Innledende bemerkninger
Det er svært gledelig at Norge følger opp det viktige digitalsikkerhetsarbeidet og at vi får på plass forskrift til NIS 1 direktivet. NIS 2 direktivet som er langt mer detaljert, og ikke minst omfatter flere sektorer, ble innført som lov i EU-landene i oktober 2024. NIS 1er en nødvendighet for å implementere NIS 2 direktivet i norsk rett. NIS 2 nevnes i denne sammenheng fordi norske bedrifter er helt avhengig av at NIS 2 direktivet blir tatt inn i norsk rett, for å kunne ha markedsadgang til EU-markedet.
Flere norske bedrifter som er leverandører innen de utpekte sektorområdene i NIS 2 direktivet, har allerede fått spørsmål fra sine kunder i EU om de er NIS 2 «complient.» Bakgrunnen er at de som er underlagt direktivet, i EU, nå får ansvar for hele forsyningskjeden. Personsøkerangrepet mot Hizbollah viste hele verden hvor viktig det er å ha full kontroll over forsyningskjeden. For at norske bedrifter ikke skal bli utestengt fra EU-området og derigjennom tape markedsandeler og konkurransekraft, er det viktig at NIS 2 direktivet blir implementert i norsk lovgivning så raskt som mulig. Det er selvsagt bedriftenes eget ansvar å holde seg oppdatert, men kjennskapen til NIS 1 og NIS 2 er lav i Norge. Det er derfor meget viktig at begge direktivene blir retningsgivende for arbeidet med sikkerhet og sårbarhet i Norge. Trusselnivået på det digitale domenet har endret seg dramatisk.
Arbeidet med datasikkerhet har vært fragmentert og spredt på for mange hender. Det er helt overordnet at det er en aktør som er tilsynsmyndighet og får det fulle ansvar for å følge opp NIS 1 og etter hvert NIS 2. Nasjonal Sikkerhetsmyndighet NSM, utpeker seg som det mest kompetente institusjonen til å forvalte dette viktige arbeidet.
Riksrevisjonen skrev bl.a. følgende i sin rapport om digital sikkerhet og sårbarhet (Dokument 3:7 2022-2023):
Det er veldig bra at Riksrevisjonens sterkeste kritikk, nå blir fulgt opp med digitalsikkerhetsforskriften. Det har ikke manglet på utredninger og rapporter i form Stortingsmeldinger og NOUér om digital sikkerhet og sårbarhet, men det har i betydelig grad manglet på oppfølging. Koordinering av sikkerhetsarbeidet blir svært viktig. Vi har sett flere eksempler på at høyrehånda ikke helt vet hva venstrehånda gjør. Et eksempel på det er, da det i 2021 ble vedtatt en forskriftsendring til Plan- og bygningsloven (PBL). Endringen i § 5 slår fast at enhver med saklig interesse har rett til å få utlevert kart over kabler i grunnen. Hvem som har saklig interesse, ble gitt en bred definisjon. Fremmede makter eller personer med onde hensikter kan lett tilegne seg oversikt over samfunnskritisk infrastruktur. Professor Håkon Bryhni ved Simula, har slått fast at det er svært enkelt å sabotere norske fibernett. Kinesiske entreprenørselskap har hatt mange veiprosjekter i Norge, og dermed krav på å få utlevert kart over kabler i grunnen. Det er russiske ansatte i norske selskaper som lett kan tilegne seg informasjon over hvor fiberen, eller strømkablene til bedrifter som har en samfunnskritisk funksjon går. Før forskriftsendring av 2021, var påvisning av autorisert personell vanlig og kart ble vanligvis ikke delt ut. Hvem tenkte vel på at Plan- og bygningsloven hadde noe med sikkerhet og sårbarhet å gjøre? Slike «sikkerhetsfeller» må lukes ut i forbindelse med arbeidet med implementering av datasikkerhetsforskriften og kommende NIS 2 direktiv. Telenor skrev følgende i sitt høringssvar vedrørende endringene til PBL:
« Telenors nett er bærer av kritisk infrastruktur som gir bindinger på hva som kan opplyses om vårt nett. For øvrig må det legges til grunn at det alltid utvises aktsomhet, ikke bare ved graving, men også ved spredning av detaljert informasjon om kritisk infrastruktur. Telenor vil på nytt oppfordre departementet til å innhente vurderinger fra ansvarlige sikkerhetsmyndigheter idet sikkerhetslovgivningen setter begrensinger på hva som kan utleveres av informasjon.»
