Europaparlaments- og rådsdirektiv (EU) 2016/1148 av 6. juli 2016 om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen [NIS1]
NIS1-direktivet om tiltak for nettverks- og informasjonssikkerhet
Høring igangsatt av Justis- og beredskapsdepartementet 11.9.2024 med frist 11.12.2024
Tidligere
- Lov- og samtykkeproposisjon fremmet av regjeringen 5.5.2023
- Norsk lov kunngjort 20.12.2023
- Oppfyllelse av forfatningsrettslige krav meldt av Norge 25.6.2024. EØS-komiteens beslutning trer i kraft 1.8.2024
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 20.1.2023)
Sammendrag av innhold
Direktivet pålegger medlemsstatene å sørge for et visst nivå for landets IKT-sikkerhet ved å lage en strategi for sikkerhetsarbeidet, etablere en IKT-sikkerhetsberedskapsenhet (CSIRT) og pålegge operatører og leverandører av samfunnsviktige tjenester IKT-sikkerhetskrav og varslingsplikt ved alvorlige IKT-sikkerhetshendelser. Direktivet etablerer to internasjonale samarbeidsgrupper, en på strategisk nivå og en på CSIRT-nivå.
Grunnet behovet for lovendring tas det forbehold om Stortingets samtykke til å innlemme rettsakten i EØS-avtalen, jf. EØS-avtalen art. 103.
Bakgrunn og formål
Den 7. februar 2013 lanserte EU-kommisjonen EUs strategi for cybersikkerhet, An Open, Safe and Secure Cyberspace. Som ett av flere tiltak for å nå målene i strategien lanserte Kommisjonen samtidig et forslag til direktiv om tiltak for et høyt felles sikkerhetsnivå i nettverks- og informasjonssystemer i EU (NIS-direktivet). Direktivet ble vedtatt i EU 6. juli 2016.
Bakgrunnen for forslaget til direktivet er at det i dag, innen EU, ikke er implementert tilstrekkelige og helhetlige beskyttelsestiltak for å oppnå god nok sikkerhet i nettverk og informasjonssystemer som er særlig viktige for det indre markeds funksjon. Utfordringene er ikke bare grenseoverskridende, men globale. Medlemslandene har ulik kvalitet på de beskyttelsestiltak som er implementert, hvilket medfører en fragmentert tilnærming på EU-nivå. Det er behov for felleseuropeiske regler om IKT-sikkerhet også for annen type infrastruktur.
Formålet med direktivet er å forbedre det indre markeds funksjon gjennom etableringen av et høyt felles sikkerhetsnivå i viktige nettverks- og informasjonssystemer. Direktivet setter krav til medlemslandenes arbeid med IKT-sikkerhet, til virksomheter som leverer tjenester som er essensielle for det indre markeds samfunnsmessige og økonomiske aktiviteter og til tilbydere av enkelte digitale tjenester. Det er særlig fokus på å sikre kontinuitet i leveransen av de aktuelle tjenestene. Et høyt felles IKT-sikkerhetsnivå skal gjøre EU mer konkurransedyktig i en globalisert verden, skape tillit til digitale tjenester og bidra til økonomisk vekst i Europa.
Innhold
1. Nasjonale rammeverk for sikkerhet i nettverks- og informasjonssystemer (NIS), jf. kap. II (art. 7 til 10)
Medlemsstatene skal sørge for at de har et minimum av nasjonal kapasitet for å møte IKT-sikkerhetsutfordringer ved å:
- utarbeide en nasjonal NIS-strategi
- opprette en nasjonal kompetent myndighet for nettverks- og informasjonssikkerhet
- opprette ett nasjonalt kontaktpunkt
- opprette minst en IKT-beredskapsenhet (Computer Security Incident Response Team - CSIRT).
Dersom oppgavene til den nasjonale kompetente myndigheten, CSIRTen og det nasjonale kontakpunktet nasjonalt er fordelt på flere virksomheter, skal disse samarbeide om gjennomføringen av direktivet.
2. Samarbeid mellom medlemslandene og mellom CSIRTene, jf. kap. III (art. 11 til 13)
For å legge til rette for strategisk samarbeid og utvikling av tillit mellom medlemsstatene etablerer direktivet en samarbeidsgruppe med representanter fra medlemslandene, Kommisjonen og det europeiske byrået for nettverks- og informasjonssikkerhet (ENISA). Kommisjonen ivaretar sekretariatsfunksjonen. Samarbeidsgruppa skal blant annet utarbeide en handlingsplan for implementering av direktivet, utarbeide strategiske råd til CSIRT-nettverket, utveksle best-practice om informasjonsdeling relatert til hendelseshåndtering og utveksling av best-practice om kapasitetsbygging. Se videre art. 11.
