Etter et frokostmøte og et par digitale høringsmøter, er IKT-Norges høringssvar til digitaliseringsforskriften nå sendt inn.  Det har vært en del medlemmer som har deltatt, og det takker vi for.

Det er 8 år siden NIS1-regelverket for IKT-sikkerhet ble vedtatt i EU, og det burde ha kommet inn i norsk lov tidligere, slik at norske bedrifter vet hva de har å forholde seg til. Nå er NIS2 allerede vedtatt i EU og skal implementeres i Norge.

Forskriften inneholder bestemmelser om risikovurderinger, minimumstiltak, varslingsplikt, tilsynsmyndighet mv. Regelverket medfører omfattende forpliktelser for virksomheter som er underlagt regelverket, og dette berøre mange av IKT-Norges medlemmer. Enten fordi man selv er omfattet av regelverket, eller som leverandør til aktører som er omfattet.

IKT-Norge støtter at krav til  digital sikkerhet blir lovregulert, men vi mener at for rigide definisjoner, kan bety dyre og overdrevne krav.

Oppsummert er dette det vi har sendt Justisdepartementet i dag:

• Kravene må være fleksible og risikobaserte: Virksomhetene må ha spillerom til å tilpasse sikkerhetstiltak etter egne behov. Lovreguleringen bør ikke påføre unødvendige kostnader eller konkurransevridning.
• Harmonisering og tydelighet: Regelverket bør harmoniseres med internasjonale standarder som ISO 27001 og unngå særnorske krav som kan redusere norske aktørers konkurranseevne.
• Praktiske løsninger: Forskriften bør gi klare overgangsregler, sikre at tilsynsmyndighetene har en enhetlig praksis, og legge til rette for enkle rapporterings- og varslingsordninger.
• Tidslinje for implementering: Det bør gis romslige overgangsordninger og en konkret tidsplan for implementering av NIS2-direktivet.
• Unntaksmekanismer: Mulighet for søknad om unntak fra teknologiske sikkerhetskrav bør innarbeides for å unngå uforholdsmessige krav.

Høringssvaret er utformet i samarbeid med Advokatfirmaet Hjort AS, og her kan du lese hele:

1                     Innledning

IKT-Norge viser til departementets høringsnotat av 11. september 2024, hvor det bes om innspill til forslag til ny forskrift til digitalsikkerhetsloven (digitalsikkerhetsforskriften). Med dette inngis høringssvar på vegne av IKT-Norge.

IKT-Norge er en uavhengig interesseorganisasjon som jobber for å styrke de overordnede rammebetingelsene for det digitale næringslivet. Våre medlemmer er store og små bedrifter fra ulike næringer over hele landet, med et felles ståsted i teknologi og digitale løsninger. Ytterligere informasjon om oss er tilgjengelig på www.ikt-norge.no.

IKT-Norges medlemmer består både av aktører som vil omfattes direkte av digitalsikkerhetsloven, og aktører som indirekte vil omfattes i egenskap av å være leverandører til slik virksomhet. Vi kommer nærmere tilbake til betydningen for leverandørmarkedet nedenfor.

Vi har i dette høringssvaret konsentrert våre merknader rundt de deler av forskriften som anses mest sentrale for våre medlemmer. Dette betyr ikke at vi ikke har synspunkter på de delene av høringsdokumentene som ikke kommenteres her, men det har av praktiske årsaker vært nødvendig å gjøre en avgrensning i omfanget av dette høringssvaret.

Vi har ved utarbeidelsen av høringssvaret innhentet medlemmenes synspunkter, og mener at det som kommer til uttrykk her er representative for de medlemmer som valgte å delta i denne prosessen. Vi er imidlertid også kjent med at flere av våre medlemmer vil inngi egne høringssvar, og våre medlemmer kan selvsagt ha ulike interesser i dette og synspunkter som avviker fra det som kommer til uttrykk her.

Vi har først og fremst konsentrert oss om de plikter som følger av digitalsikkerhetslovgivningen (lov og forskrift) som sådan, og overlater til andre aktører å kommentere grensesnittet mot særlig sektorlovgivning mv.

2                     Overordnede kommentarer

Digitalsikkerhetsloven implementerer NIS1-direktivet, og forskriften presiserer og operasjonaliserer kravene i loven. Høringsrunden er begrenset til forskriften, og det er på denne bakgrunn ikke naturlig å kommentere verken digitalsikkerhetsloven eller EU-regelverket som sådan her. IKT-Norge vil likevel nevne at implementeringen av NIS-direktivene i Norge har tatt uvanlig lang tid, og at mange av våre medlemmer opplever dette som uheldig. IKT-Norge mener det er viktig at det regelverket som nå introduseres så langt mulig inneholder mekanismer og bestemmelser som kan videreføres ved en fremtidig implementering av NIS2-direktivet. IKT-Norge etterlyser også en konkret tidsplan for Norges implementering av NIS2-direktivet og hvilke endringer dette antas å medføre, både for aktører som omfattes av digitalsikkerhetsloven slik den nå er foreslått, og for aktører innen sektorer som foreløpig faller utenfor digitalsikkerhetslovgivningen.

