Generelt
Helt overordnet ser vi på utviklingen av lovgiving på sikkerhetsområdet som nødvendig og ønskelig, og er positive til at det kommer en forskrift. Samtidig er vi bekymret for at lovgivningen kan medføre unødvendig detaljregulering som kan komme i veien for løsninger som tar høyde for særegenheter ved spesifikke områder. Et eksempel på dette er at for nasjonal infrastruktur er redundans og diversitet på konnektivitets-, system- og operatørnivå ofte viktigere enn tiltakene som beskrives i forskriften, og kan komme i konflikt med disse.
Vi er positive til at loven med forskrift spesifiserer innslagspunkter basert på virksomhetsstørrelse og samfunnskritikalitet, samt at det flere steder presiseres at skjønnsmessige og helhetlige vurderinger skal legges til grunn. Det kan med fordel også fastslås at hva som anses som forsvarlig sikkerhet gradvis vil endre seg med utviklingen av trusselbildet og teknologiske muligheter, samt sikkerhetsfagfeltets modning.
Forslagene under er ment å forbedre reguleringen av noen punkter som berører vårt fagområde, eller å tydeliggjøre momenter hvor foreliggende tekstforslag kan skape misforståelser eller sprikende tolkninger.
Vi er positive til at loven med forskrift spesifiserer innslagspunkter basert på virksomhetsstørrelse og samfunnskritikalitet, samt at det flere steder presiseres at skjønnsmessige og helhetlige vurderinger skal legges til grunn. Det kan med fordel også fastslås at hva som anses som forsvarlig sikkerhet gradvis vil endre seg med utviklingen av trusselbildet og teknologiske muligheter, samt sikkerhetsfagfeltets modning.
Forslagene under er ment å forbedre reguleringen av noen punkter som berører vårt fagområde, eller å tydeliggjøre momenter hvor foreliggende tekstforslag kan skape misforståelser eller sprikende tolkninger.
Forskriftens kapittel 1
I forskriftens §1 er det kun nummer 24, 25 og 26, utdypet i høringsnotatets kapittel 4.2.2.10 «Digital infrastruktur» som direkte angår vårt fagområde. Vi mener hvert av disse punktene er problematiske slik de nå står, og har forslag til endringer og presiseringer.
Nr. 24 inkluderer toppnivådomenene .bv og .sj som er delegert til Norid, men som ikke kan anses som kritiske da de ikke er tatt i bruk, slik det også fremgår av høringsnotatet. Videre nevnes bare registeret over domenenavn, mens det som er vel så kritisk er den tekniske tjenesten for å opprettholde en autoritativ publiserende navnetjener for de registrerte domenene.
Etter nr. 24 savner vi et punkt om publiserende navnetjenere for større antall domener under .no utenom virksomhetens egne. Uten disse hjelper det ikke om navnetjenerne for .no og brukernes rekursive navnetjenere er i drift.
Rekursive navnetjenere omtalt i nr. 25 utgjør i større grad en effektivisering og ressursbesparelse enn en kritisk del av konnektiviteten i nettet og tilgjengeligheten til tjenester. Et robust oppsett for domeneoppslag skal ha fornuftige fallback-løsninger i fall den primært benyttede rekursive navnetjeneren ikke er tilgjengelig. Kun dersom nettilbydere ikke bistår sine kunder i å etablere et slikt robust oppsett kan konsekvensene av utfall bli store.
En tilsvarende situasjon gjelder for samtrafikkpunkter som omtales i nr. 26. Alle nettoperatører som er tilknyttet samtrafikkpunkter forutsettes å selv besørge oppstrøms konnektivitet til den øvrige delen av det globale internett. Ved utfall av et samtrafikkpunkt vil konnektivitet mellom kunder av ulike nettleverandører da som oftest bestå, om enn med lengre rundreisetid og potensielt lavere kapasitet, og via utlandet. Vi mener derfor dette punktet bør vurderes utelatt fra forskriften. Skulle det senere likevel vise seg ønskelig å inkludere samtrafikkpunkter, gir forskriftens §4 adgang til å gjøre dette uten å justere forskriften.
Fra vårt ståsted ser det ut til at forskriften §2 og §4 til sammen vil gi den nødvendige fleksibiliteten til å regulere virkeområdet etter behov.
