Digitalsikkerhetsloven bygger på EUs NIS-direktiv og setter tydelige rammer for hvordan både tilbydere av samfunnsviktige og digitale tjenester skal sikre sine nettverk og informasjonssystemer.
Formålet med loven er å styrke motstandskraften mot digitale trusler og sikre kontinuitet i tjenester som er avgjørende for samfunnet. Den gjelder for to kategorier av virksomheter:
- Tilbydere av samfunnsviktige tjenester
– Disse er definert i digitalsikkerhetsloven § 6 - Tilbydere av digitale tjenester
– Disse er definert i digitalsikkerhetsloven § 9
Loven inneholder to overordnete plikter:
- Sørge for tilstrekkelig digital sikkerhet
- Varsle hendelser som virker betydelig inn på tjenesteleveransen
Loven gjelder ikke for virksomheter som er omfattet av lov om elektroniske tillitstjenester. Også virksomheter som er omfattet av ekomloven faller i utgangspunktet utenfor digitalsikkerhetsloven.
Hvem har plikter?
Tilbydere av samfunnsviktige tjenester
Leverandører av samfunnsviktige tjenester omfatter:
- Energi (elektrisitet, olje, gass)
- Transport (luft, sjø, jernbane og vei)
- Helse
- Bank og finans
- Drikkevannsforsyning
- Digital infrastruktur
Dette er den viktigste kategorien av virksomheter som er forpliktet, og det antas at de jevnt over har noe strengere krav til sikkerhet enn tilbydere av digitale tjenester.
Tilbydere av digitale tjenester
Denne kategorien omfatter:
- Nettbaserte markedsplasser
- Nettbaserte søkemotorer
- Skytjenester
Hvilke plikter har tilbyderne?
Overordnet om tilbydernes plikter
Tilbyderne skal gjennomføre en risikovurdering av nettverks- og informasjonssystemer som benyttes for å levere tjenesten.
Tilbyderen skal også iverksette hensiktsmessige og proporsjonale tekniske og organisatoriske sikkerhetstiltak som samlet skal sørge for et sikkerhetsnivå som er tilpasset risikoen.
I tillegg skal tilbyderne uten unødig opphold (og uten hinder av taushetsplikt) varsle tilsynsorganet om hendelser som virker betydelig inn på tjenesteleveransen.
Plikt til å bruke sikkerhetstiltak
Samfunnsviktige tjenester – tiltak for å sikre informasjonssikkerhet
Pliktene til å ivareta informasjonssikkerhet er for de samfunnsviktige tjenestene utdypet i digitalsikkerhetsforskriften kapittel 2, og inkluderer:
- Styringssystem for sikkerhet
- Risikovurdering
- Risikohåndtering
- Organisatoriske sikkerhetstiltak
- Teknologiske sikkerhetstiltak
- Fysiske sikkerhetstiltak
- Sikkerhetstiltak for personell
- Hendelseshåndtering og beredskap
- Oppfølgingsplikt
Digitale tjenester – tiltak for å sikre informasjonssikkerhet
Tilbyderne av digitale tjenester har sine forpliktelser fastslått mer detaljert i den såkalte gjennomføringsforordningen (Forordning (EU) 2018/151), som nå gjelder som norsk lov.
Pliktene omfatter blant annet sikkerhetselementer som systematisk forvaltning av nettverks- og informasjonssystemer, fysisk og miljømessig sikkerhet og forsyningssikkerhet.
Plikt til å varsle relevant myndighet
Varsling skal skje «uten ugrunnet opphold». Både leverandører av samfunnsviktige tjenester og digitale tjenester er underlagt plikter til å varsle. Det er imidlertid ulike krav ettersom digitalsikkerhetsforskriften inneholder mer detaljerte krav for tilbydere av samfunnsviktige tjenester.
Tilbydere av samfunnsviktige tjenester – varslingsplikt
Varselet skal sendes senest innen 24 timer etter at en tilbyder av en samfunnsviktig tjeneste fikk kjennskap til hendelsen.
Varselet skal inneholde informasjon om
- tilbyderens navn og kontaktinformasjon
- berørt tjeneste
- hendelsen, herunder mulige årsaker og konsekvenser
- antall berørte brukere
- hendelsens virkninger i andre land.
Informasjonen i varselet skal oppdateres innen 72 timer.
Innen en måned fra varsel er sendt, skal tilbyderen gi tilsynsmyndigheten en hendelsesrapport. Hendelsesrapporten skal inneholde oppdatert informasjon om hendelsen og hvilke avhjelpende tiltak som er iverksatt.
Tilbydere av digitale tjenester – varslingsplikt
Også digitale tjenesteleverandører må varsle NSM ved alvorlige hendelser. I motsetning til tilbydere av samfunnsviktige tjenester, er det kun loven som fastsetter hvor raskt og hvor detaljert varsel skal følges opp.
Tilsyn og sanksjoner
Ansvarlig departement utpeker myndigheter som skal føre tilsyn med virksomheter innenfor egen sektor. For virksomheter uten tilsynsmyndighet er Nasjonal sikkerhetsmyndighet tilsynsmyndighet.
Virksomheter må gi tilgang til dokumentasjon, lokaler og systemer ved tilsyn.
Brudd kan føre til:
- Pålegg om retting
- Tvangsmulkt
- Overtredelsesgebyrer
Tilsynsmyndigheten kan ilegge overtredelsesgebyr. Overtredelsesgebyret kan utgjøre opptil 25 ganger grunnbeløpet i folketrygden eller fire prosent av virksomhetens årsomsetning forutgående regnskapsår. Det høyeste beløpet utgjør den øvre rammen. Overtredelsesgebyret kan uansett ikke overstige 50 millioner kroner.
Hva bør du konkret gjøre?
- Start så raskt som mulig: Kartlegg dagens sikkerhetsnivå og se om det er «gap» opp til lovens krav.
- Ledelsesforankring: Sørg for at styre og daglig ledelse er involvert, ettersom det for samfunnsviktige tjenester er et mye større ansvar for daglig leder.
- Dokumentasjon: Etabler rutiner og skriv ned prosesser.
- Leverandørkjeden: Still krav til underleverandører i kontrakter
- Øvingsrutiner: Gjennomfør øvelser der man skaper større bevissthet, f.eks. ulike tabletop-øvelser eller beredskapsøvelser.
- Varslingsberedskap: Ha rutiner for hvem som varsler, hvordan og når varsling av hendelser skal skje, og hvilke myndigheter som skal varsles.
CMS Kluge hjelper deg gjerne med både kurs, kartlegginger, trening og utforming av policy-dokumenter og instrukser.
