NOU 2018: 14 IKT-sikkerhet i alle ledd og utkast til lov som gjennomfører NIS-direktivet

Sendt: 21.03.2019

Adressat: Justis- og beredskapsdepartementet

1. Innledning

 Vi viser til departementets høringsbrev av 21. desember 2018 vedrørende ovennevnte høring.

Det er en prioritert oppgave for Advokatforeningen å drive rettspolitisk arbeid gjennom høringsuttalelser. Advokatforeningen har derfor en rekke lovutvalg inndelt etter fagområder. I våre lovutvalg sitter advokater med særskilte kunnskaper innenfor det aktuelle fagfelt og hvert lovutvalg består av advokater med ulik erfaringsbakgrunn og kompetanse innenfor fagområdet. Arbeidet i lovutvalgene er frivillig og ulønnet.

Advokatforeningen ser det som sin oppgave å være en uavhengig høringsinstans med fokus på rettssikkerhet og på kvaliteten av den foreslåtte lovgivningen.

I saker som angår advokaters rammevilkår vil imidlertid regelendringen også bli vurdert opp mot advokatbransjens interesser. Det vil i disse tilfellene bli opplyst at vi uttaler oss som en berørt bransjeorganisasjon og ikke som et uavhengig ekspertorgan. Årsaken til at vi sondrer mellom disse rollene er at vi ønsker å opprettholde og videreutvikle den troverdighet Advokatforeningen har som et uavhengig og upolitisk ekspertorgan i lovgivningsprosessen.

I den foreliggende sak uttaler Advokatforeningen seg som ekspertorgan. Saken er forelagt lovutvalget for IKT og personvern. Lovutvalget består av Thomas Olsen (leder), Christopher Sparre-Enger Clausen, Fred Richard Elsheim, Eirin Helen Hauvik, Jarle Roar Sæbø, Cecilie Wille Søvik og Malin Tønseth.

2. Sakens bakgrunn

Justis- og beredskapsdepartementet har fremmet forslag om utkast til ny lov som gjennomfører EUs direktiv om sikkerhet i nettverk og informasjonssystemer (NIS-direktivet) i norsk rett. Utredningen fra IKT-sikkerhetsutvalget (Holte-utvalget) NOU 2018: 14 IKT- sikkerhet i alle ledd, er også en del av høringen, da det er nær sammenheng mellom Holte-utvalgets utredning og lovforslaget. Departementet viser særlig til Holte-utvalgets anbefaling nr. 1 om en ny IKT-sikkerhetslov.

 3. Generelt om utredning fra IKT-sikkerhetsutvalget (Holte-utvalget) NOU 2018: 14 IKT- sikkerhet i alle ledd. Organisering og regulering av nasjonal IKT- sikkerhet.

 Advokatforeningen støtter Holte-utvalgets anbefaling om at det bør utarbeides en ny lov hvor det stilles krav om forsvarlig IKT-sikkerhet til alle samfunnskritiske virksomheter. Advokatforeningen mener at gjennomføringen av NIS-direktivet i norsk rett vil være en hensiktsmessig måte å innføre et slikt krav til aktører som i dag verken er dekket av tverrsektoriell eller sektoriell regulering med eksplisitte og tilfredsstillende krav til IKT-sikkerhet.

Advokatforeningen støtter videre Holte-utvalgets oppfatning om at det ikke er nødvendig å sanere eksisterende regelverk før vedtakelse av loven, spesielt sett i lys av den ressursbruk Holte-utvalget påpeker at dette vil medføre. Som påpekt av Holte-utvalget, vil det imidlertid være fornuftig, og en forutsetning, at fremtidige regelverk harmoniseres med kravene i den nye loven om IKT-sikkerhet. Advokatforeningen vil i den forbindelse understreke viktigheten av at den nye loven og tilhørende forskrifter, i tilstrekkelig grad klargjør hvordan nytt og eksisterende regelverk skal forstås i sammenheng. Særlig er det behov for klargjøring med hensyn til når tverrsektoriell og sektoriell regulering tilfredsstiller kravene som vil følge av den nye loven, jf. at lovforslaget inneholder bestemmelser om at annen lov skal anvendes dersom slik lov stiller krav om IKT-sikkerhet som minst tilsvarer kravene i lovforslaget. Advokatforeningen mener at lovforslaget slik det foreligger per i dag, ikke bidrar til en tilfredsstillende klargjøring av dette.