Forskriftens §5 om innmelding av samfunnsviktige tjenester diskuteres i kapittel 4.2.4 i høringsnotatet. Her skisseres det ulike modeller for innmelding av potensielt samfunnsviktige tjenester, og det bes eksplisitt om tilbakemelding på disse.
Vi mener at alternativet der offentlige myndigheter utpeker tilbyderne er det minst formålstjenlige. Vår erfaring tilsier at etter at de mest åpenbare tilfellene er håndtert så vil det være svært vanskelig både å oppdage nye kandidater og å foreta konsistente vurderinger på tvers av ulike myndigheter. Slike tilfeller vil også gjerne være i ytterkanten av den aktuelle myndighetens virkeområde, slik at denne ikke nødvendigvis har bedre kompetanse til å foreta vurderingen enn Nasjonal sikkerhetsmyndighet har.
Selv om vi deler vurderingen om at det ikke er en nevneverdig byrde for en virksomhet å skulle melde inn til både NSM og relevant tilsynsmyndighet eller -myndigheter, ser vi heller ikke noen stor gevinst eller besparelse i dette. Vi anser det som mest hensiktsmessig at NSM blir eneste innmeldingspunkt når de uansett er pålagt å ha en koordinerende rolle, og at NSM melder videre til tilsynsmyndighetene. Selv om prosessen gjerne kan starte som en uformell dialog mellom virksomhet og tilsynsmyndighet, vil det både være arbeidsbesparende og gi mer konsistent behandling at den formelle delen av prosessen inkludere alle tre parter, hvor NSM har som deloppgave å sørge for likebehandling.
Nr. 24 inkluderer toppnivådomenene .bv og .sj som er delegert til Norid, men som ikke kan anses som kritiske da de ikke er tatt i bruk, slik det også fremgår av høringsnotatet. Videre nevnes bare registeret over domenenavn, mens det som er vel så kritisk er den tekniske tjenesten for å opprettholde en autoritativ publiserende navnetjener for de registrerte domenene.
Etter nr. 24 savner vi et punkt om publiserende navnetjenere for større antall domener under .no utenom virksomhetens egne. Uten disse hjelper det ikke om navnetjenerne for .no og brukernes rekursive navnetjenere er i drift.
Rekursive navnetjenere omtalt i nr. 25 utgjør i større grad en effektivisering og ressursbesparelse enn en kritisk del av konnektiviteten i nettet og tilgjengeligheten til tjenester. Et robust oppsett for domeneoppslag skal ha fornuftige fallback-løsninger i fall den primært benyttede rekursive navnetjeneren ikke er tilgjengelig. Kun dersom nettilbydere ikke bistår sine kunder i å etablere et slikt robust oppsett kan konsekvensene av utfall bli store.
En tilsvarende situasjon gjelder for samtrafikkpunkter som omtales i nr. 26. Alle nettoperatører som er tilknyttet samtrafikkpunkter forutsettes å selv besørge oppstrøms konnektivitet til den øvrige delen av det globale internett. Ved utfall av et samtrafikkpunkt vil konnektivitet mellom kunder av ulike nettleverandører da som oftest bestå, om enn med lengre rundreisetid og potensielt lavere kapasitet, og via utlandet. Vi mener derfor dette punktet bør vurderes utelatt fra forskriften. Skulle det senere likevel vise seg ønskelig å inkludere samtrafikkpunkter, gir forskriftens §4 adgang til å gjøre dette uten å justere forskriften.
Fra vårt ståsted ser det ut til at forskriften §2 og §4 til sammen vil gi den nødvendige fleksibiliteten til å regulere virkeområdet etter behov.
Forskriftens §5 om innmelding av samfunnsviktige tjenester diskuteres i kapittel 4.2.4 i høringsnotatet. Her skisseres det ulike modeller for innmelding av potensielt samfunnsviktige tjenester, og det bes eksplisitt om tilbakemelding på disse.
Vi mener at alternativet der offentlige myndigheter utpeker tilbyderne er det minst formålstjenlige. Vår erfaring tilsier at etter at de mest åpenbare tilfellene er håndtert så vil det være svært vanskelig både å oppdage nye kandidater og å foreta konsistente vurderinger på tvers av ulike myndigheter. Slike tilfeller vil også gjerne være i ytterkanten av den aktuelle myndighetens virkeområde, slik at denne ikke nødvendigvis har bedre kompetanse til å foreta vurderingen enn Nasjonal sikkerhetsmyndighet har.
