sikkerhetsloven, sikkerhetslov, nis-direktiv

Artikkel

Ny sikkerhetslov og NIS-direktivet

I motsetning til den GDPR-feberen vi har sett det siste året, med seminarer over alt, har det vært litt mer stille rundt den nye sikkerhetsloven. I et nyhetsbilde fylt av ord som cybersikkerhet, hackerangrep og cyberterror, er dette overraskende. Kravet om styringssystem for sikkerhet som gjelder allerede fra nyttår, kan med andre ord komme brått på mange aktører.

I januar 2019 trer den nye sikkerhetsloven i kraft og 3. desember i år leverte IKT-sikkerhetsutvalget sin utredning til Justis- og beredskapsdepartementet, der de blant annet foreslår en egen lov om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning. Ny sikkerhetslov, IKT-sikkerhetsutvalgets utredning og EUs NIS-direktiv er alle eksempler på tiltak for å ruste samfunnet til å takle det rådende trusselbildet. Sikkerhetsloven og NIS-direktivet har åpenbare tangeringspunkter. Og sammen med GDPR (personvernforordningen) er de eksempler på tverrsektoriell regulering av IKT-sikkerhet. NIS-direktivet trådte i kraft i EU i sommer, men er ennå ikke implementert i Norge, til tross for at det er relevant for det indre marked.

Sikkerhetsloven innebærer både videreføring av gjeldende rett og enkelte store endringer. Hovedvirkeområdet vil fortsatt være offentlig forvaltning, men i takt med dagens endrede risiko- og trusselbilde, utvides lovens virkeområde noe. Mens dagens sikkerhetslov i hovedsak regulerer beskyttelse og bruk av sikkerhetsgradert informasjon, regulerer den nye sikkerhetsloven også tjenester og infrastruktur av samfunnskritisk betydning. NIS-direktivet stiller på sin side krav til sikkerheten ved levering av tjenester, herunder enkelte digitale tjenester, som er av essensiell betydning for det indre markeds funksjon som tjenester innenfor sektorer som energi, transport, helse, bank/finans, vann, digital infrastruktur mv. Det er med andre ord både overlapp og tangeringspunkter mellom de to lovverkene.

Begrepet grunnleggende nasjonale funksjoner innføres i sikkerhetsloven, ikke ulikt NIS-direktivets begrep «essensielle tjenester». Førstnevnte defineres som:

«… tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser».

Dersom et departement har fattet vedtak om at loven helt eller delvis skal gjelde innenfor eget ansvarsområde, vil loven gjelde for virksomheter som innenfor dette departementets ansvarsområde behandler sikkerhetsgradert informasjon eller som råder over informasjon, informasjonssystemer, objekter eller infrastruktur som har avgjørende betydning for slike «grunnleggende nasjonale funksjoner». Departementene er pålagt å holde en oversikt disse virksomhetene slik at det kan vurderes hvorvidt tiltak skal iverksettes. Det er sannsynlig at ny sikkerhetslov vil gjøres gjeldende også for virksomheter som driver blant annet betalingstjenester, strøm- og energitjenester, så fremt tjenesten anses å være av samfunnskritisk betydning.

Det drives imidlertid ikke med ustrakt informasjonsarbeid på dette området og uten departementenes vedtak foreligger det fortsatt stor usikkerhet knyttet til sikkerhetslovens faktiske virkeområde, noe som gjør det utfordrende for virksomheter som vil bli omfattet å starte det forberedelsesarbeidet. Dette ble blant annet påpekt av Regelrådet i deres høringsuttalelse.

Den nye sikkerhetsloven er i stor grad en videreføring av dagens regler, men for å sørge for at virksomhetene er rede til å møte et endret trusselbilde, stiller loven blant annet krav om alle omfattede virksomheter må ha på plass et styringssystem for sikkerhet.

Virksomheter som vil være i stand til å oppfylle sikkerhetslovens krav, vil trolig oppfylle kravene til sikkerhet og innføring av risikoreduserende tiltak som følger av NIS-direktivet. Tilsvarende vil langt på vei også kunne gjelde forholdet mellom kraven i NIS og kravet til å ha etablert tilfredsstillende organisatoriske og tekniske tiltak etter personvernforordningen. Det er med andre ord mye å hente på å jobbe strategisk og målrettet med å oppfylle kravene i disse tre regelverkene.

I høst har forskrifter til ny sikkerhetslov vært på høring. Høringsfristen var 10. oktober 2018 og Forsvarsdepartementet arbeider fortsatt med innspillene. Høringen omfattet tre forskrifter til ny sikkerhetslov; myndighetsforskriften, klareringsforskriften og virksomhetsforskriften. Forskriftene er ikke delt etter fagområder, og et av hovedformålene med den nye forskriftsstrukturen, er å legge til rette for at både myndigheter og virksomheter ser det forebyggende sikkerhetsarbeidet i sammenheng og jobber tverrfaglig og helhetlig med sikkerhet.

Gjennom forskriftene er det stilt krav om et forsvarlig sikkerhetsnivå. Det kreves at dette skal oppnås gjennom en kombinasjon av menneskelige, elektroniske, fysiske og organisatoriske tiltak, hvilket fordrer nettopp en helhetlig og tverrfaglig tilnærming, ikke ulikt det arbeidet som mange virksomheter nå har gjort for å sikre etterlevelse av personvernforordningen (GDPR). Dersom virksomheten har et velfungerende styringssystem for HMS, personvernforordningen eller annet regelverk, kan det være fornuftig å ta utgangspunkt i dette. Nivået for hva som er forsvarlig vil variere mellom ulike type virksomheter, bransjer, sektorer, funksjoner og hva slags verdier som skal beskyttes.

 

Ta kontakt med oss om du lurer på om sikkerhetsloven får anvendelse for din virksomhet, og hvilke konsekvenser dette eventuelt vil få.

Var denne siden nyttig?