Justis- og beredskapsdepartementet sendte 1. juli i år forslag til EU-direktiv om informasjonssikkerhet («NIS»-direktivet) på høring. Departementet signaliserer at direktivet er EØS-relevant, og at det vil gjennomføres i Norge som en ny lov. Direktivets bestemmelser faller i to kategorier. For det første bestemmelser som skal bidra til informasjonsdeling og koordinering mellom statlige myndigheter i EU/EØS. For det andre krav til informasjonssikkerhet for noen kategorier av private og offentlige virksomheter, henholdsvis operatører av essensielle tjenester og tilbydere av digitale tjenester. I denne artikkelen diskuterer vi hvem som må regne med å bli omfattet, og hvilke konsekvenser dette sannsynligvis vil få for disse. Virksomheter som kan bli omfattet bør vurdere å gi sine innspill til departementet innen høringsfristen 15. september i år.
Hvem vil omfattes av en norsk NIS-lov?
Direktivet er ikke en fullharmoniseringsdirektiv, jf. artikkel 3. Dette betyr at norske myndigheter i teorien kan legge til grunn et større virkeområde for en norsk lov om informasjonssikkerhet enn hva direktivet legger opp til. Det er likevel naturlig å ta direktivets definisjon som utgangspunkt.
Operatører av essensielle tjenester
Her er det lagt opp til en todelt tilnærming, der virksomheter som oppfyller visse kriterier skal meldes inn og føres på en egen liste. Virksomheter skal føres opp på listen dersom de leverer tjenester som er avgjørende («essential») for opprettholdelse av kritiske samfunnsmessige og/eller økonomiske aktiviteter, leveransen av disse tjenestene avhenger av nettverk og informasjonssystemer og en hendelse vil ha vesentlige forstyrrende («disruptive») konsekvenser for leveranse av tjenesten. Unntatt er virksomheter omfattet av ekompakken (teleselskaper og ISP’er) og leverandører av tillitstjenester, siden disse allerede har forpliktelser på dette området. Videre kan medlemslandene unnta virksomheter i sektorer som allerede har krav som minst tilsvarer kravene i direktivet, noe vi har flere av i Norge.
Det er typisk vanskelig å avgjøre hvilke samfunnsfunksjoner som skal anses essensielle, eller i tradisjonell norsk språkbruk kritiske. Det er gjort en rekke utredninger på området, og Direktoratet for Samfunnssikkerhet og beredskap (DSB) kartlegger situasjonen. Å identifisere hvilke private tjenester som understøtter disse funksjonene vil være tilsvarende vanskelig, utover en del typetilfeller som kraftleveranse, elektronisk kommunikasjon og vannforsyning. Forsvarsdepartementet har fremmet forslag om lovendringer i lov om forebyggende sikkerhetstjeneste som vi antar vil dekke de samme områder. Som en retningslinje vil vi anbefale at alle virksomheter som har en vesentlig rolle i leveranse av strøm, drivstoff, elektronisk kommunikasjon, samferdselstjenester, vann og avløp samt annen infrastruktur bør vurdere dette nærmere. Det kan også være grunn for selskaper i produksjons- og leveringskjedene for næringsmidler til å vurdere om de vil berøres nærmere.
Hva gjelder kravene til avhengighet av nettverk/informasjonssystemer og at en hendelse vil ha vesentlig forstyrrende konsekvenser anser vi at de fleste virksomheter som opererer essensielle tjenester bør føle seg truffet her. I kommunikasjonssamfunnet vil det i nær enhver verdikjede være avhengigheter til slike systemer, og sikkerhetshendelser vil ofte kunne ha vesentlige konsekvenser for leveransen av deres tjenester – noe blant annet Lysneutvalget har påpekt.
Tilbydere av digitale tjenester
Hvem som skal regnes som tilbydere av digitale tjenester etter direktivet er definert på en relativt komplisert måte. I utgangspunktet omfattes tilsynelatende alle fjernleverte digitale tjenester, men dette avgrenses av en liste i anneks III i direktivet. Her er det nevnt tre kategorier; markedsplasser på Internett, søkemotorer på Internett og skytjenester («cloud computing services»). Slik vi forstår direktivet stilles det kun krav til tilbydere av disse spesifikke tjenestene, men norske myndigheter står fritt til å utvide virkeområdet her, jf. ovenfor.
Hva slags forpliktelser vil de berørte virksomhetene få?
Operatører av essensielle tjenester
Direktivet setter krav til at disse operatørene implementerer tilstrekkelige («appropriate and proportionate») sikkerhetstiltak for å håndtere risikoen de tar ved å bruke informasjonssystemer og nettverk, og tilsvarende for tiltak for å redusere virkningene av sikkerhetshendelser. EU-kommisjonen kan utdype hva som skal ligge i disse kravene. Det skal føres tilsyn med tiltakene, noe som tilsier at disse må være dokumenterte. Videre gis det en varslingsforpliktelse til relevant miljø for hendelseshåndtering (CSIRT) eller utpekt myndighet. CSIRTen eller myndighetsorganet skal varsle videre på europeisk nivå etter gitte kriterier.
Tilbydere av digitale tjenester
Kravene til tilbydere av digitale tjenester er prinsipielt svært like hva som er beskrevet for essensielle tjenester, selv om innholdet i standardene nok kan være annerledes. I motsetning til alle for alle andre områder legger direktivet her opp til en fullharmonisering, ved at medlemsstatene her ikke skal pålegge flere sikkerhetskrav og varslingsforpliktelser enn hva som følger av direktivet. Medlemsstatene vil likevel ha betydelig spillerom i implementering og konkretisering av sikkerhetskravene, slik at denne begrensningen nok får mindre betydning i praksis.
Veien videre i en norsk sammenheng
NIS-direktivet, med felles minstekrav på tvers av sektorer, kan nok oppfattes som et brudd med den norske sektorvise tilnærmingen til IT-sikkerhet. Slik vi ser det utgjør gjennomføringen av direktivet likevel en mulighet til å gjennomføre felles og sektorovergripende minstekrav til informasjonssikkerhet, en mulighet norske myndigheter ikke bør la gå fra seg. Justis- og beredskapsdepartementet har i denne prosessen en god mulighet til å adressere et villnis av til dels avvikende og utdatert sektorregelverk på området, og legge til rette for en koordinert tilnærming til informasjonssikkerhet i Norge. Vi håper at departementet griper denne muligheten, fremfor å nødvendigvis skulle minimumsimplementere direktivets forpliktelser.
For de berørte virksomhetene innebærer gjennomføringen av NIS-direktivet i hovedsak lovregulering av minstekrav til informasjonssikkerhet, og forhåpentligvis en opprydding i særkrav fra sektorlovgivningen. Nyvinningen blir varslingsforpliktelsen, hvor avveininger mellom hensynet til konfidensialitet, omdømme og deling av hendelsesinformasjon kan bli satt på spissen.