For å fremme rask og effektiv operativt samarbeid samt utvikling av tillit mellom medlemslandene etablerer direktivet også et CSIRT-nettverk bestående av representanter fra de nasjonale CSIRTene og CERT-EU. Kommisjonen deltar som observatør og ENISA står for sekretariatet. Nettverkets arbeidsoppgaver vil blant annet bestå av informasjonsdeling om CSIRTenes tjenester, operasjoner og samarbeidskapasiteter, informasjonsdeling om hendelser og samarbeid om felles respons mot hendelser. Se videre art. 12.
3. Virksomheters nettverks- og informasjonssystemsikkerhet, jf. kap IV og V (art. 14 til 18)
Det følger av NIS-direktivet art. 1(3) at virksomheter som faller inn under virkeområdet til rammedirektivet 2002/21/EF og dermed må oppfylle sikkerhetskravene i art. 13a og 13b, er unntatt fra NIS-direktivet. Det samme gjelder tilbydere av tillitstjenester som faller inn under virkeområdet i Europaparlaments- og Rådsforordning (EU) nr. 910/2014 om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked og opphevelse av direktiv 1999/93/EF (EIDAS-forordningen), jf. NIS-direktivet art. 1(4). Det følger videre av art. 1(7) et lex specialis-unntak for virksomheter som er underlagt sektorspesifikt EU-regelverk, der dette regelverket stiller minst tilsvarende krav til sikkerhet og varsling. Dersom lex specialis-reglene fullt ut kommer til anvendelse, er det ikke nødvendig å identifisere virksomheter som er omfattet av det sektorspesfikke EU-regelverket.
3.1 Sikkerhet i nettverk og informasjonssystemer tilhørende tilbydere av samfunnsviktige tjenester (operators of essential services), se kap. IV.
Direktivet pålegger medlemsstatene å sørge for at tilbydere av samfunnsviktige tjenester, jf. vedlegg II til direktivet, iverksetter flere sikkerhetstiltak, herunder risikostyring og varslingsplikt om hendelser som har vesentlig virkning (significant impact). Dette er virksomheter som anses særlig viktige for opprettholdelsen av et funksjonsdyktig indre marked og hvis bortfall kan få alvorlige negative konsekvenser for samfunnssikkerheten og økonomiske og samfunnsmessige aktiviteter. Vedlegg II til direktivet inneholder følgende sektorer:
- Energi (elektrisitet, olje og gass)
- Transport (luft, jernbane, sjø og vei)
- Helse (helsetjenester)
- Bank
- Finansmarkedsinfrastruktur
- Drikkevannsforsyning og -distribusjon
- Digital infrastruktur (IXP, DNS og TLD)
3.1.1 Virkeområde - Tilbydere av samfunnsviktige tjenester
Det endelige virkeområdet for direktivet blir fastlagt gjennom en utpekingsprosess i regi av hver enkelt medlemsstat, jf. art. 5. Som et minimum skal virksomheter som faller inn under direktivets vedlegg II vurderes. Det skilles ikke mellom offentlige og private virksomheter.
En virksomhet defineres som tilbyder av en samfunnsviktig tjeneste dersom følgende kumulative kriterier er oppfylt, jf. art. 5(2) :
1. Virksomheten tilbyr en tjeneste som er viktig for opprettholdelsen av kritiske samfunnsmessige og/eller økonomiske aktiviteter,
2. tjenesteleveransen er avhengig av nettverk og informasjonssystemer, og
3. en hendelse i tjenestens nettverk og informasjonssystemer ville hatt vesentlig forstyrrende virkning på tjenesteleveransen
For å oppfylle punkt 1 synes det ut i fra direktivets premiss (20) tilstrekkelig å fastslå at virksomheten faktisk leverer en samfunnsviktig tjeneste som er opplistet i direktivets vedlegg II.