Digital sikkerhet er viktig, og IKT-Norge er positiv til en lovregulering av digital sikkerhet for samfunnsviktige funksjoner. Vårt klare inntrykk er også at våre medlemmer gjennomgående er opptatt av digital sikkerhet, og at de stiller seg positive til digitalsikkerhetslovgivningen. Samtidig mener IKT-Norge, som et utgangspunkt og grunnprinsipp, at den enkelte virksomhet må ha et betydelig spillerom til å fastsette krav til egen digital sikkerhet ut fra eget risikobilde og situasjon for øvrig. Lovreguleringen bør ikke gå lengre enn hva som er nødvendig for å ivareta sikkerhet i samfunnsviktige funksjoner, og kravene bør være uformet på en måte som gir fleksibilitet for den enkelte virksomhet med tanke på hvordan man oppnår et forsvarlig sikkerhetsnivå.

Fra aktørenes ståsted er det svært viktig at regelverket er tydelig og forutsigbart, at det ikke blir konkurransevridende, at det ikke hindrer innovasjon, og at det ikke påfører unødvendige eller uproporsjonale kostnader eller byrder. I denne sammenheng er det også viktig å huske på at formålet digitalsikkerhetslovgivningen skal oppstille minimumskrav til digital sikkerhet, og at dette ikke nødvendigvis må tilsvare «beste praksis» eller bransjestandarder som gir uttrykk for tilsvarende sikkerhetsnivå. Ikke minst er det viktig at det legges opp til praktiske og kostnadseffektive ordninger knyttet til gjennomføringen av reglene, og særlig i forbindelse med varsling og hendelseshåndtering.

Det er også viktig for aktørene at regelverket så langt mulig er harmonisert med annen og tilgrensende lovgivning (eksempelvis personvernlovgivningen og sektorspesifikk sikkerhetslovgivning). For aktører som driver grenseoverskridende virksomhet innen EØS er det også viktig at særnorske krav ikke påvirker deres konkurranseevne i EØS-markedet negativt.

IKT-Norge stiller også spørsmål ved hvilke konsekvensutredninger som er foretatt knyttet til regelverket. Det fremstår som uklart hvilke konkrete vurderingen departementet selv har foretatt i denne forbindelse, utover de helt overordnede vurderingene som fremkommer av høringsnotatets punkt 13. Mange av våre medlemmer vil nok– allerede nå – ha etablert et digitalt sikkerhetsnivå som tilfredsstiller kravene i forslaget til forskrift. Det er vårt inntrykk at de aktørene som vil berøres av denne lovgivningen stort sett er rimelig godt forberedt med tanke på oppfyllelse av lovens krav. Det kan imidlertid være et stort spenn i både modenhet og ressurssituasjonen for de aktørene som omfattes av lovgivningen, og det er viktig at lov og forskrift har nødvendig fleksibilitet for aktørene til å innrette seg etter lovgivningen. Ikke minst gjelder dette i forbindelse med implementeringen av regelverket. Vi vil i denne sammen heng også fremheve at tidsaspektet ved innføringen av regelverket fremstår som uklart, og at det bør vedtas passende overgangsregler, jf. nærmere punkt 4.1 nedenfor.

3                     Særlig om de punkter departementet ønsker høringsistansenes syn på

3.1                 Innmelding av samfunnsviktige tjenester

Departementet ber på s. 14 i høringsnotatet om innspill på om det bør velges alternative løsninger for innmelding av samfunnsviktige tjenester under forskriftens § 5.

Etter IKT-Norges syn bør det sentrale hensyn i denne sammenheng være hvordan løsningen fungerer for aktørene, og ikke hva som er mest bekvemmelig for tilsynsmyndighetene.

Sett fra aktørenes perspektiv vil nok en utpeking av tilbydere etter mønster av sikkerhetsloven § 7-1 være å foretrekke, da dette også vil fjerne usikkerhet knyttet til om en aktør omfattes av loven eller ikke. Dette kan eventuelt kombineres med en varslingsordning etter modell av forskriftens § 5, men slik at en virksomhet ikke blir omfattet av loven før det fattes vedtak om det.

