Helsedirektoratet viser til høringsbrevet med to saker på felles høring: 1) Utredning fra IKT- sikkerhetsutvalget, og 2) Regjeringens utkast til lov om sikkerhet i nettverk og informasjonssystemer (NIS-direktivet) i norsk rett.
I høringen ber Justis- og beredskapsdepartementet særskilt om svar på 5 spørsmål. For Helsedirektoratet er det naturlig å vise til Norsk Helsenett SF sitt svar på spørsmålene da de er leverandør til både oss og helse- og omsorgstjenesten. De lyder slik:
I hvilken grad arbeides det per i dag systematisk med IKT-sikkerhet i din virksomhet? Følges for eksempel visse standarder for sikkerhetsstyring eller internkontroll?
Helsedirektoratet har utarbeidet et internkontrollsystem for informasjonssikkerhet og personvern (erstatter tidligere styringssystem for informasjonssikkerhet). Internkontrollen er bygget etter prinsippene i ISO2700x serien og Norm for informasjonssikkerhet i Helsesektoren (Normen).
Beskriv hvilke positive konsekvenser forslaget til gjennomføring av NIS-direktivet vil få for din virksomhet.
Ved implementasjon av NIS-direktivet vil de store aktørene i helse sektoren falle inn under et felles regelverk for IKT-sikkerhet, da de aller fleste aktørene er å anse som tilbydere av samfunnsviktige tjenester. Sammen med kravene i Normen vil dette bidra til å strømlinjeforme kravene til sikkerhet mellom aktørene. Helsedirektoratet, i samarbeid med Norsk Helsenett SF, jobber allerede systematisk med IKT-sikkerhet. Norsk Helsenett er Helsedirektoratets leverandør av driftstjenester og overvåker sikkerhetsmessig infrastrukturen til Helsedirektoratet. NIS-direktivet formaliserer krav, også for de delene av virksomheten som ikke er berørt av personvernforordningen (GDPR), sikkerhetsloven, og øvrige helserelaterte lover og forskrifter som inneholder sikkerhetskrav. Norsk Helsenett SF huser helsetjenestens nasjonale kompetansemiljø for operativ IKT-sikkerhet, HelseCERT. Gjennom den nasjonale implementasjonen av NIS-direktivet mener vi det er viktig og riktig å formalisere rollen til HelseCERT som det sektorvise responsmiljøet for helsetjenesten, og at dette miljøet utpekes som mottaker av sektorens sikkerhetsvarsler. Dette miljøet har allerede kompetanse, deteksjonskapabiliteter, varslingskanaler og tilliten i sektoren, samtidig som miljøet har godt etablert samarbeid med øvrige nasjonale responsmiljøer, inkludert NorCERT.
Beskriv hvilke negative konsekvenser forslaget til gjennomføring av NIS-direktivet vil få for din virksomhet.
Helsedirektoratet har ikke identifisert negative konsekvenser av gjennomføring av NIS-direktivet. En faktor man imidlertid skal være observant på er at det er mangel på IKT-sikkerhetskompetanse nasjonalt. Det kan være en utfordring for alle virksomheter å få tilgang til tilstrekkelig god kompetanse til å vurdere funksjonsbaserte sikkerhetskrav, og å definere hva som er tilstrekkelig teknisk sikkerhetsnivå. Norsk Helsenett, som tjenesteleverandør, kan imidlertid støtte sektoren med sikkerhets- og rådgivningstjenester innenfor dette området for å bidra til å dekke sektorens behov. Med utvidet varslingsmottak vil det være nødvendig med noe tilførsel av ressurser til HelseCERT, men for ordens skyld: vi anser ikke dette som en negativ konsekvens, men erkjenner bare at det er en konsekvens.
Er din virksomhet per i dag underlagt krav til IKT-sikkerhet og varsling? Hvilket regelverk – lover, forskrifter eller annet – er det som stiller slike krav?
Helsedirektoratet er underlagt Sikkerhetsloven og Personopplysningsloven, med forordning. Helsedirektoratet er også avtaleforpliktet til å etterleve kravene i Normen, gjennom tilknytning til Helsenettet.
