Høringssvar – Høring NOU 2018: 14 IKT-sikkerhet i alle ledd og utkast til lov som gjennomfører NIS-direktivet i norsk rett
Unit – Direktoratet for IKT og fellestjenester i høyere utdanning og forskning (Unit) viser til høring om NOU 2018: 14 IKT-sikkerhet i alle ledd og utkast til lov som gjennomfører NIS-direktivet i norsk rett av 21.12.2019 fra Justis- og beredskapsdepartementet, der departementet ber om innspill på følgende spørsmål:
I hvilken grad arbeides det per i dag systematisk med IKT-sikkerhet i din virksomhet? Følges for eksempel visse standarder for sikkerhetsstyring eller internkontroll? Beskriv hvilke positive konsekvenser forslaget til gjennomføring av NIS-direktivet vil få for din virksomhet. Beskriv hvilke negative konsekvenser forslaget til gjennomføring av NIS-direktivet vil få for din virksomhet. Er din virksomhet per i dag underlagt krav til IKT-sikkerhet og varsling? Hvilket regelverk – lover, forskrifter eller annet – er det som stiller slike krav? Bør en slik lov som foreslås i denne høringen vedtas selv om vi ikke er forpliktet til det i henhold til EØS-avtalen?
I det følgende vil Unit komme med sine tilbakemeldinger til høringen.
Unit støtter de foreslåtte organisatoriske og regulatoriske tiltak for å styrke den nasjonale IKT-sikkerheten.
Unit har ansvar for løpende sektorstyring på området informasjonssikkerhet og personvern i universitets- og høyskolesektoren, og vi følger opp Kunnskapsdepartementets digitaliseringsstrategi og dens målbilder for informasjonssikkerhet og personvern. Disse målbildene er:
· Helhetlig styring av informasjonssikkerhet og personvern er et fundament for digitalisering og strategiske satsinger i sektoren.
· Institusjonene har egeninteresse i å løfte kravene til informasjonssikkerhet og personvern høyere enn de nasjonale minstekravene basert på informasjonens verdi.
· Ledelsen ivaretar institusjonenes informasjonsverdier, og følger nasjonale føringer gjennom et systematisk arbeid for tilfredsstillende informasjonssikkerhet og personvern.
· Forskere ivaretar informasjonssikkerheten til data, herunder forskningsdata, og ivaretar forskningsdeltakernes personvern på en tilfredsstillende måte.
· Studenter og ansatte er i stand til å håndtere data slik at hensynet til informasjonssikkerhet og personvern ivaretas.
· All bruk av data og IKT i sektoren ivaretar hensynet til informasjonssikkerhet og personvern gjennom hele livsløpet (innebygd informasjonssikkerhet og personvern).
For å styrke styringen av informasjonssikkerhet og personvern i høyere utdanning og forskning, har Kunnskapsdepartementet nylig innført en ny styringsmodell basert på standarden ISO/IEC 27014:2013. Viktige prinsipper i modellen er helhetlig risikostyring, mål- og resultatstyring og kontinuerlig forbedring. Unit arbeider våren 2019 med å implementere styringsmodellen i universitets- og høyskolesektoren, og hos Kunnskapsdepartementets underliggende etater (Norges forskningsråd, De nasjonale forskningsetiske komiteene, NOKUT, Diku, Nupi, Uninett AS, Simula AS, NSD AS og UNIS AS).
2. Tilbakemelding på utredning og anbefalinger fra IKT-sikkerhetsutvalget NOU 2018: 14 Sikkerhet i alle ledd
Unit støtter foreslåtte organisatoriske og regulatoriske tiltak for å styrke den nasjonale IKT-sikkerheten, samt de overordnede prinsippene som legges til grunn (risikobasert tilnærming til IKT-sikkerhet, balanse mellom IKT-sikkerhet og brukervennlighet, økonomi og grunnleggende menneskerettigheter, fleksibilitet i reguleringen og organiseringen for å tilpasse seg nye trusler, sårbarheter, teknologier og forretningsmodeller).