Telenors innsigelser i likhet med innspill fra IT-næringen ble ikke hensyntatt. Det må settes en stopper for at man ved å vise til graving, arealplanlegging eller utredningsarbeid, kan få utlevert kart over hvor samfunnskritisk fiber og strøm til viktige institusjoner som; NRK, Kongsberg Våpenfabrikk, Nammo, Norges Bank, DNB, Børsen, Telenor, Sintef, Avinor og forsvarsinstitusjoner befinner seg.
NKOM skriver følgende i sin risiko og sårbarhetsanalyse av oktober 2024, under punktet sårbarheter som krever nye tiltak: « Risikonivået for sabotasje mot samfunnskritisk infrastruktur har økt. Det har vært flere tilfeller av sabotasje i Europa og det er i 2024 observert sabotasje mot fiberinfrastruktur i Norge. Det er grunn til å tro at fiberbrudd som ble oppdaget under den store Jammetesten på Andøya var et resultat av en villet handling. På Forsvarets flystasjon på Evenes ble det avdekket et fiberbrudd som også trolig skyldes en overlagt handling .»
Dette er meget alvorlig. Vi må tilbake til tidligere praksis før endringene i PBL. Utdeling av kart til alle med saklig interesse, er ikke forenelig med NIS 1 og kommende NIS 2, og heller ikke norske sikkerhetsinteresser. Risikobildet har endret seg.
Flere norske bedrifter som er leverandører innen de utpekte sektorområdene i NIS 2 direktivet, har allerede fått spørsmål fra sine kunder i EU om de er NIS 2 «complient.» Bakgrunnen er at de som er underlagt direktivet, i EU, nå får ansvar for hele forsyningskjeden. Personsøkerangrepet mot Hizbollah viste hele verden hvor viktig det er å ha full kontroll over forsyningskjeden. For at norske bedrifter ikke skal bli utestengt fra EU-området og derigjennom tape markedsandeler og konkurransekraft, er det viktig at NIS 2 direktivet blir implementert i norsk lovgivning så raskt som mulig. Det er selvsagt bedriftenes eget ansvar å holde seg oppdatert, men kjennskapen til NIS 1 og NIS 2 er lav i Norge. Det er derfor meget viktig at begge direktivene blir retningsgivende for arbeidet med sikkerhet og sårbarhet i Norge. Trusselnivået på det digitale domenet har endret seg dramatisk.
Arbeidet med datasikkerhet har vært fragmentert og spredt på for mange hender. Det er helt overordnet at det er en aktør som er tilsynsmyndighet og får det fulle ansvar for å følge opp NIS 1 og etter hvert NIS 2. Nasjonal Sikkerhetsmyndighet NSM, utpeker seg som det mest kompetente institusjonen til å forvalte dette viktige arbeidet.
Riksrevisjonen skrev bl.a. følgende i sin rapport om digital sikkerhet og sårbarhet (Dokument 3:7 2022-2023):
Det er veldig bra at Riksrevisjonens sterkeste kritikk, nå blir fulgt opp med digitalsikkerhetsforskriften. Det har ikke manglet på utredninger og rapporter i form Stortingsmeldinger og NOUér om digital sikkerhet og sårbarhet, men det har i betydelig grad manglet på oppfølging. Koordinering av sikkerhetsarbeidet blir svært viktig. Vi har sett flere eksempler på at høyrehånda ikke helt vet hva venstrehånda gjør. Et eksempel på det er, da det i 2021 ble vedtatt en forskriftsendring til Plan- og bygningsloven (PBL). Endringen i § 5 slår fast at enhver med saklig interesse har rett til å få utlevert kart over kabler i grunnen. Hvem som har saklig interesse, ble gitt en bred definisjon. Fremmede makter eller personer med onde hensikter kan lett tilegne seg oversikt over samfunnskritisk infrastruktur. Professor Håkon Bryhni ved Simula, har slått fast at det er svært enkelt å sabotere norske fibernett. Kinesiske entreprenørselskap har hatt mange veiprosjekter i Norge, og dermed krav på å få utlevert kart over kabler i grunnen. Det er russiske ansatte i norske selskaper som lett kan tilegne seg informasjon over hvor fiberen, eller strømkablene til bedrifter som har en samfunnskritisk funksjon går. Før forskriftsendring av 2021, var påvisning av autorisert personell vanlig og kart ble vanligvis ikke delt ut. Hvem tenkte vel på at Plan- og bygningsloven hadde noe med sikkerhet og sårbarhet å gjøre? Slike «sikkerhetsfeller» må lukes ut i forbindelse med arbeidet med implementering av datasikkerhetsforskriften og kommende NIS 2 direktiv. Telenor skrev følgende i sitt høringssvar vedrørende endringene til PBL:
« Telenors nett er bærer av kritisk infrastruktur som gir bindinger på hva som kan opplyses om vårt nett. For øvrig må det legges til grunn at det alltid utvises aktsomhet, ikke bare ved graving, men også ved spredning av detaljert informasjon om kritisk infrastruktur. Telenor vil på nytt oppfordre departementet til å innhente vurderinger fra ansvarlige sikkerhetsmyndigheter idet sikkerhetslovgivningen setter begrensinger på hva som kan utleveres av informasjon.»
