk fordelaktig for staten» fremstår som lite forutberegnelig for aktørene, og vanskelig å forholde seg til i praksis. Virksomhetene vil søke å få best mulig pris, slik at kostnaden dermed blir lavest mulig for staten, men samtidig er det andre faktorer som spiller inn i forhold til hvilken løsning som til slutt blir valgt, for eksempel sikkerhet eller bærekraft. I tillegg har ulike virksomheter ulike innkjøpsbetingelser, ulik kompetanse innad i virksomheten osv. Dette kan føre til at prisen isolert sett utad ikke fremstår som den mest fordelaktige for staten, men at leveransen i henhold til avtalen eller enkeltvedtaket etter virksomhetens vurdering er den beste. Telenor mener også at det er problematisk at det ikke er satt noen tidsfrist for når et slikt tilbakebetalingskrav kan komme.
Telenor viser til at femte ledd om at «myndigheten i særlig tilfelle kan pålegge tilbyder å tilby elektronisk kommunikasjonstjeneste for å sikre viktige eller kritiske samfunnsfunksjoner av nasjonal betydning for samfunnet i tilfeller der tilbyder ikke velger å inngå avtale av kommersielle grunner» har klare likhetstrekk med bestemmelsene i kapittel 5 om leveringsplikt, og Telenor mener at det derfor burde komme klarere frem hvordan praktiseringen av disse bestemmelsene er tenkt. Dette særlig fordi det synes å skulle bero på en konkret og skjønnsmessig vurdering hvorvidt det er tale om «viktige funksjoner av nasjonal betydning», og ikke minst fordi det kan synes som at finansieringen av de to ordningene er ulik. I merknadene til bestemmelsen understrekes det at det skal være en høy terskel for å pålegge et slikt krav og at bestemmelsen kun skal brukes unntaksvis. Dette er etter Telenors oppfatning viktige presiseringer, som gjerne kunne vært reflektert enda tydeligere i selve bestemmelsen.
GlobalConnect viser til at departementet i syvende ledd foreslår å gi myndighetene en vidtgående hjemmel til å gjøre unntak fra bestemmelsen, helt eller delvis, for tilbydere eller tjenester. GlobalConnect påpeker at sikkerhetsreguleringen er en sentral del av reguleringen og viktig for brukerne. Selskapet ber departementet presisere at unntaksbestemmelsen er en snever sikkerhetsventil og at terskelen for å gi slik dispensasjon er høy. Dersom myndighetene skulle velge å praktisere unntakshjemmelen liberalt for eksempel på bakgrunn av størrelsen på kundemassen eller nettets geografiske dekning, vil dette potensielt kunne ramme en betydelig mengde sluttbrukere som i mange tilfeller er prisgitt en tilbyder. GlobalConnects erfaring tilsier at lokale og regionale aktører har de samme forutsetningene som de nasjonale tilbyderne til å tilby nett og tjenester med et minimum av sikkerhet. Mange kraftselskap inngår dessuten i større allianser slik som Altibox. GlobalConnect mener at vidtrekkende unntak vil virke konkurransevridende ved at lokale og regionale aktører slipper å dekke de samme kostnadene som sine konkurrenter, noe GlobalConnect mener det ikke er grunnlag for.
5.1.5 Departementets vurdering
Departementet viser til at ekomsektoren bærer en stadig større andel av samfunnets verdier, og at det derfor kan legges til grunn at mer eller mindre alt næringsliv vil kunne bli berørt av sikkerhetsnivået i ekomsektoren. Det har vært et taktskifte i et stadig mer komplekst sikkerhetsbilde som kjennetegnes av en vesentlig økning i alvorlige hendelser, lengre verdikjeder, nye sårbarheter, flere avhengigheter og rask teknologiutvikling. Det er derfor svært viktig å kunne stille krav til forsvarlig sikkerhet og beredskap i elektroniske kommunikasjonsnett og -tjenester. Departementet merket seg Regelrådets kommentar om noe mangelfull utredning og tallfesting av kostnader. Departementet viser imidlertid til at kostnadene blant de ulike aktører varierer avhengig av størrelse, tjenester som tilbys, kundemasse og den enkeltes avtaler med egne utstyrsleverandører og varierer over tid. Det er derfor utfordrende å tallfeste dette nærmere.
Flere høringsinstanser har spørsmål til forholdet mellom ulike regelverk som gjelder parallelt. Departementet viser til at både ekomloven og sikkerhetsloven stiller krav om forsvarlig sikkerhet. Forsvarlig sikkerhet er en rettslig standard som endrer seg over tid basert på utviklingen i markedet, teknologi og samfunnet for øvrig. Hva som utgjør forsvarlig sikkerhet kan være ulikt mellom forskjellige virksomheter basert på risiko- og sårbarhetsanalyser, og det til enhver tid gjeldende trusselbilde. I vurderingen av hvilke sikkerhetstiltak som er nødvendige for å opprettholde et forsvarlig sikkerhetsnivå, må den enkelte virksomhet vurdere hva som er akseptabel restrisiko holdt opp mot kostnaden ved tiltakene. Lovene legger opp til at det i utgangspunktet er sektormyndigheten som har kunnskap om egen sektor og som skal legge føringer for hva som er forsvarlig sikkerhet. For øvrig stiller sikkerhetsloven krav til sikkerhet for virksomheter som er underlagt loven, mens ekomlovens sikkerhetskrav gjelder alle ekomtilbydere og datasenteroperatører. Departementet viser til at Nasjonal kommunikasjonsmyndighet er utøvende tilsynsmyndighet både etter ekomloven og etter sikkerhetsloven på ekomområdet, og tilsynet etter de to lovverkene blir derfor koordinert.
Ekomloven og personopplysningsloven gjelder også parallelt. Personopplysningsreglene retter seg mot vern av opplysninger om fysiske personer. Ekomlovens regler om kommunikasjonsvern verner alle brukere av elektronisk kommunikasjon, inkludert selskaper, forbrukere og organisasjoner. Det kan forekomme overlapp mellom lovverkene i saker som gjelder fysiske personer på ekomområdet. Nasjonal kommunikasjonsmyndighet og Datatilsynet har god dialog i enkeltsaker, og dette løses derfor i praksis. Tilsynsmyndighetene kan ved behov konsulteres i tvilstilfeller.