2.1. Ny lov om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning
Samtidig med Holte-utvalgets arbeid har regjeringen utarbeidet et utkast til lov som gjennomfører NIS-direktivet i norsk rett. Lovutkastet og det tilhørende høringsnotatet viser hvilke minimumsforpliktelser som følger av NIS-direktivet. Det innebærer blant annet at det i høringsnotatet ikke tas stilling til Holte-utvalgets anbefalinger.
2.2. Det må stilles krav om IKT-sikkerhet ved alle offentlige anskaffelser
Unit støtter utvalgets vurdering og anbefaling om krav om IKT-sikkerhet ved alle offentlige anskaffelser herunder at SSAene endres slik at IKT-sikkerhet blir tydeligere ivaretatt.
Unit er leverandør av fellestjenester til høyere utdanning og forskning, og gjennomfører i den forbindelse forhandlinger og anskaffelser av rammeavtaler. Unit og institusjonene i universitets- og høyskolesektoren ser et behov for en tettere oppfølging av tjenesteleverandørene, og et sett med standardiserte felles krav til informasjonssikkerhet. Felles krav vil innebære en stor besparelse for institusjonene i universitets- og høyskolesektoren som i dag utarbeider hver for seg relevante funksjonelle og sikkerhetsmessige krav for leveransene.
Tiltak som risikovurdering ved anskaffelser og endring av SSA, vil bidra til at IKT-sikkerhet ivaretas på en bedre måte. Det er samtidig viktig at nivå på kompleksiteten i anskaffelsesregelverk ikke økes ytterligere slik at den kommer i konflikt med muligheten for det offentlige å stimulere til innovasjon og utvikling av fremtidsrettede løsninger.
2.3. Nasjonalt IKT- sikkerhetssenter
Unit støtter utvalgets vurdering om at det er behov for å styrke koordinering og samordning av IKT-sikkerhet mellom sektorer. Etablering av et nasjonalt kontaktpunkt for IKT-sikkerhet vil bidra til en bedre koordineringsmekanisme, bedre oppgaveløsning og mer effektivt samarbeid mellom etater med tverrsektorielt ansvar for nasjonal IKT-sikkerhet.
Det er i dag flere miljøer med kompetanse på IKT-sikkerhet. Unit anbefaler derfor at - for å unngå å bygge et nytt ledd i det tverretatlige organisasjonskartet – et eksisterende miljø får utvidet eller nytt mandat for å ivareta det nasjonale ansvaret.
Etablering av et nasjonalt kontaktpunkt vil gi økt fokus på informasjonssikkerhet og behovet for kompetanseheving på tvers av ulike miljøer. Det er derimot viktig at etablering av et slikt kontaktpunkt eller et nasjonalt senter koordineres godt med de ulike pågående initiativer igangsatt av departementene.
Unit vil i denne forbindelse vise til at det er igangsatt flere initiativer for styrket IKT-sikkerhet i høyere utdanning og forskning. Som nevnt arbeider Unit i samråd med Kunnskapsdepartementet, med å implementere ny styringsmodell for informasjonssikkerhet og personvern i universitets- og høyskolesektoren. Unit arbeider også med å implementere rammeverk for håndtering av IKT-sikkerhetshendelser i høyere utdanning og forskning. Et av formålene med rammeverket er å effektivt håndtere alvorlige IKT-hendelser fra virksomhetsnivå til politisk nivå, gjennom god utnyttelse av samfunnets samlede ressurser. Unit vil i 2019 i samarbeid med Uninett AS etablere en funksjon for sektorspesifikt responsmiljø. I tillegg til å løfte den generelle hendelseshåndteringen i hele sektoren i tråd med NSMs regelverk, er det satt i gang et arbeid for å etablere helhetlig og felles deteksjons- og analysekapasitet for å styrke evnen til å forebygge, oppdage og håndtere sikkerhetshendelser i forskningsnettet. For å sikre kompetansedeling og kompetanseheving vil det i 2019 utredes forslag til hvordan universitets- og høyskolesektoren kan tilbys rådgivningstjenester på området informasjonssikkerhet.
