Den nye digitalsikkerhetsloven ble banket gjennom i Stortinget like før jul. Selv om mange av kravene i stor grad allerede skal være ivaretatt i andre lover, ligger det an til ubehagelige overraskelser for den som sover i timen.
Sikkerhetstruslene øker – med russiske hackere som slår til mot vestlige mål, kinesiske påvirkningsoperasjoner og fare for at USA blir mer isolasjonistisk om et år. Det var derfor på høy tid at Norge nylig fikk sin første egne lov om digital sikkerhet.
NIS-direktivet
Digitalsikkerhetsloven sørger for at flere EU-reguleringer blir norsk lov, blant annet det såkalte NIS-direktivet. «NIS» er en forkortelse for «nettverks- og informasjonssystemer», og det er altså særlig sikkerheten i slike systemer som adresseres i loven.
Pussig nok har det vært lite debatt om loven i norske medier, og et enstemmig storting stemte for loven. Den nye loven bør imidlertid motivere til å fullføre tidligere arbeider og komme helt i mål med sikkerheten.
Hvis din virksomhet er en tilbyder av «samfunnsviktige» eller «digitale» tjenester, er det grunn til å ta ekstra runder fremover. Førstnevnte kategori omfatter aktører innenfor energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur. Digitale tjenester inkluderer nettbaserte markedsplasser, nettbaserte søkemotorer og skytjenester.
Til våren vil Tung stenge døra for kryptofabrikkene
«Tvister» ved den nye loven
Riset bak speilet kan bli både pålegg, tvangsmulkt og overtredelsesgebyrer. Selv om gebyrene kanskje ikke blir like høye som etter GDPR, er det et par «tvister» ved den nye loven som bør vekke oppsikt.
For det første kan også fysiske personer «som opptrer på vegne av» det aktuelle selskapet eller organet, ilegges gebyrer fra myndighetene – i tilfeller hvor det er «nødvendig». Adgangen synes å være vid nok til å omfatte iallfall tilbyderens ansatte. Men ordlyden kan trolig favne også personer utenfor en snever ansattkrets, for eksempel ulike representanter med fullmakt.
En ekstra tvist på det hele er at digitalsikkerhetsloven også inneholder et ansvar for gebyrer som kan ramme eierne: Dersom selskapet som er ansvarlig for overtredelsesgebyret, er et foretak som inngår i et konsern, hefter foretakets morselskap, og morselskapet i konsernet selskapet er en del av, subsidiært for beløpet. Enkelt sagt: Har et selskap opptrådt på en måte som medfører gebyrer, kan myndighetene kreve dette av eierne «oppover i kjeden».
Kjøper kan rammes
Loven avgrenser ikke mot lovbrudd som skjer før eierskifte, slik at en kjøper i prinsippet kan rammes av et slikt subsidiært ansvar. Det vil ikke overraske meg om dette kan skape krøll i transaksjonsprosesser. Teknologibedrifter bør passe ekstra på.
Loven inneholder to hovedforpliktelser: For det første må selskap ha på plass et varslingssystem for å melde ifra til rette myndighet og melde ifra «uten unødig opphold» ved hendelser som virker negativt inn på tjenesteleveransen. Denne varslingsplikten kommer i tillegg til eksisterende varslingsplikter i andre lover, for eksempel plikt til å varsle Datatilsynet ved brudd på personopplysningssikkerhet.
Tilfredsstillende informasjonssikkerhet er den andre hovedforpliktelsen. Tilbyderne som omfattes av loven, må få på plass sikkerhetstiltak som står i et rimelig forhold til risikoen tilbyderen står overfor. Et lignende risikobasert krav finnes også i annen lovgivning, men man kan ikke bare «resirkulere» tidligere vurderinger og policyer.
Digitalsikkerhetsloven slår klart fast at det også må gjennomføres en risikovurdering av nettverks- og informasjonssystemer som benyttes for å levere tjenesten. Dermed må tilbydere i praksis sette opp (og på den måten dokumentere skriftlig) en oversikt over risikoer.
Det er et vidt handlingsrom for å bruke tiltak, så lenge de er egnet til å håndtere negative hendelser. Loven slår fast at både organisatoriske og tekniske tiltak kan benyttes, så lenge de samlet sett sørger for tilfredsstillende sikkerhet.
Fem råd for bedre leverandørsikkerhet
Gjennomføringsforordningen
For tilbydere av digitale tjenester er kravene til sikkerhet spesifisert i den såkalte gjennomføringsforordningen. Departementet har varslet at forordningen vil bli gjort til norsk lov gjennom en forskrift som er hjemlet i lov om digital sikkerhet.
Risikostyringen må følge opp hele risikoens «livssyklus», ved at tilbyderne må forebygge, avdekke og redusere konsekvensene av hendelser for å opprettholde tjenesteleveransen. Risiko er ikke forbeholdt eksterne forhold – også egne ansatte kan opptre på en måte som skaper negative hendelser, blant annet ved at de kan slippe trusler inn på kjernevirksomhet.
Det bør være overkommelig å håndtere risiko og finne passende tiltak. Du kan starte allerede nå med å kartlegge om virksomheten du har ansvaret for, er omfattet av loven – og i så fall hvilke systemer som reguleres av loven.
Risikovurderinger bør også være overkommelig materie: Som nevnt vil tradisjonelle risikovurderinger kunne brukes her. Deretter bør det lages en (dokumentert) oversikt over lovens krav, hvorvidt virksomheten oppfyller kravene og hva som eventuelt mangler av tiltak.
Og det er nettopp på det siste det ofte kniper, nemlig på dokumentasjonen. Det hjelper lite å ha fremragende tiltak hvis du ikke kan redegjøre for vurderingene når tilsynsmyndighetene banker på døra.
Utfordringer til neste nasjonale KI-strategi