NIS-direktivet om tiltak for nettverks- og informasjonssikkerhet

Tittel

Europaparlaments- og rådsdirektiv (EU) 2016/1148 av 6. juli 2016 om tiltak for et høyt felles sikkerhetsnivå i nettverks- og informasjonssystemer i EU

Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union

Siste nytt

Meddelelse om gjennomføring av direktivet lagt fram av Kommisjonen 13.9.2017

Nærmere omtale

[Red. anm.: Direktiv er ikke merket EØS-relevant i EU-tidende]

BAKGRUNN (fra departementets EØS-notat, sist oppdatert 16.12.2016)

Direktivet pålegger medlemsstatene å sørge for et visst nivå for landets IKT-sikkerhet ved å lage en strategi for sikkerhetsarbeidet, etablere en IKT-sikkerhetsberedskapsenhet (CSIRT) og pålegge operatører og leverandører av samfunnsviktige tjenester IKT-sikkerhetskrav og varslingsplikt ved alvorlige IKT-sikkerhetshendelser. Direktivet etablerer to internasjonale samarbeidsgrupper, en på strategisk nivå og en på CSIRT-nivå.

Bakgrunn og formål

Den 7. februar 2013 lanserte EU-kommisjonen EUs strategi for cybersikkerhet, An Open, Safe and Secure Cyberspace. Som ett av flere tiltak for å nå målene i strategien lanserte Kommisjonen samtidig et forslag til direktiv om tiltak for et høyt felles sikkerhetsnivå i nettverks- og informasjonssystemer i EU (NIS-direktivet). Direktivet ble vedtatt i EU 6. juli 2016.

Bakgrunnen for forslaget til direktivet er at det i dag, innen EU, ikke er implementert tilstrekkelige og helhetlige beskyttelsestiltak for å oppnå god nok sikkerhet i nettverk og informasjonssystemer som er særlig viktige for det indre markeds funksjon. Utfordringene er ikke bare grenseoverskridende, men globale. Medlemslandene har ulik kvalitet på de beskyttelsestiltak som er implementert, hvilket medfører en fragmentert tilnærming på EU-nivå. I dag er det på felleseuropeisk nivå kun etablert rettslige rammeverk for informasjonssikkerhet innen ekom-sektoren, jf. Europaparlaments- og rådsdirektiv 2002/21/EF av 7. mars 2002 om felles rammeregler for elektroniske kommunikasjonsnett og –tjenester (rammedirektivet). Det er behov for felleseuropeiske regler om IKT-sikkerhet også for annen type infrastruktur.

Formålet med direktivet er å forbedre det indre markeds funksjon gjennom etableringen av et høyt felles sikkerhetsnivå i viktige nettverks- og informasjonssystemer. Direktivet setter krav til medlemslandenes arbeid med IKT-sikkerhet, til virksomheter som leverer tjenester som er essensielle for det indre markeds samfunnsmessige og økonomiske aktiviteter og til tilbydere av enkelte digitale tjenester. Det er særlig fokus på å sikre kontinuitet i leveransen av de aktuelle tjenestene. Et høyt felles IKT-sikkerhetsnivå skal gjøre EU mer konkurransedyktig i en globalisert verden, skape tillit til digitale tjenester og bidra til økonomisk vekst i Europa.

Innhold

1. Nasjonale rammeverk for sikkerhet i nettverks- og informasjonssystemer (NIS), jf. kap. II (art. 7 til 10)

Medlemsstatene skal sørge for at de har et minimum av nasjonal kapasitet for å møte IKT-sikkerhetsutfordringer ved å:

• utarbeide en nasjonal NIS-strategi
• opprette en nasjonal kompetent myndighet for nettverks- og informasjonssikkerhet
• opprette ett nasjonalt kontaktpunkt
• opprette minst en IKT-beredskapsenhet (Computer Security Incident Response Team - CSIRT).

Dersom oppgavene til den nasjonale kompetente myndigheten, CSIRTen og det nasjonale kontakpunktet nasjonalt er fordelt på flere virksomheter, skal disse samarbeide om gjennomføringen av direktivet.

2. Samarbeid mellom medlemslandene og mellom CSIRTene, jf. kap. III (art. 11 til 13)

For å legge til rette for strategisk samarbeid og utvikling av tillit mellom medlemsstatene etablerer direktivet en samarbeidsgruppe med representanter fra medlemslandene, Kommisjonen og det europeiske byrået for nettverks- og informasjonssikkerhet (ENISA). Kommisjonen ivaretar sekretariatsfunksjonen. Samarbeidsgruppens skal blant annet utarbeide en handlingsplan for implementering av direktivet, utarbeide strategiske råd til CSIRT-nettverket, utveksle best-practice om informasjonsdeling relatert til hendelseshåndtering og utveksling av best-practice om kapasitetsbygging. Se videre art. 11.

For å fremme rask og effektiv operativt samarbeid samt utvikling av tillit mellom medlemslandene etablerer direktivet også et CSIRT-nettverk bestående av representanter fra de nasjonale CSIRTene og CERT-EU. Kommisjonen deltar som observatør og ENISA står for sekretariatet. Nettverkets arbeidsoppgaver vil blant annet bestå av informasjonsdeling om CSIRTenes tjenester, operasjoner og samarbeidskapasiteter, informasjonsdeling om hendelser og samarbeid om felles respons mot hendelser. Se videre art. 12.