Alternativt vil det etter IKT-Norges syn klart være å foretrekke at aktørene bare melder inn til NSM, da dette vil være en operasjonelt enklere løsning enn dobbelt rapportering til både NSM og annen tilsynsmyndighet og gjøre prosessen mer oversiktlig for virksomhetene. Vi antar i denne sammenheng også at det vil være forholdsvis enkelt for tilsynsmyndighetene å lage tekniske eller organisatoriske løsninger for deling av informasjon seg imellom.

Det viktigste for aktørene er uansett at det legges opp til en enkel og praktiserbar rapporteringsløsning, og at det ikke er forskjellige løsninger og krav for henholdsvis NSM og øvrige tilsynsmyndigheter dersom det legges opp til dobbeltrapportering.

Det bør også legges opp til en ordning hvor aktører som er i tvil om hvorvidt de omfattes kan få avklart sin status innen rimelig tid i dialog med tilsynsmyndighetene.

3.2                 Supplering av krav med veiledningsmateriale fra NSM og anerkjente standarder

Departementet ber på s. 20 i høringsnotatet om innspill på om sikkerhetstiltakene i §§ 9-14 bør suppleres med veiledningsmateriale fra NSM, som i kombinasjon med anerkjente standarder kan støtte virksomhetene i arbeidet.

IKT-Norge er i utgangspunktet positiv til at forskriften suppleres med veiledningsmateriale fra NSM, og at dette harmoniseres med anerkjente standarder. Det er imidlertid viktig at veiledningene ikke overskrider de juridiske rammene fastsatt av lov og forskrift, og at de ikke i praksis fungerer som en form for lovgivning gjennom udemokratiske prosesser, eller tåkelegger grensene mellom lovgiver og tilsynsmyndighet.

IKT-Norge er også positiv til at kravene i forskriften harmoniseres med etablerte standarder og rammeverk, eksempelvis ISO 27001 eller NSMs grunnprinsipper. Harmonisering av krav på tvers av sektorer og landegrenser vil også kunne redusere friksjonen for etterlevelse for virksomheter som opererer på tvers av ulike sektorer og/eller jurisdiksjoner. Man må imidlertid være bevisst på at mens sikkerhetstiltakene i forskriften formodentlig skal gi uttrykk for minimumstiltak for forsvarlig sikkerhet, vil standarder som ISO 27001 ofte fokusere på hva som er beste praksis eller lignende. Dette vil ikke nødvendigvis være sammenfallende vurderingstemaer, og man kan derfor ikke ukritisk legge standarder til grunn for hva som skal være minimumskravene til digital sikkerhet etter lovgivningen .

Det er uansett viktig at aktørene har tilgang på konkret og løsningsorientert veiledning fra tilsynsmyndighetene. I denne sammenheng bør aktørene kunne opptre i tillit til slik veiledning uten risiko for senere sanksjoner mv.

3.3                 Unntaksbestemmelse for teknologiske sikkerhetstiltak

Departementet spør på s. 21 i høringsnotatet om det bør tas inn en bestemmelse som gir myndighetene kompetanse til å gi unntak fra enkelte sikkerhetskrav. Vi forstår dette som at departementet her sikter til et mulig unntak fra de teknologiske sikkerhetskravene, og ikke en generell unntaksbestemmelse for kravene i §§ 9-14.

IKT-Norge mener et unntak som skissert i høringsnotatet fremstår som fornuftig, og at det vil kunne avhjelpe eventuelle utilsiktede og tyngende krav til teknologiske sikkerhetstiltak. Behov for unntak fra teknologiske krav kan eksempelvis skyldes at standardiserte systemer ikke har den aktuelle typen funksjonalitet, eller at kravet på annen måte blir uforholdsmessig opp mot risikoen. I mange tilfeller vil også mangel på teknologiske sikkerhetstiltak kunne kompenseres med andre tiltak. Dersom det også legges opp til en ordning der aktørene må søke om unntak fra det enkelte krav, og at dette ikke bare er noe aktørene kan beslutte og begrunne selv, er det også vanskelig å se at dette i særlig grad vil kunne påvirke det reelle sikkerhetsnivået.

IKT-Norge støtter derfor en slik unntaksmulighet. Det bør legges opp til harmoniserte retningslinjer for når slike unntak kan gis. Unntak bør generelt kunne innvilges dersom aktøren kan vise til å ha innført tilstrekkelige kompenserende tiltak.

IKT-Norge mener også at det prinsipielt sett ikke er noen grunn til å sette teknologiske sikkerhetstiltak i en særstilling her, og at det bør vurderes en generell unntaksmulighet fra kravene i §§ 9-14 for å unngå at regelverket får utilsiktede negative konsekvenser.

3.4                 Overtredelsesgebyr for offentlige virksomheter

Departementet spør på s. 39 i høringsnotatet om det foreslåtte maksimalbeløpet for offentlig virksomhet vil være treffende.