Bør en slik lov som foreslås i denne høringen vedtas selv om vi ikke er forpliktet til det i henhold til EØS-avtalen? Helsedirektoratet stiller seg bak forslaget om å innføre kravene i NIS-direktivet i norsk rett, selv uten at det inkluderes som del av EØS-avtalen.
Kommentarer og innspill
Helsedirektoratet skriver i rapport IS-2635 Overordnede risiko- og sårbarhetsvurderinger i helse- og omsorgssektoren, IKT-informasjonssikkerhet, personvern og beredskap: De lange, digitale verdikjedene, som spenner over mange sektorer, flere forvaltningsnivåer og land, samt private og offentlige leverandører (aktører), bør være gjenstand for en mer helhetlig vurdering av gjensidige avhengigheter i beredskapssammenheng. Denne sårbarheten er også godt dokumentert i Lysneutvalgets rapport og NSMs rapport "Et digitalt Norge - IKT-risikobilde 2018".
I NOU 2018:14 omtales utfordringer med IKT-sikkerhet i tilkoblede produkter og tjenester. Ved innføring av NIS-direktivet og/eller ny lov kan man stille krav til utstyr og tjenester som understøtter eller utgjør kritisk samfunnsmessig aktivitet og tjenester. Helsedirektoratet mener størrelsen på selskapet ikke er avgjørende. Et av argumentene som benyttes i høringsnotatet er at angripere vil gå etter de svakeste ledd først. Det er viktig at samfunnet ikke setter seg i en posisjon der små tilbydere inviteres til å levere tjenester til samfunnskritiske funksjoner uten tilstrekkelig krav til sikkerhet. I helse- og omsorgssektoren finnes mange slike micro- og små virksomheter (eks. fastlegene) som loven ikke er ment å omfatte. Helsedirektoratet vil her understreke at typen informasjon som behandles (eks. e-konsultasjoner) og hva som tilbys er viktigere enn organisering av og størrelsen på selskapene. I fall disse ikke skal omfattes av loven må det legges vekt på utviklingen av gode, standardiserte løsninger (eks sky- eller virtuelle løsninger) som disse aktørene skal benytte ved leveranse av samfunnskritiske løsninger og tjenester. Her kan det også med fordel utvikles en sertifiseringsordning.
Helsedirektoratet støtter anbefalingen om et nytt nasjonalt, sivilt sikkerhetssenter forutsatt at det fremstår som et kompetansesenter for offentlige og private aktører og at rolle, ansvar og rapportering er tydelig avklart mellom dette, sektorCERT (HelseCERT) og nasjonalt cyberkrimsenteret.
Helsedirektoratet deler videre vurderingen av bruk av nasjonale responsmiljøer og at hendelser varsles i allerede opprettede kanaler. Det er viktig i denne sammenhengen også å ivareta ansvars- og likhetsprinsippet, samt nærhet og samvirke. Det bør unngås at den digitale sikkerheten i en digitalisert helsetjeneste blir regulert og kontrollert av noen helt andre.
I helsesektoren er responsmiljøet etablert gjennom HelseCERT, som allerede støtter hele helse- og omsorgssektoren. HelseCERT har en viktig rolle i nasjonal helse og beredskapsplan og kan vurdere om sammenfall i hendelser kvalifiserer til aktivering av nasjonalt hendelsesberedskapsplanverk. Med NIS-direktivet kan rollen formaliseres og kravene til varsling av hendelser styrkes.
IKT-sikkerhet reguleres i flere ulike lover og forskrifter og legger opp til overlappende vurderinger (Sikkerhetsloven og og lovutkastet til høringen). Dette bør klargjøres nærmere bl a gjennom sektorspesifikke veiledere, som ser lovreguleringen på IKT-sikkerhet i sammenheng.
Helsedirektoratet mener videre at det må presiseres nærmere hvilke sanksjonsbestemmelser som skal gjelde (og bøtesatser) når bestemmelsene i både personvernforordningen og "NIS-loven" kan anvendes.