Ved vurderingen av om en sikkerhetshendelse kan få vesentlig forstyrrende virkning på tjenesteleveransen skal både tverrsektorielle og sektorspesifikke momenter tas i betraktning. Art. 6 oppstiller en ikke uttømmende liste med tverrsektorielle momenter som skal vurderes:
- antall brukere som baserer seg på tjenesten
- andre vedlegg II-sektorers avhengighet av tjenesten
- omfanget og varigheten av hendelsers mulige virkning på økonomiske og samfunnsmessige aktiviteter og samfunnssikkerhet
- virksomhetens markedsandel
- geografisk område som kan rammes av hendelsen
- viktigheten av virksomhetens bidrag til leveranse av tjenesten, med tanke på alternative tjenestetilbydere
Medlemsstatene plikter å opprette en liste over alle tilbydere av samfunnsviktige tjenester. Listen skal oppdateres jevnlig og minst hvert andre år.
For å gjøre Kommisjonen i stand til å evaluere gjennomføringen av direktivet skal medlemslandene innen 9. november 2018 rapportere til kommisjonen blant annet:
- om hvilke tiltak som er iverksatt for utpeking
- liste over essensielle tjenester (ikke de konkrete operatørene)
- antall operatører i hver sektor
3.1.2 Sikkerhetstiltak
Direktivet stiller generelle og overordnede krav til sikkerheten i virksomhetene. Blant annet gjennom innføring av krav om risikostyring, skal medlemsstatene sørge for at tilbydere av samfunnsviktige tjenester iverksetter sikkerhetstiltak som står i et rimelig forhold til risikoen den enkelte virksomhet står overfor. Det skal også iverksettes tiltak for å forebygge og minimere virkningen av hendelser i nettverk og informasjonssystemer, med henblikk på opprettholdelse av tjenesteleveransen. Se nærmere art. 16(1) og (2).
For å legge til rette for harmonisert gjennomføring av art. 16(1) og (2), skal medlemsstatene fremme bruk av europeiske og internasjonale standarder. ENISA skal bistå med rådgivning og retningslinjer.
Medlemsstatene skal videre sørge for at tilbydere av samfunnsviktige tjenester uten ugrunnet opphold varsler om alvorlige hendelser. Vurderingskriteriene for hendelsens alvorlighet er:
- antallet brukere som er rammet av hendelsen
- hendelsens varighet
- det geografiske området som er rammet
Dette betyr altså at det kun skal varsles om hendelser som faktisk innvirker negativt på tjenesteleveransen. Det skal ikke varsles om fare for slik virkning, ei heller kompromittering av konfidensialitet, tilgjengelighet eller integritet der dette ikke har betydning for tjenesteleveransen. Det er den forhåndsbestemte kompetente myndigheten eller CSIRTen som skal varsles.
Dersom hendelsen også fører til brudd på personvernet skal den kompetente myndigheten samarbeide med personvernmyndighetene.
3.2 Sikkerhet i nettverk og informasjonssystemer tilhørende tilbydere av digitale tjenester, se kap. V.
Direktivet pålegger medlemsstatene å sørge for at også tilbydere av digitale tjenester, jf. vedlegg III til direktivet, iverksetter flere sikkerhetstiltak, herunder risikostyring og varslingsplikt om svært alvorlige hendelser. Det går tydelig frem av premissene til direktivet at det skal stilles lavere sikkerhetskrav til disse tjenestene da de anses noe mindre viktige enn tjenestene omtalt i 3.1. Den kompetente myndigheten skal kun kontrollere disse virksomhetene dersom den får klare indikasjoner på at direktivets krav ikke er fulgt. Det forutsettes dessuten i premiss (57) at sikkerhetsnivået for denne kategorien virksomheter skal harmoniseres i EU gjennom utarbeidelse av gjennomføringsregler. ENISA har satt i gang med dette arbeidet på oppdrag fra Kommisjonen.
3.2.1 Virkeområde - Tilbydere av digitale tjenester
For denne kategorien skal medlemsstatene ikke foreta en utpeking av virksomheter. Dirketivbestemmelsene skal gjelde alle virksomheter som faller inn under vedlegg III:
- Nettbaserte markedsplasser, jf. art. 4(17)
- Nettbaserte søkemotorer, jf. art. 4(18)
- Skytjenester, jf. art. 4(19)
3.2.2 Sikkerhetstiltak
Medlemsstatene skal sørge for at tilbydere av digitale tjenester iverksetter sikkerhetstiltak som står i et rimelig forhold til risikoen virksomheten står overfor. Også overfor denne gruppen virksomheter skal det stilles krav om risikostyring. Det skal også iverksettes tiltak for å forebygge og minimere virkningen av hendelser i nettverk og informasjonssystemer, med henblikk på opprettholdelse av tjenesteleveransen.
