Justis- og beredskapsdepartementet
NHO svarer i det følgende på høring om utredningen fra IKT-sikkerhetsutvalget, NOU 2018:14 IKT-sikkerhet i alle ledd , og regjeringens utkast til lov som gjennomfører EUs direktiv om sikkerhet i nettverk og informasjonssystemer (NIS-direktivet) i norsk rett.
Store endringer i samfunn- og næringsliv med digitalisering som inkluderer bruk av kunstig intelligens, maskinlæring, stordata og tingenes internett bringer nye sikkerhetsmessige utfordringer med seg. Det kan hevdes at utfordringene eskaleres med dagens politiske situasjon med økte spenninger og polarisering. NHO anerkjenner behovet for å styrke arbeidet med IKT-sikkerhet, slik at vi i Norge best mulig kan opprettholde viktige norske verdier som tillit, trygghet og forutsigbarhet for enkeltmennesker og bedrifter. Samtidig må vi sørge for at samfunnet kan dra nytte av de positive effektene digitalisering og teknologisk utvikling gir. Sikkerhetsutvalgets utredning gir en god beskrivelse og analyse av endringer som bør gjøres for å møte de økte utfordringene på IKT-sikkerhet.
Styrket koordinering på myndighetssiden
Utvalget peker på behovet for tydeligere styring og bedre koordinering av nasjonal IKT-sikkerhet. NHO støtter dette synet og understreker behovet for en tydeliggjøring av hvilket ansvar og oppgaver de ulike departementer, etater og tilsyn har. Duplisering av offentlige myndighetsfunksjoner må unngås. For samfunnskritiske sektorer foreligger allerede krav til IKT-sikkerhet, og nytt lovverk og nye reguleringer må i minst mulig grad overlappe allerede eksisterende regelverk. Den teknologiske utviklingen gjør at forvaltningsområder som tidligere var tydelig adskilt, nå i større grad overlapper hverandre – f.eks. el-installasjoner og ekominstallasjoner – dette øker kravet til samarbeid og samordning på tvers av sektorer.
Tilsynsvirksomhet må koordineres slik at det ikke blir en unødig belastning for bedriftene.
Nasjonalt IKT-sikkerhetssenter og kompetanse
Bedriftene har et økende behov for informasjon, råd og veiledning fra offentlige myndigheter samtidig som myndighetene er avhengige av tidlig informasjon og innsyn i sikkerhetstrusler og -brudd. Situasjonen kan oppleves særlig krevende for små og mellomstore virksomheter.
Utvalgets forslag om at det etableres et nytt, nasjonalt IKT-sikkerhetssenter, for eksempel etter modell fra Nederland eller Danmark, er derfor positivt. Det er nødvendig med en avklaring av hvilke oppgaver det allerede igangsatte cybersikkerhetssenteret ved NSM skal ha for å unngå unødig overlapp.
Et nasjonalt IKT-sikkerhetssenter må ha kompetanse om cybersikkerhetstrusler på tvers av sektorer. Det er viktig at sentrene som opprettes ikke kun når de store bedriftene som allerede har evne til å ivareta egen sikkerhet. Bedriftene, særlig de små og mellomstore, vil ha nytte av et lavterskel tilbud der det er enkelt å få veiledning og råd og varsle om uønskede hendelser. Samarbeidet mellom offentlige og private sikkerhetsaktører må generelt kunne styrkes på dette området, f.eks. ved etablering av faste møteplasser og felles arenaer. NHO mener Næringslivets Sikkerhetsråd (NSR) bør få en viktig rolle i et mulig nytt IKT-sikkerhetssenter da det allerede har etablerte kanaler for kontakt med næringslivet, og god erfaring med dette.
Mangelen på IKT-sikkerhetskompetanse er allerede en utfordring for private så vel som offentlige virksomheter. Utvalgsrapporten adresserer denne kompetansemangelen og peker på den som en nasjonal sårbarhet, men kommer ikke med forslag til løsninger. NHO deler dette bildet, og mener det er svært viktig å øke kapasiteten og kvaliteten på IKT-fagene i skolen og høyere utdanning. Det må fortsatt jobbes aktivt med rekruttering til STEM-fagene, og det må legges vesentlig bedre til rette for etter- og videreutdanning innenfor digital kompetanse, inkludert IKT-sikkerhet, for de som allerede er i jobb.