Selv om vi deler vurderingen om at det ikke er en nevneverdig byrde for en virksomhet å skulle melde inn til både NSM og relevant tilsynsmyndighet eller -myndigheter, ser vi heller ikke noen stor gevinst eller besparelse i dette. Vi anser det som mest hensiktsmessig at NSM blir eneste innmeldingspunkt når de uansett er pålagt å ha en koordinerende rolle, og at NSM melder videre til tilsynsmyndighetene. Selv om prosessen gjerne kan starte som en uformell dialog mellom virksomhet og tilsynsmyndighet, vil det både være arbeidsbesparende og gi mer konsistent behandling at den formelle delen av prosessen inkludere alle tre parter, hvor NSM har som deloppgave å sørge for likebehandling.
Forskriftens kapittel 2
Forskriftens §6 bruker termen «styringssystem». Da ISO 27001 fikk en offisiell norsk oversettelse ble «management system» oversatt til «ledelsessystem». I ettertid har dette begrepet i stor grad erstattet den uoffisielle oversettelsen «styringssystem» både i fagmiljøene og hos offentlige myndigheter. Likevel ser vi at begrepet «styringssystem» stadig brukes, også i offisielle sammenhenger, parallelt med begrepene «ledelsessystem» og «internkontroll». Det skaper usikkerhet fordi det gir inntrykk av at de tre begrepene har ulikt innhold, og at distinksjonen mellom dem er tilsiktet og meningsbærende. Problemet er så utbredt at Digdir har inkludert en klargjøring av at de anser «ledelsessystem», «styringssystem» og «internkontroll» som ekvivalente termer i sin referansekatalog for IT-standarder (https://www.digdir.no/standarder/internkontroll-styringssystem-ledelsessystem-informasjonssikkerhet/1490). Vi ville foretrukket at «ledelsessystem» brukes som den primære termen. jf. argumentasjonen bak ISO-oversettelsen som fortsatt er like valid. Uavhengig av hvilken term som benyttes bør det presiseres at den er ekvivalent med de to andre.
En potensiell svakhet med formuleringen i forskriftens §6 er at krav om sertifisering av styringssystem ikke nevnes. Slik vi ser det, vil den naturlige tolkningen være at sertifisering ikke er påkrevd. Imidlertid er en mulig alternativ tolkning at det er underforstått at sertifisering er nødvendig for å dokumentere at kravet er oppfylt. Det ville vært bedre om teksten presiserte at det er opp til det enkelte departement eller annen relevant myndighet å avgjøre om sertifisering skal kreves. Dette vil gjøre det lettere å gradvis heve formalkravene i takt med virksomhetenes modenhet uten justering av forskriften.
Forskriftens §7 om risikovurdering og §8 om risikohåndtering kunne med fordel blitt slått sammen til én paragraf med felles overskrift «risikostyring». En slik sammenslåing vil også gjøre at punktet om kartlegging i listen over minimumskrav passer bedre inn i helheten. Vi mener at resten av denne listen bør utelates. Selv om punktene normalt inngår i risikovurderinger av systemer eller tjenester er vår erfaring at for såpass overordnede risikovurderinger som beskrives i forskriften kan det være mer formålstjenlig å benytte rammeverk som ikke nødvendigvis oppfyller alle disse punktene. Spesielt i lys av siste avsnitt i forskriftens §8 burde en slik liste være overflødig.
Vi mener også at forskriften bør inneholde et krav om at det for alle alvorlige risikoer som avdekkes enten må vedtas tiltak for å redusere risikoen, eller begrunnes på et tilstrekkelig høyt nivå at risikoen aksepteres. Videre bør det presiseres i forskriften at det er ledelsens ansvar at den samlede planen for risikohåndteringstiltak prioriteres, gis ressurser og følges opp.
Som siste moment i kapittel 5.3.5.2 i høringsnotatet bes det eksplisitt om tilbakemelding angående behov for unntaksordning for forskriftens §10, teknologiske sikkerhetstiltak. Vi mener det er nødvendig med en unntaksordning, og at det er tilstrekkelig at relevant myndighet gis kompetanse til å innvilge unntak. Det vil da være fornuftig å definere rammer for begrunnelse av unntak, inkludert konflikt med andre krav, manglende relevans eller kompenserende tiltak, slik at ikke kostnadsspørsmålet blir stående som den eneste eksemplifiserte begrunnelsen slik det er i høringsnotatet. Et konkret eksempel på behovet fra vår egen erfaring er følgende. I systemer for å produsere grunnleggende konnektivitet er tilgjengelighetsaspektet det sentrale, ettersom konfidensialitet uansett må håndteres på et høyere lag. Dersom det pålegges flerfaktorautentisering, og aktuelle autentiseringsalternativer forutsetter konnektivitet for å fungere oppstår det en sirkulær avhengighet. Dette kan lett skape vranglåssituasjoner som umuliggjør rask gjenoppretting.
