EU leder an
Det startet, som det oftest gjør, med EU. Først ut var ny personopplysningslov (GDPR) som stiller krav til systemene som behandler personopplysninger. Videre fulgte ny lov om elektroniske tilleggstjenester som gjennomfører EUs forordning om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked, med blant annet sikkerhetskrav og ulike sikkerhetsnivået.
Ny sikkerhetslov i Norge
Norge var ikke noe dårligere og Stortinget vedtok 1. juni 2018 ny lov om nasjonal sikkerhet (sikkerhetsloven). Loven trådte i kraft 1.januar 2019. I takt med dagens endrede risiko- og trusselbilde, utvides lovens virkeområde til også å regulere tjenester og infrastruktur av samfunnskritisk betydning. Det er fremdeles knyttet usikkerhet til hvem som vil bli underlagt den nye sikkerhetsloven, men departementene er i gang med kartleggingsarbeidet og NSM har varslet at det vil komme veiledere som vil spesifisere loven i løpet av våren 2019.
Behovet for ny sikkerhetslov begrunnes spesielt i teknologiutvikling og globalisering der strukturer er avhengig av hverandre. Loven er utformet på en slik måte at den bedre skal kunne virke i et samfunn med rask digital utvikling og stadig nye trusler. Den gamle sikkerhetsloven hadde detaljerte krav om hva en virksomhet skulle gjøre. Dette er nå bytte ut med krav om ivaretakelse av funksjonen. Dette stiller større krav til virksomhetene som vil bli underlagt ny sikkerhetslov.
Nye krav om digital sikkerhet i kraftbransjen
1. november 2018 vedtok NVE revidert kraftberedskapsforskrift som skjerper kravene til digital sikkerhet. Endringene innebærer krav om plikt til grunnsikring av digitale informasjonssystemer og sikring av brytefunksjonaliteten i AMS-målere. I tillegg settes det strengere krav til geografisk kontroll for styring av driftskontrollsystemer. Endringene trådte i kraft fra 1. januar 2019.
Digital sikkerhet som julegave
3. desember i år leverte IKT-sikkerhetsutvalget sin utredning til Justis- og beredskapsdepartementet (NOU 2018: 14), der de blant annet foreslår en egen lov om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning.
Samtidig med Holte-utvalgets arbeid har regjeringen utarbeidet et utkast til lov som gjennomfører NIS-direktivet i norsk rett. NIS-direktivet har som formål å styrke IKT-sikkerheten i EU. Dette skal oppnås ved at medlemsstatene gjennomfører ulike tiltak for å styrke nasjonale kapasiteter og internasjonalt samarbeid.
Lovutkastet og det tilhørende høringsnotatet viser hvilke minimumsforpliktelser som følger av NIS-direktivet.
Departementet sendte de to sakene på felles høring fordi det er nær sammenheng mellom dem. Det gjelder særlig Holte-utvalgets anbefaling nr. 1 om en ny IKT- sikkerhetslov, der de i stor grad viser til lovutkastet om NIS-direktivet.
I høringsnotatet ber departementet at høringsinstansene særlig gi innspill på følgende spørsmål:
- I hvilken grad arbeides det per i dag systematisk med IKT-sikkerhet i din virksomhet? Følges for eksempel visse standarder for sikkerhetsstyring eller internkontroll?
- Beskriv hvilke positive konsekvenser forslaget til gjennomføring av NIS-direktivet vil få for din virksomhet.
- Beskriv hvilke negative konsekvenser forslaget til gjennomføring av NIS-direktivet vil få for din virksomhet.
- Er din virksomhet per i dag underlagt krav til IKT-sikkerhet og varsling? Hvilket regelverk – lover, forskrifter eller annet – er det som stiller slike krav?
- Bør en slik lov som foreslås i denne høringen vedtas selv om vi ikke er forpliktet til det i henhold til EØS-avtalen?
Du må ha oversikt over risikoene
Om krav i lov er nok til å stoppe en eventuelt hacker er mildt sagt diskutabelt. Det som derimot er sikkert er at alle disse regulatoriske grepen vil føre til at du som leder i virksomheten vil ha et ansvar for å sørge for god nok digital sikkerhet.
Alle de nye kravene til digital sikkerhet tar utgangspunkt i risikovurdering og krav om et forsvarlig sikkerhetsnivå. Det skal gjøres vurderinger av hvilke risikoer som er aktuelle og deretter skal det gjennomføres en kombinasjon av menneskelige, elektroniske, fysiske og organisatoriske tiltak.
Ta kontakt med oss om du lurer på om noen av de nye regelverkene får anvendelse for din virksomhet, og hvilke konsekvenser dette eventuelt vil få.