Nytt forslag til ekomlov vil innføre vesentlige endringer for datasentervirksomhet i Norge

Nyhet
22 mai 2024
Category
Nyhetsbrev

Regjeringen la den 12. april 2024 frem et lovforslag for elektronisk kommunikasjon som for første gang inkluderer regulering av datasentre. Bakgrunnen for forslaget er at myndighetene har sett et behov for å få oversikt over datasentrene og innføre krav til sikkerhet og beredskap for datasentre, på lik linje med annen ekominfrastruktur.

Lovforslaget ble godt mottatt av datasenternæringen under høringsrunden i 2022, spesielt fordi det anerkjenner datasentrenes rolle i samfunnsinfrastrukturen. Forslaget inneholder imidlertid flere viktige punkter som næringen må være oppmerksom på, inkludert definisjoner av datasenter og datasentertjenester, krav til registrering og sikkerhet for datasentre, bruksbegrensninger, samt innføring av sanksjoner som overtredelsesgebyr og straff.

Nærmere om lovforslaget

Definisjon av datasenter og datasentertjenster

Lovforslaget fastsetter at datasenter skal defineres som "et anlegg, del av anlegg eller gruppe av anlegg som brukes for å innplassere, tilkoble og drifte IT- og nettverksutstyr for datalagring, dataprosessering eller dataoverføring, og relaterte aktiviteter". Definisjonen vil omfavne alle datasentre, uavhengig av størrelse.

Videre defineres datasentertjenester som "en tjeneste som legger til rette for innplassering, tilkobling og drift av IT- og nettverksutstyr for datalagring, dataprosessering og dataoverføring. Tjenesten omfatter i tillegg fysisk sikkerhet, strøm og kjøling, og kan inkludere andre relaterte tjenester."

Definisjonene av datasenter og datasentertjenester er formulert for å være i samsvar med EUs definisjoner. Harmoniseringen innebærer at internasjonale aktører kan legge til grunn en enhetlig forståelse og etterlevelse av regelverket på tvers av EU og Norge.

Registreringsplikt

Lovforslagets introduserer en registreringsplikt for datasenteroperatører før virksomheten starter opp. Dette er imidlertid utelukkende en registreringsplikt og det er ikke foreslått at det innføres krav om tillatelse til datasentervirksomhet.

Plikten gjelder alle datasenteroperatører. Dette inkluderer både de som tilbyr andre tilgang til datasentertjenester mot vederlag, og de som driver datasentre med en abonnert elektrisk effekt over en terskelverdi som fastsettes av departementet i forskrift. Dette omfatter også virksomhetsinterne datasentre og leietakere i samlokaliseringsdatasentre, med unntak av forsvarssektoren, politiet og Politiets sikkerhetstjeneste.

Departementet kan fastsette nærmere krav til registreringsplikten i forskrift, eksempelvis terskelen for registreringsplikt og hvilken informasjon som må registreres. I høringsforslaget til ny ekomforskrift foreslås det blant annet at det skal registreres opplysninger om datasentervirksomheten, tjenestene som tilbys, offentlige kunder og prosentvis andel av kraftforbruket som benyttes til kryptoutvinning. Registreringsmyndigheten vil være lagt til Nasjonal Kommunikasjonsmyndighet (Nkom).

Krav til forsvarlig sikkerhet

Det foreslås videre at det innføres krav til forsvarlig sikkerhet og beredskap for datasentre. Det stilles i den forbindelse blant annet krav om viktige samfunnsaktører prioriteres ved behov.

Datasenteroperatører må også kunne dokumentere et forsvarlig sikkerhetsnivå og det stilles krav om operatørene systematisk følger opp sikkerhet og beredskap for virksomheten. Ved vurderingen av forsvarlig sikkerhetsnivå skal det legges vekt på motstandsevne mot potensielle brudd på "tilgjengelighet, autentisitet, integritet eller konfidensialitet".  Kravene til sikkerhet og beredskap skal ta hensyn til beste tilgjengelige løsning, anerkjente standarder og betydningen av datasenteret. Kravene vil kunne utdypes av departementet i forskrift.  