Når det gjelder høringsinnspillet fra Telenor og IKT-Norge om forholdet mellom «forsvarlig» sikkerhet i nett og tjenester i § 3-8 og «nødvendige» sikkerhetstiltak i § 3-1, ser departementet at det er behov for klargjøring. Forslaget til 3-8 (sikkerhet i nett- og tjenester) og § 3-1 (vern av kommunikasjon og data) har et delvis overlappende anvendelsesområde slik også enkelte av høringsinstansene har påpekt. Begge bestemmelser er ment som gjennomføring av ekomdirektivet artikkel 40. Ettersom bestemmelsene har innholdsmessige overlapp, har departementet for å forenkle anvendelsen av reglene slått sammen bestemmelsen om «vern av kommunikasjon og data» og bestemmelsen om «sikkerhet i nett og tjenester» til en felles sikkerhetsbestemmelse under tittelen «sikkerhet i elektroniske kommunikasjonsnett og -tjenester». Det vil være enklere for tilbyderne å forholde seg til en mer enhetlig begrepsbruk og felles krav.
Når det gjelder spørsmålet om veiledningsrollen og prinsippene om uavhengig tilsyn, viser departementet til at dette er vurdert av Justis- og beredskapsdepartementets lovavdeling i forbindelse med sammenslåingen av Fiskeridirektoratets kontrollverk med Rettledningstjenesten i fiskerinæringen, jf. JD LOV 1997-7729.
Lovavdelingen understreket at det ikke er noe særsyn i forvaltningen at samme organ er tillagt både forvaltnings- og kontrolloppgaver i kombinasjon med den alminnelige veiledningsplikten etter forvaltningsloven. Lovavdelingen uttalte at:
«Det grunnleggende formålet med både veiledningen omkring rettsregler og kontrollvirksomheten, er å sikre at gjeldende regelverk blir overholdt. En sammenslåing av tjenestene vil gjøre det enklere å føre en ensartet praksis ved utførelsen av de forskjellige oppgavene. Det kan dermed lettere unngås at det oppstår situasjoner der veiledningstjenesten og kontrolltjenesten uttrykker forskjellige syn på ett og samme rettsspørsmål overfor en privatperson. En sammenslåing kan videre gi en mer effektiv utnyttelse av personalressursene i den ytre fiskerietaten.»
Departementet er enig i dette, og foreslår ingen endringer på dette punktet.
Endringen fra nødvendig til forsvarlig beredskap i § 3-1 første ledd innebærer en skjerpelse som er begrunnet i behovet for å øke beredskapen i elektroniske kommunikasjonsnett og -tjenester. Gjennom lovendringen skal det sikres at tilbyderne kan pålegges å øke beredskapen i ekomnett og -tjenester. Ekomnett- og tjenester er en helt sentral del av vår digitale grunnmur og med en samfunnsutvikling som fører til økt sårbarhet, mener departementet at det er nødvendig å heve beredskapsnivået. Økt beredskap vil være et viktig punkt fremover knyttet til avhengigheter, kritikalitet og ivaretakelse av kritiske samfunnsfunksjoner. Gjennom kravet til forsvarlig beredskap skal det både forhindres at det oppstår brudd og bortfall av elektronisk kommunikasjon og samtidig sørges for at gjenoppretting av kommunikasjon og tjenester skjer så raskt som mulig. Departementet viser til at formuleringen «tiltakenes kostnad og nytteverdi» i bestemmelsen fanger opp innholdet i ordlyden «forholdsmessig».
Til de øvrige kommentarene til innholdet i kravet til forsvarlig sikkerhet, viser departementet til første avsnitt som tilkjennegir at forsvarlig sikkerhet er en rettslig standard. I ansvaret som ligger i å tilby ekomnett og -tjenester mv. følger det at virksomheten best kjenner egne nett og tjenester, og skal ta aktivt stilling til at man oppfyller kravet til forsvarlig sikkerhet. Ut fra disse rammene utfylles kravet i forskrift. Departementet legger opp til at ny ekomforskrift gir mer informasjon enn gjeldende ekomforskrift, og at Nasjonal kommunikasjonsmyndighet vil kunne konkretisere nærmere i veiledning til aktørene. Forsvarlighetsbegrepet omfatter både den fysiske sikkerheten og logisk sikkerhet. I merknaden til § 3-1 andre ledd er det presisert at selv om det ikke fremgår eksplisitt av ordlyden at sikkerhetstiltakene skal være forholdsmessige, så følger dette kravet av forvaltningsretten. Med «forholdsmessig» menes at kostnadene et tiltak påfører virksomheten må ses i sammenheng med tjenestenes betydning og tiltakets nytteverdi. Kostnader som langt overstiger tiltakets nytteverdi eller tjenestens betydning må anses som uforholdsmessige. Tiltakene skal også være egnede for å oppnå formålet. Forholdsmessigheten må vurderes konkret i det enkelte tilfelle. Departementet foreslår å presisere dette i merknaden til bestemmelsen.
Når det gjelder Nelfos innspill om at det er viktig å ha tilgjengelig nasjonal kompetanse for å håndtere hendelser og feil, så viser departementet til at det kan være utfordrende å sikre nasjonal spisskompetanse på en del utstyr, blant annet fordi vi er avhengig av ekomutstyr som produseres i andre land der spisskompetansen også sitter. Departementet er imidlertid enig med Nelfo i at det er viktig å ha tilgjengelig nasjonal kompetanse så langt dette er mulig.
Til IKT-Norges kommentar om at staten bør ta kostnadene for økte sikkerhetstiltak som først og fremst skal ivareta nasjonale interesser og funksjoner, viser departementet til at staten vil dekke tiltak som sikrer nasjonale behov for sikkerhet, beredskap og funksjonalitet ut over det som inngår i forsvarlig sikkerhet og som tilbyderne må dekke selv, jf. tredje ledd. Dette er en videreføring av gjeldende rett.
Når det gjelder Telenors innspill om det problematiske i at det ikke er satt noen tidsfrist for når et tilbakebetalingskrav kan komme, viser departementet til at kontrollmekanismene med sluttrapport og årsrapport med en gjennomgang av tiltaket opp mot estimatet vanligvis vil skje året etter, slik at dette neppe vil bli en utfordring.
Til Telenors merknad om at femte ledd har klare likhetstrekk med bestemmelsene om leveringsplikt, vil departementet bemerke at tilbydere som har leveringsplikt allerede har en avtale om å levere, mens fjerde ledd gjelder levering ut over leveringsplikten. Departementet er enig med Telenor i at det er en høy terskel for å pålegge krav om levering etter fjerde ledd. For å synliggjøre dette foreslår departementet en presisering i lovens ordlyd slik at det fremkommer at slike pålegg kun skal gis «når det er nødvendig».
