Regjeringen har fremmet forslag til egen lov om digital sikkerhet

Lovforslaget som regjeringen i forrige uke la frem, vil bli Norges første lov om digital sikkerhet, og har fått navnet digitalsikkerhetsloven (Prop. 109 LS).

Loven skal bidra til å styrke den digitale sikkerheten i virksomheter som har en særlig betydning for samfunnet, og som er med på å styrke ansvaret virksomheten har for å iverksette tiltak.

– Denne regjeringen mener at grunnleggende krav til digital sikkerhet i slike virksomheter er helt avgjørende for å sikre velferdssamfunnet, sier justis- og beredskapsminister Emilie Enger Mehl (Sp) i en pressemelding.

Ifølge regjeringen forutsetter lovforslaget at det kommer på plass tydelige forskrifter om hvem som omfattes av loven, i tillegg til konkrete regler for oppfyllelse av sikkerhets- og varslingskrav.

– Regjeringen vil at det skal etableres et regelverk om digital sikkerhet på tvers av sektorer. Regelverket skal være tilpasningsdyktig og fleksibelt, slik at det kan tas hensyn til ulike behov i ulike sektorer, fortsetter Mehl.

Samfunnsviktige tjenester

Loven vil til å begynne med gjelde for virksomheter som tilbyr samfunnsviktige tjenester innen energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur, samt tilbydere av digitale markedsplasser, skytjenester og digitale søkemotorer.

«Loven vil bli utviklet over tid for å gjøre norske virksomheter mer ansvarlige og sikre gjennomføring av nasjonale råd og anbefalinger», skriver regjeringen.

Virksomheter som omfattes må blant annet implementere sikkerhetstiltak i egne digitale systemer. I tillegg til dette, stiller loven også krav til varsling ved hendelser som kan påvirke tjenesteleveransen, samt til gjennomføring av risikovurderinger.

«Regjeringen mener at denne loven vil bli et viktig bidrag for å redusere digitale sårbarheter både i samfunnet og i den enkelte virksomhet.»

Mener loven stiller utydelige krav

Det ferske lovforslaget følger opp stortingsmeldingen om Nasjonal kontroll og digital motstandskraft. Det bygger på et rådsdirektiv fra Europaparlamentet (EU) 2016/1148 av 6. juli 2016 om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele unionen (NIS-direktivet).

Da lovforslaget var på høring i 2019, pekte flere høringsinstanser, deriblant Advokatforeningen, på at lovforslaget rommer flere uklarheter, særlig når det kommer til lovens virkeområde.

Advokatforeningen savnet også mer konkrete krav til både gjennomføring av risikovurderinger, samt til virksomhetens plikt til å etablere sikkerhetstiltak. Foreningen mener også at kravene til varsling er for utydelige, het det i foreningens høringssvar.

Dersom virksomheten som omfattes av loven opptrer i strid med den, skal de aktuelle tilsynsmyndighetene blant annet kunne gi pålegg «om at forholdet skal bringes i orden» innen en gitt tidsfrist. Virksomhetene risikerer også å få bot.

Ønsker klargjøring av tilsynsfunksjon

I den forbindelse er det flere av høringsinstansene som blant annet ønsker en klargjøring av hvilke tilsynsmyndigheter som skal føre tilsyn, og en klargjøring av sanksjonsbestemmelsene.

«Advokatforeningen viser blant annet til at det vil føre til svært stor uforutsigbarhet å vedta en lov med slike sanksjoner, som også kan anvendes på fysiske personer, uten nærmere detaljer om hvilke krav som vil stilles til risikovurderingene som pålegges pliktsubjektene og hvilke tiltak som anses som tilstrekkelig ut fra ulike risikoer», siteres det i proposisjonen.

Ny sikkerhetsrapport fra NSM

Digital motstandskraft har stått i regjeringens fokus i det siste, påpekte Mehl da hun tirsdag fikk overlevert rapporten Sikkerhetsfaglige råd - Et motstandsdyktig Norge fra Nasjonal sikkerhetsmyndighet (NSM).

Rapporten er en beskrivelse av de viktigste sikkerhetsutfordringene frem mot 2030, og inneholder strategiske sikkerhetsmål, beskriver sikkerhetstrender og inneholder anbefalinger for å oppnå et forsvarlig sikkerhesnivå.

- Bakteppet er ikke bare den sikkerhetspolitiske situasjonen vi har sett etter Russlands invasjon av Ukraina, men det er også utviklingen i trusselbildet over tid, før invasjonen, hvor vi blant annet ser at bruk av sammensatte virkemidler fra trusselaktørenes side har blitt stadig mer aktuelt, sa Mehl ved overleveringen.

- NSMs sikkerhetsfaglige råd vil i enda større grad bidra til at vi utvikler effektive tiltak som reduserer våre sårbarheter. Dette handler om bevissthet, det handler økt risikoforståelse. Jeg mener det er av stor betydning at det er Nasjonal sikkerhetsmyndighet, med sin tverrsektorielle portefølje og sitt tverrsektorielle ansvar, som legger fram dette rådet. NSM har gjennom sitt samfunnsoppdrag en helhetlig oppmerksomhet på den forebyggende sikkerheten.