Europaparlaments- og rådsdirektiv (EU) 2022/2555 av 14. desember 2022 om tiltak for å sikre et høyt felles nivå for sikkerhet i nett- og informasjonssystemer i hele Unionen og om oppheving av direktiv (EU) 2016/1148 [NIS2]
Felles sikkerhetsnivå for digital sikkerhet (NIS 2)
Omtale publisert i Stortingets EU/EØS-nytt 23.10.2024
Tidligere
- Europaparlaments- og rådsdirektiv publisert i EU-tidende 27.12.2022
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 23.8.2023)
Sammendrag av innhold
Bakgrunn og formål
NIS2-direktivet (EU) 2022/2555 ble vedtatt i EU 14. desember 2022 og skal erstatte NIS1-direktivet (EU) 2016/1148. NIS2-direktivet er en del av en større pakke med tiltak fra EU, hvor også direktiv (EU) 2022/2557 om kritiske enheters motstandsdyktighet (CER-direktivet) inngår. Saken krever 103-forbehold fordi det være behov for lovendring å gjennomføre direktivet i norsk rett, noe som krever Stortingets samtykke. Dette er nærmere beskrevet under punktet Merknader.
Bakgrunnen for direktivet er erkjennelsen av at selv om NIS1-direktivet har vært en viktig start i reguleringen av digital sikkerhet i EU, har implementeringen avdekket flere mangler som forhindrer direktivet fra å effektivt adressere aktuelle og fremtidige utfordringer innen digital sikkerhet. Blant annet har det vært en fragmentert tilnærming i de ulike EU-landene til kravene i direktivet, noe som har medført økte kostnader for spesielt virksomheter som tilbyr tjenester på tvers av landegrenser. Det har også vært en ulik praksis i utpekingen av virksomheter som er omfattet av NIS1-direktivet.
Formålet med NIS2-direktivet er å øke motstandsdyktigheten i nettverks- og informasjonssystemer til både private og offentlige aktører som opererer i relevante sektorer i EU, redusere fragmenteringen av det indre markedet i sektorer som allerede er omfattet av NIS-direktivet og forbedre den felles bevisstheten og kapasiteten knyttet til motstandsdyktighet. Kommisjonen ønsker å redusere fragmentering og øke harmoniseringen gjennom mer effektivt samarbeid mellom kompetente myndigheter fra hver medlemsstat, gjennom underleggelse av flere sektorer og gjennom sanksjoner som kan brukes til effektiv håndheving.
Medlemsstatene skal sikre en koordinert gjennomføring av NIS2-direktivet og CER-direktivet. Etter direktivene skal nødvendige nasjonale regelverksendringer være på plass innen 17. oktober 2024, og tre i kraft dagen etter.
NIS2-direktivet er omfattende og berører mange ulike samfunnssektorer. Direktivet utvider virkeområdet sammenlignet med det nåværende NIS-direktivet, ved å innlemme flere sektorer som anses som kritisk for både økonomien og samfunnet. De nye sektorene er: forvaltning av IKT-tjenester (mellom foretak), post- og kurertjenester, avfallshåndtering, fremstilling, produksjon og distribusjon av kjemikalier, produksjon av visse typer utstyr og forskning. Videre skjerpes kravene til virksomhetenes risikovurdering av nettverks- og informasjonssystemer og det innføres mer presise rapporteringskrav. Dessuten harmoniseres sanksjonsbestemmelsene.
Virkeområde
Etter NIS1-direktivet er det i stor grad opp til medlemsstatene å fastsette hvilke aktører som oppfyller kriteriene for å bli klassifisert som tilbyder av samfunnsviktige tjenester. I NIS2-direktivet er det fastsatt mer enhetlige kriterier for hvilke aktører som skal omfattes av direktivet. Alle virksomheter av en viss størrelse og en viss type (som fastsatt i direktivet) skal være omfattet. Også mindre virksomheter som anses for å ha en nøkkelrolle for samfunnet, økonomien eller en viss sektor, omfattes av direktivet. Dette kan være tilfelle for mindre virksomheter som er eneleverandør til et EU-land, eller som driver en særskilt utsatt virksomhet. Slike virksomheter skal identifiseres og jevnlig innmeldes til Kommisjonen (for Norges del, EFTAs overvåkingsorgan).
Utvidelsen innebærer at virkeområdet omfatter tilbydere av samfunnsviktige tjenester innen 18 definerte sektorer. Direktivet skiller mellom mer og mindre samfunnsviktige tjenester (essential og important), og alle fremgår av direktivets vedlegg 1 og 2. Foreløpig benyttes «vesentlige» og «viktige» på norsk.