2.4. Tydeligere regulering av og ansvar for tilkoblede produkter og tjenester
Unit støtter utvalgets anbefaling om at ansvaret for IKT-sikkerhet flyttes fra forbrukeren til produsenten og leverandørene, gjennom krav om innebygd sikkerhet i produkter og tjenester som er tilkoblet internett.
Det er samtidig viktig at myndighetene og virksomheter i offentlig forvaltning holder kontinuerlig fokus på risikobasert tilnærming og kompetanseheving innen informasjonssikkerhet i ulike brukergrupper (i universitets- og høyskolesektoren: Forsker, student, søker, ansatt). Virksomhetene må stilles krav som bidrar at krav for tilgjengeliggjøring og sikring av informasjon balanseres samt at det arbeidet med IKT-sikkerhet bidrar i lik grad til å oppfylle krav til tilgjengelighet, konfidensialitet og integritet i informasjon som behandles.
2.5. Justis- og beredskapsdepartementet må utøve et tydeligere lederskap for nasjonal IKT-sikkerhet.
Unit støtter utvalgets anbefaling om tydeligere styring og bedre koordinering av nasjonalt IKT-sikkerhet. Utvalget mener at Justis- og beredskapsdepartementet i større grad må være en synlig aktør som tar initiativ, løser opp i uklarheter, definerer mål, koordinerer og samordner arbeidet med nasjonalt IKT-sikkerhet. Unit vil i denne sammenheng trekke frem rollen som Difi - Direktoratet for IKT og offentlig forvaltning har hatt når det gjelder koordinering av dialog med virksomheter som har en nasjonal rolle i offentlig forvaltning på alle områder knyttet til digitalisering, også informasjonssikkerhet. Det er derfor viktig at fremtidig arbeid for tydeligere styring og bedre koordinering på tvers av etater forankres eller koordineres med Difi.
Kunnskapsdepartementet har tydelig definert og plassert tilsynsmyndigheten på området IKT-sikkerhet i universitets- og høyskolesektoren hos NOKUT – Nasjonalt organ for kvalitet i utdanningen. Dersom det innføres en ny nasjonal styringsmodell for IKT-sikkerhet, må tilsynsmyndigheten være entydig definert. Forholdet til Riksrevisjonen må også avklares entydig.
3. Tilbakemelding på utkast til lov som gjennomfører NIS-direktivet i norsk rett
Per i dag forholder Unit seg til de nasjonale kravene til IKT-sikkerhet som stilles blant annet i e-forvaltningsforskriften § 15, GDPR og personopplysningsloven, NSMs grunnprinsipper for IKT-sikkerhet, veiledninger fra Difi o.l. Unit forholder seg også til de politiske føringer på området IKT-sikkerhet, gitt av Regjeringen i Digitaliseringsrundskrivet og vårt eierdepartement Kunnskapsdepartementet. Unit har også vedtatt et ledelsessystem for informasjonssikkerhet og personvern, basert på ISO27001.
Unit tilbyr flere digitale tjenester til universitets- og høyskolesektoren. Tjenestene omfatter blant annet bruk av skytjenester, og våre underleverandører faller inn under definisjonen av “tilbydere av digitale tjenester”. Unit er også eier av Uninett AS som leverer digital infrastruktur til universitets- og høyskolesektoren. Vår vurdering er derfor at Unit faller inn under virkeområdet til den nye loven om sikkerhet i nettverk og informasjonssystemer.
Unit anbefaler at det i loven differensieres mellom ulike typer skytjenester (laaS, Paas og Saas), og om tjenestene leveres som offentlige eller private skytjenester (public og private cloud) . Vi mener at det spesielt er offentlige laaS-skytjenester som er sentrale i felles nasjonal infrastruktur og systemer, og hvor det følgelig er mest viktig at loven stiller krav til tilbydere.