IKT-Norge mener prinsipielt at det ikke er noen god grunn til å forskjellsbehandle offentlige og private virksomheter i denne sammenheng, og viser til at mange private virksomheter etter forslaget vil risikere langt høyere overtredelsesgebyr enn offentlige virksomheter. Hvis man eksempelvis antar at MNOK 3 tilsvarer 4% av årsomsetningen til en virksomhet, så tilsvarer dette en årsomsetning på MNOK 75. Til sammenligning er dette under det omsetningsnivået som forskriften i § 2 definerer som «små virksomheter».

Forskriftens § 23 har etter vårt syn også fått en litt underlig utforming, der den regel som er angitt å gjelde for offentlige organer tilsynelatende oppstilles som hovedregelen, og hvor den omsetningsbaserte reglen for «foretak» nærmest fremstår som et unntak fra denne. Høringsnotatet benytter også begrepene «offentlige organer» og «offentlig virksomhet» om hverandre, hvilket gjør grensesnittet mellom de to alternativene uklart.

Det er viktig at en bestemmelse om overtredelsesgebyr er klar og forutsigbar. For å oppnå dette bør det etter IKT-Norges syn gjøres en tydeligere oppdeling av bestemmelsen, og det bør også klargjøres nærmere hva som ligger i de to alternativene. Herunder hva som gjelder for offentlig eide foretak mv.

3.5                 Økonomiske og administrative konsekvenser for virksomheter

Som nevnt ovenfor antar IKT-Norge at forslaget vil få økonomiske og administrative konsekvenser for samtlige av de virksomheter som omfattes av regelverket. I tillegg vil kravene som stilles få indirekte effekt i leverandørmarkedet, ved at kravene til aktørene som er omfattet vil bli speilet i leverandørleddet. IKT-Norge antar i denne sammenheng at samtlige virksomheter vil måtte sette seg inn i regelverket, gjøre en avviksanalyse, og foreta en oppdatering av dokumentasjon mv.

Hva som konkret vil kreves av den enkelte aktør vil i stor grad bero på hvor den enkelte aktør befinner seg i dag med tanke på digital sikkerhet og etterlevelse av lovens krav. Her kan det nok også være stor forskjell på aktører som allerede er underlagt sektorspesifikt regelverk og de som ikke er det, samt på større og mindre aktører mv.  Det er mulig at de aktørene som oppfyller terskelverdiene for samfunnsviktige tjenester etter forskriften gjennomgående vil ha en slik størrelse at de krav som forskriften stiller vil være håndterbare. Det er imidlertid viktig å være oppmerksom på at regelverket stiller såpass store krav til digital sikkerhet at det vil kunne være vanskelig å etterleve for mindre aktører.

Uansett må det antas at regelverket vil medføre både tid og kostnader for samtlige som berøres. Som nevnt innledningsvis er det også viktig at det i denne sammenheng vedtas overgangsbestemmelser som tillater aktørene å gjøre nødvendige tiltak i perioden fra forskriften blir vedtatt og til regelverket trer i kraft.

IKT-Norge er for øvrig enig i at EU-kommisjonens konsekvensvurdering fra 2013 i dag fremstår som utdatert, uten at vi har foretatt noen nærmere vurdering av dette

4                     Andre innspill

4.1                 Tidsaspektet for innføring av regelverket

Som nevnt ovenfor fremstår tidsaspektet ved innføringen av regelverket som uklart, og det er heller ikke foreslått noen overgangsbestemmelser. Forskriftens § 24 angir at forskriften «trer i kraft straks», uten at det er gitt noen nærmere indikasjoner for når dette kan være. IKT-Norge mener dette er problematisk, og at regelverket må suppleres med hensiktsmessige overgangsbestemmelser.

Mange av de aktørene som vil omfattes av digitalsikkerhetslovgivningen har nok allerede en betydelig modenhet med tanke på digital sikkerhet, men dette vil antakelig ikke gjelde alle. Og det vil uansett være nødvendig for samtlige aktører å gjøre tilpasningstiltak for å kunne etterleve regelverket, enten dette dreier seg om å oppdatere eller utarbeide dokumentasjonen i henhold til nye krav, eller å innføre nye sikkerhetstiltak mv. Slike tiltak vil nødvendigvis også ta noe tid, og for noen aktører kan det nok også kreve betydelige investeringer i både tid og penger for å komme seg opp på foreskrevet nivå. Det må i denne sammenheng også forventes at innføringen av nytt regelverk kan skape press på tilgjengeligheten av personalressurser knyttet til digital sikkerhet, og at det kan være utfordrende å finne kompetente ressurser dersom «alle» skal gjøre nødvendige tilpasninger samtidig.