3. Virksomheters nettverks- og informasjonssystemsikkerhet, jf. kap IV og V (art. 14 til 18)

Det følger av NIS-direktivet art. 1(3) at virksomheter som faller inn under virkeområdet til rammedirektivet 2002/21/EF og dermed må oppfylle sikkerhetskravene i art. 13a og 13b, er unntatt fra NIS-direktivet. Det samme gjelder tilbydere av tillitstjenester som faller inn under virkeområdet i Europaparlaments- og Rådsforordning (EU) nr. 910/2014 om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked og opphevelse av direktiv 1999/93/EF (EIDAS-forordningen), jf. NIS-direktivet art. 1(4). Det følger videre av art. 1(7) et lex specialis-unntak for virksomheter som er underlagt sektorspesifikt EU-regelverk, der dette regelverket stiller minst tilsvarende krav til sikkerhet og varsling. Dersom lex specialis-reglene fullt ut kommer til anvendelse, er det ikke nødvendig å identifisere virksomheter som er omfattet av det sektorspesfikke EU-regelverket.

3.1 Sikkerhet i nettverk og informasjonssystemer tilhørende operatører av essensielle tjenester (operators of essential services), se kap. IV.

Direktivet pålegger medlemsstatene å sørge for at operatører av essensielle tjenester, jf. vedlegg II til direktivet, iverksetter flere sikkerhetstiltak, herunder risikostyring og varslingsplikt om hendelser som har vesentlig virkning (significant impact). Dette er virksomheter som anses særlig viktige for opprettholdelsen av et funksjonsdyktig indre marked og hvis bortfall kan få alvorlige negative konsekvenser for samfunnssikkerheten og økonomiske og samfunnsmessige aktiviteter. Vedlegg II til direktivet inneholder følgende sektorer:

• Energi (elektrisitet, olje og gass)
• Transport (luft, jernbane, sjø og vei)
• Helse (helsetjenester)
• Bank
• Finansmarkedsinfrastruktur
• Drikkevannsforsyning og -distribusjon
• Digital infrastruktur (IXP, DNS og TLD)

3.1.1 Virkeområde - Operatører av essensielle tjenester

Det endelige virkeområdet for direktivet blir fastlagt gjennom en utpekingsprosess i regi av hver enkelt medlemsstat, jf. art. 5. Som et minimum skal virksomheter som faller inn under direktivets vedlegg II vurderes. Det skilles ikke mellom offentlige og private virksomheter.

En virksomhet defineres som operatør av en essensiell tjeneste dersom følgende kumulative kriterier er oppfylt, jf. art. 5(2) :
1. Virksomheten tilbyr en tjeneste som er essensiell for opprettholdelsen av kritiske samfunnsmessige og/eller økonomiske aktiviteter,
2. tjenesteleveransen er avhengig av nettverk og informasjonssystemer, og
3. en hendelse i tjenestens nettverk og informasjonssystemer ville hatt vesentlig forstyrrende virkning på tjenesteleveransen

For å oppfylle punkt 1 synes det ut i fra direktivets premiss (20) tilstrekkelig å fastslå at virksomheten faktisk leverer en essensiell tjeneste som er opplistet i direktivets vedlegg II.

Ved vurderingen av om en sikkerhetshendelse kan få vesentlig forstyrrende effekt på tjenesteleveransen skal både tverrsektorielle og sektorspesifikke momenter tas i betraktning. Art. 6 oppstiller en ikke uttømmende liste med tverrsektorielle momenter som skal vurderes:

• antall brukere som baserer seg på tjenesten
• andre vedlegg II-sektorers avhengighet av tjenesten
• omfanget og varigheten av hendelsers mulige virkning på økonomiske og samfunnsmessige aktiviteter og samfunnssikkerhet
• virksomhetens markedsandel
• geografisk område som kan rammes av hendelsen
• viktigheten av virksomhetens bidrag til leveranse av tjenesten, med tanke på alternative tjenestetilbydere

Medlemsstatene plikter å opprette en liste over alle operatører av essensielle tjenester. Listen skal oppdateres jevnlig og minst hvert andre år.

For å gjøre Kommisjonen i stand til å evaluere gjennomføringen av direktivet skal medlemslandene innen 9. november 2018 rapportere til kommisjonen blant annet:

• om hvilke tiltak som er iverksatt for utpeking
• liste over essensielle tjenester (ikke de konkrete operatørene)
• antall operatører i hver sektor

3.1.2 Sikkerhetstiltak

Direktivet stiller generelle og overordnede krav til sikkerheten i virksomhetene. Blant annet gjennom innføring av krav om risikostyring, skal medlemsstatene sørge for at operatører av essensielle tjenester iverksetter sikkerhetstiltak som står i et rimelig forhold til risikoen den enkelte virksomhet står overfor. Det skal også iverksettes tiltak for å forebygge og minimere virkningen av hendelser i nettverk og informasjonssystemer, med henblikk på opprettholdelse av tjenesteleveransen. Se nærmere art. 16(1) og (2).

