Forslag til forskrift til digitalsikkerhetsloven
1 Innledning
Advokatforeningens tillitsvalgte advokater utfører et omfattende frivillig og ulønnet arbeid for å ivareta rettsstaten, rettssikkerheten og menneskerettighetene. En del av dette arbeidet består i å utarbeide høringsuttalelser.
Advokatforeningens høringsarbeid er organisert i 28 lovutvalg, oppdelt etter særskilte rettsområder og rettslige interesseområder. Om lag hundre høringsuttalelser utarbeides av Advokatforeningens tillitsvalgte advokater hvert år.
Alle våre høringsuttalelser er forfattet av advokater med ekspertise innenfor det rettsområdet som lovforslaget gjelder. En ekspertise som ikke er hentet kun fra juridisk teori, men fra advokatenes praktiske erfaring med å bistå sine klienter – i den norske rettsstatens hverdag. Denne høringsuttalelsen er skrevet ut fra Advokatforeningens ønske om å bidra til gode lovgivningsprosesser, og gode lover.
2 Sakens bakgrunn
Vi viser til høringsbrev av 11. september fra Justis- og beredskapsdepartementet (Samfunns-sikkerhetsavdelingen) om forslag til forskrift til digitalsikkerhetsloven (digitalsikkerhetsforskriften).
Denne høringsuttalelsen er i hovedsak utarbeidet av Advokatforeningens lovutvalg for IKT og personvern. Lovutvalget består av Malin Tønseth (leder), Eirin Helen Hauvik, Christopher Sparre-Enger Clausen, Gry Hvidsten, Kari Gimmingsrud og Knut-Erik Jakhelln, som alle har lang erfaring og god kompetanse innenfor det aktuelle rettsområdet.
3 Kommentarer
3.1 Generelt
Advokatforeningen er positive til at det utarbeides en forskrift som tydeliggjør kravene i digitalsikkerhetsloven samt i NIS1. Advokatforeningen har ingen prinsipielle innvendinger mot forslaget til ny digitalsikkerhets-forskrift som sådan. Vi finner likevel grunn til å knytte enkelte kommentarer til forslaget.
3.2 Personvern
Overordnet savner Advokatforeningen nærmere vurderinger av personvernkonsekvenser i høringsnotatet, særlig knyttet til de teknologiske sikkerhetstiltakene i forskriftsforslagets § 10 og balansen mellom disse tiltakene og de ansattes personopplysningsvern. Dette gjelder særlig tiltak som sikkerhetsovervåkning av nettverk og informasjonssystem (bokstav h) og kontroll med hvem som bruker virksomhetens nettverk og informasjonssystemet. Advokatforeningen kan ikke se at mulige negative virkninger for personvernet eller avhjelpende tiltak knyttet til forslaget er tilstrekkelig systematisk og grundig drøftet. Vi vurderer derfor at forskriften reiser flere personvernmessige problemstillinger som bør adresseres grundigere før vedtakelse.
Det bør eksempelvis tydeliggjøres hvordan behandling av de ulike personopplysningstyper er nødvendig og proporsjonal i forhold til formålet. Formålsbegrensningen bør spesifiseres for å unngå bruk av opplysningene til utilsiktede formål. Det er herunder viktig å balansere behovet for effektiv kontroll med arbeidstakernes rett til privatliv. Videre bør det vurderes tiltak for å sikre at kontrollen utføres i tråd med prinsippet om forholdsmessighet.
Oppsummert er Advokatforeningens syn at forskriftforslagene i stor grad støttes, men at det bør gjøres videre vurderinger og presiseringer av enkelte detaljer i forslaget knyttet til personopplysningsvern og personopplysningssikkerhet. Forslaget bør også vurderes opp mot overvåkningsforbudet i e-postforskriften § 2 annet ledd bokstav b hva gjelder forebygging av sikkerhetsbrudd, da e-postforskriften kun hjemler overvåkning for å "avdekke eller oppklare" sikkerhetsbrudd i nettverket.
For øvrig vises det til Prop. 109 LS (2022-2023) kapittel 5.5 om departementets vurderinger hva gjelder de forhold som bør vurderes nærmere i forbindelse med forskriftsarbeidet, herunder behandlingsansvar, adgangen til videredeling og sletting, samt regulering av myndighetens videre bruk av opplysninger som innrapporteres. Advokatforeningen kan ikke se at disse forholdene er tilstrekkelig belyst i høringsnotatet om digitalsikkerhetsforskriften.