Det er etter vårt syn viktig at det legges opp til overgangsbestemmelser som gir aktørene rom for å gjennomføre nødvendige tiltak for å tilpasse seg regelverket, uten at det kreves at de som omfattes har startet disse forberedelsene, eller befinner seg på et bestemt modenhetsnivå med tanke på digital sikkerhet, allerede nå. IKT-Norge mener også at tilsynsfokuset innledningsvis bør være på veiledning, og ikke sanksjoner.

I denne sammenheng mener IKT-Norge det kan være hensiktsmessig å se hen til hvordan personvernforordningen (GDPR) i sin tid ble implementert. Det ble da lagt opp til forholdsvis romslige overgangsordninger, selv om det i realiteten dreide seg om ganske begrensede justeringer fra gjeldende krav i personopplysningsloven av 2002.

4.2                 Fragmentering av regelverk og tilsyn

Forskriften legger opp til at tilsynskompetansen deles mellom NSM og sektorspesifikke tilsynsorganer, og at sektorbestemte regelverk skal gjelde i tillegg til digitalsikkerhetsforskriften etter prinsippet om «strengeste regel», jf. også digitalytelsesloven § 5. For aktører som er underlagt sektorspesifikk lovgivning, kan det være krevende å forholde seg til ulike regelverk, der det også kan variere med situasjonen hvilket regelverk som oppstiller det strengeste kravet. IKT-Norge anser det derfor som viktig at sektorlovgivningen i størst mulig grad harmoniseres med digitalsikkerhetslovgivningen.

IKT-Norge anerkjenner at sektorspesifikke tilsyn på mange måter kan være hensiktsmessig, og det er viktig at tilsynsmyndigheten ved praktiseringen av reglene forstår de særlige forhold som gjør seg gjeldende i den aktuelle sektoren. Samtidig er det en klar risiko for at en oppdeling av tilsynskompetansen kan føre til en fragmentert og uensartet praktisering av regelverket, samt at det kan bli utfordrende for aktørene å vite hvem de skal forholde seg til i ulike sammenhenger. Vi minner i denne sammenheng om at digitalsikkerhetslovgivningen også har klare grensesnitt mot eksempelvis personvernlovgivningen, og at det må påregnes at det regulatoriske landskapet knyttet til digital sikkerhet vil kompliseres ytterligere i årene som kommer.

Vi er også bekymret for hvordan tilsynsmyndigheten skal organiseres i praksis. Allerede med det virkeområdet som nå legges til grunn for loven vil det for mange aktører ikke være åpenbart hvem som skal være tilsynsmyndighet. For virksomheter som opererer i flere sektorer vil det også kunne være krevende å forholde seg til flere tilsynsmyndigheter. Når NIS2-direktivet skal implementeres, og flere sektorer omfattes av lovgivningen, vil disse bekymringene antakelig forsterkes ytterligere.

Det er også en risiko for at ulike tilsynsmyndigheter vil utføre tilsyn på ulike måter, kreve ulik dokumentasjon, og potensielt også sanksjonere ulikt på tvers av sektorer. Disse bekymringene vil forsterkes dersom man gjennom sektorlovgivningen oppstiller krav som avviker fra de krav som følger av digitalsikkerhetsloven eller annen sektorlovgivning.

En oppsplitting av tilsynsrollen vil formodentlig også føre til at det må etableres nye kompetansemiljøer på digital sikkerhet i de ulike sektortilsynene. Man risikerer da både at det enkelte miljø ikke får tilstrekkelig dybde og kompetanse til å ivareta sine oppgaver, og at tilsynspraksisen vil bli fragmentert. Det er allerede stor etterspørsel etter kompetanse på digital sikkerhet, og slike tilsynsmiljøer vil da konkurrere med andre offentlige virksomheter og bedrifter om ressursene. Dette kan bidra til å sette ytterligere press på det som allerede i dag er en knapphetsressurs, både for tilsynsmyndigheter og aktørene.

Det vil etter IKT-Norges syn være viktig at både regelverkets materielle innhold, tilsynspraksis og aktørenes grensesnitt mot tilsynsmyndighetene i størst mulig grad er harmonisert, og at sektoravvik bare forekommer der dette er nødvendig.

Man bør etter vårt syn vurdere å styrke NSMs rolle som et sentralt og ledende tilsyn innenfor digital sikkerhet utover den veilednings- og koordineringsrolle som er foreslått, for på denne måten å fremme harmonisering og standardisering på tvers av tilsynsmyndigheter. Det bør så langt mulig også å etableres en harmonisert tilsynsmetodikk, samt standardiserte løsninger for aktørenes grensesnitt mot tilsynsmyndighetene både med tanke på både praktiske forhold og materielle krav. Sektoravvik bør kreve særskilt begrunnelse.

