Meteorologisk institutt

Høringssvar fra Meteorologisk institutt Dato: 15.09.2016 Svartype: Med merknad Vår ref. 2016/435 Vår saksbehandler seniorrådgiver Anne Cecilie Bondy Høringssvar - Forslag til EU-direktiv om sikkerhet i nettverk og informasjonssystemer Eksisterende krav til virksomhetens IKT-sikkerhet MET er som statlig virksomhet underlagt flere krav innenfor informasjonssikkerhetsområdet bl.a. Sikkerhetsloven med forskrifter, Personopplysningsloven, eForvaltningsforskriften (KMD), Nasjonal strategi for informasjonssikkerhet (Departementene), Handlingsplan for informasjonssikkerhet i statsforvaltningen 2015–2017 (KMD), krav om styringssystem for informasjonssikkerhet (tildelingsbrevet fra KD) og krav om implementering av ”fire effektive tiltak mot dataangrep” (NSM,JD,KD). Nasjonale vurderinger om kritikaliteten til meteorologiske tjenester Nasjonalt er meteorologiske tjenester definert som “kritisk allmenn innsatsfaktor” i KIKS Delrapport 1og de viktigste leveransene Meteorologisk institutt leverer med mottakere, er omtalt i kapittel 20.2.4 Meteorologiske tjenester i NOU 2015: 13 Digital sårbarhet – sikkert samfunn. MET er også utpekt som eier av skjermingsverdige objekter, som i sikkerhetsloven er definert som “eiendom, områder, bygninger, anlegg, transportmidler, annet materiell, eller deler av slik eiendom som kan skade rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser dersom de blir utsatt for terror- og sabotasjehandlinger.” I hvilken grad MET vil bli berørt av NIS-direktivet MET forstår at for å komme inn under definisjonen av “operatør av essensielle tjenester” må man være opplistet i direktivets Annex II og i tillegg møte ytterligere kriterier. MET leverer meteorologiske tjenester til flere av sektorene som nevnes i Annex II, som levering av flyværtjenester til sivil og militær luftfart. MET har også en rolle innen samfunnssikkerhet og beredskap, f.eks. ved varsling av farlig vær, beregninger i forbindelse med farlige utslipp til luft og hav, varsling ved redningsoppdrag. MET kan ikke se at meteorologiske tjenester er inkludert i noen av tjenestene eller direktivene som opplistes i Annex II. METs vurdering er derfor at vi ikke er omfattet av NIS-direktivet. Konsekvenser dersom vi hadde vært omfattet MET oppfatter det slik at NIS-direktivet ikke stiller ytterligere krav til risikobasert tilnærming, styring og kontroll av informasjonssikkerhetsområdet, enn de eksisterende nasjonale kravene. Kravene til varsling av hendelser ser vi på som et nytt krav, men vurderer at det sannsynligvis ikke ville ha medført større økonomiske eller administrative utgifter for MET å innføre en ekstra varsling eller en formalisering av varsling til UNINETT CERT eller NorCERT.   Med vennlig hilsen Camilla Husum Vold e.f.                Trine Dunker Windvik it-direktør                                        informasjonssikkerhetsleder Justis- og beredskapsdepartementet Til høringen Til toppen <div class="page-survey" data-page-survey="133" data-page-survey-api="/api/survey/SubmitPageSurveyAnswer" data-text-hidden-title="Tilbakemeldingsskjema" data-text-question="Fant du det du lette etter?"