Regjerningen la den 5. mai 2023 frem et forslag til lov om digital sikkerhet (Digitalsikkerhetsloven) som vil tre i kraft i løpet av 2024. Justis- og beredskapskomiteen kom den 21. november 2023 med Innst. 78 L 2023-2024 til den nye digitalsikkerhetsloven som vil behandles i Stortinget 5. desember 2023.
Loven skal styrke den digitale sikkerheten i samfunnet og følger opp EU-direktivet om sikkerhet i nettverks- og informasjonssystemer (NIS1-direktivet). Loven har som formål å bidra til å sikre grunnleggende krav til digital sikkerhet i virksomheter med særlig samfunnsmessig betydning gjennom å stille strengere krav til kontroll på sikkerhetsarbeidet, og pålegger virksomheter å varsle ved uønskede hendelser i nettverks- og informasjonssystemer som brukes for å levere samfunnsviktige tjenester og digitale tjenester.
LOVENS VIRKEOMRÅDE
Digitalsikkerhetsloven vil i første omgang gjelde for samfunnskritiske sektorer som energi, transport, helse, vannforsyning, bank, finansmarkeder, og digital infrastruktur, samt for digitale tjenesteleverandører som digitale markedsplasser, skytjenester og søkemotorer. Men, i årene som kommer, vil Norge trolig også gradvis måtte implementere NIS1’s etterkommer, NIS2-direktivet, i Digitalsikkerhetsloven, noe som vil medføre at lovens virkeområde utvides til også å omfatte bl.a. offentlige myndigheter, utdanningsinstitusjoner, matproduksjon, post- og pakkedistributører, avfallshåndtering og produksjon av visse varer (medisinsk utstyr, IKT-utstyr, kjøretøy, elektronikk, maskiner og transportutstyr).
EU har satt frist for implementering av NIS2 for europeiske virksomheter til oktober 2024. For norske virksomheter som skal tilby tjenester i Europa vil det altså også stilles krav om at virksomheter må sikre etterlevelse av NIS2.
KRAV TIL RISIKOVURDERINGER OG ØKT MONITORERING
I henhold til NIS1-direktivets artikkel 16 (1) er virksomheter som omfattes av loven pålagt å gjennomføre grundige risikovurderinger for å identifisere og treffe hensiktsmessige og rimelige tekniske og organisatoriske tiltak.I tråd med den tekniske utviklingen skal tiltakene sikre et nivå for sikkerhet i virksomheten som står i forhold til risikoen, idet det tas hensyn til bl.a. sikkerheten i systemer og anlegg, styring av driftskontinuitet, overvåkning, revisjon og testing, samt hendelseshåndtering. Ovennevnte vurderinger og iverksettelse av tiltak må kunne dokumenteres for å påvise etterlevelse.
OBLIGATORISKE VARSLINGSFORPLIKTELSER OM HENVDELSER
Nytt med digitalsikkerhetsloven og NIS1-direktivet er at det blir obligatorisk å varsle om hendelser som virker betydelig inn på leveringen av en tjeneste. Dette gjelder både for operatører av essensielle tjenester og leverandører av digitale tjenester. Direktivet definerer "hendelse" som enhver begivenhet som har en reell negativ virkning på sikkerheten i nettverks- og informasjonssystemer. Dette innebærer at en helhetsvurdering må gjennomføres for å avgjøre om virkningen av en begivenhet er negativ og videre om den negative virkningen er å anse som "betydelig". Faktorer som antall berørte brukere, hendelsens varighet, geografisk omfang og økonomiske og samfunnsmessige konsekvenser vurderes. Varslingsplikten gjelder bare når virksomheten har tilstrekkelig informasjon til å vurdere hendelsens betydning. Dersom det vurderes at varslingsforpliktelsen er utløst må varselet gis "uten unødig opphold". Dette betyr at varsling skal skje så snart som praktisk mulig, uten unødvendige forsinkelser.
HVA BETYR INNFØRINGEN AV DIGITALSIKKERHETSLOVEN I PRAKSIS FOR OMFATTEDE VIRKSOMHETER?
Det er avgjørende for etterlevelse av regelverket at virksomheten gjennomfører jevnlige risikovurderinger for å identifisere potensielle trusler og sårbarheter i tjenestene som tilbys, og iverksette tiltak for å redusere risikoen. Virksomheter bør implementere sterke sikkerhetstiltak som to-faktorautentisering, sterk kryptering, samt få på plass et IAM-system (Identity Access Management), for å beskytte kunders data mot uautorisert tilgang. Her er etterfølgelse av Nasjonal Sikkerhetsmyndighet (NSM) sine grunnprinsipper for IKT-sikkerhet en fin plass å starte. NSM er også i departementets proposisjon utpekt som kandidat for nasjonalt kontaktpunkt for tilsynsmyndigheter under regelverket. Regelverket krever også tett samarbeid med NSM og andre sektorspesifikke tilsynsorgan, inkludert virksomhetsinterne Computer Security Incident Response Teams (CSIRTs), for å sikre en effektiv respons på sikkerhetsbrudd.
Overholdelse av krav i digitalsikkerhetsloven innebærer at virksomheter bør etablere tydelige interne retningslinjer og prosedyrer for å håndtere sikkerhetsbrudd i samsvar med lovens krav. Videre bør virksomheten implementere tiltak knyttet til sikkerhetsovervåkning og hendelseshåndteringssystemer for å oppdage, rapportere og reagere på sikkerhetsbrudd raskt.
OPPSUMMERT
I korte trekk skal digitalsikkerhetsloven sørge for en betydelig forbedring av digital sikkerhet i norske samfunnskritiske virksomheter gjennom implementering av NIS1-direktivet. Omfattede virksomheter blir nå pålagt å etablere robuste interne prosesser, gjennomføre grundige og hyppige risikovurderinger, varsle om sikkerhetshendelser og samarbeide tettere med nasjonale myndigheter.
I EU er NIS1 allerede erstattet av NIS2, og europeiske virksomheter har for alvor fått en felles målsetning for digital sikkerhet og økt samarbeid i det indre markedet. Det er derfor viktig at også norske virksomheter har økt fokus på digital sikkerhet i årene som kommer.