4.3                 Definisjonen av samfunnsviktige tjenester

IKT-Norge har ikke foretatt noen gjennomgang av hvorvidt de terskelverdier som oppstilles er hensiktsmessige. Det fremstår imidlertid som noe uklart hvordan flere av disse terskelverdiene skal beregnes, og for aktører i grenseland kan dette potensielt skape utfordringer.

Etter IKT-Norges syn bør det legges opp til en mekanisme hvor status som tilbyder av samfunnsviktig tjeneste ikke må vurdere sin status oftere enn én gang pr år, og da basert på informasjonen for forrige kalenderår. Videre bør status som tilbyder av samfunnsviktig tjeneste ikke inntreffe før påfølgende kalenderår, for å gi noe tid for forberedelser og tilpasning mv.

4.4                 Unntaket for små virksomheter

Forskriften § 2 benytter en terskelverdi på MNOK 100 ved definisjonen av «små virksomheter», mens man i EU benytter en terskelverdi på MEUR 10. Med dagens kronekurs innebære dette også at den norske terskelverdien er ca. 15% lavere.

Unntaket for små virksomheter gjelder bare for tilbydere av digitale tjenester, og i praksis vil nok mange av disse være utenlandske og utøve virksomhet i flere land innenfor EØS. Dersom Norge opererer med en egen terskelverdi for denne gruppen innebærer det da også at en aktør risikerer å ha andre krav på seg i Norge enn i EØS-området for øvrig.

Etter IKT-Norges syn er det i denne sammenheng ikke godtgjort noen overbevisende grunn til å operere med en egen terskelverdi for Norge. Vi kan heller ikke se at det skulle by på særlige problemer å operere med en EUR-basert terskelverdi i denne sammenheng.

For å unngå uheldige og utilsiktede utslag for tilbydere av digitale tjenester foreslår IKT-Norge at terskelverdien for små virksomheter settes likt som i EU.

Det er også viktig at en aktør ikke risikerer å komme i regulatorisk mislighold fordi man har feilvurdert sin status som «liten virksomhet». Det bør klargjøres hvordan og når denne vurderingen skal foretas, og den bør være knyttet til objektive og historiske data slik som forrige års regnskaper eller lignende.

Det fremstår for øvrig som noe uklart hvordan myndighetene skal holde rede på både hvem som til enhver tid er tilbydere av digitale tjenester, og hvilke av disse som er å anse som «små virksomheter».

4.5                 Utpeking av virksomheter som tilbyr samfunnsviktige tjenester

Forskriften oppstiller i § 4 en mulighet for å utpeke «andre tilbydere av samfunnsviktige tjenester enn de som er nevnt i § 1. Vi antar at begrepet «samfunnsviktige tjenester» her må forstås slik at det viser tilbake på definisjonen i lovens § 6, og ikke forskriftens § 1 (som i tilfelle ville innebære en selvmotsigelse).

Av høringsnotatet på s. 13 fremstår det som at hensikten med dette unntaket er å «sikre at loven gjelder for virksomheter som ikke tilfredsstiller terskelverdiene, men som likevel er i en særstilling eller har en rolle som gjør at de bør omfattes av loven», men at bestemmelsen kun gjelder for de samfunnssektorene nevnt i digitalsikkerhetsloven § 2. Sistnevnte er imidlertid ikke klart ut fra bestemmelsens ordlyd.

IKT-Norge mener at ordlyden i § 4 med fordel kan klargjøres, slik at ovennevnte presiseringer fremkommer direkte av ordlyden.

4.6                 Krav til digital sikkerhet for tilbydere av samfunnsviktige tjenester

IKT-Norge oppfatter reglene som at det overordnet tar sikte på en risikobasert tilnærming til forsvarlig sikkerhet.

Samtidig mener vi forholdet mellom risikovurderingen i § 7 og kravene i §§ 9-13 med fordel kan presiseres bedre. Der hensikten er å oppstille minimumskrav som gjelder uavhengig av risikovurderinger, slik vi eksempelvis oppfatter §10 annet ledd og § 11 annet ledd, bør dette etter vår oppfatning fremkomme tydelig av forskriftens ordlyd. Aktørenes adgang til å gjøre egne vurderinger knyttet til risikoaksept mv kan med fordel også klargjøres bedre.