Til forskjell fra tilbydere av samfunnsviktige tjenester kan medlemslandene, med visse unntak, ikke innføre strengere sikkerhetstiltak for tilbydere av digitale tjenester enn det direktivet legger opp til. Noe av begrunnelsen er at det for tilbydere av digitale tjenester er behov for unionsuniforme sikkerhetskrav.
Tilbydere av digitale tjenester skal også varsle en på forhånd bestemt kompetent myndighet om alvorlige hendelser. For tilbydere av digitale tjenester skal det i tillegg til nevnte momenter for tilbydere av samfunnsviktige tjenester også ses hen til:
- omfanget av forstyrrelsen for tjenestens funksjon
- omfanget av virkningen for økonomiske og samfunnsmessige aktiviteter
4. Gjennomføring av direktivet
For å sørge for like forutsetninger for gjennomføring av direktivet skal Kommisjonen, i henhold til premiss (68), utarbeide prosessuelle retningslinjer for Samarbeidsgruppen (art. 11) og for utarbeidelse av sikkerhets- og varslingskrav for tilbydere av digitale tjenester. Kommisjonen skal rådføre seg med ENISA.
5. Kort om andre regler
NIS-direktivet skal ikke legge begrensninger på medlemsstatenes muligheter til å iverksette tiltak for å ivareta essensielle statsfunksjoner, særlig nasjonal sikkerhet og opprettholdelse av lov og orden, herunder adgangen til å etterforske, oppdage og iretteføre kriminelle handlinger, jf. art. 1(6).
Behandling av personopplysninger skal etter art. 2 gjennomføres i samsvar med personverndirektivet 95/46/EF. Personverndirektivet er erstattet av EUs personvernforordning (EU) 2016/79, jf. personvernforordningen artikkel 94 og fortalepunkt 171.
Merknader og betydning for Norge forutsatt EØS-relevans
Hjemmel i EU-traktaten
Rettsakten er hjemlet i TFEU art. 114.
Gjeldende norsk lovgivning og politikk
1. Nasjonale rammer for nettverks- og informasjonssikkerhet
Nasjonal strategi for digital sikkerhet av 2019 dekker langt på vei de krav som direktivet stiller til den nasjonale nettverks- og informasjonssikkerhetsstrategien. De oppgavene som direktivet tillegger den kompetente myndigheten er langt på vei sammenfallende med de oppgaver NSM utfører i dag som fag- og tilsynsmyndighet innenfor sikkerhetslovens rammer. Flere sektormyndigheter har dessuten ansvar og myndighet innen sine sektorer. Samlet sett dekkes store deler av direktivet, men direktivet innebærer regulering av IKT-sikkerheten for en del virksomheter som per i dag ikke er direkte regulert. Mottak og behandling av varsler vil antakelig øke, i tillegg til at oppfølging og gjennomføring av direktivet er nye oppgaver som må delegeres til en eller flere myndigheter.
De oppgaver direktivet tillegger den nasjonale CERTen, slik disse fremgår av direktivets artikkel 9 og av vedlegg 1, sammenfaller i stor grad med de oppgaver som allerede ivaretas av Nasjonalt cybersikkerhetssenter. Norge har dermed allerede på plass de grunnleggende kapasitetene direktivet pålegger hver medlemsstat å opprette.
2. Samarbeid mellom medlemslandene og mellom CSIRTene
Det nærmere innholdet i og omfanget for begge former for samarbeid er ment å utvikles over tid, og vil uansett ikke være klart før samarbeidet faktisk setter i gang. Per i dag er det for Norges del allerede etablert et godt samarbeid innen eksempelvis hendelseshåndtering med flere nasjoner. Deltakelse i de to samarbeidsgruppene som direktivet etablerer vil komme i tillegg til eksisterende internasjonalt samarbeid.
3. Virksomheters nettverks- og informasjonssytemsikkerhet
Det går frem av kommentarene til direktivet at begrepet sikkerhet i nettverk og informasjonssystemer omfatter både lagret, sendt og behandlet data. Videre er evne til å identifisere risiko for, forebygge, oppdage, håndtere og gjenopprette etter hendelser angitt som aktuelle sikkerhetstiltak. Direktivet fastsetter ikke konkrete og spesifikke krav til sikkerhet utover dette. I stedet skal den enkelte virksomhet som faller inn under direktivets virkeområde gjennomføre en risiko- og sårbarhetsanalyse. Resultatet av analysen skal danne grunnlaget for å iverksette proporsjonale og hensiktsmessige konsekvensreduserende tiltak tilpasset den enkelte virksomhet. I hvilken grad direktivet får konsekvenser for norske virksomheter vil i stor grad avhenge av dagens sikkerhetsnivå i den enkelte virksomhet.