3.3 Virkeområde
Advokatforeningen støtter at forskriften tydelig definerer hvilke tjenester og virksomheter som omfattes, samt at det angis konkrete terskelverdier. Vi anerkjenner betydningen av klare terskelverdier for å identifisere samfunnsviktige tjenester. Samtidig påpeker vi at fleksibilitet og muligheten til å justere terskelverdiene i lys av teknologisk utvikling og trusselbilde er avgjørende, da man ellers kan risikere et regelverk som ikke i tilstrekkelig grad følger utviklingen. Vi oppfordrer departementet til regelmessig å evaluere terskelverdiene for å sikre at de reflekterer den faktiske risikoen og tar hensyn til endringer i samfunnet og i teknologisk utvikling.
3.4 Forholdet til sektorlovgivning
I digitalsikkerhetsloven § 5 følger det at kravene om sikkerhet og varsling i §§ 7, 8, 10 og 11 gjelder så langt det ikke er fastsatt tilsvarende eller strengere krav i eller i medhold av annen lov. Hva som menes med "tilsvarende krav" er ikke angitt i verken loven eller forskriftsforslaget. Det er viktig for virksomheter å forstå hva som ligger tilsvarende krav, da sektorlovgivningen kan ha beskrevet krav på ulike måter og med annen tilnærming. For eksempel har kraftberedskapsforskriften omfattende sikkerhetskrav, men om disse er tilsvarende som i digitalsikkerhetsloven, er vanskelig å vurdere.
Advokatforeningen anbefaler at departementet inntar en bestemmelse i forskriften som bidrar til å klargjøre hva som menes med "tilsvarende krav" i sektorlovgivning.
3.5 Proporsjonalitet
Forskriften legger opp til omfattende krav for virksomhetene, og Advokatforeningen støtter at tiltakene skal være hensiktsmessige, proporsjonale og tilpasset risiko. Vi understreker viktigheten av en balanse mellom sikkerhetskrav og administrative byrder, spesielt for små og mellomstore virksomheter. Overdrevne krav kan svekke konkurranseevne uten tilsvarende økning i sikkerhet.
3.6 Ansvarsfordeling og rapporteringskrav
Vi påpeker behovet for å minimere dobbeltrapportering og sikre effektiv informasjonsflyt mellom tilsynsmyndigheter. En énkanalsløsning for rapportering, hvor tilsynsmyndigheter og Nasjonal sikkerhetsmyndighet (NSM) koordinerer informasjon internt, kan redusere administrative byrder og forbedre samarbeidet.
3.7 Fleksibilitet i sikkerhetstiltak
Advokatforeningen ser verdien av standardiserte sikkerhetstiltak, men anbefaler at det åpnes for unntak eller midlertidig dispensasjon i tilfeller hvor tiltakene som følger av forskriften er uforholdsmessig byrdefulle eller lite relevante. Unntak bør gis på grunnlag av dokumenterte risikovurderinger og godkjenning fra relevante tilsynsmyndigheter, for eksempel for små og mellomstore bedrifter.
3.8 Informasjonshåndtering og varsling
Advokatforeningen støtter at forskrifter allerede nå tilpasses kravene i NIS2 hva gjelder varsling, da dette gjør det enklere å håndtere varslingskrav for bedrifter med virksomhet i EU-land hvor NIS2 allerede har trådt i kraft. Varslingskravene bør imidlertid utformes slik at de ikke går på bekostning av virksomhetenes arbeid med håndtering av hendelsen, hvor det blir mer fokus på rapportering og dialog med tilsynsmyndigheten enn å håndtere hendelsen operasjonelt og juridisk.
Deling av taushetsbelagt informasjon bør avgrenses til nødvendige parter og bør ha klare regler om videre taushetsplikt for mottakerne, samt nærmere regler knyttet til videre bruk etter deling av mottatt informasjon, jf. forslagets § 18. Dette er viktig ikke bare av hensyn til personopplysningsvern og informasjonssikkerhet (for eksempel avsløring av sårbarheter), men også av hensyn til forretningshemmeligheter og i enkelte tilfeller også sikkerhetsmessige årsaker.
3.9 Rekkevidden av ansvaret for leverandørkjeden
Basert på læringen fra arbeidet med Åpenhetsloven mener Advokatforeningen det er behov for mer konkret veiledning fra departementet knyttet til virksomhetenes ansvar for leverandørkjeden og hvor langt nedover i kjeden dette ansvaret strekker seg, hva som konkret forventes av virksomhetene mv.
Vennlig hilsen
Siri Teigum Merete Smith
leder generalsekretær