Kravene om sikkerhet og varsling til hhv. tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester, vil sørge for å sette arbeid med risikovurderinger, sikkerhetstiltak og varsling av avvik ytterligere på agendaen i de aktuelle virksomhetene. Det er likevel viktig at gis tydelig veiledning om forholdet mellom den nye loven og lovpålagte krav til sikkerhet som i dag følger av andre lover. Det er noe uklart hvilket regelverk som har strengere eller tilsvarende krav som den nye loven om sikkerhet i nettverk og informasjonssystemer, og i hvilke tilfeller § 5 i lovutkastet vil være aktuelt.
§ 6 i lovutkastet handler om behandling av personopplysninger, og gir etter vår vurdering tilstrekkelig behandlingsgrunnlag (rettslig grunnlag) for behandling av personopplysninger for å oppfylle de oppgaver som følger av loven, jf. GDPR artikkel 6. Bestemmelsen i den nye loven gir likevel ikke noen avklaring på forholdet mellom de krav til informasjonssikkerhet som følger av GDPR og de krav til sikkerhet som følger av den nye loven. Det samme gjelder kravene til varsling om hendelser. Forholdet mellom GDPR og den nye loven bør avklares nærmere, blant annet med tanke på i hvilken rekkefølge reglene skal etterleves hvis det oppstår hendelser som er omfattet av begge regelverk. For eksempel ved hendelser som både innebærer brudd på informasjonssikkerhet og brudd på personopplysningssikkerhet.
Videre er det viktig at det informeres godt om forholdet mellom tilsynsmyndigheten i den nye loven og andre tilsynsmyndigheter som har områder som grenser mot informasjonssikkerhet, som for eksempel Datatilsynet og Riksrevisjonen. Det er også nødvendig at den nye tilsynsmyndigheten koordinerer seg med for eksempel Datatilsynet, slik at en virksomhet ikke blir ilagt overtredelsesgebyr for omtrent samme forhold av to tilsynsmyndigheter.
Unit anser det som positivt at tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester får like krav til sikkerhet og varsling, og støtter at loven vedtas uavhengig av hvilket tidspunkt NIS-direktivet tas inn i EØS-avtalen.
Assisterende direktør
Seksjonssjef Jus og Informasjonssikkerhet
Unit – Direktoratet for IKT og fellestjenester i høyere utdanning og forskning (Unit) viser til høring om NOU 2018: 14 IKT-sikkerhet i alle ledd og utkast til lov som gjennomfører NIS-direktivet i norsk rett av 21.12.2019 fra Justis- og beredskapsdepartementet, der departementet ber om innspill på følgende spørsmål:
I hvilken grad arbeides det per i dag systematisk med IKT-sikkerhet i din virksomhet? Følges for eksempel visse standarder for sikkerhetsstyring eller internkontroll? Beskriv hvilke positive konsekvenser forslaget til gjennomføring av NIS-direktivet vil få for din virksomhet. Beskriv hvilke negative konsekvenser forslaget til gjennomføring av NIS-direktivet vil få for din virksomhet. Er din virksomhet per i dag underlagt krav til IKT-sikkerhet og varsling? Hvilket regelverk – lover, forskrifter eller annet – er det som stiller slike krav? Bør en slik lov som foreslås i denne høringen vedtas selv om vi ikke er forpliktet til det i henhold til EØS-avtalen?
I det følgende vil Unit komme med sine tilbakemeldinger til høringen.
Unit støtter de foreslåtte organisatoriske og regulatoriske tiltak for å styrke den nasjonale IKT-sikkerheten.
Unit har ansvar for løpende sektorstyring på området informasjonssikkerhet og personvern i universitets- og høyskolesektoren, og vi følger opp Kunnskapsdepartementets digitaliseringsstrategi og dens målbilder for informasjonssikkerhet og personvern. Disse målbildene er:
· Helhetlig styring av informasjonssikkerhet og personvern er et fundament for digitalisering og strategiske satsinger i sektoren.
· Institusjonene har egeninteresse i å løfte kravene til informasjonssikkerhet og personvern høyere enn de nasjonale minstekravene basert på informasjonens verdi.
