- Advokat Jostein Ramse og advokatfullmektig Jarle Langeland, Advokatfirmaet Føyen Torkildsen AS
Det har blitt skrevet mye om den nye sikkerhetsloven, utvidet virkeområde og «funksjonelle krav». Senest fra Sopra Steria her på digi.no. Nå har Nasjonal sikkerhetsmyndighet (NSM) lansert de lenge etterlengtede veiledningene til loven. De som hadde forventet detaljerte råd om hva man konkret skal gjøre for å sikre sikkerhetsgradert informasjon, vil nok bli skuffet.
Overordnede og funksjonelle krav gir virksomhetene større rom for å tilpasse sikringstiltakene til deres egen virkelighet og til risikobildet som gjelder for dem. Dette er også en trend i tiden, siden blant annet den teknologiske utviklingen gjør at detaljert regulering av sikkerhetstiltak fort blir utdatert. Kravene til sikkerhetstiltak i lov om elektronisk kommunikasjon og ny personopplysningslov er utformet over samme lest. Den mer detaljerte personopplysningsforskriften ble opphevet i fjor, siden EUs personvernforordning ikke tillater medlemslandene å detaljregulere krav til sikker behandling av personopplysninger. Forslaget til ny lov om sikkerhet i nettverk og informasjonssystemer har også overordnede og funksjonelle krav til informasjonssikkerhet.
Utfordringen er for det første at det kreves til dels dyp sikkerhetsfaglig kompetanse for å omsette overordnede og funksjonelle krav til praktiske tiltak i virksomhetene. Som kjent er det mangel på slik kompetanse. For det andre kan sikkerhetsfaglige hensyn fort vike for mer umiddelbare (og ofte økonomiske) hensyn når de faktiske prioriteringene skal gjøres. Den tidligere loven og forskriftsverket satte en konkret standard, som nå i større grad er overlatt til virksomhetens egne kost-nyttevurderinger.
Nostalgi er sjelden en konstruktiv tilnærming, ei heller her. Vi kan likevel håpe at NSM i senere versjoner av veiledningene skisserer noen «normaltilfeller» og hva det kompetente sikkerhetsmiljøet der anser vurderer som gode løsninger. Dette kan være sikringstiltak for spesifiserte informasjonsverdier, som for de fleste virksomheter og situasjoner vil være gode nok. Så kan diskusjonene gå på om det er forsvarlig å fravike disse anbefalingene, eller om risikobildet faktisk krever ytterligere sikring. Den sistnevnte diskusjonen blir nok fortsatt krevende, særlig i de private virksomhetene som etter hvert blir omfattet av loven.