Regjeringen har lagt fram et forslag til lov om digital sikkerhet. Loven skal bidra til å styrke den digitale sikkerheten i virksomheter som har særlig betydning for samfunnet.
Utvalgte virksomheter vil nå bli forpliktet til å overholde digitale sikkerhetskrav og å varsle om alvorlige digitale hendelser. Det vil gjøre virksomhetene bedre rustet til å stå imot angrep mot de digitale systemene de er avhengige av.
– Det er viktig at Norge nå får en lov som stiller krav til digital sikkerhet i virksomheter som har en viktig rolle i samfunnet. Denne regjeringen mener at grunnleggende krav til digital sikkerhet i slike virksomheter er helt avgjørende for å sikre velferdssamfunnet, sier justis- og beredskapsminister Emilie Enger Mehl (Sp).
Lovforslaget forutsetter forskrifter med tydeligere avgrensninger av hvem loven skal gjelde for og mer konkrete regler om hva som skal til for å oppfylle sikkerhets- og varslingskravene.
– Regjeringen vil at det skal etableres et regelverk om digital sikkerhet på tvers av sektorer. Regelverket skal være tilpasningsdyktig og fleksibelt, slik at det kan tas hensyn til ulike behov i ulike sektorer, sier justis- og beredskapsministeren videre.
Forslaget følger opp stortingsmeldingen om Nasjonal kontroll og digital motstandskraft. Det bygger på Europaparlaments- og rådsdirektiv (EU) 2016/1148 av 6. juli 2016 om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen (NIS-direktivet). Det vil i første omgang gjelde for tilbydere av samfunnsviktige tjenester innen energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur, samt tilbydere av de digitale tjenestene digitale markedsplasser, skytjeneste, og digitale søkemotorer. Loven vil bli utviklet over tid for å gjøre norske virksomheter mer ansvarlige og sikre gjennomføring av nasjonale råd og anbefalinger.
Digital sikkerhet er en avgjørende forutsetning for en vellykket digitalisering av samfunnet. Regjeringen mener at denne loven vil bli et viktig bidrag for å redusere digitale sårbarheter både i samfunnet og i den enkelte virksomhet.
Virksomhetene som blir omfattet av loven må etablere grunnleggende sikkerhetstiltak i virksomhetenes digitale systemer. Det vil for eksempel kunne bli aktuelt for virksomhetene å se hen til NSMs grunnprinsipper for IKT-sikkerhet som et utgangspunkt for sikring av sine digitale systemer. Målet er at virksomhetene vurderer digital sikkerhet som en naturlig del av den ordinære driften.
Lovens krav om varsling ved hendelser som virker inn på tjenesteleveransen vil sørge for at virksomhetene får bistand til å håndtere hendelsen. Dessuten legges det opp til videre varsling, for eksempel i samme sektor, til sikkerhetsmyndighetene og eventuelt til andre land. Varslinger vil også kunne danne et nyttig kunnskapsgrunnlag for sikkerhetsmyndighetene.
https://www.regjeringen.no/no/dokumenter/prop.-109-ls-20222023/id2975558/
Prop. 109 LS (2022–2023)
Proposisjon til Stortinget (forslag til lovvedtak og stortingsvedtak)
Proposisjonen foreslår en lov om digital sikkerhet og ber Stortinget om samtykke til godkjenning av to beslutninger i EØS-komiteen om innlemmelse i EØS-avtalen av NIS1-direktivet, tilhørende gjennomføringsforordning og cybersikkerhetsforordningen. Loven skal forplikte virksomheter som har en særlig viktig rolle for å opprettholde kritisk samfunnsmessig og økonomisk aktivitet, til å overholde digitale sikkerhetskrav og varsle om alvorlige digitale hendelser. Loven stiller overordnede krav til sikkerhet og varsling, og virkeområdet er kun angitt i form av hvilke sektorer den gjelder i. Dette forutsetter et underliggende regelverk med tydeligere avgrensinger og konkretiseringer. Loven inneholder derfor en vid adgang til å fastsette nærmere bestemmelser i forskrift. Loven etablerer rammeverk for tilsyn med virksomhetene og åpner for ileggelse av pålegg og eventuelt overtredelsesgebyr ved manglende oppfyllelse av pliktene. Myndighetene skal også ta imot varsler om alvorlige digitale hendelser.
https://www.regjeringen.no/no/dokumenter/prop.-109-ls-20222023/id2975558/?ch=1
1 Hovedinnholdet i proposisjonen
Justis- og beredskapsdepartementet foreslår i denne proposisjonen en ny lov om digital sikkerhet. I tillegg bes det om Stortingets samtykke til godkjenning av to beslutninger i EØS-komiteen.
Loven bygger på Europaparlaments- og rådsdirektiv (EU) 2016/1148 av 6. juli 2016 om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen (NIS-direktivet). Direktivet og tilhørende gjennomføringsforordning 2018/151 om spesifisering av NIS-direktivet artikkel 16 nr. 1 og nr. 4 (gjennomføringsforordningen) ble besluttet tatt inn i EØS-avtalen 3. februar 2023.
Forslaget til lov om digital sikkerhet er ment å være i samsvar med NIS-direktivet og øvrige sammenlignbare lands nasjonale lovgivning på området.
Loven skal forplikte virksomheter som har en særlig viktig rolle for å opprettholde kritisk samfunnsmessig og økonomisk aktivitet, til å overholde digitale sikkerhetskrav og varsle om alvorlige digitale hendelser. Loven skal bidra med forebyggende sikkerhetstiltak som gjør en virksomhet bedre rustet til å stå imot angrep mot nettverks- og informasjonssystemer de er avhengige av. Videre skal loven sikre planer for håndtering av uønskede hendelser. Loven stiller overordnede krav til sikkerhet og varsling, og virkeområdet er kun angitt i form av hvilke sektorer den gjelder i. Dette forutsetter et underliggende regelverk med tydeligere avgrensinger og konkretiseringer. Loven inneholder derfor en vid adgang til å fastsette nærmere bestemmelser i forskrift.
Loven etablerer rammeverk for tilsyn med virksomhetene og åpner for ileggelse av pålegg og eventuelt overtredelsesgebyr ved manglende oppfyllelse av pliktene. Myndighetene skal også ta imot varsler om alvorlige digitale hendelser. Departementet legger opp til at eksisterende myndighetsstruktur benyttes i størst mulig grad for å begrense behovet for nye kontaktpunkter for virksomhetene som blir underlagt regelverket, og for at myndigheter som allerede utfører oppgaver som ligner oppgaver denne loven pålegger dem, skal kunne samkjøre disse så langt det er mulig. Departementet mener videre at eksisterende myndigheter også bør føre tilsyn med virksomheter som per i dag ikke er underlagt tilsyn.
Europaparlaments- og rådsforordning (EU) 2019/881 av 17. april 2019 om ENISA (Den europeiske unions cybersikkerhetsbyrå), om cybersikkerhetssertifisering av informasjons- og kommunikasjonsteknologi og om oppheving av forordning (EU) nr. 526/2013 (cybersikkerhetsforordningen) ble også besluttet tatt inn i EØS-avtalen 3. februar 2023. Forordningen er planlagt inkorporert i forskrift til denne loven.
Norge deltok i beslutningene i EØS-komiteen med forbehold om Stortingets samtykke, jf. Grunnloven § 26 andre ledd. Det bes på denne bakgrunn om Stortingets samtykke til godkjenning av EØS-komiteens beslutninger om innlemmelse av rettsaktene.