· Ledelsen ivaretar institusjonenes informasjonsverdier, og følger nasjonale føringer gjennom et systematisk arbeid for tilfredsstillende informasjonssikkerhet og personvern.
· Forskere ivaretar informasjonssikkerheten til data, herunder forskningsdata, og ivaretar forskningsdeltakernes personvern på en tilfredsstillende måte.
· Studenter og ansatte er i stand til å håndtere data slik at hensynet til informasjonssikkerhet og personvern ivaretas.
· All bruk av data og IKT i sektoren ivaretar hensynet til informasjonssikkerhet og personvern gjennom hele livsløpet (innebygd informasjonssikkerhet og personvern).
For å styrke styringen av informasjonssikkerhet og personvern i høyere utdanning og forskning, har Kunnskapsdepartementet nylig innført en ny styringsmodell basert på standarden ISO/IEC 27014:2013. Viktige prinsipper i modellen er helhetlig risikostyring, mål- og resultatstyring og kontinuerlig forbedring. Unit arbeider våren 2019 med å implementere styringsmodellen i universitets- og høyskolesektoren, og hos Kunnskapsdepartementets underliggende etater (Norges forskningsråd, De nasjonale forskningsetiske komiteene, NOKUT, Diku, Nupi, Uninett AS, Simula AS, NSD AS og UNIS AS).
2. Tilbakemelding på utredning og anbefalinger fra IKT-sikkerhetsutvalget NOU 2018: 14 Sikkerhet i alle ledd
Unit støtter foreslåtte organisatoriske og regulatoriske tiltak for å styrke den nasjonale IKT-sikkerheten, samt de overordnede prinsippene som legges til grunn (risikobasert tilnærming til IKT-sikkerhet, balanse mellom IKT-sikkerhet og brukervennlighet, økonomi og grunnleggende menneskerettigheter, fleksibilitet i reguleringen og organiseringen for å tilpasse seg nye trusler, sårbarheter, teknologier og forretningsmodeller).
2.1. Ny lov om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning
Samtidig med Holte-utvalgets arbeid har regjeringen utarbeidet et utkast til lov som gjennomfører NIS-direktivet i norsk rett. Lovutkastet og det tilhørende høringsnotatet viser hvilke minimumsforpliktelser som følger av NIS-direktivet. Det innebærer blant annet at det i høringsnotatet ikke tas stilling til Holte-utvalgets anbefalinger.
2.2. Det må stilles krav om IKT-sikkerhet ved alle offentlige anskaffelser
Unit støtter utvalgets vurdering og anbefaling om krav om IKT-sikkerhet ved alle offentlige anskaffelser herunder at SSAene endres slik at IKT-sikkerhet blir tydeligere ivaretatt.
Unit er leverandør av fellestjenester til høyere utdanning og forskning, og gjennomfører i den forbindelse forhandlinger og anskaffelser av rammeavtaler. Unit og institusjonene i universitets- og høyskolesektoren ser et behov for en tettere oppfølging av tjenesteleverandørene, og et sett med standardiserte felles krav til informasjonssikkerhet. Felles krav vil innebære en stor besparelse for institusjonene i universitets- og høyskolesektoren som i dag utarbeider hver for seg relevante funksjonelle og sikkerhetsmessige krav for leveransene.
Tiltak som risikovurdering ved anskaffelser og endring av SSA, vil bidra til at IKT-sikkerhet ivaretas på en bedre måte. Det er samtidig viktig at nivå på kompleksiteten i anskaffelsesregelverk ikke økes ytterligere slik at den kommer i konflikt med muligheten for det offentlige å stimulere til innovasjon og utvikling av fremtidsrettede løsninger.
2.3. Nasjonalt IKT- sikkerhetssenter
Unit støtter utvalgets vurdering om at det er behov for å styrke koordinering og samordning av IKT-sikkerhet mellom sektorer. Etablering av et nasjonalt kontaktpunkt for IKT-sikkerhet vil bidra til en bedre koordineringsmekanisme, bedre oppgaveløsning og mer effektivt samarbeid mellom etater med tverrsektorielt ansvar for nasjonal IKT-sikkerhet.