Telenors innsigelser i likhet med innspill fra IT-næringen ble ikke hensyntatt. Det må settes en stopper for at man ved å vise til graving, arealplanlegging eller utredningsarbeid, kan få utlevert kart over hvor samfunnskritisk fiber og strøm til viktige institusjoner som; NRK, Kongsberg Våpenfabrikk, Nammo, Norges Bank, DNB, Børsen, Telenor, Sintef, Avinor og forsvarsinstitusjoner befinner seg.
NKOM skriver følgende i sin risiko og sårbarhetsanalyse av oktober 2024, under punktet sårbarheter som krever nye tiltak: « Risikonivået for sabotasje mot samfunnskritisk infrastruktur har økt. Det har vært flere tilfeller av sabotasje i Europa og det er i 2024 observert sabotasje mot fiberinfrastruktur i Norge. Det er grunn til å tro at fiberbrudd som ble oppdaget under den store Jammetesten på Andøya var et resultat av en villet handling. På Forsvarets flystasjon på Evenes ble det avdekket et fiberbrudd som også trolig skyldes en overlagt handling .»
Dette er meget alvorlig. Vi må tilbake til tidligere praksis før endringene i PBL. Utdeling av kart til alle med saklig interesse, er ikke forenelig med NIS 1 og kommende NIS 2, og heller ikke norske sikkerhetsinteresser. Risikobildet har endret seg.
4 Lovens virkeområde
Det kommer frem av høringen at tilbydere av samfunnsviktige tjenester er definert i digitalsikkerhetsloven § 6 og må etter første ledd bokstav a til e oppfylle tre kumulative vilkår. Samt at det kun er den delen av virksomheten som leverer den aktuelle tjenesten som omfattes.
NIS 2 direktivet levner ingen tvil om hvem som er omfattet av direktivet, (en betydelig utvidelse) samt at direktivet gjelder for hele bedriften, ikke bare den delen av virksomheten som leverer den aktuelle tjenesten som omfattes. Nå skal NIS 2 selvsagt ha sin egen prosess og høringsrunde, men hensikten med NIS 2 direktivet er nettopp å plassere ansvar der det hører hjemme. Norge som ligger bak i arbeidet med datasikkerhet, har alt å tjene på å spesifisere veldig tydelig hvilke næringer og virksomheter som er underlagt direktivet. Å begrense digitalsikkerhetsforskriften til kun den delen av virksomheten som leverer den aktuelle tjenesten som pr definisjon omfattes, blir kunstig og uheldig. Data er i dag involvert i de fleste operasjoner i en virksomhet. «Data er i alt,» og dermed er det også sikkerhetsrisiko over alt. Ønsker man å ramme en virksomhet kan en epost med et virus, eller et DOS-angrep gjøre like stor skade om den sendes til HR-avdelingen i bedriften som til datasentralen. Det hjelper heller ikke med all verdens avansert sikkerhetssoftware i datarommet, og noen tenner på bedriften, og de ikke har relevant slukkeutstyr i serverrommet.
