NIS1-direktivet om tiltak for nettverks- og informasjonssikkerhet: gjennomføringsbestemmelser
Høring igangsatt av Justis- og beredskapsdepartementet 11.9.2024 med frist 11.12.2024
Tidligere
- Lov- og samtykkeproposisjon fremmet av regjeringen 5.5.2023
- Norsk lov kunngjort 20.12.2023
- Oppfyllelse av forfatningsrettslige krav meldt av Norge 25.6.2024. EØS-komiteens beslutning trer i kraft 1.8.2024
Bakgrunn
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 20.1.2023)
Sammendrag av innhold
Gjennomføringsforordning 2018/151 ble vedtatt 30. januar 2018 og trådte i kraft 10. mai 2018. Forordningen er under vurdering i EFTA-statene. Gjennomføringsforordningen er gitt med hjemmel i Europaparlamentets og Rådets direktiv (EU) 2016/1148 om tiltak som skal sikre et høyt felles sikkerhetsnivå i nettverks- og informasjonssystemer i EU (NIS-direktivet) artikkel 16 (8). I denne bestemmelsen står det; Kommisjonen skal vedta gjennomføringsrettsakter for å angi nærmere elementene som er nevnt i nr. 1 og parametere som er oppført i nr. 4 i denne artikkel. Disse gjennomføringsrettsaktene skal vedtas etter fremgangsmåten med undersøkelseskomité nevnt i artikkel 22 nr. 2 innen 9. august 2017.
Fordi forordningen er gitt med hjemmel i NIS-direktivet og disse innlemmes sammen tas det forbehold om Stortingets samtykke til å innlemme rettsakten i EØS-avtalen, jf. EØS-avtalen art. 103. Bakgrunnen for dette er behov for lovendring.
NIS-direktivet forplikter virksomheter som har en særlig viktig rolle i opprettholdelsen av et funksjonelt indre marked til å gjennomføre IKT-sikkerhetstiltak og varsle om alvorlige hendelser. Virksomhetene faller i to kategorier. For det første; tilbydere av samfunnsviktige tjenester innenfor samfunnssektorene energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur. For det andre; tilbydere av digitale tjenester, nærmere bestemt nettbaserte markedsplasser, nettbaserte søkemotorer og skytjenester. Til forskjell fra tilbydere av samfunnsviktige tjenester kan medlemslandene, med visse unntak, ikke innføre strengere sikkerhetstiltak for tilbydere av digitale tjenester enn det direktivet legger opp til. Noe av begrunnelsen er at det for tilbydere av digitale tjenester er behov for unionsuniforme sikkerhetskrav. I direktivet stilles strengere krav til tilbydere av samfunnsviktige tjenester enn til tilbydere av digitale tjenester.
Medlemsstatene skal sørge for at tilbydere av digitale tjenester iverksetter sikkerhetstiltak som står i et rimelig forhold til risikoen virksomheten står overfor. Det skal også iverksettes tiltak for å forebygge og minimere virkningen av hendelser i nettverk og informasjonssystemer, med henblikk på opprettholdelse av tjenesteleveransen. Dette innebærer at det skal utarbeides strategi for sikkerhetsarbeidet, etablere en IKT-sikkerhetsberedskapsenhet (CSIRT) og pålegge operatører og leverandører av samfunnsviktige og digitale tjenester IKT-sikkerhetskrav og varslingsplikt ved alvorlige IKT-sikkerhetshendelser.
For kategorien "tilbydere av digitale tjenester" skal medlemsstatene ikke foreta en utpeking av virksomheter. Direktivbestemmelsene skal gjelde alle virksomheter som faller inn under NIS-direktivets vedlegg III:
1.Nettbaserte markedsplasser, jf. NIS-direktivet art. 4(17)
2.Nettbaserte søkemotorer, jf. NIS-direktivet art. 4(18)
3.Skytjenester, jf. NIS-direktivet art. 4(19)
Tilbydere skal også varsle en på forhånd bestemt kompetent myndighet om alvorlige hendelser. For tilbydere av digitale tjenester skal det tas hensyn til følgende parametere når det skal fastslås om virkningen av en hendelse er betydelig:
- antallet brukere som påvirkes av hendelsen, særlig brukere som er avhengig av tjenesten for å kunne yte egne tjenester
- hendelsens varighet
- størrelsen på det geografiske området som berøres av hendelsen
- omfanget av forstyrrelsen for tjenestens funksjon
- omfanget av virkningen for økonomiske og samfunnsmessige aktiviteter
Virksomhetene som omfattes av direktivet får i hovedsak to forpliktelser. De skal gjennomføre sikkerhetstiltak som står i et rimelig forhold til den risikoen virksomheten står overfor og de skal varsle om alvorlige IKT-sikkerhetshendelser.