Dersom kravet til forsvarlig sikkerhet ikke opprettholdes, kan departementet fatte enkeltvedtak for å sikre at datasenteroperatøren gjennomfører nødvendige tiltak. Det er datasenteroperatøren som skal dekke kostnadene for disse tiltakene.

Forskriftshjemmel for nasjonale sikkerhetshensyn og kriminalitetsbekjempelse

Det følger også av forslaget at departementet kan fastsette bestemmelser i forskrift med hensyn til nasjonale sikkerhetshensyn og kriminalitetsbekjempelse. Dette kan innebære at det vil stilles direkte krav til driften av datasenteret. Det kan eksempelvis fastsettes krav om tilgjengelig kontaktperson ved datasenteret, krav om separasjon av kunder og kundegrupper, listeføring av kunder og deres plassering i datasenteret, samt vilkår for at politiet eller EOS-tjenestene skal kunne gis rask tilgang til informasjonen.

Forslaget legger dermed opp til at det i fremtiden kan fastsettes krav som må hensyntas i forbindelse med inngåelse av kundeavtaler og planleggingen av driften av et datasenter.

Bruksbegrensninger

Lovforslaget innlemmer datasenteroperatør og datasentertjeneste i reglene om bruksbegrensninger, som videreføres fra gjeldende ekomlov. Forslaget gir departementet rett til å pålegge datasenteroperatører å gjennomføre bruksbegrensninger i datasentertjenester, av hensyn til nasjonal sikkerhet eller andre viktige samfunnsinteresser. Dette inkluderer nødssituasjoner som innebærer alvorlige trusler mot liv eller helse, nasjonal sikkerhet eller offentlig orden, eller fare for sabotasje mot datasenter, nett eller tjeneste.

Terskelen for inngrep er høy. Inngrep vil imidlertid påvirke driften og det er nødvendig å ha et bevisst forhold til håndteringen av slike situasjoner i kundeavtalene. Departementet har også foreslått nærmere regler om bruksbegrensninger og om unntak fra kravet om tillatelse til bruksbegrensninger i forslag til ny ekomforskrift.

Politiattest

For å hjelpe ekom-virksomheter med å ivareta sikkerheten forslåes det også at slike virksomheter kan kreve at personer fremlegger en uttømmende og utvidet politiattest ved ansettelse. Bestemmelsen er ny og gir ekom-virksomheter rettigheter de ikke har i dag.

Det bemerkes at det "kan" kreves slik attest, men at det vil være opp til virksomheten som ansetter. Departementet utelukker derimot ikke at det kan være hensiktsmessig å innføre krav til obligatorisk politiattest på et senere tidspunkt. Det er overlatt til ekom-virksomhetens behov om politiattest skal kreves fremlagt. Ekom-virksomheten vil selv være ansvarlig for sikkerheten og må gjøre egne risikovurderinger.  

Tilsyn og sanksjoner

De foreslåtte kravene til datasentre innebærer at datasentervirksomhet i større grad vil underlegges tilsyn. Tilsynsmyndigheten er fremdeles Nasjonal kommunikasjonsmyndighet. Datasenteroperatørene plikter å medvirke til tilsyn og gi tilsynsmyndigheten uhindret adgang til fasilitetene.

Tilsynsmyndigheten vil kunne håndheve eventuelle avvik gjennom pålegg om retting eller stenging. Det kan også vedtas tvangsmulkt for å sikre gjennomføringen av pålegget.

I tillegg vil en datasenteroperatør kunne ilegges overtredelsesgebyr for uaktsomme og forsettlige brudd på ekom-loven. I ytterste konsekvens vil det kunne forekomme et straffeansvar med potensiell fengselsstraff på opptil 1 år ved forsett eller uaktsomhet.

Se lovforslaget her: Prop. 93 LS (2023–2024) - regjeringen.no.