3 Regulering og organisering i andre land

3.1 Erfaringer fra andre land

Utfordringene på IKT-sikkerhetsområdet er ikke særegne for Norge, og internasjonalt er det ulike løsninger for organisering og regulering innenfor IKT-sikkerhet. Utvalget har valgt å rette oppmerksomheten mot land som er sammenlignbare med Norge, og land som utvalget mener har kommet langt når det gjelder å regulere og organisere IKT-sikkerhet.

3.1.1 Ulik forvaltningstradisjon – ulik organisering

Det er vanskelig å sammenligne organiseringen i land uten samtidig ha kunnskap om hvordan sentralforvaltningen er bygget opp. Ulike land har ulik forvaltningstradisjon og er ulikt organisert på departementsnivået. Hvilket departement som har hovedansvar for IKT-sikkerhet, varierer mellom landene. I Sverige og Nederland har justisdepartementet ansvaret, i Danmark har forsvarsdepartementet ansvaret, mens i Finland er det Kommunikationsministeriet som har ansvar for nasjonal IKT-sikkerhet. Disse departementene kan ha oppgaver som går utover tilsvarende departements oppgaver i Norge. I noen land, som Danmark og Finland, er ansvaret for ekomsikkerhet og nasjonal IKT-sikkerhet lagt til samme departement. Det vanligste i landene vi har sett nærmere på, er at ekomsikkerhet og nasjonal IKT-sikkerhet er lagt til ulike departementer, som i Norge. Storbritannia skiller seg noe ut fra de øvrige landene. Ansvaret for politikkutforming og koordinering innenfor IKT-sikkerhet er lagt til Cabinet Office, som er direkte underlagt statsministeren.

I den svenske modellen er direktorater og andre underlagte myndighetsorganer mer uavhengig av det overordnede departementet enn i Norge, og det er kun en samlet regjering som kan instruere underlagte etater. Som i Sverige utøver den finske regjeringen i hovedsak sin myndighet som et samlet kollegium, mens myndighetsutøvelsen i Norge vanligvis tar utgangspunkt i hver enkelt ministers konstitusjonelle ansvar. I Finland er departementene relativt små og fungerer primært som politiske sekretariater, og mye av forvaltningsmyndigheten er lagt til underliggende etater.

Den største forskjellen på organiseringen i Norge og Sverige er at samordningsansvaret for IKT-sikkerhet, og den nasjonale CERT-funksjonen, er lagt til myndigheten som har ansvar for samfunnssikkerheten, Myndigheten för samhällsskydd och beredskap (MSB). I Norge er MSBs ansvar delt mellom DSB og NSM, og delvis Difi for offentlig sektor. I Sverige er således arbeidet med IKT-sikkerhet i større grad enn i Norge integrert med det øvrige samfunnssikkerhetsarbeidet.

I Danmark er arbeidet med samfunnssikkerhet, herunder IKT-sikkerhet, lagt inn under Forsvarsministeriet. Ministeriene i Danmark er autonome, og enheter som Beredskapsstyrelsen og Center for Cybersikkerhed (CFCS) er ikke underlagte etater, men en del av selve ministeriet. Den danske styringsmodellen krever stor grad av samordning mellom sektorer på IKT-sikkerhetsområdet, men har den fordelen at arbeidet med sikkerhet og beredskap på nasjonalt nivå er samlet i ett ministerium.

Av landene utvalget har sett nærmere på, skiller Estland seg mest ut fra de øvrige. Det kan skyldes at det er forholdsvis kort tid siden Estland gjenoppsto som selvstendig stat etter Sovjetunionens sammenbrudd, og dermed har kunnet organisere seg uten å måtte ta hensyn til historikk og etablerte strukturer. De har valgt å legge et bredt ansvar for IKT-sikkerhet i en egen etat, og et departement, Ministry of Economic Affairs and Communication, har totalansvaret innenfor IKT-sikkerhet. Unntaket er i forbindelse med internasjonale problemstillinger, hvor Ministry of Foreign Affairs har et ansvar.