Det kan likevel legges til grunn at flere norske vedlegg II-virksomheter allerede har et sikkerhetsnivå som helt eller delvis tilfredsstiller direktivets krav. Virksomheter som er underlagt sikkerhetsloven vil antakelig overoppfylle direktivets krav. Personopplysningsloven stiller krav til informasjonssikkerheten for virksomheter som etter personopplysningsloven behandler eller er ansvarlig for behandlings av personopplysninger. Kravene oppfyller antakelig langt på vei direktivets krav.
Andre virksomheter er underlagt forskjellige grader av krav til sikkerhet. Høringsinstansenes svar viser at det eksisterer relevant sektorregelverk innen sektorene finans, helse, transport, energi, bank, vannforsyning og IKT-infrastruktur, se nærmere om dette under økonomiske og administrative konsekvenser.
Høringssvarene gir i mindre grad svar på i hvilken grad det eksisterer regelverk for tilbydere av digitale tjenester. Det er grunn til å tro at det per i dag ikke foreligger særlig relevant regelverk spesifikt for denne kategorien virksomheter, utover tverrsektorielt regelverk som for eksempel personopplysningsloven. Det legges til grunn i direktivet at disse virksomhetene i stor grad operer i flere land og at de konkrete sikkerhetskravene derfor må harmoniseres i størst mulig grad i hele EU. ENISA og EU-kommisjonen skal bistå i dette arbeidet.
Rettslige konsekvenser
Justis- og beredskapsdepartementet sendte 21. desember 2018 på høring et utkast til lov som forbereder gjennomføring av direktivet i norsk rett. En eventuell implementering av direktivet i norsk rett vil forutsette at det etableres en lovhjemmel for de krav direktivet oppstiller. Idet direktivet pålegger private virksomheter plikter, må direktivet av hensyn til legalitetsprinsippet alene, gjennomføres ved lov.
Justis- og beredskapsdepartementet har funnet det hensiktsmessig å gjennomføre direktivet i en ny lov om digital sikkerhet.
Der det er påkrevet av hensyn til legalitetsprinsippet eller informasjonsformål vil departementet utforme lovregler. Dette gjelder først og fremst i tilfeller hvor det pålegges plikter mht. gjennomføring av sikkerhetstiltak, varsling av hendelser, tilsyn og sanksjoner.
Gjennomføring av direktivets øvrige krav, det vil si plikt til å ha en nasjonal strategi for IKT-sikkerhet, et nasjonalt responsmiljø for IKT-hendelser, utpeking av en nasjonal kompetent myndighet og deltakelse i NIS samarbeidsgruppe og NIS CSIRT-nettverk, krever ikke lovregulering og vil følges opp i egne prosesser.
Departementet tar sikte på å legge frem en Prop. LS hvor NIS-direktivet og Kommisjonens gjennomføringsforordning (EU) 2018/151 om regler for anvendelse av NIS-direktivet hva angår ytterligere spesifisering av de elementer som tilbydere av digitale tjenester skal ta hensyn til for å håndtere risikoene knyttet til sikkerheten til nettverks og informasjonssystemer, og av parametrene for å fastslå om virkningene av en hendelse er betydelige, gjennomføres i ny lov om digital sikkerhet og hvor det bes om Stortingets samtykke til godkjennelse av EØS-komiteens beslutning.
Grunnet behovet for lovendring og mulige økonomiske konsekvenser tas det forbehold om Stortingets samtykke til å innlemme rettsakten i EØS-avtalen, jf. EØS-avtalen art. 103.
EØS-komiteen forventes 3.februar 2023 å treffe beslutning om innlemmelse av NIS-direktivet og gjennomføringsforordning (EU) 2018/151 i EØS-avtalen. Beslutningen gjør tilføyelser til EØS-avtalens vedlegg XI og protokoll 37.
Økonomiske og administrative konsekvenser
Forskjellen mellom dagens regelverk og virksomhetenes sikkerhetsnivå på den ene siden og direktivets krav på den andre siden vil utgjøre direktivets samlede økonomiske og administrative konsekvenser.
Norge har i stor grad allerede gjennomført de tiltak som følger av direktivet.