De vesentlige tjenestene fremgår av direktivets vedlegg 1. Denne gruppen omfatter utvalgte offentlige eller private tilbydere av samfunnsviktige tjenester som opererer i sektorene
- energi
- transport
- bank
- finansmarkedsinfrastrukturer
- helse
- drikkevann
- avløpsvann
- digital infrastruktur
- IKT-tjenester
- offentlig forvaltning (sentral og regional) og
- romvirksomhet.
Den viktige gruppen omfatter tilbydere som opererer i sektorene som er oppført i vedlegg 2, som er
- post - og kurertjenester
- avfallshåndtering
- produksjon og distribusjon av kjemikalier
- matproduksjon
- produksjon av visse varer (medisinsk utstyr, IKT-utstyr, kjøretøy, elektronikk, maskiner, transportutstyr)
- tilbydere av digitale tjenester og
- forskning.
Konsekvensen av at tilbydere klassifiseres og deles i to ulike kategorier, er at de underlegges forskjellige tilsynsregimer.
NIS 2-direktivet går bort fra kravet i gjeldende direktiv om å nærmere identifisere tilbydere av samfunnsviktige tjenester på eget territorium: Ifølge artikkel 2 nr. 1 skal direktivet gjelde alle virksomheter innenfor de angitte sektorene som er like store eller større enn såkalte «medium sized enterprises» som angitt i artikkel 2 i vedlegget til EU-kommisjonens anbefaling 2003/361/EF. Dette er virksomheter med 50 eller flere ansatte. Artikkel 2 nr. 2 oppstiller imidlertid en rekke unntak fra dette utgangspunktet. Også mindre virksomheter er omfattet av direktivet dersom de har en særlig viktig betydning for samfunnet. For eksempel er dette tilfellet for virksomheter som er eneleverandør til et EU-land av en tjeneste som er vesentlig for å opprettholde kritisk samfunnsmessig eller økonomisk aktivitet (artikkel 2 nr. 2 bokstav b) eller virksomheter som er særlig utsatt ved at en hendelse som rammer tjenesten kan få betydelig innvirkning på offentlig trygghet, sikkerhet eller helse (artikkel 2 nr. 2 bokstav c). Også virksomheter som anses for å være kritiske enheter etter CER-direktivet er omfattet av virkeområdet i NIS2 uavhengig av dere størrelse (artikkel 2 nr. 3). Disse skal identifiseres og jevnlig innmeldes til Kommisjonen (for Norges del EFTAs overvåkingsorgan ESA)
Etter artikkel 2 nr. 5 kan medlemslandene velge å gjøre direktivet gjeldende også for lokalforvaltningen og utdanningsinstitusjoner, spesielt dersom de driver med forskningsaktiviteter.
I likhet med NIS1 oppstiller NIS2 et generelt unntak fra sikkerhets- og varslingskravene, samt tilsynsbestemmelsene, for virksomheter som er omfattet av sektorspesifikke EU-regler som minst tilsvarer kravene i NIS2, jf. artikkel 4.
Styrking av sikkerhetskravene
NIS2 styrker sikkerhetskravene som stilles til tilbydere sammenlignet med NIS1. Etter artikkel 21 nr. 1 pålegges medlemsstatene å sikre at tilbydere iverksetter hensiktsmessige og proporsjonale tekniske og organisatoriske tiltak for å håndtere risiko i nettverk og informasjonssystemer, slik som etter gjeldende direktiv. I artikkel 21 nr. 2 oppstilles det i tillegg en risikostyringsmetode med en minimumsliste over grunnleggende sikkerhetselementer som må legges til grunn for sikkerhetsarbeidet, blant annet krav om at tilbydere håndterer cybersikkerhetsrisiko i forsyningskjeder og hos leverandører, planer for vedlikehold, overvåkning og testing samt bruk av krypto.
Mer presise og effektive bestemmelser om varsling av hendelser
Direktivet innfører også mer presise bestemmelser om prosessen for varsling av hendelser, hva det skal varsles om og når. Etter artikkel 23 nr. 1 skal det varsles om hendelser som har en betydelig innvirkning på tjenesteleveransen, i nr. 3 står det beskrevet hva som utgjør en slik hendelse og i nr. 4 er det angitt detaljerte bestemmelser om tidspunktene for varsling.
Tilsyn med tilbydere
Bestemmelsene om tilsyn skiller mellom tilbydere av vesentlige og viktige samfunnsviktige tjenester. Tilbydere av viktige samfunnsviktige tjenester skal underlegges et mindre strengt tilsynsregime enn tilbydere av vesentlige samfunnsviktige tjenester (se artiklene 32 og 33). For eksempel skal tilsyn overfor tilbydere av viktige samfunnsviktige tjenester kun skje dersom det foreligger informasjon om at tilbyderen ikke overholder kravene i direktivet. Noe forenklet innebærer dette at tilbydere av vesentlige tjenester kan bli gjenstand for uanmeldt tilsyn, mens dette ikke er tilfellet for de viktige tjenestene. Dette er tilsvarende som forskjellen mellom tilbydere av samfunnsviktige tjenester og digitale tjenester etter dagens direktiv. Ellers innfører direktivet mer detaljerte og strengere tiltak for nasjonale tilsynsmyndigheter og tar sikte på å harmonisere sanksjonsregimer i medlemsstatene.
