🏠 Forside § Lover 📜 Forskrifter 💼 Bransjeforskrifter 📰 Lovtidend 🏛 Stortingsvoteringer Domstoler 🇪🇺 EU/EØS 📄 Siste endringer 📚 Rettsomrader 📊 Statistikk 🔍 Avansert sok Hjelp
Hjem / Horinger / Horing / Horingssvar
Regjeringen
Til horingen: Høring – NOU 2018: 14 IKT-sikkerhet i alle ledd og utkast til lov som gjennomfør...

Posten Norge AS

Departement: Familiedepartementet
Dato: 21.03.2019 Fra: Posten Norge AS Dato: 21.3.2019 Sak: Høringsuttalelse IKT-sikkerhetsutvalget og utkast til ny IKT-sikkerhetslov Oppsummering av våre synspunkter: Sak 1: 1, Vi støtter forslaget om at NIS-direktivet innarbeides i norsk lovgivning. 2, Vi støtter forslaget om at det etableres et Nasjonalt IKT-sikkerhetssenter. 3, Vi støtter forslaget om at det stilles krav om IKT-sikkerhet ved offentlige anskaffelser. 4, Vi støtter forslaget om en tydeligere regulering av og ansvar for tilkoblede produkter og tjenester. 5, Vi støtter forslaget om at det skal utøves et tydeligere lederskap for nasjonal IKT-sikkerhet for samfunnskritiske virksomheter, men vi tar ikke stilling til hvor dette ansvaret skal ligge. Sak 2: Posten Norge AS støtter forslaget om at NIS-direktivet innarbeides i norsk lovgivning. Men før det besluttes å innføre noen ny lov, bør det gjennomføres en grundigere vurdering av muligheter for å tilpasse eksisterende lovgivning og praksis til å omfatte krav fra NIS-direktivet. Det viktigste underlaget for denne vurderingen bør være sikkerhetsloven, samt prinsipper i godkjenningsprosessen for graderte informasjonssystemer og Norges deltakelse i den internasjonale sertifiseringsordningen for IT-sikkerhet i produkter og systemer (NSM/SERTIT). SAK 1. Utredning fra IKT-sikkerhetsutvalget (Holte-utvalget) NOU 2018: 14 IKT-sikkerhet i alle ledd - Organisering og regulering av nasjonal IKT-sikkerhet. Holte-utvalgets mandat var å vurdere behovet for rettslige og organisatoriske endringer innenfor IKT-sikkerhetsområdet. Utvalget har fem hovedanbefalinger: 1. Ny lov om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning Med utgangspunkt i IKT-risikobildet er det viktig med en lovgivning hvor det stilles relevante og konkrete krav om forsvarlig IKT-sikkerhet, men uten at det er overlapp mellom ulike lover. Posten Norge AS mener det vil være hensiktsmessig å harmonisere eksisterende lovverk før det besluttes om det skal etableres en ny IKT-sikkerhetslov for samfunnskritiske virksomheter. Det er videre viktig å sørge for at det blir enhetlig begrepsbruk i lover og forskrifter som stiller krav om IKT-sikkerhet, og at man gjør en grundig vurdering av hva som kan gjenbrukes av eksisterende sikkerhetskrav og praksis. For eksempel bør muligheter vurderes for å legge seg opp mot krav som NSM har etablert for godkjenningsprosessen for graderte informasjonssystemer. Den nye sikkerhetsloven stiller også krav om sikring av IKT-systemer som har betydning for nasjonale funksjoner eller skjermingsverdige informasjonssystemer. 2. Det må stilles krav om IKT-sikkerhet ved alle offentlige anskaffelser Posten Norge AS stiller allerede krav om IKT-sikkerhet i anskaffelser og anser dette som en selvfølge. Ved å tydeliggjøre krav om dette fra myndighetshold vil vi trolig oppleve en rask modning og mer enhetlig tilnærming på området. Det vil ha positive effekter i form av mer effektiv og bedre kvalitet på offentlige anskaffelser. 3. Nasjonalt IKT-sikkerhetssenter Posten Norge AS stiller seg positiv til at myndighetene bidrar til økt koordinering av råd og veiledning innen IKT-sikkerhetsområdet. Vi ser også behovet for mer effektiv informasjonsdeling når uønskede digitale hendelser skal håndteres. Med dette som bakgrunn er vi positive til å bistå aktivt i arbeidet som det foreslås i det nasjonale IKT-sikkerhetssenteret. 