For å legge til rette for harmonisert gjennomføring av art. 16(1) og (2), skal medlemsstatene fremme bruk av europeiske og internasjonale standarder. ENISA skal bistå med rådgivning og retningslinjer.

Medlemsstatene skal videre sørge for at operatører av essensielle tjenester uten ugrunnet opphold varsler om alvorlige hendelser. Vurderingskriteriene for hendelsens alvorlighet er:

• antallet brukere som er rammet av hendelsen
• hendelsens varighet
• det geografiske området som er rammet

Dette betyr altså at det kun skal varsles om hendelser som faktisk innvirker negativt på tjenesteleveransen. Det skal ikke varsles om fare for slik virkning, ei heller kompromittering av konfidensialitet, tilgjengelighet eller integritet der dette ikke har betydning for tjenesteleveransen. Det er den forhåndsbestemte kompetente myndigheten eller CSIRTen som skal varsles.

Dersom hendelsen også fører til brudd på personvernet skal den kompetente myndigheten samarbeide med personvernmyndighetene.

3.2 Sikkerhet i nettverk og informasjonssystemer tilhørende tilbydere av digitale tjenester, se kap. V.

Direktivet pålegger medlemsstatene å sørge for at også tilbydere av digitale tjenester, jf. vedlegg III til direktivet, iverksetter flere sikkerhetstiltak, herunder risikostyring og varslingsplikt om svært alvorlige hendelser. Det går tydelig frem av premissene til direktivet at det skal stilles lavere sikkerhetskrav til disse tjenestene da de anses noe mindre viktige enn tjenestene omtalt i 3.1. Den kompetente myndigheten skal kun kontrollere disse virksomhetene dersom den får klare indikasjoner på at direktivets krav ikke er fulgt. Det forutsettes dessuten i premiss (57) at sikkerhetsnivået for denne kategorien virksomheter skal harmoniseres i EU gjennom utarbeidelse av gjennomføringsregler. ENISA har satt i gang med dette arbeidet på oppdrag fra Kommisjonen.

3.2.1 Virkeområde - Tilbydere av digitale tjenester

For denne kategorien skal medlemsstatene ikke foreta en utpeking av virksomheter. Dirketivbestemmelsene skal gjelde alle virksomheter som faller inn under vedlegg III:

• Nettbaserte markedsplasser, jf. art. 4(17)
• Nettbaserte søkemotorer, jf. art. 4(18)
• Skytjenester, jf. art. 4(19)

3.2.2 Sikkerhetstiltak

Medlemsstatene skal sørge for at tilbydere av digitale tjenester iverksetter sikkerhetstiltak som står i et rimelig forhold til risikoen virksomheten står overfor. Også overfor denne gruppen virksomheter skal det stilles krav om risikostyring. Det skal også iverksettes tiltak for å forebygge og minimere virkningen av hendelser i nettverk og informasjonssystemer, med henblikk på opprettholdelse av tjenesteleveransen.

Til forskjell fra operatører av essensielle tjenester kan medlemslandene, med visse unntak, ikke innføre strengere sikkerhetstiltak for tilbydere av digitale tjenester enn det direktivet legger opp til. Noe av begrunnelsen er at det for tilbydere av digitale tjenester er behov for unionsuniforme sikkerhetskrav.

Tilbydere av digitale tjenester skal også varsle en på forhånd bestemt kompetent myndighet om alvorlige hendelser. For tilbydere av digitale tjenester skal det i tillegg til nevnte momenter for operatører av essensielle tjenester også ses hen til:

• omfanget av forstyrrelsen for tjenestens funksjon
• omfanget av virkningen for økonomiske og samfunnsmessige aktiviteter

4. Gjennomføring av direktivet

For å sørge for like forutsetninger for gjennomføring av direktivet skal Kommisjonen, i henhold til premiss (68), utarbeide prosessuelle retningslinjer for Samarbeidsgruppen (art. 11) og for utarbeidelse av sikkerhets- og varslingskrav for tilbydere av digitale tjenester. Kommisjonen skal rådføre seg med ENISA.

I følge art. 24 skal Samarbeidsgruppen og CSIRT-nettverket starte sitt arbeid innen 9. februar 2017. I perioden frem til 9. november 2018 skal Samarbeidsgruppen særlig bistå medlemslandene med ensartet og treffende utpeking av operatører av essensielle tjenester.

Direktivet skal gjennomføres innen 9. mai 2018.

Utpekingen av operatører av essensielle tjenester skal være ferdig innen 9. november 2018.

5. Kort om andre regler

Medlemslandene skal utarbeide regler om gebyr for overtredelse av bestemmelser om gjennomføring av direktivet, jf. art. 21.

NIS-direktivet skal ikke legge begrensninger på medlemsstatenes muligheter til å iverksette tiltak for å ivareta essensielle statsfunksjoner, særlig nasjonal sikkerhet og opprettholdelse av lov og orden, herunder adgangen til å etterforske, oppdage og iretteføre kriminelle handlinger, jf. art. 1(6).