Prinsippet om å bruke eksisterende tilsynsmyndigheter støttes. Det fordrer i midlertid god og bred kunnskap om feltet hos tilsynsmyndigheten og at det lovfestes et mer aktivt tilsyn enn det forslaget nå lyder i § 12.
I høringen ber Justis- og beredskapsdepartementet særskilt om svar på 5 spørsmål. For Helsedirektoratet er det naturlig å vise til Norsk Helsenett SF sitt svar på spørsmålene da de er leverandør til både oss og helse- og omsorgstjenesten. De lyder slik:
I hvilken grad arbeides det per i dag systematisk med IKT-sikkerhet i din virksomhet? Følges for eksempel visse standarder for sikkerhetsstyring eller internkontroll?
Helsedirektoratet har utarbeidet et internkontrollsystem for informasjonssikkerhet og personvern (erstatter tidligere styringssystem for informasjonssikkerhet). Internkontrollen er bygget etter prinsippene i ISO2700x serien og Norm for informasjonssikkerhet i Helsesektoren (Normen).
Beskriv hvilke positive konsekvenser forslaget til gjennomføring av NIS-direktivet vil få for din virksomhet.
Ved implementasjon av NIS-direktivet vil de store aktørene i helse sektoren falle inn under et felles regelverk for IKT-sikkerhet, da de aller fleste aktørene er å anse som tilbydere av samfunnsviktige tjenester. Sammen med kravene i Normen vil dette bidra til å strømlinjeforme kravene til sikkerhet mellom aktørene. Helsedirektoratet, i samarbeid med Norsk Helsenett SF, jobber allerede systematisk med IKT-sikkerhet. Norsk Helsenett er Helsedirektoratets leverandør av driftstjenester og overvåker sikkerhetsmessig infrastrukturen til Helsedirektoratet. NIS-direktivet formaliserer krav, også for de delene av virksomheten som ikke er berørt av personvernforordningen (GDPR), sikkerhetsloven, og øvrige helserelaterte lover og forskrifter som inneholder sikkerhetskrav. Norsk Helsenett SF huser helsetjenestens nasjonale kompetansemiljø for operativ IKT-sikkerhet, HelseCERT. Gjennom den nasjonale implementasjonen av NIS-direktivet mener vi det er viktig og riktig å formalisere rollen til HelseCERT som det sektorvise responsmiljøet for helsetjenesten, og at dette miljøet utpekes som mottaker av sektorens sikkerhetsvarsler. Dette miljøet har allerede kompetanse, deteksjonskapabiliteter, varslingskanaler og tilliten i sektoren, samtidig som miljøet har godt etablert samarbeid med øvrige nasjonale responsmiljøer, inkludert NorCERT.
Beskriv hvilke negative konsekvenser forslaget til gjennomføring av NIS-direktivet vil få for din virksomhet.
Helsedirektoratet har ikke identifisert negative konsekvenser av gjennomføring av NIS-direktivet. En faktor man imidlertid skal være observant på er at det er mangel på IKT-sikkerhetskompetanse nasjonalt. Det kan være en utfordring for alle virksomheter å få tilgang til tilstrekkelig god kompetanse til å vurdere funksjonsbaserte sikkerhetskrav, og å definere hva som er tilstrekkelig teknisk sikkerhetsnivå. Norsk Helsenett, som tjenesteleverandør, kan imidlertid støtte sektoren med sikkerhets- og rådgivningstjenester innenfor dette området for å bidra til å dekke sektorens behov. Med utvidet varslingsmottak vil det være nødvendig med noe tilførsel av ressurser til HelseCERT, men for ordens skyld: vi anser ikke dette som en negativ konsekvens, men erkjenner bare at det er en konsekvens.
Er din virksomhet per i dag underlagt krav til IKT-sikkerhet og varsling? Hvilket regelverk – lover, forskrifter eller annet – er det som stiller slike krav?
Helsedirektoratet er underlagt Sikkerhetsloven og Personopplysningsloven, med forordning. Helsedirektoratet er også avtaleforpliktet til å etterleve kravene i Normen, gjennom tilknytning til Helsenettet.