Nasjonal strategi for digital sikkerhet av 2019 dekker de krav som direktivet stiller til den nasjonale nettverks- og informasjonssikkerhetsstrategien. De oppgavene som direktivet tillegger den kompetente myndigheten er langt på vei sammenfallende med de oppgaver Nasjonal sikkerhetsmyndighet (NSM) utfører i dag som fag- og tilsynsmyndighet innenfor sikkerhetslovens rammer. Flere sektormyndigheter har dessuten ansvar og myndighet innen sine sektorer. Samlet sett dekkes store deler av direktivet. Mottak og behandling av varsler vil antakelig øke, i tillegg til at oppfølging og gjennomføring av direktivet er nye oppgaver som må delegeres til en eller flere myndigheter.
De oppgaver direktivet tillegger den nasjonale CERTen, slik disse fremgår av direktivets artikkel 9 og av vedlegg I, sammenfaller i stor grad med de oppgaver som allerede ivaretas av Nasjonalt cybersikkerhetssenter. Norge har dermed allerede på plass de grunnleggende kapasitetene direktivet pålegger hver medlemsstat å opprette. Antakelig vil ikke direktivet medføre vesentlige konsekvenser på dette området. Det kan bli aktuelt med infrastrukturinvesteringer og å styrke evnen til redundans og varians i sikker kommunikasjon med eksterne aktører. Det må likevel påregnes noe økte administrative oppgaver og kostnader som medfølger å ivareta funksjonen som kompetent myndighet og nasjonalt kontaktpunkt.
Det må påregnes møter internasjonalt for å ivareta Norges rolle både i samarbeidsgruppen og i CSIRT-nettverket. Det er foreløpig ikke klart hvor mange møter det blir per år i samarbeidsgruppen. Det må legges til grunn at denne møtevirksomheten vil medføre kostnader utover dagens nivå.
Det vil også kunne innebære økte kostander for offentlige myndigheter til gjennomføring av tilsyn og håndtering av varsler. Kostnadsnivået vil avhenge av i hvilken grad det allerede føres tilsyn med IKT-sikkerhet og hvorvidt det er etablert et system for sending og mottak av varsler i de sektorene direktivet gjelder for. En gjennomgang av gjeldende rett gjort i forbindelse med høring av forslag til ny lov om digital sikkerhet viser at det i mange sektorer er etablert myndigheter som fører tilsyn med det gjeldende regelverket. I Norge vil gjennomføring av tilsyn mest effektivt gjennomføres av sektormyndighetene, og ved å tilpasse normal tilsynsvirksomhet til også å omfatte IKT-tilsyn. På denne måten vil eventuelle merkostnader kunne holdes på et lavt nivå.
Offentlige myndigheter må som utgangspunkt kunne finne inndekning for merarbeidet som følger av lovutkastet innenfor gjeldende budsjettrammer. Skulle det ikke være tilstrekkelig vil det være opp til den enkelte sektor å finne tilstrekkelige midler, enten gjennom omprioritering eller tilførsel av friske midler, som må behandles som en del av den ordinære budsjettprosessen.
For berørte virksomheter vil etterlevelse av kravene om sikkerhet og varsling kunne innebære økte kostnader. Dette vil i stor grad avhenge av dagens sikkerhetsnivå i den enkelte virksomhet. Det legges til grunn at mange virksomheter, gitt dagens digitale trusselbilde prioriterer arbeidet med digital sikkerhet, og allerede har implementert et adekvat sikkerhetsnivå. Siden direktivet trådte i kraft i EU i 2018 har fokus på digital sikkerhet og regulering av krav IKT-sikkerhet i sektorregelverkene. Dette gjelder også siden lovutkastet var på høring. Også i EU har fokuset på regulering av digital sikkerhet, både tverrsektorielt, men også i enkeltsektorer, økt betydelig de siste 3 årene. Direktivet regulerer et minimum av det som må forventes av virksomheter og myndigheter hva gjelder digital sikkerhet i 2023.
Når det gjelder inndekning av eventuelle økte kostnader kan det ikke sies kravene som følger av lovutkastet er mer tyngende enn det som naturlig følger med samfunnsutviklingen. Digitaliseringen bidrar til effektivisering og økonomisk vekst. For å kunne ta del i dette er det nødvendig å investere i IKT-sikkerhet. Dette gjelder for både private og offentlige virksomheter. Private virksomheter som har en samfunnsmessig viktig rolle, har et selvstendig ansvar for å kunne levere sine tjenester. Direktivet krever ikke et spesielt høyt sikkerhetsnivå, men en grunnsikring. Gjennomføring av tiltak for å styrke IKT-sikkerheten vil ikke bare gagne samfunnet, men også den enkelte virksomhet.