I gjennomføringsforordning 2018/151 spesifiseres hvilke momenter tilbydere av digitale tjenester skal ta i betraktning når de fastsetter og iverksetter tiltak for å garantere et nivå av sikkerhet i nett- og informasjonssystemer som benyttes i leveransen av tjenester som nevnt i vedlegg III til NIS-direktivet. Videre spesifiseres hvilke kriterier som skal tas i betraktning ved fastsettelsen av hvorvidt en hendelse har betydelige konsekvenser for leveringen av disse tjenestene.
Forordningen presiserer hva som ligger i de elementer som følger av NIS-direktivets artikkel 16 nr. 1, som virksomheter skal vurdere for å håndtere risikoene knyttet til sikkerheten og iverksette passende sikkerhetstiltak for egenbeskyttelse.
Der NIS-direktivet omtaler sikkerheten i systemer og utstyr i artikkel16 nr. 1 bokstav a, presiserer forordningen at dette innebærer, systematisk forvalting av nettverks og informasjonssystemer, fysisk og miljømessig sikkerhet, forsyningssikkerhet og adgangskontroll,jf. artikkel 2 nr. 1.
Der NIS-direktivet omtaler hendelseshåndetering i artikkel 16 nr. 1 bokstav b, presiseres det i forordningen at det omfatter tiltak som innebærer, opprettholdelse og overvåkning av deteksjonsprosesser, prosesser og retningslinjer for rapportering om hendelser, plan for reaksjon på hendelser og vurdering av hendelsenes alvorlighetsgrad, jf. artikkel 2 nr. 2.
I NIS-direktivet artikkel 16 nr. 1 bokstav c omtales håndtering av kontinuitet i virksomheten. Etter forordningen artikkel 2 nr. 3 at dette vil innebære utarbeidelse av beredskapsplanverk og opprettholde en katastrofeberedskapskapasitet som vurderes og testes jevnlig.
I NIS-direktivet artikkel 16 nr. 1 bokstav d omtales overvåkning, revisjon og testing. Det presiseres i forordningen artikkel 2 nr. 4 at dette innebærer å gjennomføre planlagte sekvenser for observasjon og målinger, inspeksjoner for å sjekke om retningslinjer etterleves og en prosess for å avdekke mangler i systemers sikkerhetsmekanismer.
I NIS-direktivet artikkel 16 nr. 1 bokstav e vises det til at det skal tas hensyn til overholdelse av anerkjente internasjonale standarder. Dette presiseres i forordningen artikkel 2 nr. 5 at innebærer standarder vedtatt av et internasjonalt standardiseringsorgan etter Europaparlamentets og Rådets forordning (EU) 1025/2012. Etter NIS-direktivets artikkel 19 kan det også benyttes andre standarder som er relevante for sikkerheten, herunder også nasjonale.
Forordningens artikkel 2 nr. 6 stiller krav om at virksomheter skal kunne fremlegge dokumentasjon om overnevnte som den kompetente myndighet etter NIS-direktivet trenger for å utøve sin kontroll.
Den andre hoveddelen av gjennomføringsforordningen omhandler parameterne i NIS-direktivets artikkel 16 (4) bokstav a-e som skal vektlegges ved avgjørelse om hvorvidt en hendelse er å anse som betydelig, og dermed meldepliktig etter direktivets artikkel 16.
Etter NIS-direktivet artikkel 16 nr. 4 bokstav a skal det tas hensyn til antall berørte brukere som påvirkes av hendelsen, særlig brukere som er avhengige av tjenesten for å kunne yte egne tjenester. Etter forordningen artikkel 3 nr. 1 bokstav a og b, skal tilbydere av digitale tjenester kunne fastslå enten antallet av berørte fysiske og juridiske personer som det er inngått avtale om levering av tjeneste med, eller antallet berørte brukere som har benyttet tjenesten basert på tidligere trafikkdata.
Forordningen artikkel 3 nr. 2 presiserer hva som mener med en hendelses «varighet». Med varighet forstås tidsrommet hvor avbrytelse av tjenesteleveranse hva gjelder tilgjengelighet, autentisitet eller fortrolighet, til det tidspunkt hvor tjenesten er gjenopprettet.
Artikkel 3 nr. 3 presiserer at ved avgjørelse av hendelsens geografiske omfang, må tilbyderne være i stand til å fastslå om hendelsen påvirker leveransen av tjenester i bestemte EU-land.
Artikkel 3 nr. 4 presiserer at omfanget av driftsforstyrrelser i tjenesten skal måles basert på om en eller flere av følgende egenskaper svekkes som følge av en hendelse, dvs. dataenes eller dermed tilknyttede tjenesters tilgjengelighet, autentisitet, integritet eller konfidensialitet.
Artikkel 3 nr. 5 presiserer hva gjelder omfanget av virkningen på økonomisk og samfunnsmessig virksomhet, at tilbydere skal kunne avgjøre om hendelsen har medført betydelige materielle eller ikke-materielle tap for brukerne, f.eks. med hensyn til helse, sikkerhet eller skade på eiendom.
Artikkel 3 nr. 6 fastslår at tilbydere av digitale hendelser ikke er forpliktet til å innsamle informasjon om overstående som de ikke har adgang til.