Videre er Advokatforeningen av den oppfatning at den nye loven og tilhørende forskrifter må klargjøre på en langt bedre måte hvordan aktører som er underlagt sektoriell eller tverrsektoriell regulering skal forholde seg til ulike regelverk, tilsynsmyndigheter og responsmiljøer, herunder om og eventuelt når pliktsubjekter etter flere regelverk skal varsle flere tilsynsmyndigheter og responsmiljøer. Advokatforeningen viser her til at Holte-utvalgets redegjørelse har identifisert omtrent 150 lover og forskrifter som potensielt angår IKT-sikkerhet på nasjonalt plan, og at det er stor variasjon hva gjelder hvilken grad lovene og forskriftene stiller krav om IKT-sikkerhet. I tillegg påpeker Holte-utvalget at det er flere offentlige organer og tilsynsmyndigheter som gir råd og veiledning eller fører tilsyn med IKT-sikkerheten, noe som skaper utfordringer for virksomheter som faller inn under flere regelverk, og at tilbakemeldingene fra respondentene i utvalgets informasjonsinnhenting ga uttrykk for at regelverkene oppleves som vanskelig å etterleve.

I forlengelsen av ovennevnte støtter Advokatforeningen også Holte-utvalgets anbefaling om at det bør utøves et tydelig lederskap for nasjonal IKT-sikkerhet på tvers av sektorer slik at myndighetsområder, ansvar og samarbeid er klargjort og etablert på en forutsigbar og funksjonell måte. Advokatforeningen viser her særlig til Holte-utvalgets redegjørelse som påpeker at respondenter i utvalgets informasjonsinnhenting påpeker at styringen av IKT-sikkerhet i flere sektorer oppleves som sterk, men at samordningen og oversikten på tvers er mangelfull. I Holte-utvalgets redegjørelse påpekes det også at det kommer til uttrykk at virksomhetene er usikre på hvor de skal henvende seg for å få råd og veiledning om IKT-sikkerhet, og at dette kan tyde på at det mangler en tydelig stemme eller ett kontaktpunkt som virksomhetene opplever er det rette stedet å henvende seg, samt at dette kan tyde på at det er uklart for virksomhetene hva de ulike etatene har ansvaret for.

I tillegg er Advokatforeningen av den oppfatning at departementet i mer utførlig grad bør vurdere å inkludere hele den offentlige forvaltning i ny lov om sikkerhet i nettverk og informasjonssystemer, slik som Holte-utvalget viser til er uttalt av EU-kommisjonen at bør vurderes. Advokatforeningen støtter her Holte-utvalgets uttalelser om at forvaltningen tilbyr viktige tjenester til befolkningen, og at forvaltningen i stor grad er avhengig av IKT-systemer for å levere disse tjenestene. Hvis IKT-systemene ikke er tilstrekkelig sikret vil det innebære en risiko for tjenestetilbudet.

Holte-utvalget anbefaler videre at det settes ned et lovutvalg som skal utrede behovet for og eventuelt utarbeide forslag til en lov som stiller krav om forsvarlig IKT-sikkerhet til alle norske virksomheter ettersom et digitalt angrep langt ute i verdikjeden kan få konsekvenser for den samfunnskritiske virksomheten. Advokatforeningen er enig med Holte-utvalget i at disse utfordringene kun kan møtes ved at alle IKT-systemer er forsvarlig sikret, men at dette må vurderes opp mot et omfattende utrednings- og lovarbeid for å finne svar på hvorvidt det er mulig og ønskelig å utarbeide en allmenn, tverrsektoriell IKT-sikkerhetslov som vil gjelde for alle, og hvilke minimumskrav om IKT-sikkerhet den i så fall skal stille. Advokatforeningen støtter her Holte-utvalgets fremgangsmåte om at restrisikoen for samfunnet bør kartlegges når omfanget av en ny sikkerhetslov, personopplysningsloven og den nye loven om IKT-sikkerhet for samfunnskritiske virksomheter og digitale tjenesteytere er avklart.