Behandling av personopplysninger skal etter art. 2 gjennomføres i samsvar med personverndirektivet 95/46/EF.

Merknader og betydning for Norge forutsatt EØS-relevans

Hjemmel i EU-traktaten
Rettsakten er hjemlet i TFEU art. 114.

Gjeldende norsk lovgivning og politikk

1. Nasjonale rammer for nettverks- og informasjonssikkerhet

Nasjonal strategi for informasjonssikkerhet, med handlingsplan, som ble utgitt 18. desember 2012, dekker langt på vei de krav som direktivet stiller til den nasjonale nettverks- og informasjonssikkerhetsstrategien. De oppgavene som direktivet tillegger den kompetente myndigheten er langt på vei sammenfallende med de oppgaver NSM utfører i dag som fag- og tilsynsmyndighet innenfor sikkerhetslovens rammer. Flere sektormyndigheter har dessuten ansvar og myndighet innen sine sektorer. Samlet sett dekkes store deler av direktivet, men direktivet innebærer regulering av IKT-sikkerheten for en del virksomheter som per i dag ikke er direkte regulert. Mottak og behandling av varsler vil antakelig øke, i tillegg til at oppfølging og gjennomføring av direktivet er nye oppgaver som må delegeres til en eller flere myndigheter.

De oppgaver direktivet tillegger den nasjonale CERTen, slik disse fremgår av direktivets artikkel 9 og av vedlegg 1, sammenfaller i stor grad med de oppgaver som allerede ivaretas av NSMs NorCERT funksjon. Norge har dermed allerede på plass de grunnleggende kapasitetene direktivet pålegger hver medlemsstat å opprette.

2. Samarbeid mellom medlemslandene og mellom CSIRTene

Det nærmere innholdet i og omfanget for begge former for samarbeid er ment å utvikles over tid, og vil uansett ikke være klart før samarbeidet faktisk setter i gang. Per i dag er det for Norges del allerede etablert et godt samarbeid innen eksempelvis hendelseshåndtering med flere nasjoner. Deltakelse i de to samarbeidsgruppene som direktivet etablerer vil komme i tillegg til eksisterende internasjonalt samarbeid.

3. Virksomheters nettverks- og informasjonssytemsikkerhet

Det går frem av kommentarene til direktivet at begrepet sikkerhet i nettverk og informasjonssystemer omfatter både lagret, sendt og behandlet data. Videre er evne til å identifisere risiko for, forebygge, oppdage, håndtere og gjenopprette etter hendelser angitt som aktuelle sikkerhetstiltak. Direktivet fastsetter ikke konkrete og spesifikke krav til sikkerhet utover dette. I stedet skal den enkelte virksomhet som faller inn under direktivets virkeområde gjennomføre en risiko- og sårbarhetsanalyse. Resultatet av analysen skal danne grunnlaget for å iverksette proporsjonale og hensiktsmessige konsekvensreduserende tiltak tilpasset den enkelte virksomhet. I hvilken grad direktivet får konsekvenser for norske virksomheter vil i stor grad avhenge av dagens sikkerhetsnivå i den enkelte virksomhet.

Det kan likevel legges til grunn at flere norske vedlegg II-virksomheter allerede har et sikkerhetsnivå som helt eller delvis tilfredsstiller direktivets krav. Virksomheter som er underlagt sikkerhetsloven vil antakelig overoppfylle direktivets krav. Personopplysningsloven stiller krav til informasjonssikkerheten for virksomheter som etter personopplysningsloven behandler eller er ansvarlig for behandlings av personopplysninger. Kravene oppfyller antakelig langt på vei direktivets krav.

Andre virksomheter er underlagt forskjellige grader av krav til sikkerhet. Høringsinstansenes svar viser at det eksisterer relevant sektorregelverk innen sektorene finans, helse, transport, energi, bank, vannforsyning og IKT-infrastruktur, se nærmere om dette under økonomiske og administrative konsekvenser.

Høringssvarene gir i mindre grad svar på i hvilken grad det eksisterer regleverk for tilbydere av digitale tjenester. Det er grunn til å tro at det per i dag ikke foreligger særlig relevant regelverk spesifikt for denne kategorien virksomheter, utover tverrsektorielt regelverk som for eksempel personopplysningsloven. Det legges til grunn i direketivet at disse virksomhetene i stor grad operer i flere land og at de konkrete sikkerhetskravene derfor må harmoniseres i størst mulig grad i hele EU. ENISA og EU-kommisjonen skal bistå i dette arbeidet.

Rettslige konsekvenser

En eventuell implementering av direktivet i norsk rett vil forutsette at det etableres en lovhjemmel for de krav direktivet oppstiller. Idet direktivet pålegger private virksomheter plikter, må direktivet alene av hensyn til legalitetsprinsippet, gjennomføres ved lov. Dette gjelder både krav til sikkerhet og plikt til varsling. Av hensyn til forutsigbarhet vil det uansett være nyttig å fastsette det nasjonale rammeverket ved lov, herunder hvilken eller hvilke kompetente myndigheter som vil få ansvar etter loven, hvem som skal varsle hvor og så videre.