4. Tydeligere regulering av og ansvar for tilkoblede produkter og tjenester Posten Norge AS er positive til tiltak som bidrar til at det blir stilt formelle krav til regulering av IKT-sikring av tilkoblede produkter og tjenester som lanseres på det norske markedet for bruk i samfunnsviktige funksjoner. Vi ser at dette kan være utfordrende uten å knytte reguleringen opp mot en form for sertifiseringsordning. Det vil være nyttig å kunne forholde seg til ulike tillitsnivåer for IKT-produkter ved anskaffelse og for implementering. Sertifiseringsmyndigheten for IT-sikkerhet i Norge ved SERTIT er allerede etablert i det internasjonale Common Criteria Recognition Arrangement (CCRA) som baserer seg på ISO/IEC 15408. Dette arbeidet burde vurderes opp mot den foreslåtte reguleringen for IKT-sikkerhet i produkter og tjenester. 5. Justis- og beredskapsdepartementet må utøve et tydeligere lederskap for nasjonal IKT-sikkerhet Posten Norge AS ser nytte av økt samarbeid innen IKT-sikkerhet for samfunnsviktige virksomheter og offentlig forvaltning. Et slikt lederskap må bidra til mer aktiv samordning med alle departementer som har ansvar for tilgrensende områder innenfor IKT-sikkerhet. SAK 2. Regjeringens utkast til lov som gjennomfører EUs direktiv om sikkerhet i nettverk og informasjonssystemer (NIS-direktivet) i norsk rett. 1. I hvilken grad arbeides det per i dag systematisk med IKT-sikkerhet i din virksomhet? Følges for eksempel visse standarder for sikkerhetsstyring eller internkontroll? Ja, Posten Norge AS har implementert et styringssystem for informasjonssikkerhet. 2. Beskriv hvilke positive konsekvenser forslaget til gjennomføring av NIS-direktivet vil få for din virksomhet. Posten Norge AS jobber kontinuerlig med tiltak for å gjøre oss best mulig rustet til å stå imot angrep mot våre nettverk og IKT-systemer. Vi antar at gjennomføring av NIS-direktivet vil styrke de fleste virksomheters IKT-sikkerhet ved at lovkravene blir tydeligere innenfor området. Når IKT-sikkerhetskrav er forankret i lovkrav, vil dette bidra til at virksomhetene får et større incitament til å gjennomføre IKT-sikkerhetstiltak – også de som er kostnadsdrivende. 3. Beskriv hvilke negative konsekvenser forslaget til gjennomføring av NIS-direktivet vil få for din virksomhet. Vi må forvente økte kostnader til gjennomføring av tilsyn, håndtering av varsler og dokumentasjon av etterlevelse. Innføringen kan også medføre unødvendig merarbeid som følge av overlapp med sikkerhetskrav i gjeldende lovverk. 4. Er din virksomhet per i dag underlagt krav til IKT-sikkerhet og varsling? Hvilket regelverk - lover, forskrifter eller annet - er det som stiller slike krav? Ja, Personopplysningsloven (Datatilsynet), Postloven (Nkom) og Sikkerhetsloven (NSM). 5. Bør en slik lov som foreslås i denne høringen vedtas selv om vi ikke er forpliktet til det i henhold til EØS-avtalen? Sikkerhetskrav som stilles i NIS-direktivet bør være dekket av norsk lovgivning. Men det bør gjøres en grundigere vurdering av muligheter for å tilpasse eksisterende lovgivning og praksis for å omfatte krav fra NIS-direktivet. Dersom NIS-direktivets bestemmelser kan bli fulgt gjennom enklere tilpasning av gjeldende lovverk og virke, kan det være å foretrekke fremfor å etablere enda en lov. For eksempel: A) Sikkerhetstiltak i rimelig forhold til risikoen , I hvilken grad prinsippene i NSM sin godkjenningsprosess for graderte systemer kan tilpasses for å omfatte samfunnsviktige informasjonssystemer. Deriblant måten som Kravspesifikasjon for sikkerhet (KSS) knytter sikkerhetskravene som skal legges til grunn for at informasjonssystemet, kan bli sikkerhetsgodkjent opp mot risiko. B) Regulering av tilkoblede produkter , I hvilken grad Norges deltakelse i den internasjonale sertifiseringsordningen for IT-sikkerhet i produkter og systemer (NSM/SERTIT), kan få et viktigere mandat innenfor samfunnsviktige funksjoner. Vi har lagt vekt på at ny sikkerhetslov omfatter informasjonssystemer, infrastruktur og objekter av sentral betydning for nasjonal sikkerhet. Dette omfatter virksomheter innenfor de aller fleste samfunnssektorene, deriblant samferdsel. Justis- og beredskapsdepartementet Til høringen Til toppen <div class="page-survey" data-page-survey="133" data-page-survey-api="/api/survey/SubmitPageSurveyAnswer" data-text-hidden-title="Tilbakemeldingsskjema" data-text-question="Fant du det du lette etter?"