4. Generelt om lovforslaget om sikkerhet i nettverk og informasjonssystemer som gjennomfører NIS-direktivet i norsk rett

Advokatforeningen mener at implementering av NIS-direktivet, som innebærer innføring av et felleseuropeisk, tverrsektorielt regelverk, er et viktig tiltak for å verne mot sårbarheter i et stadig mer digitalisert samfunn. Dette særlig sett i lys av Holte-utvalgets utredning som illustrerer at selv om det foreligger en del sektorspesifikt og tverrsektorielt regelverk med krav til sikkerhet, følger det ikke eksplisitt av en del av disse at det også stilles krav til sikkerhet i nettverk og informasjonssystemer, og at veldig mange aktører som ikke er omfattet av noe tverrsektorielt eller sektorspesifikt regelverk, per i dag ikke har noe lovregulert krav til slik IKT-sikkerhet. 

Lovforslaget vil gjelde for tilbydere av samfunnsviktige tjenester og digitale tjenester, og innebærer krav til sikkerhet i nettverk og informasjonssystemer for slike tilbydere med tilhørende sanksjonsmuligheter som tvangsmulkt og overtredelsesgebyr. Virksomhetene som omfattes av loven får i hovedsak to forpliktelser; de skal gjennomføre sikkerhetstiltak som står i et rimelig forhold til den risikoen virksomheten står overfor og de skal varsle om alvorlige IKT-sikkerhetshendelser. Departementet viser i høringsnotatet til at lovforslaget er en minimumsgjennomføring av NIS-direktivet, og at detaljene om blant annet hvilke krav som vil stilles mer spesifikt og størrelse på overtredelsesgebyrer, først vil fremkomme i forskrifter. Departementet viser til at endelig virkeområde for loven skal fastlegges gjennom en identifiseringsprosess i regi av hver enkelt medlemsstat hva gjelder samfunnsviktige tjenester, men det skal ikke foretas en tilsvarende identifisering av tilbydere av digitale tjenester.

Advokatforeningen understreker viktigheten av at loven og tilhørende forskrifter implementeres på en måte som skaper størst mulig grad av forutsigbarhet for pliktsubjektene. Dette gjelder særlig lovens virkeområde og omfang, og at lovgiver klargjør på en tilfredsstillende måte:

  • hvilke aktører som skal omfattes av loven
  • hvilke konkrete krav som vil stilles etter loven
  • omfanget av potensielle sanksjoner som følge av brudd på regelverket
  • lovens virkeområde sett i lys av annen tverrsektoriell og sektorspesifikk lovgivning for de aktører som allerede er underlagt krav til sikkerhet i nettverk og informasjonssystemer, og
  • hvordan aktører som er omfattet av loven og eventuell annen tverrsektoriell og sektorspesifikk lovgivning, skal forholde seg til tilsynsmyndigheter og responsmiljøer, og at organiseringen av slike organer er klargjort på en måte som gjør det forutsigbart og beregnelig hvilke tilsynsmyndigheter som har ansvar og myndighet, og hvilke responsmiljøer de ulike aktørene er varslingspliktige overfor.

Advokatforeningen mener at det er uheldig at dette utsettes til arbeidet med forskrifter tilhørende lovforslaget. Advokatforeningen viser her eksempelvis til usikkerheten knyttet til sikkerhetslovens utvidete nedslagsfelt, og mener at departementet bør klargjøre ovennevnte før eventuell vedtakelse og ikrafttredelse av lovforslaget som implementerer NIS-direktivet i norsk rett. Advokatforeningen påpeker her at de uklarheter som per i dag foreligger i relasjon til lovforslaget, kan medføre en risiko for at departementet ikke får de riktige innspillene i høringsrunden ettersom omfanget og nedslagsfeltet er uklart. I tillegg mener Advokatforeningen at det foreligger en risiko for at intensjonen med å innføre lovforslaget ikke vil bli oppnådd dersom virkeområdet er uklart, i tillegg til at dette er uheldig for rettssikkerheten sett i lys av de mulige sanksjoner lovforslaget åpner for.