Det må vurderes nærmere om gjennomføringen bør skje i egen lov eller gjennom tilpasning av allerede eksisterende regelverk. Gjeldende lov- og forskriftsverk vil måtte gjennomgås og forholdet til eksisterende sektorlovgivning vil måtte vurderes nærmere. Da det per i dag ikke eksisterer regelverk med samme virkeområde som NIS-direktivet, og sikkerhetslovgivningen med unntak av sikkerhetsloven er sektorspesifikk og forskjelligartet, taler hensynet til harmonisering for gjennomføring i én lov. Justis- og beredskapsdepartementet vil komme tilbake til dette senere.

Grunnet behovet for lovendring tas det forbehold om Stortingets samtykke til å innlemme rettsakten i EØS-avtalen, jf. EØS-avtalen art. 103.

Økonomiske og administrative konsekvenser

Forskjellen mellom dagens regelverk og virksomhetenes sikkerhetsnivå på den ene siden og direktivets krav på den andre siden vil utgjøre direktivets samlede økonomiske og administrative konsekvenser.

Per i dag er det flere faktorer som mangler for å kunne foreta en nøyaktig beregning av konsekvensene. Som det fremgår av gjennomgangen ovenfor vil det endelige virkeområdet for direktivet først bli klart etter en nasjonal prosess for utpeking av operatører av essensielle tjenester. Det er heller ikke klarlagt hvilket sikkerhetsnivå som vil følge av direktivet. Den alminnelige høringen gir likevel noen foreløpige svar fordi det er blitt klarere hvilke sektorer som har relevant sektorregelverk, se nærmere under.

EU-kommisjonens stab utarbeidet sammen med forslag til direktivtekst en konsekvensanalyse, SWD(2013) 31(executive summary) og 32. Videre er det innhentet en foreløpig konsekvensanalyse fra UK og innspill fra NSM hva gjelder egen virksomhet. NSM bemerker innledningsvis at i den grad det skal utføres en fullstendig analyse av økonomiske og administrative konsekvenser av direktivet, bør dette settes ut til et rådgivningsselskap med god kompetanse innen samfunnsøkonomiske beregninger. NSM bemerker også at deres innspill forutsetter at direktivets funksjon som Nasjonal kompetent myndighet samt funksjon som nasjonal CERT, ivaretas av NSM.

Direktivets overordnede formål er å støtte opp under det indre markeds funksjon og å styrke europeiske virksomheters konkurransedyktighet i en global kontekst. Det uttrykkes i EUs digitale agenda at fortsatt økt digitalisering skal bidra til økonomisk vekst i Europa. En helhetlig og felles tilnærming til sikkerhet i EU er en forutsetning for en vellykket digitalisering. God sikkerhet gjør offentlige og private i bedre stand til å stå imot ulike former for digitale trusler og skaper nødvendig tillit for brukerne av tjenester og mellom samarbeidspartnere.

Det fremholdes i SWD (2013) 31 at det får negative økonomiske konsekvenser om de foreslåtte tiltakene ikke iverksettes. Det påpekes at de mindre utviklede medlemsstatenes konkurranseevne og økonomiske vekst vil undermineres av et lavt sikkerhetsnivå. Gitt nåværende trender vil IKT-sikkerhetshendelser bli mer og mer synlig for både virksomheter og befolkningen, hvilket vil hindre fullføringen av det indre marked.

Derimot forventes det at økt tilgjengelighet, pålitelighet og kvalitet i samfunnskritiske sektorer som i stor grad er avhengig av IKT, vil være fordelaktig for hele EUs konkurranseevne. Videre vil et økt sikkerhetsnivå redusere kostnadene forbundet med sikkerhetsbrudd og IKT-kriminalitet. I tillegg vil økt fokus på risikostyring blant virksomheter kunne stimulere til økt vekst innen sikkerhetsindustrien.

Direktivets elementer som kan medføre økte administrative og økonomiske kostnader:

1. NASJONALE RAMMER FOR NETTVERKS- OG INFORMASJONSSIKKERHET
Norge har i stor grad allerede gjennomført de tiltak Kommisjonen her foreslår. Med unntak av at kompetente myndigheter skal ta imot varsler om sikkerhetshendelser, medfører ikke disse tiltakene økonomiske og administrative konsekvenser av betydning, ifølge SWD (2013) 32. Det legges der til grunn at for stater som per i dag har en godt etablert kapasitet - hvilket er tilfelle for Norge v/NSM - vil innføring av direktivet ikke medføre ytterligere kostnader.

NSM har spilt inn at de etablerte grunnstrukturene er på plass, men at disse må styrkes for å oppfylle direktivets krav til den nasjonale kompetente myndigheten. NSM anslår at håndtering og oppfølging av innrapporterte hendelser, minimum vil kreve en økning på 2-3 årsverk, investeringer knyttet til tilrettelegging av IKT-infrastruktur og styrking av NSMs analysekapasitet. Konsekvensene av gjennomføring av reglene om sikkerhetsrevisjoner vil avhenge av antall, omfang, hyppighet og metodikk. Dette må beregnes nærmere når det endelige direktivet er klart.