Sanksjoner
NIS2 regulerer mye mer i detalj hvordan overtredelser av direktivet skal sanksjoneres. Blant annet pålegges medlemsstatene å sørge for at tilsynsmyndigheten har mulighet til å ilegge administrativ sanksjon ved overtredelse av direktivet (artiklene 32 nr. 4 bokstav i og 33 nr. nr. 4 bokstav h). Artikkel 34 gir nærmere bestemmelser om administrative sanksjoner og oppstiller bl.a. et størrelsestak på hhv. 10 000 000 og 7 000 000 euro ved overtredelsesgebyr for vesentlig og viktige tilbydere.
Samarbeidsmekanismer på EU-nivå
På europeisk nivå skal NIS2 styrke sikkerheten i forsyningskjeden for viktige informasjons- og kommunikasjonsteknologier. Det legges opp til et tettere samarbeid med Kommisjonen og ENISA for å utføre koordinerte risikovurderinger av kritiske forsyningskjeder. Direktivet forplikter medlemsstatene til å sikre at myndighetene har anledning til å pålegge bøter, av en nærmere angitt maksimalsats.
NIS2 forbedrer også NIS-samarbeidsgruppens rolle i utformingen av øvrige strategiske politiske beslutninger om ny teknologi og nye trender. CSIRT-nettverket videreføres, men det opprettes også et nytt nettverk European cyber crisis liason organisation network (EU-CyCLONe). Sammen skal disse foraene øke informasjonsdeling og samarbeid mellom myndighetene i medlemsstatene og forbedre også det operative samarbeidet, inkludert cyberkrisehåndtering.
Direktivet etablerer også et grunnleggende rammeverk for koordinert offentliggjøring av sårbarheter for nylig oppdagede sårbarheter i hele EU. Det skal opprettes et register for sårbarheter som skal forvaltes av ENISA.
Merknader
Hjemmel i EU-traktaten
NIS2-direktivet er fremmet med hjemmel i artikkel 114 i traktaten om Den europeiske unions virkemåte (TEUV), som angår tiltak for tilnærming av medlemslandenes lover og forskrifter som gjelder det indre markeds opprettelse og virkemåte.
Rettslige konsekvenser
Lov om digital sikkerhet som gjennomfører gjeldende NIS-direktiv er fremmet for Stortinget. Loven bygger på virkeområdet angitt i gjeldende NIS-direktiv, så dersom NIS2-direktivet blir en del av EØS-avtalen vil dette medføre behov for lovendringer, samt endringer i tilhørende forskrifter til loven. Det blir behov for å kartlegge relevant sektorspesifikt regelverk og vurdere eventuelle behov for endringer eller tilpasninger som følge av NIS2-direktivet.
Konstitusjonelle forhold
Ettersom gjennomføring av direktivet krever endringer i lov, må Stortinget gi sitt samtykke til innlemmelse av rettsakten i EØS-avtalen, jf. Grunnloven § 26 andre ledd. Ved lovproposisjon Prop. LS 109 (2022-2023) ble det bedt om Stortingets samtykke til innlemmelse av NIS1-direktivet. Proposisjonen er foreløpig (juni 2023) ikke behandlet av Stortinget.
Økonomiske og administrative konsekvenser
Basert på Kommisjonens foreløpige vurderinger kan forslaget forventes å gi positive samfunnsmessige gevinster og innsparinger gjennom økt motstandsdyktighet og færre konsekvenser av digitale hendelser og digital kriminalitet. Det må påregnes kostnader knyttet til etterlevelse og håndheving (tilsyn), både for myndigheter og virksomheter som omfattes av direktivet. Tydeligere krav til sikkerhetstiltak kan medføre kostander for de virksomhetene som blir omfattet og ikke har tilstrekkelige sikkerhetstiltak fra før. Det må påregnes økte økonomiske og administrative konsekvenser som følge av et skjerpet tilsynsregime. Kostnader i forbindelse med samarbeid etablert gjennom direktivet og EUs satsning innen cybersikkerhet må påregnes at økes.
Tydeliggjøring og harmonisering av krav og samarbeid om policyutvikling kan medføre større forutsigbarhet for virksomhetene. Videre vil bedre harmonisering opp mot tilgrensende og delvis overlappende EU-regelverk forhåpentligvis medføre innsparinger.