Sakkyndige instansers merknader
Merknader fra Justis- og beredskapsdepartementet
Nettverks- og informasjonssystemer globalt og innen EU og EØS er forbundet med hverandre. Store forstyrrelser i ett land kan få konsekvenser for andre land. Nettverks- og informasjonssystemers robusthet og stabilitet, samt kontinuiteten i de sentrale tjenestene er avgjørende for et velfungerende indre marked, og særlig for det digitale indre markeds videreutvikling.
Direktivets hovedformål er å forbedre det indre markeds funksjon. Direktivet har direkte innvirkning på berørte virksomheters rammevilkår og indirekte for alle andre virksomheter ved at sikkerheten i sentral infrastruktur blir bedret. Gjennomføring av direktivet i EU, men ikke i EFTA-landene, vil føre til ulike rammevilkår for virksomheter innad i EØS, og er følgelig ikke i tråd med EØS-avtalens intensjon.
Flere av de berørte samfunnssektorene er allerede regulert i EØS-avtalen, eksempelvis transport og energi. Videre er det i EØS-avtalen protokoll art. 31 inntatt beslutninger om EØS-samarbeid om både IKT-sikkerhet og infrastruktursikkerhet.
At det er etablert EØS-samarbeid innen områder som har nær sammenheng med det foreslåtte NIS-direktivet - eksempelvis eID og andre elektroniske tillitstjenester, personvern og ekomsektoren, tilsier at det også bør samarbeides om tiltak for å sikre et høyt felles nivå for nettverks- og informasjonssikkerheten.
Det er dessuten grunn til å tro at direktivets intensjon ivaretas bedre ved at det gjennomføres i hele EØS enn kun i EU. Ett av flere eksempler er at Norge vil kunne bidra positivt til og dra nytte av CSIRT-nettverket.
Sett hen til det som er beskrevet ovenfor om kost- og nyttevirkninger av direktivet mener Justis- og beredskapsdepartementet at direktivet er akseptabelt.
Konklusjon:
Forslaget er EØS-relevant og akseptabelt
Merknader fra høringsinstansene:
Departementet mottok rundt 40 høringssvar. Ingen av høringsinstansene mener at direktivet ikke er EØS-relevant eller at det ikke er akseptabelt. Rundt 13 av høringsinstansene uttaler seg positivt til direktivet og mener at det er EØS-relevant.
Merknader fra SU kommunikasjoner:
EØS-posisjonsnotatet ble behandlet og godkjent i SU kommunikasjoner 1. desember 2016. Utvalget hadde enkelte mindre merknader som er innarbeidet i notatet.
Vurdering
Justis- og beredskapsdepartementet har konkludert med at NIS-direktivet er EØS-relevant og akseptabelt.
Direktivet anses for å være et godt tiltak for å styrke IKT-sikkerheten i Norge.
Direktivets hovedformål er å forbedre det indre markeds funksjon. Direktivet setter krav til medlemsstatenes arbeid med IKT-sikkerhet, til virksomheter som er tilbydere av samfunnsviktige tjenester innenfor gitte sektorer, og til tilbydere av enkelte digitale tjenester. Det er særlig fokus på å sikre kontinuitet i leveransen av de aktuelle tjenestene. Et høyt felles IKT-sikkerhetsnivå skal gjøre unionen mer konkurransedyktig i en globalisert verden, skape tillit til digitale tjenester og bidra til økonomisk vekst i Europa. Dette direktivet og cybersikkerhetsforordningen inngår begge i EUs satsning innen cybersikkerhet. Et styrket samarbeidet i EUs regi vil være av stor betydning for å løse fremtidige utfordringer innen digital sikkerhet. Det er viktig at Norge sikres en plass i dette samarbeidet, da nåværende og fremtidige utfordringer ikke kan løses av en stat alene.
Gjennomføring av direktivet vil for mange samfunnsviktige virksomheter innebære en styrking av arbeidet med IKT-sikkerhet. Dette vil bidra til å redusere digitale sårbarheter i den enkelte virksomhet, den enkelte sektor og samlet sett for nasjonen. En risikobasert tilnærming til sikkerhetsarbeid er et viktig skritt på veien til bedre digital sikkerhet. Krav om varsling av alvorlige digitale sikkerhetshendelser vil blant annet gi tilgang til informasjon om både trusler og sårbarhet – en kunnskap som vil bidra til enda bedre arbeid med IKT-sikkerhet i fremtiden.