NSM NorCERT ivaretar langt på vei de oppgaver som direktivet forutsetter skal ligge til en nasjonal CSIRT-funksjon. Antakelig vil ikke direktivet medføre vesentlige konsekvenser på dette området. NSM har spilt inn at det kan bli aktuelt med infrastrukturinvesteringer og å styrke evnen til redundans og varians i sikker kommunikasjon med eksterne aktører. Nærmere beregninger må avvente til behovet og omfanget er avklart.

NKOM skriver i sitt høringssvar at gjennomføring av direktivet kan foreats innen etablerte rammer gitt at deres satsingsforslag for 2017 realiseres. HOD skriver at dersom Mattilsynet skal tildeles oppgaven med utpeking av virksomheter på sitt felt, vil dette kunne medføre behov for styrket kompetanse og økte ressurser

SWD (2013) 32 legger til grunn at hver NIS-øvelse vil koste 55 555 euro per medlemsland, samarbeid mellom nasjonale kompetente myndigheter vil koste 6000 per år per medlemsland og arbeid med en felles nettside vil koste 5000 euro for oppstarten og 2400 euro per år for hele EU.

2. SAMARBEID MELLOM KOMPETENTE MYNDIGHETER

Det må påregnes møter internasjonalt for å ivareta Norges rolle både i samarbeidsgruppen og i CSIRT-nettverket. Det er foreløpig ikke klart hvor mange møter det blir per år i samarbeidsgruppen. Det må legges til grunn at denne møtevirksomheten vil medføre kostnader utover dagens nivå.

3. VIRKSOMHETERS NETTVERKS- OG INFORMASJONSSYSTEMSIKKERHET

En aktuell metode for beregning av hvilke økonomiske konsekvenser direktivet vil ha for aktuelle virksomheter, er å se dagens sikkerhetsnivå i den enkelte berørte virksomhet opp mot de krav som det endelige direktivet oppstiller. Dette vil antakelig bli en relativt omfattende oppgave da den enkelte virksomhet må vurderes for seg. For mange berørte virksomheter er det allerede innført flere krav til informasjonssikring, jf. eksempelvis personopplysningsregelverket. Det er grunn til å anta at de sikkerhetstiltak som er gjennomført vil dekke i hvert fall deler av de krav som direktivet oppstiller. Disse virksomhetene vil antakelig måtte investere forholdsmessig mindre i nye sikkerhetstiltak for å oppfylle direktivets krav, sammenlignet med virksomheter som per i dag har en mindre systematisk tilnærming til IKT-sikkerhet.

For å få full oversikt må hver virksomhet vurderes konkret. Ikke bare hvilket regelverk virksomheten er underlagt, men det faktiske sikkerhetsnivået. Fravær av regelverk innebærer ikke nødvendigvis fravær av sikkerhetstiltak og motsatt.

Høringssvarene viser at det innen en rekke sektorer eksisterer relevant regelverk som setter krav til både sikkerhet og varsling.

Kraftsektoren har ifølge Norges vassdrags- og energidirektorat (NVE) relevant regelverk for Kraftforsyningens beredskapsorganisasjon (KBO), som består av NVE og større kraftprodusenter, nettselskaper og fjernvarmeselskaper, som har klassifiserte anlegg etter beredskapsforskriften. For disse virksomhetene vil antakelig ikke direktivet medføre økte kostnader.

Markedsplasser og kraftleverandører er imidlertid ikke medlemmer av KBO. NVE legger imidlertid til grunn at kraftleverandører behandler mye personopplysninger, hvilket medfører krav til IKT-sikkerheten. NVE skriver videre at det må påregnes at NIS-direktivet kan ha økonomiske og administrative konsekvenser for kraftleverandører, men peker samtidig på nytteverdien av god IKT-sikkerhet.

Statoil spilte inn at "Statoils styringssystem på informasjonssikring allerede [er] nært knyttet til internasjonale standarder" og at "innføring av sertifisering og vedlikehold av disse vil medføre høyere kostnader og mer administrativt arbeid". Det følger ikke klart av direktivet at det skal innføres sertifisering, men det kan heller ikke utelukkes.

Luftfartstilsynet skriver at "[d]et er foreløpig uklart om NIS-direktivet vil medføre ytterligere krav til sikringstiltak for aktørene innen flysikringsområdet ut over det som allerede er etablert gjennom sikkerhetsloven, objektsikkerhetsforskriften og forordning 1035/2011 om felles regler for "air navigation services". Tilsynet skriver videre at "[a]lle større aktører har etablert egne interne rutiner for å ivareta IKT sikkerhet, siden dette i stor grad er knyttet til sikring av egen drift og å unngå driftsavbrudd." Som nevnt tidligere kan det legges til grunn at virksomheter som er underlagt sikkerhetsloven oppfyller NIS-direktivets krav til sikkerhet og varsling.

Jernbaneverket skriver at de er i ferd med å innføre et risikobasert styringssystem for informasjonssikkerhet. Det samme gjelder innføring av prosess for hendelseshåndtering. Sett i sammenheng med sikkerhetsstyringsforskriften og sikringsforskriften synes jernbanesektoren å være regulert slik at NIS-direktivet antas ikke å innebære nevneverdige merkostnader.