Det er i dag flere miljøer med kompetanse på IKT-sikkerhet. Unit anbefaler derfor at - for å unngå å bygge et nytt ledd i det tverretatlige organisasjonskartet – et eksisterende miljø får utvidet eller nytt mandat for å ivareta det nasjonale ansvaret.
Etablering av et nasjonalt kontaktpunkt vil gi økt fokus på informasjonssikkerhet og behovet for kompetanseheving på tvers av ulike miljøer. Det er derimot viktig at etablering av et slikt kontaktpunkt eller et nasjonalt senter koordineres godt med de ulike pågående initiativer igangsatt av departementene.
Unit vil i denne forbindelse vise til at det er igangsatt flere initiativer for styrket IKT-sikkerhet i høyere utdanning og forskning. Som nevnt arbeider Unit i samråd med Kunnskapsdepartementet, med å implementere ny styringsmodell for informasjonssikkerhet og personvern i universitets- og høyskolesektoren. Unit arbeider også med å implementere rammeverk for håndtering av IKT-sikkerhetshendelser i høyere utdanning og forskning. Et av formålene med rammeverket er å effektivt håndtere alvorlige IKT-hendelser fra virksomhetsnivå til politisk nivå, gjennom god utnyttelse av samfunnets samlede ressurser. Unit vil i 2019 i samarbeid med Uninett AS etablere en funksjon for sektorspesifikt responsmiljø. I tillegg til å løfte den generelle hendelseshåndteringen i hele sektoren i tråd med NSMs regelverk, er det satt i gang et arbeid for å etablere helhetlig og felles deteksjons- og analysekapasitet for å styrke evnen til å forebygge, oppdage og håndtere sikkerhetshendelser i forskningsnettet. For å sikre kompetansedeling og kompetanseheving vil det i 2019 utredes forslag til hvordan universitets- og høyskolesektoren kan tilbys rådgivningstjenester på området informasjonssikkerhet.
2.4. Tydeligere regulering av og ansvar for tilkoblede produkter og tjenester
Unit støtter utvalgets anbefaling om at ansvaret for IKT-sikkerhet flyttes fra forbrukeren til produsenten og leverandørene, gjennom krav om innebygd sikkerhet i produkter og tjenester som er tilkoblet internett.
Det er samtidig viktig at myndighetene og virksomheter i offentlig forvaltning holder kontinuerlig fokus på risikobasert tilnærming og kompetanseheving innen informasjonssikkerhet i ulike brukergrupper (i universitets- og høyskolesektoren: Forsker, student, søker, ansatt). Virksomhetene må stilles krav som bidrar at krav for tilgjengeliggjøring og sikring av informasjon balanseres samt at det arbeidet med IKT-sikkerhet bidrar i lik grad til å oppfylle krav til tilgjengelighet, konfidensialitet og integritet i informasjon som behandles.
2.5. Justis- og beredskapsdepartementet må utøve et tydeligere lederskap for nasjonal IKT-sikkerhet.
Unit støtter utvalgets anbefaling om tydeligere styring og bedre koordinering av nasjonalt IKT-sikkerhet. Utvalget mener at Justis- og beredskapsdepartementet i større grad må være en synlig aktør som tar initiativ, løser opp i uklarheter, definerer mål, koordinerer og samordner arbeidet med nasjonalt IKT-sikkerhet. Unit vil i denne sammenheng trekke frem rollen som Difi - Direktoratet for IKT og offentlig forvaltning har hatt når det gjelder koordinering av dialog med virksomheter som har en nasjonal rolle i offentlig forvaltning på alle områder knyttet til digitalisering, også informasjonssikkerhet. Det er derfor viktig at fremtidig arbeid for tydeligere styring og bedre koordinering på tvers av etater forankres eller koordineres med Difi.