Når det gjelder GlobalConnects innspill om at muligheten til å gjøre unntak fra bestemmelsen bør være snever, viser departementet til at dette er en unntaksbestemmelse. Det følger av lovens formålsbestemmelse at konkurransen og sikkerheten skal ivaretas, og departementet foreslår derfor ingen ytterligere innskrenking i unntaksbestemmelsen.
5.2 Formidling av viktig melding
5.2.1 Gjeldende rett
I Norge ligger ansvaret for befolkningsvarsling ved kriser hos Justis- og beredskapsdepartementet og Direktoratet for samfunnssikkerhet og beredskap (DSB). Eksisterende løsning før høringen var i hovedsak basert på tyfoner (trykkluftsirener) administrert av Sivilforsvaret, jf. sivilbeskyttelsesloven § 16, jf. § 1. Tyfonene skal være en oppmerksomhetsgiver for å få befolkningen til å oppsøke nærmere informasjon på radio, TV eller internett. Mobilbaserte varslingsløsninger, for eksempel SMS eller Cell Broadcast-melding, vil være et supplement til tyfonvarsling. Blant annet for å sikre at varslingsløsninger eksisterer og fungerer, pålegger ekomloven en plikt på tilbyder av elektronisk kommunikasjon til å formidle viktig melding fra statsmyndighet, jf. gjeldende ekomlov § 2-10 første ledd tredje punktum. Det fremgår av gjeldende ekomlov § 2-10 første ledd at ekomtilbyder kostnadsfritt skal formidle viktig melding fra statsmyndighet.
Plikten til å formidle viktig melding fra statsmyndighet er videreført fra en tilsvarende plikt i teleloven § 7-7 (nå opphevet). Det fremkommer av Ot.prp. nr. 58 (2002–2003) om ekomloven at § 2-10 viderefører blant annet adgangen til å pålegge samfunnspålagte oppgaver i beredskapssammenheng. I tillegg fastslår forarbeidene at det er vedkommende statsmyndighet som avgjør hva som er «viktig melding». I Prop. 69 L (2012–2013) Endringer i ekomloven fremgår det at tilbyders plikt til å formidle viktig melding fra statsmyndighet videreføres.
5.2.2 Endringsbehov
Ekomdirektivet artikkel 110 om offentlig varslingssystem stiller krav til myndighetene om å etablere et varslingssystem basert på mobiltelefoni innen 21. juni 2022. Det stilles krav om at det skal foreligge et effektivt system for varsling av farer eller store katastrofer som truer eller som er overhengende. I henhold til retningslinjer utarbeidet av BEREC skal et slikt varslingssystem være effektivt og være egnet til å nå befolkningen raskt nasjonalt eller i relevante geografiske områder.
Det eksisterer i dag flere systemer for varsling basert på mobiltelefoni, blant annet SMS og ny teknologi, såkalt Cell Broadcast. Ved varsling via SMS tar det erfaringsmessig flere timer å nå hele befolkningen. Cell Broadcast muliggjør varsling til alle moderne mobiltelefoner i et valgt område nasjonalt, regionalt eller lokalt, i løpet av få sekunder. Varslingsmeldingen kan også, i tillegg til tekst, inneholde lyd, bilde og lenker som gir mottakerne mulighet til på egen hånd å innhente mer informasjon. Varslingsmeldingen kan informere mottakeren om hvordan en skal forholde seg til en situasjon, i motsetning til en løsning hvor mottakeren må lytte til DAB-radio for relevant informasjon. Et mobilbasert befolkningsvarslingssystem innebærer en betydelig økning i beredskapen fordi rask, målrettet og sikker varsling og informasjon til befolkningen bidrar til effektiv beskyttelse. Cell Broadcast er i dag etablert både i Norge og i en rekke andre land.
5.2.3 Forslaget i høringsnotatet 2. juli 2021
Departementet foreslo i høringen å videreføre plikten til å formidle viktig melding fra statsmyndighet i gjeldende ekomlov § 2-10 første ledd tredje punktum i ny ekomlov § 3-10 (ny § 3-6 formidling av viktig melding). Departementet legger til grunn at forslag til ny bestemmelse er tilstrekkelig vid til at det kan pålegges innføring av ny teknologi for formidling av viktig melding. Nærmere bestemmelse om ny teknologisk løsning kan fastsettes i forskrift etter en ny høring.
Begrepet statsmyndighet må i utgangspunktet forstås som offentlige organer som regjering, statlige etater, tilsyn og direktorater. Ordlyden «statsmyndighet» avgrenser mot regionale og kommunale organer som fylkeskommuner og kommuner. Hva som er viktig melding bestemmes av vedkommende statsmyndighet. Det er likevel nødvendig å presisere terskelen for hva som skal anses som viktig. Departementet legger til grunn at melding som er av vesentlig betydning for å håndtere og redusere skadevirkninger av uønskede hendelser som kan føre til betydelig skade på eller tap av verdier, eller fare for liv og helse, er å anse som viktig.
Dersom det skal innføres et nytt system for befolkningsvarsling via mobilnettene så må det være egnet for situasjonen, det vil si at det foreligger et visst akutt behov for informasjonsspredning, såkalt tidskritisk varsling som ikke kan formidles på annen egnet måte. Hva som ligger i dette, må bero på en konkret vurdering i den enkelte situasjon. Bestemmelsen forutsetter at det må foreligge et visst akutt behov for varsling over for eksempel mobilnett og at varslingen må nå ut til mange personer så raskt som mulig. Det kan foreligge både behov for landsdekkende eller større regional varsling og mindre regionalt eller lokalt behov. Dette vil for eksempel være typisk ved akutt fare for ras i et mindre geografisk område, brann eller lignende. Varslingsplikten som pålegges tilbyderne i lovforslaget § 3-10 ny § 3-6 (formidling av viktig melding) avgrenses mot meldinger som ikke medfører fare for liv og helse, eller betydelig skade på eller tap av verdier, som for eksempel normal værvarsling og flomvarsling, kommunale informasjonsbehov som snøbrøyting, søppeltømming og liknende.