Forskriftens §12 andre ledd inkluderer formuleringen «tilgang til virksomhetens/tilbyders nettverk og informasjonssystemer» som også gjenfinnes andre steder i teksten. På dette stedet må det imidlertid forstås som «tilgang til tilbyders interne nettverk og til ikke-åpne grensesnitt mot tilbyders informasjonssystemer» for å gi pragmatisk mening. En bokstavelig lesing ville umuliggjort nettverk som leveranse eller tjenester til et generelt publikum. Vi mener formuleringen bør endres, slik at ordlyden i forskriften samsvarer med intensjonen.
En potensiell svakhet med formuleringen i forskriftens §6 er at krav om sertifisering av styringssystem ikke nevnes. Slik vi ser det, vil den naturlige tolkningen være at sertifisering ikke er påkrevd. Imidlertid er en mulig alternativ tolkning at det er underforstått at sertifisering er nødvendig for å dokumentere at kravet er oppfylt. Det ville vært bedre om teksten presiserte at det er opp til det enkelte departement eller annen relevant myndighet å avgjøre om sertifisering skal kreves. Dette vil gjøre det lettere å gradvis heve formalkravene i takt med virksomhetenes modenhet uten justering av forskriften.
Forskriftens §7 om risikovurdering og §8 om risikohåndtering kunne med fordel blitt slått sammen til én paragraf med felles overskrift «risikostyring». En slik sammenslåing vil også gjøre at punktet om kartlegging i listen over minimumskrav passer bedre inn i helheten. Vi mener at resten av denne listen bør utelates. Selv om punktene normalt inngår i risikovurderinger av systemer eller tjenester er vår erfaring at for såpass overordnede risikovurderinger som beskrives i forskriften kan det være mer formålstjenlig å benytte rammeverk som ikke nødvendigvis oppfyller alle disse punktene. Spesielt i lys av siste avsnitt i forskriftens §8 burde en slik liste være overflødig.
Vi mener også at forskriften bør inneholde et krav om at det for alle alvorlige risikoer som avdekkes enten må vedtas tiltak for å redusere risikoen, eller begrunnes på et tilstrekkelig høyt nivå at risikoen aksepteres. Videre bør det presiseres i forskriften at det er ledelsens ansvar at den samlede planen for risikohåndteringstiltak prioriteres, gis ressurser og følges opp.
Som siste moment i kapittel 5.3.5.2 i høringsnotatet bes det eksplisitt om tilbakemelding angående behov for unntaksordning for forskriftens §10, teknologiske sikkerhetstiltak. Vi mener det er nødvendig med en unntaksordning, og at det er tilstrekkelig at relevant myndighet gis kompetanse til å innvilge unntak. Det vil da være fornuftig å definere rammer for begrunnelse av unntak, inkludert konflikt med andre krav, manglende relevans eller kompenserende tiltak, slik at ikke kostnadsspørsmålet blir stående som den eneste eksemplifiserte begrunnelsen slik det er i høringsnotatet. Et konkret eksempel på behovet fra vår egen erfaring er følgende. I systemer for å produsere grunnleggende konnektivitet er tilgjengelighetsaspektet det sentrale, ettersom konfidensialitet uansett må håndteres på et høyere lag. Dersom det pålegges flerfaktorautentisering, og aktuelle autentiseringsalternativer forutsetter konnektivitet for å fungere oppstår det en sirkulær avhengighet. Dette kan lett skape vranglåssituasjoner som umuliggjør rask gjenoppretting.
Forskriftens §12 andre ledd inkluderer formuleringen «tilgang til virksomhetens/tilbyders nettverk og informasjonssystemer» som også gjenfinnes andre steder i teksten. På dette stedet må det imidlertid forstås som «tilgang til tilbyders interne nettverk og til ikke-åpne grensesnitt mot tilbyders informasjonssystemer» for å gi pragmatisk mening. En bokstavelig lesing ville umuliggjort nettverk som leveranse eller tjenester til et generelt publikum. Vi mener formuleringen bør endres, slik at ordlyden i forskriften samsvarer med intensjonen.