For transport på vann og vei er det foreløpig ikke klarlagt om det foreligger relevant sektorregelverk.

Finanstilsynet skriver at "[f]inanssektoren i Norge har ved forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT-forskriften) et gjeldende sektorregelverk som i hovedtrekk er dekkende for NIS-direktivets bestemmelser. IKT-forskriften gir blant annet Finanstilsynet hjemler tilsvarende det som "Competent Authority" i følge direktivet skal ha, jf. artikkel 15 nr. 1 og 2 (a) og 3 og har bestemmelser for både gjennomføring av risikoanalyser og hendelserapportering. Når det gjelder hendelsesrapportering og risikoanalyser synes imidlertid de generelle kravene i direktivet å gå noe lenger enn gjeldende IKT-regelverk for finanssektoren. Konsekvensene av dette antas likevel å være begrenset. Ettersom IKT-forskriften i hovedtrekk dekker NIS-direktivets bestemmelser og foretakene innen sektoren har tilpasset sin IKT-virksomhet iht. forskriftens bestemmelser anser Finanstilsynet at de økonomiske og administrative konsekvensene for finanssektoren ved en innføring av direktivet i norsk rett, vil være lavere enn EUs beregninger som viser behov for økt sikkerhetssatsning på 1,2 prosentpoeng."

Helse- og omsorgsdepartementet (HOD) skriver at "[u]t fra hvordan departementet leser kravene i direktivet, er vår foreløpige vurdering at kravene langt på vei er ivaretatt i helse- og omsorgssektoren. Flere virksomheter i sektoren er underlagt sikkerhetsloven. I tillegg behandler virksomhetene i sektoren sensitive personopplysninger, og følger krav til informasjonssikkerhet som følger av personopplysningsloven og helselovgivningen."

Norsk Vann uttaler at NIS-direktivet ikke stiller strengere krav enn det som følger av dagens regler og praksis på deres område.

Når det gjelder digital infrastruktur skriver Nasjonal kommunikasjonsmyndighet (NKOM) at dagens regelverk kun delvis er dekkende for NIS-direktivet. Registerenhet for toppdomener blir antakelig ikke berørt i særlig grad av direktivet. Det samme gjelder operatører av DNS-tjenester som også tilbyr internettaksess. Det er for tidlig å fastslå om norske registrarer under .no vil bli omfattet av direktivet, men dersom de blir det, vil direktivet innebære administrative og økonomiske konsekvenser for disse. Det samme gjelder for samtrafikkpunkter på internett (IXP).

Kommisjonsstabens beregninger i SWD (2013) 32 kan gi en pekepinn på kostnadsnivået for berørte virksomheter. Overføringsverdien for norske forhold må imidlertid vurderes nærmere. Det er også en viss forskjell mellom Kommisjonens opprinnelige direktivforslag og det foreliggende. Departementet legger til grunn at tallene uansett er omtrentelige og at de kan tjene som en pekepinn på kostnadsnivå. Oppsummeringsvis legger Kommisjonsstaben til grunn følgende kostnadsbilde for innføring av regler om risikostyring og rapportering:

- Sikkerhetskostnadene er beregnet til å måtte utgjøre 6,61% av en virksomhets totale IKT-budsjett
- Totalt for alle berørte virksomheter i EU, vil etterfølgelse av direktivet medføre kostnader på til sammen mellom 1 og 2 millarder euro.
- I snitt medfører direktivet økte kostnader for små og mellomstore bedrifter (10-250 ansatte) med mellom 2500 og 5000 euro.
- For energisektoren medfører direktivet ingen økte kostnader, da det antas at tilstrekkelig IKT-sikkerhet er på plass.
- Berørte virksomheter i transportsektoren må øke sin totale IKT-sikkerhetssatsing med 3 prosentpoeng
- I finanssektoren må man øke med 1,2 prosentpoeng
- I helsesektoren må man øke med 2,3 prosentpoeng
- I IKT-sektoren må man øke med 0,7 prosentpoeng
- I offentlig sektor må man øke med 2,4 prosentpoeng
- Rapporteringskostnadene beregnes til 212 500 euro samlet for alle berørte virksomheter i EU.

Sakkyndige instansers merknader

Merknader fra Justis- og beredskapsdepartementet
Nettverks- og informasjonssystemer globalt og innen EU og EØS er forbundet med hverandre. Store forstyrrelser i ett land kan få konsekvenser for andre land. Nettverks- og informasjonssystemers robusthet og stabilitet, samt kontinuiteten i de sentrale tjenestene er avgjørende for et velfungerende indre marked, og særlig for det digitale indre markeds videreutvikling.

Direktivets hovedformål er å forbedre det indre markeds funksjon. Direktivet har direkte innvirkning på berørte virksomheters rammevilkår og indirekte for alle andre virksomheter ved at sikkerheten i sentral infrastruktur blir bedret. Gjennomføring av direktivet i EU, men ikke i EFTA-landene, vil føre til ulike rammevilkår for virksomheter innad i EØS, og er følgelig ikke i tråd med EØS-avtalens intensjon.