Bør en slik lov som foreslås i denne høringen vedtas selv om vi ikke er forpliktet til det i henhold til EØS-avtalen? Helsedirektoratet stiller seg bak forslaget om å innføre kravene i NIS-direktivet i norsk rett, selv uten at det inkluderes som del av EØS-avtalen.
Kommentarer og innspill
Helsedirektoratet skriver i rapport IS-2635 Overordnede risiko- og sårbarhetsvurderinger i helse- og omsorgssektoren, IKT-informasjonssikkerhet, personvern og beredskap: De lange, digitale verdikjedene, som spenner over mange sektorer, flere forvaltningsnivåer og land, samt private og offentlige leverandører (aktører), bør være gjenstand for en mer helhetlig vurdering av gjensidige avhengigheter i beredskapssammenheng. Denne sårbarheten er også godt dokumentert i Lysneutvalgets rapport og NSMs rapport "Et digitalt Norge - IKT-risikobilde 2018".
I NOU 2018:14 omtales utfordringer med IKT-sikkerhet i tilkoblede produkter og tjenester. Ved innføring av NIS-direktivet og/eller ny lov kan man stille krav til utstyr og tjenester som understøtter eller utgjør kritisk samfunnsmessig aktivitet og tjenester. Helsedirektoratet mener størrelsen på selskapet ikke er avgjørende. Et av argumentene som benyttes i høringsnotatet er at angripere vil gå etter de svakeste ledd først. Det er viktig at samfunnet ikke setter seg i en posisjon der små tilbydere inviteres til å levere tjenester til samfunnskritiske funksjoner uten tilstrekkelig krav til sikkerhet. I helse- og omsorgssektoren finnes mange slike micro- og små virksomheter (eks. fastlegene) som loven ikke er ment å omfatte. Helsedirektoratet vil her understreke at typen informasjon som behandles (eks. e-konsultasjoner) og hva som tilbys er viktigere enn organisering av og størrelsen på selskapene. I fall disse ikke skal omfattes av loven må det legges vekt på utviklingen av gode, standardiserte løsninger (eks sky- eller virtuelle løsninger) som disse aktørene skal benytte ved leveranse av samfunnskritiske løsninger og tjenester. Her kan det også med fordel utvikles en sertifiseringsordning.
Helsedirektoratet støtter anbefalingen om et nytt nasjonalt, sivilt sikkerhetssenter forutsatt at det fremstår som et kompetansesenter for offentlige og private aktører og at rolle, ansvar og rapportering er tydelig avklart mellom dette, sektorCERT (HelseCERT) og nasjonalt cyberkrimsenteret.
Helsedirektoratet deler videre vurderingen av bruk av nasjonale responsmiljøer og at hendelser varsles i allerede opprettede kanaler. Det er viktig i denne sammenhengen også å ivareta ansvars- og likhetsprinsippet, samt nærhet og samvirke. Det bør unngås at den digitale sikkerheten i en digitalisert helsetjeneste blir regulert og kontrollert av noen helt andre.
I helsesektoren er responsmiljøet etablert gjennom HelseCERT, som allerede støtter hele helse- og omsorgssektoren. HelseCERT har en viktig rolle i nasjonal helse og beredskapsplan og kan vurdere om sammenfall i hendelser kvalifiserer til aktivering av nasjonalt hendelsesberedskapsplanverk. Med NIS-direktivet kan rollen formaliseres og kravene til varsling av hendelser styrkes.
IKT-sikkerhet reguleres i flere ulike lover og forskrifter og legger opp til overlappende vurderinger (Sikkerhetsloven og og lovutkastet til høringen). Dette bør klargjøres nærmere bl a gjennom sektorspesifikke veiledere, som ser lovreguleringen på IKT-sikkerhet i sammenheng.
Helsedirektoratet mener videre at det må presiseres nærmere hvilke sanksjonsbestemmelser som skal gjelde (og bøtesatser) når bestemmelsene i både personvernforordningen og "NIS-loven" kan anvendes.
Prinsippet om å bruke eksisterende tilsynsmyndigheter støttes. Det fordrer i midlertid god og bred kunnskap om feltet hos tilsynsmyndigheten og at det lovfestes et mer aktivt tilsyn enn det forslaget nå lyder i § 12.