4.1 Konkret om lovforslagets henvisning til behandling av personopplysninger

Lovforslaget § 6 stadfester at personopplysninger kan behandles når det er nødvendig for å utføre pliktene som følger av loven, og at dette også gjelder særlige kategorier personopplysninger. Advokatforeningen mener at presiseringen i lovens § 6 også bør inneholde en spesifikk henvisning til at det også kan behandles personopplysninger som er omfattet av personvernforordningens artikkel 10 om lovovertredelser når det er nødvendig for å utføre pliktene som følger av loven. Behandling av personopplysninger som relaterer seg til lovovertredelser er ikke definert som særlige kategorier av personopplysninger etter den nye personvernforordningen, men er nå skilt ut i en egen bestemmelse i motsetning til under den gamle personopplysningsloven. Advokatforeningen mener det er relevant og viktig at loven også inneholder spesifikk hjemmel for behandling av personopplysninger som relaterer seg til lovovertredelser ettersom behandling av informasjon relatert til IKT og informasjonssikkerhet, herunder særlig sett i lys av varslingsplikt om hendelser, vil kunne innebære behandling av opplysninger om for eksempel hacking som er straffbart etter straffeloven § 201.

4.2 Konkret om lovforslagets krav til risikovurdering og iverksettelse av sikkerhetstiltak

Lovforslaget §§ 7 og 9 regulerer lovforslagets primærforpliktelse og innebærer krav om at tilbydere av samfunnskritiske tjenester og digitale tjenester skal gjennomføre en risikovurdering av de nettverk og informasjonssystemer som benyttes for å levere tjenesten. For å redusere risikoen skal tilbyderen iverksette hensiktsmessige og proporsjonale tekniske og organisatoriske sikkerhetstiltak, og tiltakene skal samlet sørge for et sikkerhetsnivå som er tilpasset risikoen. Ved vurderingen av hva som er et passende sikkerhetsnivå skal det blant annet ses hen til den teknologiske utviklingen.

Høringsnotatet til departementet viser til at hva som ligger i dette bare til en viss grad er omhandlet i fortalen til direktivet, og at dette ikke gir særlig veiledning utover det som allerede følger av direktivbestemmelsene. Høringsnotatet viser til at det fremgår av fortalepunkt (44) at landene blant annet gjennom innføring av passende lovgivningstiltak og frivillige bransjenormer skal fremme en risikostyringskultur som inkluderer risikovurdering og gjennomføring av proporsjonale sikkerhetstiltak, og at NIS-samarbeidsgruppen utarbeider retningslinjer for hva som ligger i sikkerhetskravet.

Holte-utvalget viser i sin redegjørelse til at det er avgjørende i utformingen av sikkerhetskrav at de blir fleksible nok til å møte et IKT-risikobilde i stadig endring, at kompleksiteten og de tverrsektorielle utfordringene ved IKT-sikkerhet tilsier at det ikke er hensiktsmessig med for statiske sikkerhetskrav. Holte-utvalget påpeker at sikkerhetskravene må være fleksible og kunne tilpasses nye trusler, sårbarheter, teknologier og forretningsmodeller, og være robuste overfor teknologi- og samfunnsutviklingen. For å avhjelpe utfordringene med funksjonelle og overordnede krav anbefaler Holte-utvalget at det utarbeides forskrifter som angir hvilke tekniske og organisatoriske tiltak som kan gjøres for å oppfylle funksjonalitetskravene, og at andre tiltak for å bedre forståelsen av hva som ligger i kravet til forsvarlig IKT-sikkerhet, er veiledning, rådgivning eller en form for sertifisering.

