Forslag til forskrift om digital sikkerhet – er din virksomhet klar for de nye kravene?

Justis- og beredskapsdepartementet fremmet onsdag 11. september 2024 forslag til forskrift om digital sikkerhet, kjent som digitalsikkerhetsforskriften. Forslaget, som utdyper digitalsikkerhetsloven vedtatt i desember 2023, har som mål å styrke digital sikkerhet for virksomheter som leverer samfunnsviktige tjenester og digitale tjenester. Regelverket er ment å redusere risikoen for alvorlige hendelser i nettverk og informasjonssystemer, og vil stille strenge krav til sikkerhetsstyring og varsling. Forskriftsforslaget sendes nå på høring og berørte virksomheter kan komme med innspill.

Selv om nåværende digitalsikkerhetslov- og forskrift kun gjelder samfunnskritiske tjenester og digitale tjenester, er det forventet at flere virksomheter vil bli berørt om noen år når NIS2-direktivet trer i kraft. Vi  anbefaler derfor at alle virksomheter allerede nå kartlegger sine digitale systemer og kartlegger virksomhetens sikkerhetsrisiko og -behov. Underleverandører bør også kartlegges, både av hensyn til virksomhetens generelle sikkerhet og for å sikre at varslingsplikten for digitale tilbydere overholdes.

Kort om bakteppe for forskriften
Digitalsikkerhetsloven ble vedtatt 12. desember 2023, men har enda ikke trådt i kraft. Loven skal gjennomføre EU-direktivet om sikkerhet i nettverk- og informasjonssystemer (NIS1-direktivet). Gjennomføring av NIS1-direktivet i Norge og digitalsikkerhetsloven har tatt tid, fordi EU-landene allerede er i gang med å gjennomføre NIS2-direktivet og det er forventet at også Norge må implementere NIS2-direktivet.

Digitalsikkerhetsloven retter seg mot tilbydere av samfunnsviktige tjenester innen energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur, tilbydere av nettbaserte markedsplasser, nettbaserte søkemotorer eller skytjenester. Loven pålegger virksomheter innen disse sektorene å blant annet risikovurdere nettverks- og informasjonssystemer, implementere passende sikkerhetstiltak, varsle myndigheter ved sikkerhetshendelser mm.

Formålet med forskriften er presisere forpliktelsene som følger av digitalsikkerhetsloven.

Hvem blir omfattet av kravene i forskriften?
Forskriftsforslaget presisere hvem som vil være omfattet av digitalsikkerhetsloven og -forskriften. I tillegg til nettbaserte søkemotorer, tilbydere av skytjenester og nettbaserte markedsplasser, vil blant annet følgende typer samfunnskritiske virksomheter være omfattet:

• Virksomheter som inngår i kraftforsyningens beredskapsorganisasjon (KBO-enheter),
• Flyselskaper,
• Transportselskaper (persontransport som overstiger 375 000 togkilometer pr. år,  godstransport som overstiger 500 000 togkilometer pr. år, og infrastrukturforvaltning, trafikkstyring og togfremføring av T-bane og trikk som overstiger 12,5 millioner årlige passasjerreiser),
• Havner og sjøtransport (havner eller havneanlegg som har et godsomlag på mer enn 100 000 tonn pr. år sett over en femårsperiode, havner eller havneanlegg som håndterer mer enn 100 000 passasjerer pr. år sett over en femårsperiode, og rederier som har skip med fast anløp eller som transporterer minst fem prosent av passasjerantallet eller godsomlaget i en havn som nevnt over),
• Helsetjenester (blant annet offentlige helsetjenester og sentrale systemer for rekvirering og utlevering av legemidler og andre medisinske produkter)
• Digital infrastruktur (Norid, DNS-tjeneste med mer enn 50 000 aktive brukere og samtrafikkpunkter (Internet Exchange Point-IXP)), og
• Banker og Oslo børs. (Kredittforetak vil ikke være omfattet, ettersom de vil bli omfattet av DORA).

Den fullstendige listen med virksomheter er opplistet i forskriftsforslagets § 1.I tillegg kan Departementet ved enkeltvedtak utpeke virksomheter som er i en særstilling eller har en rolle som gjør at de bør omfattes av loven.

Virksomheter som har færre enn 50 ansatte og som har en årlig omsetning eller årlig samlet balanse som ikke overstiger 100 millioner kroner, vil ikke være omfattet.

Forslaget stiller krav om at virksomheter som omfattes, må etablere styringssystemer for digital sikkerhet, gjennomføre risikovurderinger, og sørge for hendelseshåndtering og varsling innen 24 timer etter en digital hendelse. Overtredelse av reglene kan medføre store økonomiske sanksjoner i form av bøter opp til 4 % av årsomsetningen.

Hva er forpliktelsene?
Digitalsikkerhetsloven og -forskriften oppstiller følgende plikter for tilbydere samfunnsviktige tjenester:

• Plikt til å melde seg for Nasjonal Sikkerhetsmyndighet (NSM),
• Krav til å ha et styringssystem for sikkerhet,
• Plikt til å utarbeide, vedlikeholde og dokumentere risikovurderinger,
• Krav til risikohåndtering som minst skal bidra til sikker plattform, sikker drift og vedlikehold og sikker hendelseshåndtering og gjenoppretting,
• Krav til organisatoriske sikkerhetstiltak, som skriftlige instrukser for rutiner og prosedyrer innenfor sikkerhet,
• Krav til tekniske sikkerhetstiltak, som skriftlige instrukser for rutiner og prosedyrer innenfor sikkerhet, to- eller flerfaktorautentisering for adgang til nettverk og informasjonssystemer, tilgangskontroll til innholdet i nettverk og informasjonssystemer basert på tjenstlig behov, tiltak for segmentering av tjenester basert på et prinsipp om minste minimum av rettigheter,
• Krav til fysisk sikkerhet, som tiltak for å opprettholde tjenesten i form av tilstrekkelig strømtilførsel, eventuelt nødtilførsel av strøm, samt robuste nettverkstilganger,
• Sikkerhetstiltak for personell, som taushetsplikt eller konfidensialitetserklæringer,
• Hendelseshåndtering og beredskap, og
• Risikovurdering, oppfølgning og kontroll med underleverandører.

For tilbydere av nettbaserte markedsplasser, nettbaserte søkemotorer eller skytjenester, oppstiller forskriftsforslaget en plikt til å varsle NSM om sikkerhetshendelser innen 24 timer.

Høringsfristen er satt til 11. desember 2024. For virksomheter som kan bli omfattet av de nye reglene, er det viktig å begynne arbeidet med tilpasning tidlig.