Forordningens artikkel 4 fastsetter konkrete måleparametere for å fastslå om en hendelse har betydelige konsekvenser. Etter artikkel 4. nr. 1 bokstav a-d, har en hendelse betydelige konsekvenser dersom tjenesten ikke er tilgjengelig i over 5 000 000 brukertimer. 1 brukertime viser til antallet berørte brukere i EU i en periode på 60 minutter. En hendelse har betydelige konsekvenser hvis den har ført til tap av integritet, autentisitet eller konfidensialitet for arkiverte, overførte eller behandlede data eller tilknyttede tjenester og dette berører mer enn 100 000 brukere i EU. Videre vil en hendelse være å anse som betydelig dersom den har medført risiko for offentlig sikkerhet eller tap av menneskeliv, eller hendelsen har forårsaket materiell skade på over 1 000 000 Euro for minst en bruker i EU.
Artikkel 4 nr. 2 fastsetter at Kommisjonen kan revidere grenseverdier som fastsatt for øvrig i artikkel 4.
Artikkel 5 omhandler ikrafttredelse.
Merknader
Rettslige konsekvenser
Gjennomføringsforordningen kan ikke tre i kraft før NIS-direktivet er en del av EØS-avtalen. Norge forbereder innføring av NIS-direktivet i egen lov.
Forordningen pålegger private plikter og krever således gjennomføring i lov. Departementets vurdering er at den bør vedtas som forskrift til den loven som gjennomfører NIS-direktivet.
NIS-direktivet er planlagt gjennomført i en ny lov om digital sikkerhet.
Økonomiske og administrative konsekvenser
Rettsakten gjelder kun for tilbydere av digitale tjenester etter NIS-direktivet. Forordningen utdyper og presiserer innholdet i kravene som følger av NIS-direktivet. Det er forholdet mellom de krav som i dag stilles på den ene siden, og NIS-direktivets krav på den andre siden som vil utgjøre direktivets og gjennomføringsforordningens økonomiske og adminstrative konsekvenser. En total oversikt over konsekvensene vil medføre en konkret vurdering av sikkerhetsnivået i hver virksomhet som underlegges regelverket. Ut fra forordningens presisering av overordnede krav innebærer dette i stor grad å utarbeide retningslinjer og planverk knyttet til de krav NIS-direktivet oppstiller. Forordnigens presiseringer medfører således ikke økonomiske eller administrative konsekvenser som ikke allerede er forutsatt at vil påløpe som følge av innføringen av NIS-direktivet i norsk rett.
Sakkyndige instansers merknader
EØS- posisjonsnotat ble lagt frem i SU Kommunikasjoner 13. september 2019 og i etterkant skriftlig klarert.
Vurdering
Forordningens overordnede formål er tilsvarende NIS-direktivet, å oppnå et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i Unionen for å forbedre virkemåten til det indre marked. Forordningens mer konkrete formål er å sette tilbydere av digitale tjenester bedre i stand til å treffe de tekniske og organisatoriske tiltak som er tilstrekkelige for å styre sikkerhetsrisiko i nett- og informasjonssystemene. Formålet er også å presisere hva som skal vektlegges for å identifisere om virkningen av en hendelse er «betydelig».
Gjennomføringsforordningen er en viktig presisering av overordnede krav for tilbydere av digitale tjenester. Presiseringene knyttet til elementer som skal vektlegges av virksomhetene når de skal etablere et sikkerhetsnivå som står i forhold til risikoen er funksjonelt utformet. Dette er i tråd med NIS-direktivets kravstilling, og i tråd med hvordan departementet vil gjennomføre NIS-direktivet, med tilhørende gjennomføringsforordninger, i norsk rett.
Selv om forordningen kun gjelder tilbydere av digitale tjenester, vil artikkel 3 og 4 om kriterier for å avgjøre hvorvidt en hendelse er betydelig og falle inn under meldeplikten, også ha veiledende betydning for tilbydere av samfunnsviktige tjenester når det gjelder antall brukere som påvirkers, hendelsens varighet og størrelsen på det geografiske området som berøres. Disse parameterne er felles for tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester.
Forordningen anses som et positivt tilskudd til NIS-direktivet.
Konklusjon: Gjennomføringsforordningen er EØS relevant og det er ikke nødvendig med tilpasningstekst.
Status
Gjennomføringsforordning 2018/151 ble vedtatt 30. januar 2018 og trådte i kraft 10. mai 2018. Forordningen er under vurdering i EØS/EFTA-statene. Gjennomføringsforordningen er gitt med hjemmel i Europaparlamentets og Rådets direktiv (EU) 2016/1148 om tiltak som skal sikre et høyt felles sikkerhetsnivå i nettverks- og informasjonssystemer i EU (NIS-direktivet) artikkel 16 (8).
EØS-komiteen forventes 3.februar 2023 å treffe beslutning om innlemmelse av både NIS-direktivet og denne gjennomføringsforordningen.