Advokatforeningen mener det er helt avgjørende at departementet utarbeider forskrifter og veiledninger som på en tilfredsstillende måte er egnet til å skape forståelse for og kunnskap om hvordan risikovurderinger skal foretas og hvilke tiltak som er ansett for å være tilpasset ulike risikofaktorer slik at pliktsubjektene etter loven på en forutsigbar måte blir i stand til å iverksette de aksjoner som er nødvendige for å etterleve loven.

4.3 Konkret om lovforslagets krav til varsling

Lovforslaget §§ 8 og 10 inneholder krav om at tilbyderen av en samfunnsviktig tjeneste skal varsle det organ som utpekes om hendelser som har betydelig innvirkning på opprettholdelsen av tjenesteleveransen, og at tilbyderen av digitale tjenester skal varsle det organ som utpekes om hendelser som har betydelig innvirkning på tjenesteleveransen. Bestemmelsene viser til at varselet skal inneholde nok opplysninger til at tilsynsmyndigheten eller responsmiljøet kan fastslå om hendelsen har virkninger utover Norges grenser, og at nærmere bestemmelser om varslingskrav kan forskriftsfestes.

 Advokatforeningen påpeker at kravene i §§ 8 og 10 hva gjelder når det skal varsles og innhold i varsel, fremstår som meget vagt formulert, og Advokatforeningen mener det er viktig for pliktsubjektenes etterlevelse av regelverket at krav til når varsel skal inngis og innhold i varselet utpensles ytterligere i forskrifter og eventuelle veiledninger.

4.4 Konkret om lovforslagets regulering av responsmiljøer og tilsyn

Lovforslagets kapittel 4 inneholder bestemmelser om at det kan forskriftsfestes nærmere bestemmelser som utpeker responsmiljøer som skal motta varsler etter loven og foreta hendelseshåndtering, samt tilsynsmyndigheter som skal føre tilsyn med tilbydere av samfunnsviktige og digitale tjenester.

Advokatforeningen viser her til det som tidligere er vist til fra Holte-utvalgets redegjørelse om at det kommer til uttrykk at virksomheter er usikre på hvor de skal henvende seg for å få råd og veiledning om IKT-sikkerhet, og at dette kan tyde på at det er uklart for virksomhetene hva de ulike etatene har ansvaret for. Videre viser Advokatforeningen til Holte-utvalgets redegjørelse som påpeker at det er vanskelig å gi noen konkret uttalelse på når det kan fastsettes nærmere regler om responsmiljø og tilsynsmyndigheter ettersom det i dag ikke er noen enhetlig regulering av roller og ansvar knyttet til håndtering av uønskede digitale hendelser, herunder informasjonsdeling og rapportering. Holte-utvalget viser til at eventuelle krav følger av ulike regelverk, og at det ikke er krav til at hendelser skal ses i sammenheng. Holte-utvalget mener at selv om krav til både NSM NorCERT og de sektorvise responsmiljøene er gitt i Rammeverk for håndtering av IKT-sikkerhetshendelser, bidrar ulikhetene mellom de sektorvise responsmiljøene til uklare ansvars- og rolleforhold ved håndtering av hendelser.

Sett i lys av ovennevnte mener Advokatforeningen at departementet må klargjøre hvilke responsmiljøer og tilsynsmyndigheter pliktsubjektene etter loven skal forholde seg til før ikrafttredelse av loven, eventuelt før ikrafttredelse av bestemmelser om varsling og tilsyn trer i kraft. I tillegg må departementet også klargjøre hvordan pliktsubjektene etter lovforslaget skal forholde seg til ulike responsmiljøer og tilsynsmyndigheter når pliktsubjektene også er underlagt annet tverrsektorielt og/eller sektorspesifikt regelverk. Det vises her til det som er nevnt ovenfor om at Holte-utvalget har identifisert omtrent 150 lover og forskrifter som potensielt angår IKT-sikkerhet på nasjonalt plan. Videre at det er stor variasjon med hensyn til i hvilken grad lovene og forskriftene stiller krav om IKT-sikkerhet, og hvorvidt dette inngår i eksisterende varslingsplikter og faller innunder slike tilsynsmyndigheters myndighet. Dette er egnet til å skape uforutsigbarhet og uklarhet hva gjelder hvorvidt departementet mener at annet regelverk skal anvendes i stedet for lovforslaget, eller ikke, og vil kunne skape utfordringer for virksomhetenes etterlevelse av regelverket.