Myndigheten gis anledning til å gi andre tilbydere enn de nevnt i første ledd, plikter om formidling av viktig melding. Løsninger for befolkningsvarsling er i sterk utvikling. Ekomdirektivets artikkel 110 nr. 2 åpner for at varsel også sendes gjennom nummeruavhengige person-til-person-kommunikasjonstjenester, kringkastingstjenester eller gjennom en app som baserer seg på tilgang til internett. Bestemmelsen er derfor formulert for å gi en dynamisk hjemmel, slik at befolkningen får viktig melding på den mest hensiktsmessige måten og på en måte som gjør det enkelt for sluttbrukerne å motta meldingen.
5.2.4 Høringsinstansenes syn
Norges døveforbund viser til at norsk er andrespråket til døve og at døve derfor har en lavere tekstlig forståelse av norsk. Ved varsling bør derfor tegnspråk være inkludert slik at informasjonen når ut til flest mulig. Norges døveforbund mener at når tekst likevel blir benyttet bør det være krav til klarspråk, hvilket også vil gagne andre språklige minoritetsgrupper.
Datatilsynet ber departementet om å klargjøre regelverket for formidling av viktig melding. Datatilsynet fremhever at befolkningsvarsling tjener svært viktige formål, og kan være med å verne om liv, helse og materielle verdier. Det kan imidlertid oppleves som inngripende å motta varsling fra myndighetene på mobiltelefonen, og særlig dersom varslingen er basert på hvor man oppholder seg. Slik varsling må derfor forbeholdes viktige meldinger hvor det er tidskritisk å nå ut til mange personer så raskt som mulig, og hvor det foreligger fare for liv og helse, eller betydelig skade på eller tap av verdier. Hjemmelen for formidling av viktig melding skal ikke kunne brukes for å dekke myndigheters alminnelige informasjonsbehov. Datatilsynet er enige i departementets vurdering av hva som utgjør «viktig melding», men mener at terskelen bør tydeliggjøres.
Datatilsynet mener at formidlingsplikten for viktig melding gjelder fra «statsmyndighet». Datatilsynet mener derfor at departementet må tydeliggjøre om, og i så fall hvordan, formidling av viktig melding kan tas i bruk av kommuner eller andre ikke-statlige offentlige myndigheter. I denne forbindelse bruker rapporten om befolkningsvarsling fra DSB et eksempel hvor en kommune er den som kjenner faren best og derfor utformer meldingen, og politiet er den myndighet som treffer beslutningen om at varsling skal skje.
Telenor mener at SMS er et viktig system for befolkningsvarsling, blant annet fordi det når ut til alle abonnenter. Telia peker på at i den grad systemet for mobil befolkningsvarsling også er ment for lokal bruk, vil formodentlig de lokale beredskapsmyndighetens incentiver til å betale for varslingstjenestene i et kommersielt marked forsvinne, og markedet likeså. Gitt denne bakgrunnen mener Telia at det fremstår som uheldig når departementet i lovforslaget ikke er entydig i angivelsen av anvendelsesområdet for den nye varslingsbestemmelsen. Ice, IKT-Norge, Telenor og Telia mener kostnader i sin helhet knyttet til formidling av viktig melding bør påligge staten, og ikke tilbyderne.
Direktoratet for samfunnssikkerhet og beredskap (DSB) mener at et mobilbasert befolkningsvarslingssystem må kunne nå hele eller deler av befolkningen innen sekunder fra det tidspunkt varselet er sendt fra politiets operatør. Det vil si at hele kjeden, fra en hendelse oppdages til mobilbruker får varsel, må optimaliseres i alle ledd. Cell Broadcast er etter DSBs vurdering det eneste systemet som pr. nå møter behovene.
Når det gjelder pliktsubjekt for formidling av viktig melding anser DSB det som sannsynlig at nummeruavhengige tjenester vil overta mye av vanlig mobiltelefonbruk, og at tilsvarende forpliktelser innen overskuelig fremtid derfor også må pålegges slike tilbydere.
DSB støtter at tilbyderne ikke skal være forpliktet til å dekke hele kostnaden, og peker på at de mest relevante kostnadselementene som må inngå i kostnadsdelingen er etablering av Cell Broadcast i de tre mobilnettene, og bistand for å tilpasse mobiltelefoner for å støtte denne nye teknologien.
DSB stiller spørsmål om også tilbyderne som beskrives i § 3-10 ny § 3-6 (formidling av viktig melding) tredje ledd første punktum «andre tilbydere enn de som er nevnt i første ledd» skal anses omfattet av myndighetenes forskriftshjemmel om dekning av kostnader for varslingssystemet. Hvis så er tilfelle foreslår DSB at dette presiseres.
5.2.5 Departementets vurdering
Etter at departementet sendte lovforslaget på høring, er det innført et system i Norge for befolkningsvarsling via mobilnettene basert på Cell Broadcast-teknologi. Systemet kalles nå «Nødvarsel», men ble i høringsnotatet omtalt som mobilbasert befolkningsvarsling.
Nødvarsel er egnet for situasjoner der det foreligger et visst akutt behov for informasjonsspredning, såkalt tidskritisk varsling som ikke kan formidles på annen egnet måte. Hva som ligger i dette, må bero på en konkret vurdering i den enkelte situasjon. Bestemmelsen forutsetter at det må foreligge et visst akutt behov for varsling over for eksempel mobilnett og at varslingen må nå ut til mange personer så raskt som mulig. Det kan foreligge både behov for landsdekkende eller større regional varsling og mindre regionalt eller lokalt behov. Dette vil for eksempel være typisk ved akutt fare for ras i et mindre geografisk område, brann eller lignende. Varslingsplikten som pålegges tilbyderne i forslag til § 3-6 (formidling av viktig melding) avgrenses mot meldinger som ikke medfører fare for liv og helse, eller betydelig skade på eller tap av verdier, som for eksempel normal værvarsling og flomvarsling, kommunale informasjonsbehov som snøbrøyting, søppeltømming og liknede.
Begrepet statsmyndighet må i utgangspunktet forstås som offentlige organer som regjering, statlige etater, tilsyn og direktorater. Ordlyden «statsmyndighet» avgrenser mot regionale og kommunale organer som fylkeskommuner og kommuner. Hva som er viktig melding bestemmes av vedkommende statsmyndighet. Det er likevel nødvendig å presisere terskelen for hva som skal anses som viktig. Departementet legger til grunn at meldinger som er av vesentlig betydning for å håndtere og redusere skadevirkninger av uønskede hendelser som kan føre til betydelig skade på eller tap av verdier, eller fare for liv og helse, er å anse som viktig.