Flere av de berørte samfunnssektorene er allerede regulert i EØS-avtalen, eksempelvis transport og energi. Videre er det inntatt i EØS-avtalen protokoll art. 31 inntatt beslutninger om EØS-samarbeid om både IKT-sikkerhet og infrastruktursikkerhet.

At det er etablert EØS-samarbeid innen områder som har nær sammenheng med det foreslåtte NIS-direktivet - eksempelvis eID og andre elektroniske tillitstjenester, personvern og ekomsektoren, tilsier at det også bør samarbeides om tiltak for å sikre et høyt felles nivå for nettverks- og informasjonssikkerheten.

Det er dessuten grunn til å tro at direktivets intensjon ivaretas bedre ved at det gjennomføres i hele EØS enn kun i EU. Ett av flere eksempler er at Norge vil kunne bidra positivt til og dra nytte av CSIRT-nettverket.

Sett hen til det som er beskrevet ovenfor om kost- og nyttevirkninger av direktivet mener Justis- og beredskapsdepartementet at direktivet er akseptabelt.

Konklusjon:

Forslaget er EØS-relevant og akseptabelt

Merknader fra høringsinstansene:

Departementet mottok rundt 40 høringssvar. Ingen av høringsinstansene mener at direktivet ikke er EØS-relevant eller at det ikke er akseptabelt. Rundt 13 av høringsinstansene uttaler seg positivt til direktivet og mener at det er EØS-relevant.

Merknader fra SU kommunikasjoner:

EØS-posisjonsnotatet ble behandlet og godkjent i SU kommunikasjoner 1. desember 2016. Utvalget hadde enkelte mindre merknader som er innarbeidet i notatet.

Vurdering
Justis- og beredskapsdepartmentet mener det er behov for tilpasningstekst slik at Norges sikres deltakelse i Samarbeidsgruppen og CSIRT-nettverket.

EFTA-sekretariatet har identifisert to mulige horisontale utfordringer ved direktivet, jf. skjema 2a.

1. Bestemmelser med henvisning til rettsakter som ikke er innlemmet i EØS-avtalen

1.1 NIS-direktivet art. 1(3) fastsetter at direktivet ikke får anvendelse for virksomheter som er omfattet av direktiv 2002/21/EU (rammedirektivet) og forordning EU 910/2014 (EIDAS). Etter Justis- og beredskapsdepartementets vurdering har det ikke betydning for vurderingen av NIS-direktivet at nevnte rettsakter ikke er innlemmet i EØS-avtalen, ettersom det kun fastslås hvilke virksomheter som ikke er omfattet av direktivet.

1.2 NIS-direktivet art. 1(4) fastsetter at direktivet får anvendelse uten hensyntagen til blant annet direktiv 2013/40/EU om angrep mot informasjonssystemer mm. Etter Justis- og beredskapsdepartementets vurdering har det ikke betydning for vurderingen av NIS-direktivet at nevnte rettsakt ikke er innlemmet i EØS-avtalen, ettersom det kun henvises til rettsakter som NIS-direktivet ikke skal få konsekvenser for.

1.3 NIS-direktivet art. 4(1)(a) viser til rammedirektivet. Etter Justis- og beredskapsdepartementets vurdering har det ikke betydning for vurderingen av NIS-direktivet at nevnte rettsakt ikke er innlemmet i EØS-avtalen. Det er ikke noe i veien for å benytte definisjonen i rammedirektivet selv om dette ikke er innlemmet i EØS-avtalen.

1.4 NIS-direktivet art. 4(5) viser til en annen rettsakts definisjonsbestemmelse. Etter Justis- og beredskapsdepartementets vurdering har det ikke betydning for vurderingen av NIS-direktivet at nevnte rettsakt ikke er innlemmet i EØS-avtalen.

2. Samarbeidsgruppen, jf. NIS-direktivet art. 11. Justis- og beredskapsdepartementet er enig med EFTA-sekretariatet at det er viktig at EFTA-statene sikres full deltakelse i Samarbeidsgruppen. Dialog om dette er allerede opprettet med Kommisjonen.

Innholder informasjon unntatt offentlighet, jf. offl. § 14

Status
Direktivet ble vedtatt i EU 6. juli 2016. Standardskjema skal leveres til EFTA-sekretariatet innen 20. desember 2016.

Justis- og beredskapsdepartementet deltar på vegne av Norge i en ad-hoc NIS ekspertgruppe nedsatt av kommisjonen.

Rettsakten er under vurdering i EØS/EFTA-statene.

Nøkkelinformasjon
eu-flagg

EU

Kommisjonens framlegg
Dato
07.02.2013
Behandlingen i EU-institusjonene
EU-vedtak (CELEX-nr): viser også om rettsakten er i kraft
Dato
06.07.2016
Gjennomføringsfrist i EU
09.05.2018
Anvendelsesdato i EU
10.05.2018
Annen informasjon
norge-flagg

Norge

Ansvarlig departement
Kommunal- og moderniseringsdepartementet
Informasjon fra departementet
Høring
Høring publisert
01.07.2016
Høringsfrist
15.09.2016
Annen informasjon