Av hensyn til konkurranse er det en fordel om det er like krav til sikkerhet i hele EØS. Ulike rammevilkår i ulike deler av EØS er uheldig særlig for virksomheter som har aktivitet både i EU og EØS/EFTA-landene, og er heller ikke i tråd med EØS-avtalens intensjon. Videre vil norske virksomheter kunne antas å være enklere mål for angripere dersom vi ikke har samme nivå på IKT-sikkerheten her som i EU. Et tettere samarbeid med EU-landene om IKT-sikkerhetsrelaterte spørsmål vil også være positivt for Norge. At det er etablert EØS-samarbeid innen områder som har nær sammenheng med det foreslåtte NIS-direktivet, eksempelvis eID og andre elektroniske tillitstjenester, personvern og ekomsektoren, tilsier at det også bør samarbeides om tiltak for å sikre et høyt felles nivå for nettverks- og informasjonssikkerheten.
Tilpasningstekst:
Justis- og beredskapsdepartmentet mener det er behov for tilpasningstekst slik at Norges sikres deltakelse i Samarbeidsgruppen og CSIRT-nettverket. Slik tilpasningstekst er del av EØS-komiteens beslutning.
EFTA-sekretariatet har identifisert to mulige horisontale utfordringer ved direktivet, jf. skjema 2a.
1. Bestemmelser med henvisning til rettsakter som ikke er innlemmet i EØS-avtalen
1.1 NIS-direktivet art. 1(3) fastsetter at direktivet ikke får anvendelse for virksomheter som er omfattet av direktiv 2002/21/EU (rammedirektivet) og forordning EU 910/2014 (EIDAS). Etter Justis- og beredskapsdepartementets vurdering har det ikke betydning for vurderingen av NIS-direktivet at nevnte rettsakter ikke er innlemmet i EØS-avtalen, ettersom det kun fastslås hvilke virksomheter som ikke er omfattet av direktivet.
1.2 NIS-direktivet art. 1(4) fastsetter at direktivet får anvendelse uten hensyntagen til blant annet direktiv 2013/40/EU om angrep mot informasjonssystemer mm. Etter Justis- og beredskapsdepartementets vurdering har det ikke betydning for vurderingen av NIS-direktivet at nevnte rettsakt ikke er innlemmet i EØS-avtalen, ettersom det kun henvises til rettsakter som NIS-direktivet ikke skal få konsekvenser for.
1.3 NIS-direktivet art. 4(1)(a) viser til rammedirektivet. Etter Justis- og beredskapsdepartementets vurdering har det ikke betydning for vurderingen av NIS-direktivet at nevnte rettsakt ikke er innlemmet i EØS-avtalen. Det er ikke noe i veien for å benytte definisjonen i rammedirektivet selv om dette ikke er innlemmet i EØS-avtalen.
1.4 NIS-direktivet art. 4(5) viser til en annen rettsakts definisjonsbestemmelse. Etter Justis- og beredskapsdepartementets vurdering har det ikke betydning for vurderingen av NIS-direktivet at nevnte rettsakt ikke er innlemmet i EØS-avtalen.
2. Samarbeidsgruppen, jf. NIS-direktivet art. 11. Justis- og beredskapsdepartementet er enig med EFTA-sekretariatet at det er viktig at EFTA-statene sikres full deltakelse i Samarbeidsgruppen. EØS-komiteens beslutning legger til et nytt punkt 5cpa som presiserer, i tråd med EØS-avtalen artikkel 101 om tilknytning til komiteer, at EFTA-statene skal delta fullt ut i samarbeidsgruppen og skal ha de samme rettighetene og forpliktelsene som EU-medlemslandene, bortsett fra retten til å stemme.
Innholder informasjon unntatt offentlighet, jf. offl. § 14
Status
Direktivet ble vedtatt i EU 6. juli 2016. Standardskjema ble levert til EFTA-sekretariatet 20. desember 2016.
Justis- og beredskapsdepartementet deltar på vegne av Norge i en ad-hoc NIS ekspertgruppe nedsatt av kommisjonen.
Rettsakten er under vurdering i EØS/EFTA-statene.
EØS-komiteen forventes 3.februar 2023 å treffe beslutning om innlemmelse av NIS-direktivet i EØS-avtalen. Beslutningen gjør tilføyelser til EØS-avtalens vedlegg XI og protokoll 37.