Kunnskapsdepartementet har tydelig definert og plassert tilsynsmyndigheten på området IKT-sikkerhet i universitets- og høyskolesektoren hos NOKUT – Nasjonalt organ for kvalitet i utdanningen. Dersom det innføres en ny nasjonal styringsmodell for IKT-sikkerhet, må tilsynsmyndigheten være entydig definert. Forholdet til Riksrevisjonen må også avklares entydig.
3. Tilbakemelding på utkast til lov som gjennomfører NIS-direktivet i norsk rett
Per i dag forholder Unit seg til de nasjonale kravene til IKT-sikkerhet som stilles blant annet i e-forvaltningsforskriften § 15, GDPR og personopplysningsloven, NSMs grunnprinsipper for IKT-sikkerhet, veiledninger fra Difi o.l. Unit forholder seg også til de politiske føringer på området IKT-sikkerhet, gitt av Regjeringen i Digitaliseringsrundskrivet og vårt eierdepartement Kunnskapsdepartementet. Unit har også vedtatt et ledelsessystem for informasjonssikkerhet og personvern, basert på ISO27001.
Unit tilbyr flere digitale tjenester til universitets- og høyskolesektoren. Tjenestene omfatter blant annet bruk av skytjenester, og våre underleverandører faller inn under definisjonen av “tilbydere av digitale tjenester”. Unit er også eier av Uninett AS som leverer digital infrastruktur til universitets- og høyskolesektoren. Vår vurdering er derfor at Unit faller inn under virkeområdet til den nye loven om sikkerhet i nettverk og informasjonssystemer.
Unit anbefaler at det i loven differensieres mellom ulike typer skytjenester (laaS, Paas og Saas), og om tjenestene leveres som offentlige eller private skytjenester (public og private cloud) . Vi mener at det spesielt er offentlige laaS-skytjenester som er sentrale i felles nasjonal infrastruktur og systemer, og hvor det følgelig er mest viktig at loven stiller krav til tilbydere.
Kravene om sikkerhet og varsling til hhv. tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester, vil sørge for å sette arbeid med risikovurderinger, sikkerhetstiltak og varsling av avvik ytterligere på agendaen i de aktuelle virksomhetene. Det er likevel viktig at gis tydelig veiledning om forholdet mellom den nye loven og lovpålagte krav til sikkerhet som i dag følger av andre lover. Det er noe uklart hvilket regelverk som har strengere eller tilsvarende krav som den nye loven om sikkerhet i nettverk og informasjonssystemer, og i hvilke tilfeller § 5 i lovutkastet vil være aktuelt.
§ 6 i lovutkastet handler om behandling av personopplysninger, og gir etter vår vurdering tilstrekkelig behandlingsgrunnlag (rettslig grunnlag) for behandling av personopplysninger for å oppfylle de oppgaver som følger av loven, jf. GDPR artikkel 6. Bestemmelsen i den nye loven gir likevel ikke noen avklaring på forholdet mellom de krav til informasjonssikkerhet som følger av GDPR og de krav til sikkerhet som følger av den nye loven. Det samme gjelder kravene til varsling om hendelser. Forholdet mellom GDPR og den nye loven bør avklares nærmere, blant annet med tanke på i hvilken rekkefølge reglene skal etterleves hvis det oppstår hendelser som er omfattet av begge regelverk. For eksempel ved hendelser som både innebærer brudd på informasjonssikkerhet og brudd på personopplysningssikkerhet.
Videre er det viktig at det informeres godt om forholdet mellom tilsynsmyndigheten i den nye loven og andre tilsynsmyndigheter som har områder som grenser mot informasjonssikkerhet, som for eksempel Datatilsynet og Riksrevisjonen. Det er også nødvendig at den nye tilsynsmyndigheten koordinerer seg med for eksempel Datatilsynet, slik at en virksomhet ikke blir ilagt overtredelsesgebyr for omtrent samme forhold av to tilsynsmyndigheter.
Unit anser det som positivt at tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester får like krav til sikkerhet og varsling, og støtter at loven vedtas uavhengig av hvilket tidspunkt NIS-direktivet tas inn i EØS-avtalen.
Assisterende direktør
Seksjonssjef Jus og Informasjonssikkerhet