spekter.no>Spekter mener>Høringssvar - IKT-sikkerhet i alle ledd og lov som gjennomfører EUs direktiv om sikkerhet i nettverk og informasjonssystemer (NIS-direktivet) i norsk rett

Arbeidsgiverforeningen Spekter viser til departementets høringsbrev med høringsfrist 22.mars. Vi er gitt utvidet frist til 29. mars med å avgi høringssvar.

Utfordringsbildet som utvalget tegner viser med tydelighet at det er behov for en gjennomgang av organiseringen og reguleringen av nasjonal IKT-sikkerhet. Samtidig som mye av arbeidet med samfunnssikkerhet og beredskap er et nasjonalt ansvar og må løses i nasjonalstatens regi, ligger det i informasjonsteknologiens natur at det er behov for samordning over landegrensene. Med formålet å styrke IKT-sikkerheten i EU og EØS-området, er Spekter derfor positive til innføringen av EUs NIS-direktiv i norsk rett. Når det konkret gjelder spørsmålene omkring utkastet til lov om NIS-direktivet oppfatter vi disse mer virksomhetsrettet. I så måte viser vi til Norsk Helsenett SFs kommentarer.

I høringsnotatet fremgår det at utkastet til ny lov som gjennomfører NIS-direktivet blant annet omfatter virksomheter som tilbyr samfunnsviktige tjenester innenfor samfunnssektorene energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur.  Blant de førstnevnte kategoriene finner vi mange av Spekters medlemsvirksomheter. Helt konkret bør departementet tydeliggjøre hvem loven omfatter slik at det ikke er noen tvil om hvilke foretak som faller inn under lovens virkeområde.

Når deg gjelder anbefalingene til Holte-utvalget har vi følgende kommentarer:

Ny lov om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning

Spekter er enig i anbefalingen om at det utarbeides en ny lov med formål å stille krav om forsvarlig IKT-sikkerhet til alle samfunnskritiske virksomheter. Vi er som nevnt over positive til at den nye loven også gjennomfører NIS-direktivet i norsk rett.

Flere samfunnskritiske sektorer har i dag egen lovgivning på området. Etter vår vurdering bør disse gås gjennom for å sikre at det ikke oppstår uklarheter i forhold til ny lovgivning på området.  

Utvalget har vurdert muligheten for å underlegge alle virksomheter krav om IKT-sikkerhet i lov, ikke bare samfunnskritiske virksomheter og offentlig forvaltning, og tilbydere av digitale tjenester, og anbefaler at det settes ned et eget lovutvalg for å utrede dette. Etter vår vurdering er det en svakhet at det i lov ikke stilles IKT-sikkerhetskrav til små virksomheter.  Også små virksomheter som er tilbydere av digitale tjenester kan gjennom sine tjenester inngå i en større verdikjede av samfunnsviktige tjenester. Spekter er usikker på om det er tilstrekkelig å stille krav om IKT-sikkerhet ved offentlige innkjøp, og ber departementet om å vurdere hvordan det også kan stilles krav til IKT-sikkerhet for små virksomheter.

Krav om IKT-sikkerhet ved anskaffelser

Spekter er enig i utvalgets forslag om at det må stilles krav om IKT-sikkerhet ved offentlige anskaffelser. Jf overnevnte mener vi likevel at det i seg selv ikke vil være nok for å sikre at virksomheter som ikke faller inn under lovforslaget har tilstrekkelig IKT-sikkerhet.

Etablere et nasjonalt IKT-sikkerhetssenter

Sektorvise CERTer, for eksempel HelseCERT, fungerer godt innenfor sine områder, og må få utvikle seg videre. Å etablere et nasjonalt IKT-sikkerhetssenter kan likevel være hensiktsmessig i forhold til en mer koordinert innsats og samordning av oppgaver og veiledning fra myndighetenes side. Utvalget anbefaler videre at et slikt senter skal være pådriver for offentlig-privat samarbeid. Som en av stifterne av Næringslivets Sikkerhetsråd (NSR) vil vi peke på at NSR, med sin kunnskap og kompetanse om IKT-sikkerhetsutfordringer i næringslivet, vil være en naturlig samarbeidspartner på dette området.

Tydelig regulering og ansvar for tilkoblede produkter og tjenester

Utvalget mener at myndighetsansvaret for IKT-sikkerheten i tilkoblede produkter og tjenester som er koblet til internett må tydeliggjøres, og mener Direktoratet for sivilt beredskap må få en tydeligere rolle på dette området. Spekter deler utvalgets vurdering og er enig i at ansvaret for IKT-sikkerhet på dette området bør flyttes fra forbruker til produsent og leverandør gjennom å stille krav til innebygd sikkerhet i tilkoblede produkter og tjenester.

Les om høringen her.