Når det gjelder høringsinnspillet fra Norges døveforbund om krav til klarspråk, er departementet enig i at det vil være svært viktig å sørge for utvetydighet og klarhet i meldingene som sendes fra myndighetene. Det vises til at Justis- og beredskapsdepartementet har ansvar for bruk av systemet, inkludert utsending og innhold i meldingene.
Høringsinnspillet fra Datatilsynet peker på personvernkonsekvensene ved lokasjonsbasert varsling. Det nye systemet for nødvarsel, basert på Cell Broadcast-teknologi, er basert på kringkasting av melding nasjonalt, regionalt eller lokalt, uten behandling av personinformasjon. På denne måten ivaretas personvernhensyn. Departementet er enig i at utsendelse av SMS basert på lokaliseringsdata, krever hjemmel i lov eller samtykke fra brukeren. Ekomloven gir et slikt hjemmelsgrunnlag for statsmyndighet ved formidling av viktig melding. Statsmyndighet kan kreve at det sendes ut viktig melding, dersom de øvrige vilkårene for utsendelse av viktig melding foreligger. Ved behov kan også kommunale myndigheter etablere samarbeid med statsmyndigheten for utsendelse av viktig melding.
I høringen ble det foreslått at det ved innføring av et nytt varslingssystem kunne være aktuelt å pålegge tilbyder å dekke deler av kostnadene for systemet. Når det gjelder kostnadene ved innføring av systemet, har staten dekket kostnader ved anskaffelse, implementering, testing og drift av systemet. Departementet foreslår likevel at tilbyder kan pålegges å dekke deler av kostnadene for varslingssystemet, blant annet for å sikre at eventuelle fremtidige anskaffelser blir kostnadseffektive.
Det foreslås i § 3-6 tredje ledd å gi departementet anledning til å pålegge andre tilbydere enn de nevnt i første ledd, plikter om formidling av viktig melding. Løsninger for befolkningsvarsling er i sterk utvikling. Ekomdirektivet artikkel 110 nr. 2 åpner for at varsel også kan sendes gjennom nummeruavhengige person-til-person-kommunikasjonstjenester, kringkastingstjenester eller gjennom en app som baserer seg på tilgang til internett. Bestemmelsen er derfor formulert for å gi en dynamisk hjemmel, slik at befolkningen får viktig melding raskt og effektivt og slik at meldingen når ut til så mange som mulig på en måte som gjør det enkelt for sluttbrukerne å motta meldingen.
5.3 Andre krav til sikkerhet
5.3.1 Krav til politiattest
5.3.1.1 Forslaget i høringsnotatet 2. juli 2021
Åpne trusselvurderinger og rapporter fra offentlige myndigheter har i en årrekke pekt på innsidetrusler som en utfordring for både offentlige og private virksomheter. Gode sikkerhetsrutiner for personkontroll ved, under og etter ansettelse er derfor vurdert som nødvendig for å redusere denne risikoen.
Ekomnett og -tjenester blir stadig viktigere i dagens digitaliserte samfunn, og det er derfor viktig å sikre disse. Ekomtilbyderne har gitt Nasjonal kommunikasjonsmyndighet tilbakemelding om at det er behov for å innhente politiattest for personell som skal ha tilgang til kritiske kundeopplysninger og infrastruktur. Dette er personell som man i gjeldende regelverk ikke har hjemmel for å sikkerhetsklarere. Politiattest vil være et hjelpemiddel for å unngå at kriminelle miljøer får tilgang til trafikkdata, kundeopplysninger og informasjon om infrastruktur.
I energisektoren har man i Lov 6. juni 1990 nr. 50 om produksjon, omforming, overføring, omsetning, fordeling og bruk av energi m.m. (energiloven) § 9-5 inntatt en bestemmelse som gir hjemmel for beredskapsmyndigheten til å gi forskrift om at enheter som inngår i Kraftforsyningens beredskapsorganisasjon (KBO) kan kreve fremlagt politiattest fra personer som skal ha tilgang til klassifiserte anlegg. Hjemmelen ble tatt inn fordi man anså anlegg klassifisert etter forskrift 7. desember 2012 nr. 1157 om sikkerhet og beredskap i energiforsyningen (kraftberedskapsforskriften kapittel 5) for å være av vesentlig betydning for energiforsyningen, og at misbruk av informasjon om slike anlegg i sin ytterste konsekvens kan føre til at kritiske samfunnsfunksjoner blir satt ut av spill.
Departementet foreslo en tilsvarende lovhjemmel i ny ekomlov som gir tilbyderne rett til å kreve fremleggelse av politiattest for personer som skal ha tilgang til informasjon, ekomnett, tilhørende fasiliteter, utstyr eller systemer med vesentlig betydning for sikkerheten i nett eller tjenester.
Formålet med å innføre et krav om politiattest er å bedre ekomselskapenes mulighet til å sikre informasjon, elektronisk kommunikasjonsnett, tilhørende fasiliteter, utstyr eller systemer med vesentlig betydning for sikkerheten i nett eller tjenester mot personer som av ulike grunner ikke er egnet til å ha tilgang til informasjonen og anleggene.
En politiattest inneholder opplysninger om eventuelle straffedommer og lovovertredelser og skal behandles i henhold til lov 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven) § 11. Personopplysningsloven gjennomfører EUs personvernforordning (2016/689) i norsk rett.
Forordningens hovedregel er at personopplysninger om straffedommer og lovovertredelser bare kan behandles under offentlige myndigheters kontroll. Behandling utenfor slik kontroll kan likevel skje i den utstrekning det er tillatt i medhold av annen lovgivning, som også sikrer nødvendige garantier for de registrertes rettigheter og friheter, jf. forordningens artikkel 10 første punktum.
Når det gjelder kravet om nødvendige garantier for de registrertes rettigheter og friheter vises det til forskrift 20. september 2013 nr. 1097 om behandling av opplysninger i politiet og påtalemyndigheten (politiregisterforskriften) § 37-2. Denne bestemmelsen stiller krav til oppbevaring av politiattesten hos mottakeren. Attesten skal oppbevares utilgjengelig for uvedkommende, og ikke lenger enn det som er «nødvendig for formålet med politiattesten».
Behandling av denne typen opplysninger forutsetter videre at det foreligger et såkalt behandlingsgrunnlag etter personvernforordningen artikkel 6. En ny bestemmelse i ekomloven § 3-9 og eventuelle supplerende regler i forskrift, vil utgjøre nødvendig behandlingsgrunnlag, jf. forordningens artikkel 6 nr. 1 bokstav e.
