NIS1 innføres i norsk rett, men hva med NIS2?
Endelig – vil noen si – skal Norge få en tverrsektoriell lov om digital sikkerhet. Loven skal bidra til å styrke den digitale sikkerheten i virksomheter som har særlig betydning for samfunnet.
Den 5. mai i år la Justis- og beredskapsdepartementet frem et lovforslag basert på direktiv (EU) 2016/1148 om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen (NIS1-direktivet).
Bakteppet for lovforslaget er endringer i den sikkerhetspolitiske situasjonen i verden, noe som påvirker det nasjonale trusselbildet og skaper sikkerhetsmessige utfordringer. Formålet med loven er å forplikte virksomheter som har en særlig viktig rolle i opprettholdelsen av kritisk samfunnsmessig og økonomisk aktivitet til å beskytte «alt» som er sårbart fordi det er koblet til eller på en annen måte avhengig av informasjons- og kommunikasjonsteknologi.
Loven skal i første omgang gjelde for tilbydere av samfunnsviktige tjenester innen energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur, samt tilbydere av digitale tjenester, slik som digitale markedsplasser, skytjenester og digitale søkemotorer. Avgjørende for om en virksomhet som tilhører de nevnte bransjene er omfattet, er hvorvidt virksomheten er en «tilbyder av samfunnsviktige tjenester». Ifølge forslagets § 6 er dette virksomheter som
- leverer en tjeneste som er viktig for å opprettholde kritiske samfunnsmessige eller økonomiske aktiviteter,
- er avhengig av nettverks- og informasjonssystemer for å levere tjenesten, og
- kan få tjenesteleveransen betydelig forstyrret av en hendelse
Det følger av lovforslaget at det er underordnet for vurderingen av om en virksomhet er omfattet om en hendelse helt eller delvis kan slå ut den enkelte virksomhetens tjenesteleveranse. Det relevante er hvilken samfunnsvirkning en hendelse i virksomheten kan lede til. Vurderingen kan by på vanskelige grensedragninger, og det er ventet at nærmere kriterier for å identifisere tilbydere av samfunnsviktige tjenester vil reguleres i forskrift.
For virksomhetene som er omfattet, stiller loven krav om at de skal foreta en risikovurdering av nettverks- og informasjonssystemene som benyttes for å levere den samfunnsviktige tjenesten. Der det blir identifisert en risiko, skal virksomhetene iverksette hensiktsmessige og proporsjonale tekniske og organisatoriske sikkerhetstiltak som samlet skal sørge for et sikkerhetsnivå som er tilpasset den identifiserte risikoen. Videre stiller loven krav om at virksomhetene skal iverksette tiltak for å forebygge, avdekke og redusere konsekvensene av hendelser, slik at leveransen av den samfunnsviktige tjenesten kan opprettholdes.
Det er imidlertid grunn til å tro at det vil skje snarlige endringer i loven dersom den vedtas.
Det skal utpekes en tilsynsmyndighet som skal føre tilsyn med om virksomhetene som omfattes overholder lovens forpliktelser. Tilsynsmyndigheten er gitt hjemmel til å både treffe vedtak om tvangsmulkt og ilegge overtredelsesgebyr for manglende oppfyllelse av pliktene.
Det er imidlertid grunn til å tro at det vil skje snarlige endringer i loven dersom den vedtas. Årsaken er at EU vedtok NIS2-direktivet i desember 2022. Dette direktivet er ment å erstatte NIS1 fordi det er avdekket flere mangler ved NIS1 som forhindrer direktivet fra å effektivt imøtegå aktuelle og fremtidige utfordringer innen digital sikkerhet. For virksomhetene som må tilpasse seg den nye loven og digital sikkerhet kan det derfor være hensiktsmessig å se hen til NIS2-direktivet allerede nå.
