Siste
Forslag til endringer i datasenterforskriften

Forslag til endringer i datasenterforskriften

Nyhet
24 feb 2025
Innsikt

Nye regler for datasentervirksomhet 

Ved årsskriftet trådte flere lovendringer i kraft, inkludert blant annet nye plikter for de som driver med datasentervirksomhet. Pliktene er inntatt i den nye Ekomloven (lov om elektronisk kommunikasjon), i § 3-7, og er den første reguleringen spesifikt rettet mot datasenterbransjen i norsk rett. I tillegg er det gitt en egen forskrift om datasenter, som trådte i kraft samtidig med loven.

Reguleringen inneholder blant annet en registreringsplikt for datasenteroperatører hos Nasjonal kommunikasjonsmyndighet (Nkom), og det stilles visse krav til sikkerhet og beredskap. 

Reguleringsviljen ser imidlertid ikke ut til å stoppe der. Allerede 30. januar 2025, dvs. 30 dager etter at reglene trådte i kraft, la regjeringen frem et nytt høringsnotat, hvor det legges frem forslag til ytterligere endringer i datasenterforskriften. Forslagene er hjemlet i ekomlovens § 3-7 femte ledd.

I denne oppdateringen gir vi en kort presentasjon av de siste foreslåtte endringene, men først gis det en liten innføring i konteksten til endringene og hvorfor dette har blitt et nytt fokusområde for lovgiver.   

Hva er et datasenter og en datasenteroperatør? 

I ekomloven § 1-5 er "datasenter" definert som "et anlegg, del av anlegg eller gruppe av anlegg som brukes for å innplassere, tilkoble og drifte IT- og nettverksutstyr for datalagring, dataprosessering eller dataoverføring, og relaterte aktiviteter". 

Sagt med litt andre ord, er et datasenter en fysisk infrastruktur hvor IT- og nettverksutstyr plasseres og driftes, for å lagre, behandle og overføre data. Infrastrukturen kan også sies å være en bærer for en rekke digitale tjenester. 

Videre er en "datasenteroperatør" definert som en fysisk eller juridisk person som enten 1) tilbyr andre tilgang til datasentertjeneste mot vederlag, eller som 2) driver datasenter med en abonnert elektrisk effekt over en gitt terskelverdi. Begrepet dekker dermed både operatører som tilgjengeliggjør datasentertjenester for andre, og de som kun opererer virksomhetsintern datasenterdrift.   

Behov for regulering

Omfanget av datasentervirksomhet har vokst betydelig i Norge de siste årene, og mange virksomhetskritiske funksjoner er knyttet opp mot disse. I tillegg er det mange datasentre som har tilgang til og lagre mye samfunnskritisk informasjon, enten gjennom datastrømmene fra kundene sine eller datasenteroperatørens egen virksomhet. Disse infrastrukturene kan derfor være attraktive målskiver for cyberangrep og annen kriminalitet. 

Norske lovgivere har av denne grunn sett behov for å regulere denne type virksomhet ytterligere i senere år, for å bedre sikre robustheten, driften og integriteten til disse samfunnskritiske infrastrukturene. Reguleringen vi har sett hittil har derfor primært omhandlet krav til etablering av forsvarlige sikkerhetsnivå, gjennom forholdsmessige og adekvate sikkerhetstiltak, som skal sørge for stabilitet i og beskyttelse av datasenterdriften. 

Nye forslag 

De siste forslagene fremlagt av regjeringen 30. januar tar hovedsakelig sikte på å styrke aktuelle myndigheter, som politiet, Politiets sikkerhetstjenesten (PST), Nasjonal Sikkerhetsmyndighet (NSM) og Nkom, ytterligere i deres arbeid knyttet til kriminalitetsbekjempelse og ivaretakelse av nasjonal sikkerhet i forbindelse med datasentervirksomhet. 

For det første foreslås det å pålegge datasenteroperatører en plikt til å ha oppdatert informasjon om egne kunders navn og kontaktopplysninger tilgjengelig. Der det er relevant, skal operatøren også ha oversikt over hvor i senteret de ulike kundenes fysiske utstyr er plassert.

For det andre foreslås det nye regler om utlevering av denne informasjonen til henholdsvis Nkom, NSM, PST, og politi og påtalemyndigheten for øvrig. Utleveringsadgangen av kundeopplysninger er ment å blant annet styrke arbeidet med forebygging, avverging og stansing av lovbrudd tilknyttet datasenter, og å ytterligere ivareta forebyggende sikkerhet, robusthet og hendelseshåndtering. 

Videre foreslås det å etablere krav til responstid for operatøren, ved henvendelser fra myndighetene, og adgang til å ilegge overtredelsesgebyr dersom operatøren ikke etterlever de foreslåtte pliktene. Det foreslås også enkelte presiseringer av kravene til datasenteroperatørens fysiske representant i Norge.

De foreslåtte endringene oppfattes fra vår side ikke å være svært vidtrekkende. Eksempelvis må det forventes at datasenteroperatører allerede trolig vil ha en oversikt over hvem kundene deres er og hvor utstyret deres befinner seg i infrastrukturen. Plikten vil derfor trolig få mest organisatorisk betydning, da informasjonen, med den foreslåtte endringen, vil måtte være lett tilgjengelig i tilfelle den etterlyses. 

Utleveringsadgangen til de foreslåtte myndighetene og krav til responstid fremstår også langt på vei som en naturlig forlengelse av den eksisterende reguleringen, da adgangen og etablerte forventninger til responstid vil bidra til mer effektiv og virkningsfull oppfyllelse av reguleringens formål. 

De foreslåtte endringene er imidlertid, per nå, kun forslag til endringer, og det er gitt frist til 28. mars 2025 for interessenter å gi sine innspill og kommentarer til forslagene. Tiden vil derfor vise om, og eventuelt hvordan, datasenteroperatørenes forpliktelser vil utvides i tiden som kommer. 

DLA Piper har et av landets beste juridiske fagmiljøer knyttet til datasentervirksomhet og bistår en rekke store aktører og operatører i bransjen. Har du spørsmål eller ønsker du rådgivning i tilknytning noen av de nye og/eller foreslåtte kravene, ta kontakt med Line Voldstad (Regulatorisk) eller Magnus Lutnæs (Eiendom).

Last ned
Last ned PDF
Fagområder
Bransjer
Share

Relevante nyheter

Alle nyheter