Forskriftens kapittel 4
Forskriftens §16 andre ledd nevner departementenes anledning til å utpeke sektorvise responsmiljøer. Slik teksten er utformet framstår det som om listen med fagområder det kan utpekes sektorvise responsmiljøer for er uttømmende. Dersom dette er tilsiktet, opplever vi det som en uheldig endring av etablert praksis, og å være til hinder for å utvikle den mest formålstjenlige sammensetningen i møte med et stadig skiftende trusselbilde.
Som et sektorvist responsmiljø som har deltatt aktivt i utviklingen av rammeverk for slike responsmiljøer tilslutter vi oss vurderingene i siste avsnitt av kapittel 7.2 i høringsnotatet. Forskriftens §17 omhandler varsling og viser til varslingsbestemmelsene i digitalisikkerhetsloven §8 og §11 (ikke trådt i kraft). Basert på erfaringen som sektorvist responsmiljø vil vi påpeke at bruken av begrepet «varsling» her er lett å forveksle med den etablerte bruken av samme begrep i løpende sikkerhetsarbeid som ikke er varslingspliktig etter lov. Med bakgrunn i det pågående arbeidet med revisjon av NSMs «rammeverk for håndtering av IKT sikkerhetshendelser» mener vi at forskriften bør presisere at det foreligger et skille her. En slik presisering vil forebygge misforståelser og potensielle konflikter mellom tilsynelatende motstridende plikter. En enda bedre løsning for fagmiljøene ville vært at digitalsikkerhetsloven og -forskriften i stedet benyttet termen «rapportering» i stedet for «varsling», i tråd med foreliggende forslag til revidert rammeverk.
Forskriftens §18 andre ledd er ikke begrenset til taushetsbelagt informasjon, og bør derfor ikke plasseres under denne paragrafen. Vi mener bestemmelsen enten bør flyttes til forskriftens §16, eller at forskriftens §18 får en bredere overskrift, men da også et bredere innhold som dekker alle aktørers adgang til og plikt til å dele informasjon, også taushetsbelagt sådan. I så fall kunne forskriftens §19 med fordel inkorporeres i samme paragraf, der det angis hvorvidt en tilsvarende adgang til å behandle personopplysninger også gjelder sektorvise responsmiljøer og eventuelt også sikkerhetspersonell hos tilbyder.
For Sikt – kunnskapssektorens tjenesteleverandør:
Som et sektorvist responsmiljø som har deltatt aktivt i utviklingen av rammeverk for slike responsmiljøer tilslutter vi oss vurderingene i siste avsnitt av kapittel 7.2 i høringsnotatet. Forskriftens §17 omhandler varsling og viser til varslingsbestemmelsene i digitalisikkerhetsloven §8 og §11 (ikke trådt i kraft). Basert på erfaringen som sektorvist responsmiljø vil vi påpeke at bruken av begrepet «varsling» her er lett å forveksle med den etablerte bruken av samme begrep i løpende sikkerhetsarbeid som ikke er varslingspliktig etter lov. Med bakgrunn i det pågående arbeidet med revisjon av NSMs «rammeverk for håndtering av IKT sikkerhetshendelser» mener vi at forskriften bør presisere at det foreligger et skille her. En slik presisering vil forebygge misforståelser og potensielle konflikter mellom tilsynelatende motstridende plikter. En enda bedre løsning for fagmiljøene ville vært at digitalsikkerhetsloven og -forskriften i stedet benyttet termen «rapportering» i stedet for «varsling», i tråd med foreliggende forslag til revidert rammeverk.
Forskriftens §18 andre ledd er ikke begrenset til taushetsbelagt informasjon, og bør derfor ikke plasseres under denne paragrafen. Vi mener bestemmelsen enten bør flyttes til forskriftens §16, eller at forskriftens §18 får en bredere overskrift, men da også et bredere innhold som dekker alle aktørers adgang til og plikt til å dele informasjon, også taushetsbelagt sådan. I så fall kunne forskriftens §19 med fordel inkorporeres i samme paragraf, der det angis hvorvidt en tilsvarende adgang til å behandle personopplysninger også gjelder sektorvise responsmiljøer og eventuelt også sikkerhetspersonell hos tilbyder.
For Sikt – kunnskapssektorens tjenesteleverandør: