Høringssvar - NOU 2018: 14 IKT-sikkerhet i alle ledd og utkast til lov som gjennomfører NIS-direktivet
KS viser til Justis- og beredskapsdepartementets høringsbrev av 21.12.2018 om NOU 2018: 14 IKT-sikkerhet i alle ledd og utkast til lov som gjennomfører NIS-direktivet i norsk rett.
Høringen omfatter både NOU 2018: 14 IKT-sikkerhet i alle ledd og utkast til lov om sikkerhet i nettverk og informasjonssystemer for gjennomføring av EUs NIS-direktiv i norsk rett.
NOU 2018: 14 IKT-sikkerhet i alle ledd er en utredning avgitt av Holte-utvalget. Utvalget legger tre overordnede prinsipper til grunn:
Arbeidet med IKT-sikkerhet må ha en risikobasert tilnærming som innebærer at vesentlig risiko prioriteres.
IKT-sikkerhet må balanseres opp mot brukervennlighet, økonomi og grunnleggende menneskerettigheter. En slik balanse innebærer at noe risiko må aksepteres for å oppnå økonomiske og sosial mål.
Arbeidet med IKT-sikkerhet krever en fleksibilitet i reguleringen og organiseringen slik at man kan tilpasse seg nye trusler, sårbarheter, teknologier og forretningsmodeller.
Utredningen inneholder fem anbefalinger for endringer innen IKT-sikkerhetsområdet:
Utvalget anbefaler at det nedsettes et eget lovutvalg som skal utrede en lov som stiller krav om IKT-sikkerhet til alle norske virksomheter.
Utvalget mener at det må stilles krav om IKT-sikkerhet ved alle offentlige anskaffelser. Anskaffelsesregelverket bør endres slik at oppdragsgiveren får en slik plikt.
Utvalget anbefaler at det etableres et nasjonalt IKT-sikkerhetssenter, etter en forutgående uavhengig behovs- og kostnadsanalyse.
Utvalget mener at myndighetsansvaret for IKT-sikkerhet i tilkoblede produkter og tjenester må reguleres og tydeliggjøres.
Utvalget mener at det må være tydeligere styring og bedre koordinering av nasjonal IKT-sikkerhet. Justis- og beredskapsdepartementet må i større grad være en synlig aktør på området IKT-sikkerhet. Justis- og beredskapsdepartementet og Forsvarsdepartementet må gjennomgå modellen for styring av NSM for å sikre at IKT-sikkerhet i sivil sektor blir bedre ivaretatt, samtidig som koblingen mellom sivil sektor og forsvarssektoren beholdes.
Utkast til lov om sikkerhet i nettverk og informasjonssystemer skal sørge for at tilbydere av samfunnsviktige tjenester og tilbydere av enkelte digitale tjenester, basert på en risikovurdering, gjennomfører hensiktsmessige og forholdsmessige sikkerhetstiltak og varsler om alvorlige hendelser. Det skal føres tilsyn med etterlevelsen, og mangelfull etterlevelse kan sanksjoneres. NIS-direktivet er foreløpig ikke tatt inn i EØS-avtalen, men Justis- og beredskapsdepartementet legger til grunn at direktivet vil bli tatt inn etter hvert.
Tilbydere av samfunnsviktige tjenester omfatter tilbydere (ytere) innenfor samfunnssektorene energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur.
Tilbydere av digitale tjenester omfatter tilbydere av nettbaserte markedsplasser, nettbaserte søkemotorer og skytjenester. Tilbyder er her ikke avgrenset til privat sektor (kommersielle aktører i markedet).
NOU 2018: 14 IKT-sikkerhet i alle ledd
KS støtter prinsippene og anbefalingene fra Holte-utvalget, slik de er gjengitt ovenfor og beskrevet i utredningen. KS støtter også de beskrivelsene i rapporten som omhandler kommunal sektor, selv om perspektivet knyttet til behovet for at lovverket støtter opp om mulighetene til å levere helhetlige tjenester til innbyggere og næringsliv kunne vært understreket enda tydeligere.
Utkast til lov om sikkerhet i nettverk og informasjonssystemer bør i større grad baseres på prinsippene og anbefalingene i rapporten fra Holte-utvalget.
Utkast til lov om sikkerhet i nettverk og informasjonssystemer
KS mener det er positivt at det vedtas en lov om sikkerhet i nettverk og informasjonssystemer, som gjennomfører NIS-direktivet i norsk rett. Dette selv om Norge per dato ikke er forpliktet etter EØS-avtalen. Slik vi ser det, er det behov for å gi lovregler som vil øke IKT-sikkerheten i samfunnsviktige tjenester og digitale tjenester. KS mener at uten en slik lovregulering vil det være vanskelig å nå digitaliseringsmålene som er satt for offentlig og privat sektor blant annet i Digital Agenda for Norge.
KS mener at en lov om sikkerhet i nettverk og informassystemer og andre lover knyttet til IKT-sikkerhet, vil være svært viktig for kommunal sektor. Kommunal sektor derfor bør være representert i eventuelle fremtidige lovutvalg på dette området, som for eksempel utredning av en generell lov om IKT-sikkerhet.
KS mener det må være en målsetting å regulere dette området med en generell lov om IKT-sikkerhet som samler opp i seg hele feltet og definerer begreper, rammer og vilkår. KS vil understreke viktigheten av at generelle krav til IKT-sikkerhet må samles ett sted; i én lov. Vi mener at det kun er avvik fra hovedregelen som skal reguleres i særlover. Årsaken til dette, er at for kommunal sektor, som reguleres av svært mange særlover, vil dette være mer kostnadseffektiv, føre til raskere implementering og bedre etterlevelse av lovkravene og øke kunnskapen om lovkrav som stilles til IKT-sikkerhet. I tillegg vil en slik tilnærming til lovreguleringen bidra til lik praksis i offentlig og privat sektor og det vil være enklere for leverandørmarkedet å tilby løsninger og tjenester med riktig nivå på IKT-sikkerheten.
KS anbefaler derfor at utkastet til lov om sikkerhet i nettverk og informasjonstjenester endres på en slik måte at Holte-utvalgets anbefalinger innarbeides i lovforslaget. Særlig gjelder dette lovforslaget § 5 Forholdet til andre lover. Her er det etter KS’ mening nødvendig å endre tilnærmingsmåten til at lovutkastet setter rammene og det er unntak fra rammene og spesialbestemmelser som inngår i særlovene. Allerede en sammenligning av lovutkastet med lov om nasjonal sikkerhet viser at det er overlapping og behov for samordning og avklaring.
Økonomiske og administrative konsekvenser
I høringsnotatet er det vist til at det på nåværende tidspunkt ikke er klart hvilke virksomheter som vil bli omfattet av loven. Samtidig fremgår det at lovutkastet vil kunne innebære økte kostnader for berørte virksomheter. Når det gjelder eventuelle økte kostnader, har departementet lagt til grunn at offentlige myndigheter må ta av eksisterende budsjetter for å dekke merarbeidet, og det vil være opp til den enkelte sektor å omprioritere eller tilføre friske midler dersom eksisterende budsjettrammer ikke er tilstrekkelig.
Det er ingen tvil om at kommuner og fylkeskommuner vil omfattes av loven. De økonomiske kostnadene kan potensielt bli av en størrelsesorden som det ikke vil være mulig å finne dekning for innenfor eksisterende budsjettrammer i kommunesektoren. KS mener derfor det må være en klar forutsetning at kommuner og fylkeskommuner blir kompensert for merkostnadene lovendringen medfører, slik at virksomhetene gis reell mulighet til å oppfylle kravene på en god måte. Dette gjelder både engangskostnaden med å tilpasse seg regelverket når et nettverk eller et informasjonssystem underlegges loven, og de løpende kostnadene ved å vedlikeholde, oppgradere og drifte disse. Kommunene vil ha utfordringer med å etterleve de nye lovkravene dersom det ikke vil følge med bevilgninger til nødvendige tilpasninger.
Det må også påpekes at det er stor ulikhet i kommunenes gjennomføringsevne. Store kommuner vil lettere kunne gjennomføre endringer i krav til IKT-sikkerhet, sammenlignet med små kommuner. Dette betinger imidlertid tilstrekkelige ressurser og tid til å implementere endringer. Ved innføring av loven er det et behov for at staten bidrar til at alle kommuner evner å implementere loven.
Kristin Weidemann Wieland
områdedirektør Astrid Øksenvåg
KS viser til Justis- og beredskapsdepartementets høringsbrev av 21.12.2018 om NOU 2018: 14 IKT-sikkerhet i alle ledd og utkast til lov som gjennomfører NIS-direktivet i norsk rett.
Høringen omfatter både NOU 2018: 14 IKT-sikkerhet i alle ledd og utkast til lov om sikkerhet i nettverk og informasjonssystemer for gjennomføring av EUs NIS-direktiv i norsk rett.
NOU 2018: 14 IKT-sikkerhet i alle ledd er en utredning avgitt av Holte-utvalget. Utvalget legger tre overordnede prinsipper til grunn:
Arbeidet med IKT-sikkerhet må ha en risikobasert tilnærming som innebærer at vesentlig risiko prioriteres.
IKT-sikkerhet må balanseres opp mot brukervennlighet, økonomi og grunnleggende menneskerettigheter. En slik balanse innebærer at noe risiko må aksepteres for å oppnå økonomiske og sosial mål.
Arbeidet med IKT-sikkerhet krever en fleksibilitet i reguleringen og organiseringen slik at man kan tilpasse seg nye trusler, sårbarheter, teknologier og forretningsmodeller.
Utredningen inneholder fem anbefalinger for endringer innen IKT-sikkerhetsområdet:
Utvalget anbefaler at det nedsettes et eget lovutvalg som skal utrede en lov som stiller krav om IKT-sikkerhet til alle norske virksomheter.
Utvalget mener at det må stilles krav om IKT-sikkerhet ved alle offentlige anskaffelser. Anskaffelsesregelverket bør endres slik at oppdragsgiveren får en slik plikt.
Utvalget anbefaler at det etableres et nasjonalt IKT-sikkerhetssenter, etter en forutgående uavhengig behovs- og kostnadsanalyse.
Utvalget mener at myndighetsansvaret for IKT-sikkerhet i tilkoblede produkter og tjenester må reguleres og tydeliggjøres.
Utvalget mener at det må være tydeligere styring og bedre koordinering av nasjonal IKT-sikkerhet. Justis- og beredskapsdepartementet må i større grad være en synlig aktør på området IKT-sikkerhet. Justis- og beredskapsdepartementet og Forsvarsdepartementet må gjennomgå modellen for styring av NSM for å sikre at IKT-sikkerhet i sivil sektor blir bedre ivaretatt, samtidig som koblingen mellom sivil sektor og forsvarssektoren beholdes.
Utkast til lov om sikkerhet i nettverk og informasjonssystemer skal sørge for at tilbydere av samfunnsviktige tjenester og tilbydere av enkelte digitale tjenester, basert på en risikovurdering, gjennomfører hensiktsmessige og forholdsmessige sikkerhetstiltak og varsler om alvorlige hendelser. Det skal føres tilsyn med etterlevelsen, og mangelfull etterlevelse kan sanksjoneres. NIS-direktivet er foreløpig ikke tatt inn i EØS-avtalen, men Justis- og beredskapsdepartementet legger til grunn at direktivet vil bli tatt inn etter hvert.
Tilbydere av samfunnsviktige tjenester omfatter tilbydere (ytere) innenfor samfunnssektorene energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur.
Tilbydere av digitale tjenester omfatter tilbydere av nettbaserte markedsplasser, nettbaserte søkemotorer og skytjenester. Tilbyder er her ikke avgrenset til privat sektor (kommersielle aktører i markedet).
NOU 2018: 14 IKT-sikkerhet i alle ledd
KS støtter prinsippene og anbefalingene fra Holte-utvalget, slik de er gjengitt ovenfor og beskrevet i utredningen. KS støtter også de beskrivelsene i rapporten som omhandler kommunal sektor, selv om perspektivet knyttet til behovet for at lovverket støtter opp om mulighetene til å levere helhetlige tjenester til innbyggere og næringsliv kunne vært understreket enda tydeligere.
Utkast til lov om sikkerhet i nettverk og informasjonssystemer bør i større grad baseres på prinsippene og anbefalingene i rapporten fra Holte-utvalget.
Utkast til lov om sikkerhet i nettverk og informasjonssystemer
KS mener det er positivt at det vedtas en lov om sikkerhet i nettverk og informasjonssystemer, som gjennomfører NIS-direktivet i norsk rett. Dette selv om Norge per dato ikke er forpliktet etter EØS-avtalen. Slik vi ser det, er det behov for å gi lovregler som vil øke IKT-sikkerheten i samfunnsviktige tjenester og digitale tjenester. KS mener at uten en slik lovregulering vil det være vanskelig å nå digitaliseringsmålene som er satt for offentlig og privat sektor blant annet i Digital Agenda for Norge.
KS mener at en lov om sikkerhet i nettverk og informassystemer og andre lover knyttet til IKT-sikkerhet, vil være svært viktig for kommunal sektor. Kommunal sektor derfor bør være representert i eventuelle fremtidige lovutvalg på dette området, som for eksempel utredning av en generell lov om IKT-sikkerhet.
KS mener det må være en målsetting å regulere dette området med en generell lov om IKT-sikkerhet som samler opp i seg hele feltet og definerer begreper, rammer og vilkår. KS vil understreke viktigheten av at generelle krav til IKT-sikkerhet må samles ett sted; i én lov. Vi mener at det kun er avvik fra hovedregelen som skal reguleres i særlover. Årsaken til dette, er at for kommunal sektor, som reguleres av svært mange særlover, vil dette være mer kostnadseffektiv, føre til raskere implementering og bedre etterlevelse av lovkravene og øke kunnskapen om lovkrav som stilles til IKT-sikkerhet. I tillegg vil en slik tilnærming til lovreguleringen bidra til lik praksis i offentlig og privat sektor og det vil være enklere for leverandørmarkedet å tilby løsninger og tjenester med riktig nivå på IKT-sikkerheten.
KS anbefaler derfor at utkastet til lov om sikkerhet i nettverk og informasjonstjenester endres på en slik måte at Holte-utvalgets anbefalinger innarbeides i lovforslaget. Særlig gjelder dette lovforslaget § 5 Forholdet til andre lover. Her er det etter KS’ mening nødvendig å endre tilnærmingsmåten til at lovutkastet setter rammene og det er unntak fra rammene og spesialbestemmelser som inngår i særlovene. Allerede en sammenligning av lovutkastet med lov om nasjonal sikkerhet viser at det er overlapping og behov for samordning og avklaring.
Økonomiske og administrative konsekvenser
I høringsnotatet er det vist til at det på nåværende tidspunkt ikke er klart hvilke virksomheter som vil bli omfattet av loven. Samtidig fremgår det at lovutkastet vil kunne innebære økte kostnader for berørte virksomheter. Når det gjelder eventuelle økte kostnader, har departementet lagt til grunn at offentlige myndigheter må ta av eksisterende budsjetter for å dekke merarbeidet, og det vil være opp til den enkelte sektor å omprioritere eller tilføre friske midler dersom eksisterende budsjettrammer ikke er tilstrekkelig.
Det er ingen tvil om at kommuner og fylkeskommuner vil omfattes av loven. De økonomiske kostnadene kan potensielt bli av en størrelsesorden som det ikke vil være mulig å finne dekning for innenfor eksisterende budsjettrammer i kommunesektoren. KS mener derfor det må være en klar forutsetning at kommuner og fylkeskommuner blir kompensert for merkostnadene lovendringen medfører, slik at virksomhetene gis reell mulighet til å oppfylle kravene på en god måte. Dette gjelder både engangskostnaden med å tilpasse seg regelverket når et nettverk eller et informasjonssystem underlegges loven, og de løpende kostnadene ved å vedlikeholde, oppgradere og drifte disse. Kommunene vil ha utfordringer med å etterleve de nye lovkravene dersom det ikke vil følge med bevilgninger til nødvendige tilpasninger.
Det må også påpekes at det er stor ulikhet i kommunenes gjennomføringsevne. Store kommuner vil lettere kunne gjennomføre endringer i krav til IKT-sikkerhet, sammenlignet med små kommuner. Dette betinger imidlertid tilstrekkelige ressurser og tid til å implementere endringer. Ved innføring av loven er det et behov for at staten bidrar til at alle kommuner evner å implementere loven.
Kristin Weidemann Wieland
områdedirektør Astrid Øksenvåg