Den enkelte tilbyder er ansvarlig for at behandlingen av personopplysningene som fremgår av politiattesten skjer i henhold til den til enhver tid gjeldende personvernlovgivning.
Politiregisterloven § 37 angir hvilke formål som berettiger krav om politiattest. Bestemmelsen kan blant annet brukes for å utelukke fysiske og juridiske personer fra stilling, virksomhet, aktivitet eller annen funksjon dersom et lovbrudd gjør en person uegnet og manglende utelukkelse vil kunne medføre betydelige skadevirkninger.
Det følger av politiregisterforskriften § 36-1 at politiattest kan utstedes til person som har fått tilbud om eller er innstilt til en konkret stilling, virksomhet, aktivitet eller annen funksjon. Krav om innhenting og fremlegges av politiattest vil som følge av dette gjelde ved nyansettelser og ved endring i oppgaver som tilsier et behov for politiattest. Dersom vedkommende er sikkerhetsklarert eller innehar adgangsklarering fra Sivil klareringsmyndighet, vil det ikke stilles krav om politiattest. Det ble i tillegg foreslått at myndigheten kan gi nærmere bestemmelser om bruk av politiattest.
Arbeidsgiver eller oppdragsgiver kan ikke innhente politiattest på egenhånd. Det er kun den personen attesten gjelder som kan søke om og få utstedt politiattest. Vedkommende må identifisere seg for politiet og godtgjøre hva som er formålet med attesten, jf. politiregisterloven § 44. Dette vil sikre den enkelte oversikt over og kontroll med egne personopplysninger. Saksbehandlingsreglene i politiregisterforskriften kapittel 36 og 37 og i lov om behandling av opplysninger i politiet og påtalemyndigheten av 28. mai 2010 nr. 16 § 44, vil gjelde på vanlig måte.
Departementet foreslo i tilleggshøringen om datasenter at datasenteraktørene gis mulighet til å kunne stille krav om å hente inn politiattest ved ansettelse av personell som skal ha tilgang til datasenter på tilsvarende måte som ekomtilbyderne.
5.3.1.2 Høringsinstansenes syn
Flere høringsinstanser er positive til forslaget om å gi virksomhetene mulighet til å kreve politiattest, blant annet uttaler Telenor at dette er et godt tiltak for forbedret sikkerhet.
Kripos og Politidirektoratet er positive til at det lovfestes en mulighet for tilbyder av elektroniske kommunikasjonsnett og -tjenester til å kreve politiattest, men mener at ordinær politiattest ikke er tilstrekkelig i alle situasjoner. En ordinær politiattest etter politiregisterloven § 40 nr. 5 inneholder kun informasjon om ilagt dom for enkelte forhold eller vedtatt forelegg mindre enn tre år før utstedelsen av attesten. En uttømmende og utvidet politiattest inneholder informasjon om flere forhold og har ingen tidsbegrensning bakover i tid. For i tilstrekkelig grad å kunne sikre nett, tjenester og sensitiv informasjon av annen karakter, mener derfor Kripos at det bør vurderes å sikre tilbyderne en mulighet for å innhente uttømmende og utvidet politiattest, jf. politiregisterloven § 41. For å sikre et tilstrekkelig fremtidsrettet regelverk foreslår Kripos at unntaket for «nummeruavhengig person-til-person-kommunikasjonstjeneste» tas ut.
Kripos og Politiets sikkerhetstjeneste mener at den foreslåtte lovformuleringen ikke er dekkende for å avhjelpe behovet for politiattest for ansatte som behandler taushetsbelagt informasjon, for eksempel i tilknytning til politiets skjulte metodebruk, og foreslår at man vurderer et tillegg i lovteksten som synliggjør at også befatning med taushetsbelagt eller sensitiv informasjon i stillingen kan kvalifisere for innhenting av attest.
Kripos og Politiets sikkerhetstjeneste påpeker videre at norsk politiattest har liten verdi dersom personer som skal vurderes har en kortvarig tilknytning til Norge. Det bør derfor også sikres adgang til å kreve politiattest utstedt i personens hjemland. Politiregisterforskriften § 28-2 første ledd, tredje punktum, likestiller politiattest utstedt i annet EØS-land med norsk politiattest i de tilfeller hvor det er hjemlet krav om botid i særlovgivningen, jf. politiregisterloven § 36 andre ledd. Det foreslås derfor at det også tas inn et krav om botid i ny ekomlov § 3-9.
Direktoratet for samfunnssikkerhet og beredskap viser til at forslaget kan innebære at utenlandske statsborgere ikke vil kunne bli ansatt fordi de ikke kan fremlegge politiattest, og at bestemmelsen vil kunne bli praktisert ulikt ettersom det er opp til den enkelte tilbyders skjønn å kreve politiattest. Direktoratet bemerker videre at krav til fremleggelse av politiattest er foreslått kun å gjelde ved nyansettelser. Sett i sammenheng med formuleringen i politiregisterforskriften § 36-1 forstår direktoratet forslaget dithen at det også kan kreves politiattest for tilbyders leverandører sitt personell knyttet til en ny aktivitet.
Kripos og Politiets sikkerhetstjeneste foreslår at det i merknadene til ny bestemmelse bør gis nærmere anvisning på hva som kan eller skal vektlegges for at en person skal kunne anses for uegnet og hva som eventuelt kan vurderes å kunne føre til betydelige skadevirkninger. På et slikt grunnlag kan tilbyderne lettere vurdere om aktuelle kandidater kan inneha stillingen eller utføre de aktuelle oppgavene.
Finnmark politidistrikt og Politidirektoratet mener at ordlyden i forslaget om at politiattesten ikke skal være eldre enn 90 dager er noe upresis, og viser til at noen særlover har bestemmelser om at politiattesten ikke skal være eldre enn tre måneder når den leveres til mottaker. Finnmark politidistrikts vurdering er at slike formuleringer er noe vage da ordlyden ikke tydeliggjør at mottaker av politiattest har ansvar for å kreve at politiattesten som fremlegges er i samsvar med hjemmelsgrunnlaget for krav om politiattest. Det foreslås i stedet å benytte formuleringen «Politiattest som fremvises skal være utstedt med hjemmel i ekomloven § 3-9 og skal ikke være eldre enn 90 dager ved fremvisning».
Justis- og beredskapsdepartementet viser til at det i forslaget til § 3-9 tredje ledd er foreslått at myndigheten kan gi forskrifter om fremleggelse av politiattest, herunder om tilbydernes betaling for politiattester. Utstedelse av politiattest er i dag ikke gebyrbelagt, slik at det ikke betales for utstedelse av slike attester. Det kan dermed ikke gis regler i medhold av ekomloven om betaling for politiattester. Justis- og beredskapsdepartementet ber derfor om at «herunder om tilbyders betaling for politiattest» utgår fra forskriftshjemmelen.