Som nevnt innledningsvis er det viktig at disse kravene til aktørene er klare og forutsigbare. Etter IKT-Norges syn fremstår kravene i utkastet i all hovedsak som hensiktsmessige og fornuftige i lys av sitt formål, men vi merker oss at flere av kravene fremstår som overlappende. Eksempelvis vil nok kravene til styringssystem i § 6 og de organisatoriske kravene i § 9 i betydelig grad overlappe hverandre. Man kan nok også stille spørsmål ved om enkelte krav er «riktig» plassert i henhold til den taksonomien som benyttes. Dette trenger ikke være problematisk, og det er nok også vanskelig å trekke klare skillelinjer, men det er viktig at kravene ikke er internt inkonsekvente ved at det under ulike paragrafer stilles avvikende krav til samme forhold.

Ved praktiseringen av reglene må man også være bevisst på at formålet med kravene er å oppstille minimumskrav som skal gjelde for alle tilbydere, og som ikke nødvendigvis reflekterer beste praksis mv. Risikobaserte vurderinger kan for enkeltaktører også tilsi strengere tiltak enn minimumstiltakene for å oppnå forsvarlig sikkerhet for den enkelte aktør. Etter IKT-Norges syn er det viktig at man her unngår overregulering, og dette underbygger også at det bør være åpning for risiko- og søknadsbaserte unntak fra kravene, jf. punkt 3.3 ovenfor.

4.7                 Sikkerhet i leverandørkjeder

Forskriftens § 14 skal stille krav om leverandørkjedestyring, som etter hva vi forstår er inspirert av NIS2. Ordlyden i bestemmelsen fremstår imidlertid som særnorsk.

Bestemmelser om leverandørstyring vil ha stor praktisk betydning for aktørene, både de som direkte omfattes og for leverandørmarkedet, og IKT-Norge mener kravene som oppstilles i denne bestemmelsen med fordel kan presiseres og/eller forklares bedre.

Ifølge høringsnotatet er formålet med § 14 å pålegge virksomheter å følge opp sine underleverandører og ha oversikt over kjeden av leverandører, og  «å tydeliggjøre at kravene til forsvarlig sikkerhetsnivå også gjelder ved bruk av leverandører, innleid personell, konsulenter med videre».

At kravene til forsvarlig sikkerhet ikke endres ved utkontraktering, er for så vidt en selvfølge og i tråd med gjeldende rett. Bestemmelsens konkrete utforming gir imidlertid uttrykk for en aktiv tilsynsplikt, og omfanget av denne tilsynsplikten fremstår som noe uklar. Det angis eksempelvis at «virksomhetens krav til forsvarlig sikkerhet» skal overholdes ved utførelsen, mens det mer presise i denne konteksten vel vil være å kreve at de relevante krav som digitalsikkerhets-lovgivningen oppstiller for forsvarlig sikkerhet overholdes. Det fremstår videre som noe uklart om dette innebærer at leverandører til samfunnsviktige tjenester må oppfylle samtlige krav i forskriftens kapittel 2 (herunder styringssystem mv), eller kan man vurdere dette mer konkret og risikobasert for den enkelte leveranse. Dersom det er et krav om at man må sørge for at leverandører må oppfylle samtlige krav til virksomheten, nærmest som om de selv var omfattet, vil dette kunne få store konsekvenser i leverandørmarkedet. Det må også være mulig å velge andre løsninger i leverandørleddet enn det som gjelder for kunden

Forskriftens § 14 annet ledd fremstår også som noe uklar. Vi oppfatter bestemmelsen slik at den søker å stille krav til de kontraktene som inngås mellom tilbyder av samfunnsviktig tjeneste og leverandører. Hva som i denne sammenheng vil være «nødvendig for å opprettholde et forsvarlig sikkerhetsnivå» fremstår imidlertid som et vurderingstema som åpner for ganske stor grad av skjønn, og som med fordel kan forklares bedre.

Ordlyden i § 14 oppleves i begge tilfeller også som uklar med tanke på hvor langt ned i leverandørkjeden forpliktelsene etter § 14 strekker seg. Det er også uklart hvilken betydning forskriften § 14 har for eksisterende leverandørforhold og avtaler. Vi bemerker i denne sammenheng også at det ikke er gitt at det er åpning for noen reforhandlingsadgang i eksisterende avtaler for å ivareta kravene i forskriften. Forholdet til eksisterende avtaler og leverandørforhold bør adresseres eksplisitt, og dersom det er krav om at eksisterende avtaler potensielt må reforhandles må det gis en praktisk gjennomførbar frist for dette. Dette har også en side til punkt4.1 over knyttet til tidsaspektet ved innføringen av regelverket.