Kommisjonen forventer at de positive følgene av å innføre regelverket i unionen veier opp for kostandene ved å implementere regelverket.
Sakkyndige instansers merknader
NIS2-direktivet vil bli behandlet i spesialutvalget for kommunikasjoner.
Vurdering
I Norge har Justis- og beredskapsdepartementet (JD) fremmet en lov som gjennomfører gjeldende NIS-direktiv. Norge har dermed ikke direkte erfaring med det gjeldende direktivet. JD har imidlertid, ut fra lovarbeidet, erfart enkelte utfordringer med det gjeldende direktivet som i stor grad samsvarer med EUs egen gjennomgang.
Virkeområdet etter gjeldende direktiv er snevert og ikke klart angitt i direktivet, og det medfører en krevende utpekingsprosess. I EU-landene har denne prosessen medført et stort sprik i hvordan medlemsstatene har definert virkeområdet nærmere, og medført at enkelte grenseoverskridende virksomheter ikke har blitt identifisert. Det anses som positivt at dette tydeliggjøres i det nye direktivet, da det vil gi mer forutberegnelighet og være prosessbesparende. Uklare regler knyttet til varsling har også medført stor forskjell mellom medlemsstatenes implementering og har skapt en ekstra byrde for virksomhetene, særlig for virksomheter som opererer i flere land. En tydeliggjøring av varslingskravene anses som positivt. Tilsyn etter gjeldende direktiv og håndheving av kravene som oppstilles har også blitt gjennomført svært forskjellig innad i unionen, noe som ifølge evalueringen av direktivet skal ha medført at det er stor forskjell på medlemsstatenes evne til å håndtere og vurdere risiko.
Departementet anser NIS2 som et positivt tilskudd for å høyne sikkerhetsnivået og forbedre samarbeidet om IKT-sikkerhet i Europa. Det anses som positivt at EU satser på digital sikkerhet, og det er viktig at Norge deltar på denne arenaen. Det er også positivt at EU søker å harmonisere eget regelverk innen sikkerhet og tilpasser lovgivningen til øvrig relevant regelverk.
Digitale systemers pålitelighet og sikkerhet er grunnleggende for økonomisk og sosial aktivitet og det indre markeds funksjon. Departementet mener at NIS2 styrker motstandsdyktigheten til nettverks- og informasjonssystemer både nasjonalt og i EØS og tydeliggjør gjeldende direktiv på flere områder. Departementet bemerker imidlertid at forslagene i direktivet er omfattende og berører mange samfunnssektorer med ulik grad av modenhet innen digital sikkerhet.
Når det gjelder de konkrete forslagene, som omfattende utvidelse av sektorer og inndeling i vesentlige og viktige enheter, strengere tilsynsordninger, innføring av gebyrer og strengere sikkerhetskrav, må detaljene i disse analyseres nærmere.
Forslaget legger opp til et nærere samarbeid mellom statene, og det er et uttalt mål å sikre harmonisering og lik praktisering i statene. I hvilken grad dette påvirker statenes implementering av regelverket er foreløpig ikke helt klart. Det er blant annet foreslått det som departementet foreløpig registrerer som en tydelig innskjerping av krav om tilsyn. Departementet registrerer at det blant annet er forslått å gi administrative bøter oppad begrenset til 10 000 000 EURO, eller 2% av global omsetning der det konstateres brudd på krav om å gjennomføre risikovurderinger og brudd på varslingskravene.
Departementet anser det som viktig at statenes ansvar for nasjonal sikkerhet ivaretas og at direktivet ikke hindrer landene i å treffe de tiltak de anser som nødvendige for dette formålet. Departementet anser det videre som viktig at det er mulig å balansere kostnader ved sikkerhetstiltak opp mot nytteverdien av disse, og at det på samme måte som ved gjeldende direktiv står fritt til å gjennomføre funksjonelle krav.
Departementet anser det som viktig at Norge gis adgang til å delta i samarbeidet som videreføres fra gjeldende direktiv, blant annet CSIRT-nettverket, NIS-samarbeidsgruppen og EU-CyCLONe, men også andre nyetablerte samarbeidsfora som følge av dette forslaget og ny strategi om cybersikkerhet.
Departementets foreløpige vurdering er at direktivet er EØS-relevant og akseptabelt for Norges del.
Status
Direktivet ble vedtatt 14. desember 2022. Innen 24. oktober 2024 skal medlemsstatene ha gjennomført direktivet i nasjonal rett. Fra dette tidspunkt oppheves gjeldende NIS1-direktiv.
Direktivet blir fulgt opp i EFTAs arbeidsgruppe for elektronisk kommunikasjon, audiovisuelle tjenester og informasjonssamfunnet (ECASIS).