Flere politietater, Nasjonal sikkerhetsmyndighet, Næringslivets Hovedorganisasjon og Telenor er positive til at det innføres en hjemmel for å kunne kreve fremlagt politiattest av personer som skal ha tilgang til datasenter med vesentlig betydning for sikkerhet i nett eller tjenester. Muligheten til å stille krav til politiattest vil sikre datasenteroperatørenes eget behov for sikkerhet.
Politidirektoratet, Politiets Fellestjenester og Kripos uttrykker imidlertid at det vil være behov for at det sikres mulighet for å innhente uttømmende og utvidet politiattest også til bruk i datasenter, jf. politiregisterloven § 41, ettersom ordinær politiattest ikke anses som tilstrekkelig for å ivareta behovet for beskyttelse av sensitive opplysninger og kontroll av personell med tilgang til viktig datainfrastruktur. Videre gjøres det oppmerksom på at trusselbildet knyttet til innsidevirksomhet tilsier at det samtidig bør etableres en hjemmel om botid, slik at det kan avkreves politiattest av EØS-borgere fra deres hjemland jf. politiregisterloven § 36 første ledd nr. 1 jf. andre ledd.
Kripos og Nasjonal sikkerhetsmyndighet uttaler også at kravet til politiattest bør være en «skal-regel» med bakgrunn i kritikalitet og de verdier som datasentre forvalter og slik at attestasjon for vandel ikke er noe datasenteroperatør kan velge bort.
5.3.1.3 Departementets vurdering
Departementet har vurdert behovet for å kunne innhente politiattest opp mot alminnelige prinsipper om nødvendighet og relevans, samt om det finnes andre mer hensiktsmessige virkemidler som kan komme til anvendelse. I denne vurderingen er det lagt vekt på at ekomnett og -tjenester blir stadig viktigere for dagens digitaliserte samfunn, og at det er av avgjørende betydning å sikre disse. Ulike trusselvurderinger og rapporter peker stadig på innsidetrusler som en utfordring for både offentlige og private virksomheter. Det er derfor viktig med gode sikkerhetsrutiner knyttet til personkontroll, noe som vil redusere denne risikoen. Politiattest vil være et hjelpemiddel for å unngå at kriminelle miljøer får tilgang til trafikkdata, kundeopplysninger og informasjon om elektronisk kommunikasjonsinfrastruktur og datasenter. Departementet vurderer at manglende utelukkelse av en person som er uegnet, potensielt vil kunne medføre betydelig skadevirkninger, jf. politiregisterloven § 37 første ledd nr. 1. Etter departementets syn vil de eventuelle negative konsekvensene for personvernet som et krav om fremleggelse av politiattest medfører, oppveies av fordelene en politiattest gir ved å avdekke at uegnet personell ikke får slike tilganger som nevnt.
Flere politietater peker på at tidsbegrensningen for ordinær politiattest etter politiregisterloven § 40 nr. 5 medfører at mange forhold kun påføres dersom de er ilagt ved dom eller vedtatt forelegg mindre enn tre år før utstedelsen av attesten. Politidirektoratet med flere politietater har imidlertid anbefalt at det bør kreves utvidet og uttømmende politiattest. Departementet har vurdert innspillene og er enig i at den generelle endringen i trusselbildet i samfunnet gjør at det kan være behov for en ytterligere bakgrunnssjekk av personell, utover det en ordinær politiattest vil belyse. En utvidet og uttømmende politiattest vil også inneholde informasjon om siktelser, tiltaler og forelegg, samt dommer som ikke er rettskraftig avgjort. Dette er etter departementets vurdering viktige forhold som bør fremkomme i vurderingen om vedkommendes skikkethet. For i tilstrekkelig grad å kunne sikre både nett, tjeneste, datasenter og sensitiv informasjon av annen karakter foreslår derfor departementet å gi tilbydere av elektroniske kommunikasjonsnett og -tjenester og datasentre en mulighet for å få innhentet uttømmende og utvidet politiattest, jf. politiregisterloven § 41, i lovutkastet § 3-9 første ledd.
Departementet viser til høringssvarene fra Kripos og Politiets sikkerhetstjeneste om at det kan bli behov for å innhente politiattest også fra tilbyder av nummeruavhengige person-til-person-kommunikasjonstjeneste. For å sikre et tilstrekkelig fremtidsrettet regelverk foreslår derfor departementet at bestemmelsen også omfatter disse. Departementet er videre enig i Direktoratet for samfunnssikkerhet og beredskaps merknad om at det også kan kreves politiattest for personellet til tilbyders leverandører. For å sikre klarhet, presiseres dette i lovteksten.
Departementet er videre enig i Kripos sitt høringsinnspill om at formuleringer i lovforslaget ikke dekker behovet for attest for personer som behandler taushetsbelagt eller sensitiv informasjon, og foreslår at dette tas inn i bestemmelsens første ledd.
Politidirektoratet med flere har også anbefalt at regelverket bør stille krav om fem års botid slik at det kan avkreves politiattest av EØS-borgere fra deres hjemland, jf. politiregisterloven § 36 første ledd nr. 1 jf. andre ledd. Departementet har vurdert innspillet, men påpeker at det hittil bare er stilt krav om botid der det er innført et obligatorisk krav om politiattest. Dersom det skal innføres et botidskrav i ekomloven, vil dette kreve en nærmere utredning. Krav om botid inntas derfor ikke på nåværende tidspunkt.
Både Kripos og Nasjonal sikkerhetsmyndighet uttaler at politiattest bør kreves fremlagt av datasenteroperatør. Begge etater påpeker at høringsforslagets formulering «kan kreve fremleggelse» er for svakt som redskap for ivaretakelse av den sensitivitet og forebyggelse av den risiko departementet adresserer. Departementet er enig i at datasentre representerer en integrert og viktig del av den digitale grunnmuren. Etter departementets syn kan det likevel medføre en uforholdsmessig forpliktelse å måtte kreve politiattest for alle datasenteroperatørene som reguleringen gjelder for, uavhengig av størrelse og viktighet. Departementet mener det er tilstrekkelig at kravet om politiattest formuleres som en kan-bestemmelse, og at den enkelte datasenteroperatør gis mulighet til selv å vurdere behovet for den bakgrunnssjekken en politiattest representerer. Dette tilsvarer forslaget som gjelder krav om politiattest fra tilbyder av elektroniske kommunikasjonsnett og -tjenester. Departementet vil likevel utrede om det vil være hensiktsmessig å innføre krav til obligatorisk politiattest på et senere tidspunkt.