NIS 2 direktivet levner ingen tvil om hvem som er omfattet av direktivet, (en betydelig utvidelse) samt at direktivet gjelder for hele bedriften, ikke bare den delen av virksomheten som leverer den aktuelle tjenesten som omfattes. Nå skal NIS 2 selvsagt ha sin egen prosess og høringsrunde, men hensikten med NIS 2 direktivet er nettopp å plassere ansvar der det hører hjemme. Norge som ligger bak i arbeidet med datasikkerhet, har alt å tjene på å spesifisere veldig tydelig hvilke næringer og virksomheter som er underlagt direktivet. Å begrense digitalsikkerhetsforskriften til kun den delen av virksomheten som leverer den aktuelle tjenesten som pr definisjon omfattes, blir kunstig og uheldig. Data er i dag involvert i de fleste operasjoner i en virksomhet. «Data er i alt,» og dermed er det også sikkerhetsrisiko over alt. Ønsker man å ramme en virksomhet kan en epost med et virus, eller et DOS-angrep gjøre like stor skade om den sendes til HR-avdelingen i bedriften som til datasentralen. Det hjelper heller ikke med all verdens avansert sikkerhetssoftware i datarommet, og noen tenner på bedriften, og de ikke har relevant slukkeutstyr i serverrommet.
4.2.1 Lovens geografiske virkeområde
Det støttes at enkelte virksomheter på Svalbard kan underlegges loven ved enkeltvedtak. Dette synes nødvendig som en følge av betydelig russisk og kinesisk virksomhet på Svalbard.
4.2.2 Virkeområde tilbydere av samfunnsviktige tjenester
Anbefaler at terskelverdiene som er lagt inn i NIS 2 direktivet, tas inn i denne forskriften nå. Dette for å unngå fremtidig uklarhet.
4.2.2.10 Digital infrastruktur
Samtrafikkpunktene IXP er sårbare enheter. Som et eksempel kan nevnes at Norge var uten internett i fire dager, da en fiberkabel ble gravd over på Gaustad hvor Forskningsparken ligger i dag. Det satte NIXEN = IXP på Blindern ut av drift. Dette var i internetts tidlige fase og skadene var begrenset, men viser hvilken betydelig sårbarhet IXPéne har. Det er veldig bra at samtrafikkpunktene er tatt inn, men her må man også se på andre lover og forskrifter, som kan åpne for smutthull. Det gjelder for alle sektorene inn under kapittel 4.
4.2.4 Innmelding av samfunnsviktige tjenester
Innmelding av samfunnsviktige tjenester. Her bør vi allerede nå forberede oss til utvidelsen som kommer med NIS 2.
9.2 NIS 1
NIS 1 direktivet krever at det utpekes en eller flere myndigheter som skal føre tilsyn med anvendelsen av direktivet på nasjonalt nivå. Det er her å tillegge at vi nå må unngå et fragmentert ansvar. Datasikkerhetsarbeidet i Norge har fram til nå fungert mindre tilfredsstillende, på grunn av at det har vært mange ulike aktører, med ulikt mandat. Norge må sørge for at vi har en tilsynsmyndighet. Nasjonal Sikkerhetsmyndighet (NSM) utpeker seg som den mest kompetente myndighet til denne oppgaven. Det er viktig at den myndighet som utpekes også får tilført nødvendige ressurser. Her må det også planlegges for implementeringen av NIS 2. Det krever ulik kompetanse å utføre tilsyn i et datarom, i forhold til et vannverk eller et kraftverk. Kompetanse og ressurser må tilføres NSM. Ønsker også å vektlegge at informasjonsarbeid blir viktig. Kjennskapen til NIS 1 og kommende NIS 2 direktiv er lav i Norge. Ressurser til informasjonsarbeid mot virksomhetene som blir berørt, blir derfor viktig. Her snakker vi ikke bare om den enkelte virksomhets sikkerhet og sårbarhet, men om hele nasjonens sikkerhet og sårbarhet. Da EU vedtok NIS 2 direktivet, uttalte Europakommisjonens president, Ursula von der Leyen at NIS 2 er et av de viktigste og mest nødvendige sikkerhetspolitiske tiltak i EUś historie. Det setter virkelig direktivet i perspektiv.
10.2 Nasjonalt kontaktpunkt departementets vurderinger
Departementets vurdering av at nasjonalt kontaktpunkt skal utøves av Nasjonal sikkerhetsmyndighet støttes.
Per Morten Hoff
Tidligere generalsekretær i IKT-Norge og styremedlem i Digital Europe