Lovregulering for alle virksomheter
NHO stiller seg avventende til IKT-sikkerhetsutvalgets forslaget om at krav til IKT-sikkerhet i alle norske virksomheter skal reguleres i lov. Det vil si virksomheter som ikke treffes av sikkerhetsloven eller det foreliggende lovforslaget om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning. NHO mener behovet for en slik lovregulering foreløpig ikke er godt nok dokumentert, og at det bør gjøres en kartlegging av dette behovet som også sannsynliggjør at det vil ha ønsket effekt, før man setter i gang et lovarbeid. Utvalget påpeker selv behovet for at dette utredes nærmere, og sier at en slik utredning må omfatte økonomiske og administrative konsekvenser.
IKT-sikkerhet ved offentlige anskaffelser
Utvalget foreslår at det stilles krav om IKT-sikkerhet ved alle offentlige anskaffelser, og at anskaffelsesregelverket, statens standardavtaler og det tilhørende veiledningsmaterialet justeres i henhold til dette. NHO kan se hensiktsmessigheten av dette, men vil peke på at et slikt krav også betinger at innkjøper har tilstrekkelig kompetanse til å vurdere om kravet møtes. Før man innfører et så vidt omfattende krav bør man ha en plan for hvordan innkjøperkompetansen på dette feltet kan heves, slik at et krav om IKT-sikkerhet ved alle offentlige anskaffelser blir meningsfylt.
Ansvar for tilkoblede produkter og tjenester
Utvalget foreslår at ansvaret for tilkoblede produkter og tjenester (tingenes internett) i større grad flyttes over på produsent og leverandør, blant annet ved at det i større grad stilles krav om innebygd sikkerhet. NHO støtter dette synet om økt krav til innebygde sikkerhet ved utforming av design og løsninger. Videre mener NHO at Norge aktivt må delta i internasjonale fora som jobber med nettopp dette, for å sikre norsk bedrifters konkurranseposisjon. Det inkluderer for eksempel aktiv norsk deltakelse i ENISA som har fått et permanent mandat etter at EUs Cybersecurity Act ble vedtatt. Produkter og tjenester krysser i økende grad nasjonale grenser før de konsumeres, og et unilateralt norsk regelverk på IKT-sikkerhets området er derfor ikke optimalt for bedriftene.
Forslag til ny lov for implementering av NIS-direktivet
NHO er positiv til implementeringen av NIS-direktivet i norsk lov slik at norske virksomheter er underlagt det samme regelverket som bedriftene i resten av EØS. Sammen med regelverket på personvernområdet som også er innført, sikrer det at norske bedrifter oppfattes som like "sikre" som sine europeiske konkurrenter. NHO anerkjenner departementets vurdering av at det er hensiktsmessig med en implementering som er sektorovergripende, fremfor å endre sektorlovgivningen slik man har valgt i enkelte andre land.
Implementeringen av NIS-direktivet vil bety innføring av lovgivning og nye IKT-sikkerhetskrav til tilbydere av digitale tjenester (online marketplace, online search engine, cloud computing) som foreløpig ikke har vært underlagt slike krav. Det hadde vært hensiktsmessig med en kartlegging av hvor mange virksomheter dette faktisk gjelder, slik man har gjort i Sverige og Storbritannia. Det er påliggende at regelverket som nå innføres er enkelt og gjennomførbart for bedriftene det omfatter, og at myndighetenes opplysning- og informasjonsvirksomhet rundt dette er god.
En av pliktene som nå innføres for tilbyderne av digitale tjenester er varslingsplikten. Det vil være avgjørende at det gjøres enkelt for bedriftene å varsle, jf forslaget om et lavterskeltilbud ovenfor.
Stabile rammebetingelser
NHO mener en god, digital offentlig sektor er et konkurransefortrinn for norsk næringsliv. Flere av forslagen fra sikkerhetsutvalget vil kunne bidra til en ønsket profesjonalisering av offentlig sektor hva gjelder IKT-sikkerhet, som igjen er en forutsetning for at man skal kunne høste gevinstene av digitaliseringen.
Imidlertid har det på forholdsvis kort tid enten blitt innført, eller har kommet forslag til, svært mye ny lovgivning og regulering innenfor det digitale feltet; GDPR, sikkerhetslov, e-tjenestelov, NIS-lov, nye regler for offentlige anskaffelser osv. Det er et poeng at myndighetene søker å harmonisere og standardisere bruk av begreper, og at nytt regelverk er basert på funksjonsbeskrivelser fremfor tekniske spesifikasjoner. Nye lover og regler må ta høyde for den raske omstillingen vi nå står midt opp i, slik at de ikke "låser" utviklingen eller raskt blir foreldet. For NHOs bedrifter er stabile rammebetingelser av avgjørende betydning.
