EU tar grep der nasjonale myndigheter er passive: Først en styrking av vårt personvern gjennom GDPR – til stor suksess – og nå en satsing på informasjonssikkerhet. I Norge har denne satsing blitt etterspurt av gjentatt utvalg, men det er EU som er katalysatoren for de nødvendige lovendringene. Gjennom et nytt direktiv, NIS-direktivet, går EU nå i bresjen for å sikre samfunnsviktige tjenester.
Loven innfører minstekrav innen informasjonssikkerhet for sektorer EU klassifiserer som samfunnskritiske: Energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur. Minstekravene vil for mange virksomheter bety innføring av risikostyring for informasjonssikkerhet og etablering av rutiner for varsling av hendelser som har betydelig innvirkning på den samfunnskritiske leveransen.
Følges ikke minstekravene legges det opp til sanksjonering gjennom bøter. I Storbritannia er det satt en maksgrense på 17 millioner pund ved alvorlig overtredelse. For Norge vil NIS-direktivet trolig bli innført. I den forbindelse har Justisdepartementet i vår hatt «Lov om sikkerhet i nettverk og informasjonssystemer» på høring og høringssvarene er positive.
Hvem gjelder lovverket for?
Parallelt med høringen har en ny sikkerhetslov trådt i kraft. I likhet med NIS-direktivet, innfører sikkerhetsloven en rekke minstekrav innen informasjonssikkerhet. Sikkerhetsloven har til tross for økt omfang hatt hittil små konsekvenser. Dette skyldes usikkerhet om hvilke virksomheter som skal bli underlagt den nye loven, en oppgave som har blitt delegert til departementene. For i tillegg til offentlig forvaltning og leverandører av graderte anskaffelser, kan departementene fatte vedtak om at også private virksomheter skal underlegges loven hvis de har en avgjørende betydning for grunnleggende nasjonale funksjoner. Denne identifiseringsprosessen er utvilsomt krevende for departementene, hvor modenhet og forståelse for informasjonssikkerhet kan være varierende.
Formålet med sikkerhetsloven er å sikre funksjoner som har konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser, mens NIS-direktivets formål er å sikre at samfunnsviktige tjenester og digitale tjenester faktisk blir levert. Som konsekvens av innføring av regelverk med tilnærmet like formål, vil flere virksomheter bli omfattet av begge regelverkene. I NIS-direktivet legges det opp til at dersom en annen lov stiller krav som minst tilsvarer loven, skal annen lov benyttes. For mange virksomheter vil dette være positivt ettersom også sektorspesifikke regelverk kan være strengere og således trumfe NIS-direktivet.
Utfordringen vil for mange virksomheter ligge i å vurdere lovverkene mot hverandre for å se hvilken lov eller regelverk en skal følge. Spesielt vil dette gjelde for virksomheter med kompliserte leveranser med ulike komponenter og underleverandører.
I påvente av departementenes kartlegging og en eventuell innføring av NIS-direktivet, er flere virksomheter avventende. I en tid hvor sikkerhetsbrudd og alvorlige hendelser er hverdagskost har vi ingen tid å miste.