4.8                 Håndtering og varsling av hendelser

Digitalsikkerhetsloven stiller overordnede krav til digital sikkerhet og varsling ved hendelser, og forskriften oppstiller i §§ 13 og 17 krav til håndtering og varsling av «hendelser». Begrepet «hendelse» er imidlertid definert svært vidt, jf lovens § 4 nr. 3, og lovens §§ 8 og 11 stiller krav om at hendelsen «virker betydelig inn på tjenesteleveransen» for at det skal oppstå en varslingsplikt. Vurderingstemaet for hva som i denne sammenheng er en «betydelig hendelse» er søkt utdypet noe gjennom vurderingskriterier i hhv §§ 8 og 11, men det fremstår som at dette vil kunne bero en helhetsvurdering der det også vil kunne være betydelige elementer av skjønn. Å foreta en slik vurdering kan også være vanskelig i lys av de stramme tidsfrister som gjelder for varsling. Dette kan både føre til at aktører kommer i regulatorisk ansvar fordi de feilvurderer en hendelses betydning, og at både aktører og tilsynsmyndighetene får unødvendig «støy» og kostnader knyttet til varsling av situasjoner som egentlig er av ubetydelig karakter. IKT-Norge etterlyser en nærmere spesifisering og eksemplifisering av hva om i denne sammenheng utgjøre en varslingspliktig hendelse.

Forskriftens § 17 stiller tidsbestemte krav til varsling som tilsynelatende tar utgangspunkt i når «tilbyder fikk kjennskap til hendelsen». Det fremstår som noe uklart når denne fristen vil begynne å løpe der det oppstår en varslingspliktig hendelse hos en leverandør. Tilsvarende varlingsmekanisme i GDPR artikkel 33 bygger på at behandlingsansvarliges varslingsfrist først løper fra man får melding fra databehandler. På side 24 i høringsnotatet fremkommer det imidlertid, riktignok i tilknytning til forskriftens § 14, at

«Det fremgår av NIS1-direktivets fortalepunkt 52 at varslingskravene skal gjelde uavhengig av om tilbyder har satt bort oppgavene med vedlikehold av nettverk og informasjonssystem til andre eller utfører det selv […]  Krav til varsling og sikkerhet gjelder for tilbyder av samfunnsviktig tjeneste og tilbyder av digital tjeneste uavhengig av om drift og vedlikehold av tjenesten er satt bort til andre, for eksempel en underleverandør.»

Disse uttalelsene kan tilsi at tilbyder identifiseres med leverandøren i forbindelse med varsling, og at varslingsfristen begynner å løpe allerede fra leverandørens kjennskap. Dersom dette er tilfelle vil det også kunne bli svært utfordrende å overholde varslingsfristen i leverandørkjeder. IKT-Norge mener fristen først bør løpe fra tilbyders faktiske kjennskap (uten identifikasjon med leverandør), tilsvarende mekanismen under GDPR. Det bør uansett presiseres hva som menes.

IKT-Norge bemerker ellers at den absolutte 24-timers fristen er vesentlig strammere enn det som eksempelvis følger av GDPR artikkel 33, og hvor det «bare» er en absolutt varslingsfrist på 72 timer. Vi mener likevel at en NIS2-basert tilnærming til varslingskravene er det mest fornuftige valget i denne sammenheng.Forskriftens § 17 femte ledd er, slik vi forstår det, ment å gi rettslig behandlingsgrunnlag for personopplysninger i varslingssituasjoner. Hensyntatt varslingsfristene er det etter IKT-Norges syn viktig at aktørene kan varsle uten at man må bruke mye tid på, eller ha risiko knyttet til, om man har gyldig behandlingsgrunnlag etter personvernlovgivningen. Vi bemerker at begrepet «nødvendig» i denne sammenheng kan fremstå som litt lite fleksibelt.

I tillegg bør også leverandører omfattes av bestemmelsen i § 17 femte ledd. Det er mulig at man uansett kan utlede dette av en behandlingsansvarlig – databehandler konstellasjon, men vi mener dette kan med fordel presiseres og fremkomme direkte av forskriften.

IKT-Norge foreslår at forskriftens § 17 femte ledd omformuleres til «I forbindelse med utøvelse av varslingsplikten kan tilbyder av samfunnsviktig tjeneste, tilbyder av digitale tjenester og varslingsmottaker, herunder deres leverandører og andre som bistår ved varslingen, behandle personopplysninger […]».

IKT-Norge vil ellers understreke viktigheten av at det legges til rette for praktiske varslingskanaler mellom tilbydere og tilsynsmyndigheter. Helst bør dette også være praktisk harmonisert med varslingskanaler etter personvernlovgivningen.

5                     Avslutning

Vi takker for anledningen til å gi innspill på forskriften, og stiller gjerne til et møte hvis departementet ønsker å diskutere noe ved forskriften eller høringssvaret med oss.

Med vennlig hilsen

Øyvind Husby

IKT Norge

Administrerende direktør

+47 934 44 140

husby@ikt-norge.no