NÆRINGSLIVETS HOVEDORGANISASJON
Administrerende direktør
NHO svarer i det følgende på høring om utredningen fra IKT-sikkerhetsutvalget, NOU 2018:14 IKT-sikkerhet i alle ledd , og regjeringens utkast til lov som gjennomfører EUs direktiv om sikkerhet i nettverk og informasjonssystemer (NIS-direktivet) i norsk rett.
Store endringer i samfunn- og næringsliv med digitalisering som inkluderer bruk av kunstig intelligens, maskinlæring, stordata og tingenes internett bringer nye sikkerhetsmessige utfordringer med seg. Det kan hevdes at utfordringene eskaleres med dagens politiske situasjon med økte spenninger og polarisering. NHO anerkjenner behovet for å styrke arbeidet med IKT-sikkerhet, slik at vi i Norge best mulig kan opprettholde viktige norske verdier som tillit, trygghet og forutsigbarhet for enkeltmennesker og bedrifter. Samtidig må vi sørge for at samfunnet kan dra nytte av de positive effektene digitalisering og teknologisk utvikling gir. Sikkerhetsutvalgets utredning gir en god beskrivelse og analyse av endringer som bør gjøres for å møte de økte utfordringene på IKT-sikkerhet.
Styrket koordinering på myndighetssiden
Utvalget peker på behovet for tydeligere styring og bedre koordinering av nasjonal IKT-sikkerhet. NHO støtter dette synet og understreker behovet for en tydeliggjøring av hvilket ansvar og oppgaver de ulike departementer, etater og tilsyn har. Duplisering av offentlige myndighetsfunksjoner må unngås. For samfunnskritiske sektorer foreligger allerede krav til IKT-sikkerhet, og nytt lovverk og nye reguleringer må i minst mulig grad overlappe allerede eksisterende regelverk. Den teknologiske utviklingen gjør at forvaltningsområder som tidligere var tydelig adskilt, nå i større grad overlapper hverandre – f.eks. el-installasjoner og ekominstallasjoner – dette øker kravet til samarbeid og samordning på tvers av sektorer.
Tilsynsvirksomhet må koordineres slik at det ikke blir en unødig belastning for bedriftene.
Nasjonalt IKT-sikkerhetssenter og kompetanse
Bedriftene har et økende behov for informasjon, råd og veiledning fra offentlige myndigheter samtidig som myndighetene er avhengige av tidlig informasjon og innsyn i sikkerhetstrusler og -brudd. Situasjonen kan oppleves særlig krevende for små og mellomstore virksomheter.
Utvalgets forslag om at det etableres et nytt, nasjonalt IKT-sikkerhetssenter, for eksempel etter modell fra Nederland eller Danmark, er derfor positivt. Det er nødvendig med en avklaring av hvilke oppgaver det allerede igangsatte cybersikkerhetssenteret ved NSM skal ha for å unngå unødig overlapp.
Et nasjonalt IKT-sikkerhetssenter må ha kompetanse om cybersikkerhetstrusler på tvers av sektorer. Det er viktig at sentrene som opprettes ikke kun når de store bedriftene som allerede har evne til å ivareta egen sikkerhet. Bedriftene, særlig de små og mellomstore, vil ha nytte av et lavterskel tilbud der det er enkelt å få veiledning og råd og varsle om uønskede hendelser. Samarbeidet mellom offentlige og private sikkerhetsaktører må generelt kunne styrkes på dette området, f.eks. ved etablering av faste møteplasser og felles arenaer. NHO mener Næringslivets Sikkerhetsråd (NSR) bør få en viktig rolle i et mulig nytt IKT-sikkerhetssenter da det allerede har etablerte kanaler for kontakt med næringslivet, og god erfaring med dette.
Mangelen på IKT-sikkerhetskompetanse er allerede en utfordring for private så vel som offentlige virksomheter. Utvalgsrapporten adresserer denne kompetansemangelen og peker på den som en nasjonal sårbarhet, men kommer ikke med forslag til løsninger. NHO deler dette bildet, og mener det er svært viktig å øke kapasiteten og kvaliteten på IKT-fagene i skolen og høyere utdanning. Det må fortsatt jobbes aktivt med rekruttering til STEM-fagene, og det må legges vesentlig bedre til rette for etter- og videreutdanning innenfor digital kompetanse, inkludert IKT-sikkerhet, for de som allerede er i jobb.