Til DSBs kommentar om at forslaget kan innebære at utenlandske statsborgere ikke vil kunne bli ansatt fordi de ikke kan fremlegge ordinær politiattest, og at bestemmelsen vil kunne bli praktisert ulikt, viser departementet til at bestemmelsen er en kan-regel og at det er overlatt til tilbyders behov om politiattest skal kreves fremlagt. Tilbyder vil selv være ansvarlig for sikkerheten og må gjøre egne risikovurderinger.
Departementet er enig med Finnmark politidistrikt i at ordlyden i forslaget bør presiseres slik at det fremgår at politiattesten ikke skal være eldre enn 90 dager ved fremvisning.
Justis- og beredskapsdepartementet har i sitt høringssvar påpekt at utstedelse av politiattest ikke er gebyrbelagt. Departementet har justert forskriftshjemmelen i § 3-9 tredje ledd i henhold til dette.
5.3.2 Begrensninger i markedsadgang
5.3.2.1 Forslaget i høringsnotatet 2. juli 2021
Departementet foreslo i høringsnotatet en videreføring av gjeldende ekomlov § 2-10 tredje ledd med visse justeringer. Det ble foreslått i § 3-11 (begrensinger i markedsadgang, ny §3-5) å heve nivået for å innføre begrensninger i markedsadgangen slik at myndigheten legges til departementet. Det ble videre foreslått å endre kriteriene i første ledd noe for å gjøre bestemmelsen mer dynamisk og fleksibel, ved å vise til hensynene nasjonal sikkerhet og viktige samfunnsinteresser. Det kan være aktuelt å nekte adgang til markedet både ved oppstart av virksomhet og ved løpende virksomhet dersom det avdekkes forhold som tilsier at en tilbyder bør nektes adgang til markedet. Utvidelsen av lovens tilbyderbegrep får betydning for hvem som kan begrenses adgang til markedet. En lignende bestemmelse finnes i petroleumsforskriften § 10 fjerde ledd hvor departementet av hensyn til nasjonal sikkerhet kan nekte en søker eller rettighetshaver adgang til og utøvelse av petroleumsvirksomhet på visse vilkår.
Bestemmelsen er ment å være en sikkerhetsventil for særlige tilfeller og terskelen for å nekte noen adgang til markedet vil være høy. Bestemmelsen må også ses i sammenheng med sikkerhetsloven § 2-5 om vedtak ved risiko for skadevirkninger for nasjonale sikkerhetsinteresser slik disse er definert i sikkerhetsloven § 1-5. Den foreslåtte bestemmelsen om begrensinger i markedsadgang vil imidlertid omfatte sikkerhet ut over nasjonale sikkerhetsinteresser slik dette er definert i sikkerhetsloven. Andre viktige samfunnsinteresser omfatter både offentlig sikkerhet, helse eller andre særlige forhold. Det vil kunne forekomme situasjoner hvor det kan være aktuelt å fatte vedtak etter sikkerhetsloven § 2-5 og vedtak om å nekte adgang til markedet etter ekomloven.
Forslaget i høringsdokumentet om at det bør innhentes rådgivende uttalelser fra relevante myndigheter før det fattes vedtak om at tilbyder nektes adgang til markedet er nytt. Innhenting av slike uttalelser vil sikre at eventuelle vedtak er grundig vurdert. Det vil særlig være aktuelt å innhente uttalelse fra sikkerhets- og helsemyndigheter, men det kan være relevant å innhente uttalelser også fra andre myndigheter.
I bestemmelsens tredje ledd er det tatt inn en forskriftshjemmel slik at myndighetene kan gi nærmere bestemmelser om begrensninger i markedsadgang, og fastsette at bestemmelsen gjelder andre enn tilbydere.
5.3.2.2 Høringsinstansenes syn
Huawei viser til at antallet bestemmelser som fremhever hensyn til nasjonal sikkerhet har økt i forslaget til ny ekomlov, og at lovgivning som indirekte reduserer Huaweis deltakelse i markedet innebærer risiko for økt teknisk sårbarhet. Mangel på mangfold i markedet kan føre til en uforsvarlig konsentrasjon av kritisk infrastruktur når risiko spres blant færre markedsaktører. Konsekvensene av sikkerhetsbrudd eller annen form for teknisk svikt vil derfor være større enn dersom risikoen fordeles over et større antall aktører. Huawei erkjenner behovet for at nasjonale myndigheter skal ha en viss grad av fleksibilitet til å fatte tiltak for å beskytte vital og sensitiv infrastruktur, men føler seg urettferdig behandlet på grunnlag av selskapets nasjonalitet og peker på at Huawei er et sikkerhetsmodent selskap. Etter Huaweis syn må det utvises betydelig varsomhet med utøvelse av denne type myndighet, og da kun i særlige tilfeller der dialog og andre former for forhandlinger har mislyktes.
Huawei viser til at selv om det i høringsnotatet er påpekt at terskelen for å begrense markedstilgangen etter første ledd bør settes høyt, kommer ikke dette klart nok frem i selve lovforslaget.
Når det gjelder forslaget i andre ledd om innhenting av rådgivende uttalelser fra andre relevante myndigheter før vedtak om begrensninger i markedsadgangen fattes, mener Huawei at det må være et krav om innhenting av slike uttalelser da dette vil bidra til å sikre at enhver beslutning som fattes i henhold til bestemmelsen er basert på saklig diskusjon og overveielse blant et større antall relevante beslutningstakere.
5.3.2.3 Departementets vurdering
Departementet opprettholder forslaget til regulering av begrensinger i markedsadgang. Departementet er imidlertid enig med Huawei i at det kan uttrykkes klarere i loven at terskelen for å begrense markedsadgangen er høy, og foreslår en endring i lovteksten ved å innta ordlyden «i særlige tilfeller» i første ledd.
Når det gjelder kommentaren om at det må være et krav å innhente rådgivende uttalelse fra andre relevante myndigheter, mener departementet at bestemmelsen fortsatt bør være en kan-bestemmelse og at det må være opp til myndigheten å vurdere behovet for å innhente rådgivende uttalelse fra andre myndigheter i det konkrete tilfellet.