(fra departementets EØS-notat, sist oppdatert 23.10.2025)

Sammendrag av innhold

Bakgrunn og formål

Gjennomføringsforordningen gjelder for spesifikke kategorier av virksomheter som tilbyr digitale tjenester: DNS-tjenesteleverandører, TLD-navneregistre, skytjenesteleverandører, tjenesteleverandører av datasentre, nettverksleverandører for innholdslevering, administrerte tjenesteleverandører, leverandører av administrerte sikkerhetstjenester, tilbydere av online markedsplasser, av online søkemotorer og av plattformer for sosiale nettverkstjenester, og tillitstjenesteleverandører (samlet omtalt som «de relevante virksomhetene»).

Bakgrunnen for gjennomføringsforordningen er behovet for å gi konkret og ensartet veiledning til de relevante virksomhetene om hvordan de skal etterleve kravene i direktiv (EU) 2022/2555 (NIS2-direktivet) artikkel 21 nr. 2 om tekniske og metodiske krav til risikostyringstiltak for cybersikkerhet og spesifisere de tilfeller hvor en hendelse anses å være vesentlig og dermed skal rapporteres.

Vedlegget til gjennomføringsforordningen angir de tekniske og metodiske kravene, som er basert på europeiske og internasjonale standarder og tekniske spesifikasjoner som er relevante for sikkerheten i nettverks- og informasjonssystemer.

Ved implementering og anvendelse av de tekniske og metodiske kravene for tiltakene, skal virksomhetene sikre et sikkerhetsnivå som er passende for gjeldende risiko.

Gjennomføringsforordningen angir konkrete kriterier for når en hendelse anses som «vesentlig» etter artikkel 23 (3) i NIS2-direktivet. For hendelser som ikke alene når opp til forordningens terskel for å være «vesentlig», angir forordningen at gjentakende mindre hendelser likevel samlet kan anses som «vesentlig» dersom nærmere angitte vilkår er oppfylt.

Gjennomføringsforordningen angir videre særskilte kriterier tilpasset de relevante virksomhetene for når en hendelse anses som «betydelig».

Nærmere om de enkelte bestemmelsene i forordningen

Artikkel 2 fastsetter at de tekniske og metodologiske kravene for håndtering av cybersikkerhetsrisiko etter artikkel 21(2) i NIS2-direktivet følger av vedlegget til forordningen.

Videre er det i bestemmelsen spesifisert at ved bruk av tekniske og metodologiske kravene angitt i vedlegget, så skal virksomhetene skal sikre et sikkerhetsnivå tilpasset egne risikoer, størrelse, sannsynlighet for hendelser og potensiell samfunnsmessig og økonomisk påvirkning.

Hvis et krav er merket «der det er hensiktsmessig», «aktuelt» eller «mulig» og enheten velger å ikke bruke det, må dette begrunnes og dokumenteres tydelig.

Artikkel 3 angir konkrete kriterier for hva som skal til for at en hendelse regnes som betydelig etter NIS2 artikkel 23 (3). Kriteriene er ganske konkrete, blant annet er en hendelse betydelig dersom den har forårsaket eller er i stand til å forårsake direkte økonomisk tap for virksomheten som oversiger 500 000 euro eller 5% av årsomsetningen, utlevering av forretningshemmeligheter eller skade på liv og helse.

Planlagte driftsavbrudd og vedlikehold regnes ikke som vesentlige hendelser.

Artikkelen angir videre hvilke hensyn som skal hensyntas ved beregning av antall brukere som er berørt av en hendelse i henhold til artikkel 7 og artikkel 9–14.

Artikkel 4 angir at gjentakende mindre hendelser samlet kan anses som vesentlig dersom følgende kumulative vilkår er oppfylt: de har skjedd minst to ganger i løpet av 6 måneder, de har samme tilsynelatende underliggende årsak, de samlet sett har har forårsaket eller er i stand til å forårsake direkte økonomisk tap for virksomheten som oversiger 500 000 euro eller 5% av årsomsetningen, jf. artikkel 3 nr. 1 bokstav a.

Artikkel 5 til 14 gir spesifiserte kriterier for når en hendelse anses betydelig for konkrete kategorier virksomheter. Disse virksomhetene er DNS-tjenesteleverandører, TLD-navneregistre, leverandører av skytjenester, leverandører av datasentertjenester, leverandører av innholdsleveringsnettverk, leverandører av administrerte tjenester og leverandører av administrerte sikkerhetstjenester, leverandører av nettbaserte markedsplasser, leverandører av nettbaserte søkemotorer, leverandører av sosiale nettverksplattformer, leverandører av tillitstjenester

Merknader
Rettslige konsekvenser

Det antas at forordningen vil gjennomføres i nasjonal rett ved at den inkorporeres som norsk forskrift med hjemmel i ny lovregulering som gjennomfører NIS2-direktivet. Det legges til grunn at innlemmelse av gjennomføringsforordningen i EØS-avtalen og i nasjonal rett vil skje samtidig med innlemmelse av NIS2-direktivet. Det foregår for tiden et arbeid med å forberede nasjonal gjennomføring av NIS2-direktivet.

Økonomiske og administrative konsekvenser

Gjennomføringsforordningen spesifiserer allerede gjeldende forpliktelser som følge av NIS2-direktivet. Forordningen vil dermed ikke innebære en økning i økonomiske eller administrative konsekvenser sammenlignet med NIS2-direktivet.

Sakkyndige instansers merknader

EØS-notatet er forelagt spesialutvalget for kommunikasjoner.

Vurdering

Forordningen er knyttet til NIS2-direktivet som allerede er vurdert relevant og akseptabel. Gjennomføringsforordningen anses dermed som EØS-relevant og akseptabel. Innlemmelse av gjennomføringsforordningen i EØS-avtalen og i nasjonal rett vil måtte koordineres med innlemmelse av NIS2-direktivet. For NIS2-direktivet er det tatt konstitusjonelt forbehold, og det tas derfor også konstitusjonelt forbehold om innlemmelse av gjennomføringsforordningen

Status

Gjennomføringsforordningen ble vedtatt 17. oktober 2024 og trådte i kraft i EU 7. november 2024.