4.5 Konkret om lovforslagets regulering av pålegg og sanksjoner

Det foreligger hjemmel i lovforslagets kapittel 4 for at tilsynsmyndigheter ved overtredelse av bestemmelser gitt i loven eller i medhold av loven, kan gi pålegg om at forholdet skal bringes i orden, samt for at det kan ilegges tvangsmulkt frem til forholdet er bragt i orden. Mulktens størrelse og varighet kan forskriftsfestes.

Det foreligger også hjemmel for at tilsynsmyndigheten kan pålegge en virksomhet overtredelsesgebyr dersom virksomheten eller noen som handler på dennes vegne har overtrådt bestemmelser gitt i eller i medhold av denne loven eller har gitt uriktige eller ufullstendige opplysninger til tilsynsmyndigheten. Fysiske personer kan også ilegges overtredelsesgebyr for forsettlige eller uaktsomme overtredelser. Ved fastsettelse av overtredelsesgebyrets størrelse viser lovforslaget til at det skal særlig legges vekt på overtredelsens grovhet, overtredelsens varighet, utvist skyld og virksomhetens omsetning. Vilkår for å ilegge overtredelsesgebyr, størrelsen på overtredelsesgebyret, rente og tilleggsgebyr dersom overtredelsesgebyret ikke blir betalt ved forfall og frafall av ilagt overtredelsesgebyr, kan forskriftsfestes.

Advokatforeningen mener at departementet må klargjøre de nærmere bestemmelser for tvangsmulkt og overtredelsesgebyr før ikrafttredelse av loven, eventuelt før ikrafttredelse av bestemmelser om tvangsmulkt og overtredelsesgebyr. Advokatforeningen er av den oppfatning at det vil føre til svært stor uforutsigbarhet å vedta en lov med slike sanksjoner, som også kan anvendes på fysiske personer, uten nærmere detaljer om hvilke krav som vil stilles til risikovurderingene som pålegges pliktsubjektene, hvilke tiltak som anses som tilstrekkelig ut fra ulike risikoer, hvilke andre regelverk som vil være lex specialis mot lovforslaget, hvilke pliktsubjekter som vil omfattes av lovforslaget og når departementet ser for seg at tvangsmulkt og overtredelsesgebyr vil anvendes og størrelsesordenen på tvangsmulkt og overtredelsesgebyrer.

5. Oppsummering

Advokatforeningen støtter implementering av NIS-direktivet i norsk rett og mener dette er et viktig tiltak for å verne mot sårbarheter i et stadig mer digitalisert samfunn. Advokatforeningen er imidlertid av den oppfatning at departementet før ikrafttredelse av loven må klargjøre hvilke virksomheter som skal omfattes av regelverket, forholdet til annet tverrsektorielt og sektorspesifikt regelverk i Norge, hvilke krav som konkret stilles med tanke på risikovurdering og passende tiltak, nærmere bestemmelser om responsmiljøer og tilsynsmyndigheter, og klarere rammer for anvendelse av pålegg, tvangsmulkt og overtredelsesgebyr. Slik lovforslaget foreligger per i dag fremstår dette som meget uforutsigbart for de virksomheter som vil kunne omfattes av lovforslaget. Advokatforeningen mener også at departementet må gi virksomheter som vil omfattes av lovforslaget en fornuftig og rimelig forberedelsestid før ikrafttredelse av regelverket, etter at de ovennevnte uklarheter er nærmere fastsatt i forskriftsbestemmelser og eventuelt veiledninger.

 

Vennlig hilsen

 

Jens Johan Hjort                                                                                 Merete Smith

leder                                                                                                   generalsekretær