Lovregulering for alle virksomheter
NHO stiller seg avventende til IKT-sikkerhetsutvalgets forslaget om at krav til IKT-sikkerhet i alle norske virksomheter skal reguleres i lov. Det vil si virksomheter som ikke treffes av sikkerhetsloven eller det foreliggende lovforslaget om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning. NHO mener behovet for en slik lovregulering foreløpig ikke er godt nok dokumentert, og at det bør gjøres en kartlegging av dette behovet som også sannsynliggjør at det vil ha ønsket effekt, før man setter i gang et lovarbeid. Utvalget påpeker selv behovet for at dette utredes nærmere, og sier at en slik utredning må omfatte økonomiske og administrative konsekvenser.
IKT-sikkerhet ved offentlige anskaffelser
Utvalget foreslår at det stilles krav om IKT-sikkerhet ved alle offentlige anskaffelser, og at anskaffelsesregelverket, statens standardavtaler og det tilhørende veiledningsmaterialet justeres i henhold til dette. NHO kan se hensiktsmessigheten av dette, men vil peke på at et slikt krav også betinger at innkjøper har tilstrekkelig kompetanse til å vurdere om kravet møtes. Før man innfører et så vidt omfattende krav bør man ha en plan for hvordan innkjøperkompetansen på dette feltet kan heves, slik at et krav om IKT-sikkerhet ved alle offentlige anskaffelser blir meningsfylt.
Ansvar for tilkoblede produkter og tjenester
Utvalget foreslår at ansvaret for tilkoblede produkter og tjenester (tingenes internett) i større grad flyttes over på produsent og leverandør, blant annet ved at det i større grad stilles krav om innebygd sikkerhet. NHO støtter dette synet om økt krav til innebygde sikkerhet ved utforming av design og løsninger. Videre mener NHO at Norge aktivt må delta i internasjonale fora som jobber med nettopp dette, for å sikre norsk bedrifters konkurranseposisjon. Det inkluderer for eksempel aktiv norsk deltakelse i ENISA som har fått et permanent mandat etter at EUs Cybersecurity Act ble vedtatt. Produkter og tjenester krysser i økende grad nasjonale grenser før de konsumeres, og et unilateralt norsk regelverk på IKT-sikkerhets området er derfor ikke optimalt for bedriftene.
Forslag til ny lov for implementering av NIS-direktivet
NHO er positiv til implementeringen av NIS-direktivet i norsk lov slik at norske virksomheter er underlagt det samme regelverket som bedriftene i resten av EØS. Sammen med regelverket på personvernområdet som også er innført, sikrer det at norske bedrifter oppfattes som like "sikre" som sine europeiske konkurrenter. NHO anerkjenner departementets vurdering av at det er hensiktsmessig med en implementering som er sektorovergripende, fremfor å endre sektorlovgivningen slik man har valgt i enkelte andre land.
Implementeringen av NIS-direktivet vil bety innføring av lovgivning og nye IKT-sikkerhetskrav til tilbydere av digitale tjenester (online marketplace, online search engine, cloud computing) som foreløpig ikke har vært underlagt slike krav. Det hadde vært hensiktsmessig med en kartlegging av hvor mange virksomheter dette faktisk gjelder, slik man har gjort i Sverige og Storbritannia. Det er påliggende at regelverket som nå innføres er enkelt og gjennomførbart for bedriftene det omfatter, og at myndighetenes opplysning- og informasjonsvirksomhet rundt dette er god.
En av pliktene som nå innføres for tilbyderne av digitale tjenester er varslingsplikten. Det vil være avgjørende at det gjøres enkelt for bedriftene å varsle, jf forslaget om et lavterskeltilbud ovenfor.
Stabile rammebetingelser
NHO mener en god, digital offentlig sektor er et konkurransefortrinn for norsk næringsliv. Flere av forslagen fra sikkerhetsutvalget vil kunne bidra til en ønsket profesjonalisering av offentlig sektor hva gjelder IKT-sikkerhet, som igjen er en forutsetning for at man skal kunne høste gevinstene av digitaliseringen.
Imidlertid har det på forholdsvis kort tid enten blitt innført, eller har kommet forslag til, svært mye ny lovgivning og regulering innenfor det digitale feltet; GDPR, sikkerhetslov, e-tjenestelov, NIS-lov, nye regler for offentlige anskaffelser osv. Det er et poeng at myndighetene søker å harmonisere og standardisere bruk av begreper, og at nytt regelverk er basert på funksjonsbeskrivelser fremfor tekniske spesifikasjoner. Nye lover og regler må ta høyde for den raske omstillingen vi nå står midt opp i, slik at de ikke "låser" utviklingen eller raskt blir foreldet. For NHOs bedrifter er stabile rammebetingelser av avgjørende betydning.
NÆRINGSLIVETS HOVEDORGANISASJON
Administrerende direktør