3.1.2 Konsolidering av miljøer

På tross av landenes ulike forvaltningstradisjoner og organisering av sentrale myndigheter kan det se ut som trenden er at ulike miljøer innenfor IKT-sikkerhet konsolideres i større enheter med bredere virkefelt. Dette kan omfatte alt fra den nasjonale CERT-funksjonen til råd og veiledning til næringslivet og befolkningen.

Danmark etablerte Center for Cybersikkerhed (CFCS) i 2012, Nederland åpnet sitt National Cyber Security Centrum (NCSC) i 2012, og Storbritannias National Cyber Security Center (NCSC) ble operativt i 2016.

I Sverige og Finland er samordningsansvaret for IKT-sikkerhet lagt til etablerte etater med tilgrensende ansvar. I Sverige er ansvaret lagt til MSB, mens det i Finland er lagt til ekommyndigheten FICORA. I Finland kalles riktignok den delen av FICORA som har dette IKT-sikkerhetsansvaret, for National Cyber Security Center Finland (NCSC), men det fremheves ikke i samme grad som i andre land at dette er et senter.

3.1.3 Offentlig–privat samarbeid

Konsolideringen av IKT-sikkerhetsmiljøene har flere årsaker, men en viktig begrunnelse har vært ønsket om å styrke det forebyggende arbeidet gjennom enhetlig og tilgjengelig råd og veiledning og å styrke offentlig–privat samarbeid. Storbritannia, for eksempel, legger stor vekt på at NCSC skal preges av åpenhet og transparens, og at de er helt avhengige av godt offentlig–privat samarbeid for å nå målet om et sikkert Storbritannia. Ettersom landet har forholdsvis svak regulering av IKT-sikkerhetsområdet, er det helt avhengig av at virksomhetene har et bevisst forhold til IKT-sikkerhet og har egeninteresse i å ha forsvarlig IKT-sikkerhet. NCSC har derfor utviklet løsninger for informasjonsdeling og offentlig–privat samarbeid. Et premiss for å få til dette er, ifølge NCSC, at de ikke er en regulatorisk myndighet og dermed ikke har sanksjonsmyndighet overfor aktørene de samhandler med.

I Nederland vektlegges det også at ingen etat eller myndighet alene kan møte IKT-sikkerhetsutfordringene, og nederlandske NCSC fremhever, som britene, tillit som en kritisk suksessfaktor for vellykket offentlig–privat samarbeid. Tillit bygges gjennom gode samarbeidsordninger, som for eksempel senterets bruk av liaisoner fra næringslivet og samarbeid med sektorvise informasjons- og analysesentre hvor private virksomheter og utvalgte offentlige etater deltar.

I Finland fremgår det ikke at offentlig–privat samarbeid er en stor del av det finske NCSCs portefølje. Det kan skyldes at det i Finland allerede er sterk tradisjon for slikt samarbeid, og at det derfor ikke er nødvendig å uttrykke dette eksplisitt. Samarbeidet mellom myndighetene og private virksomheter skjer blant annet gjennom organisasjoner som Finnish Information Security Cluster (FISC), som ble stiftet i 2012 av de viktigste IKT-sikkerhetsselskapene i Finland.

Landene over er eksempler på ulike tilnærminger til offentlig–privat samarbeid. Felles for alle land utvalget har sett nærmere på, er at myndighetene ikke alene ser seg i stand til å løse IKT-sikkerhetsutfordringene. Et godt offentlig–privat samarbeid vurderes derfor gjennomgående som avgjørende for å lykkes.

3.1.4 Ulik tilnærming til regulering

Hvis man ser på reguleringen av IKT-sikkerhet i andre land, kan det konstateres at også denne har ulike tilnærminger. Enkelte land har krav nedfelt i tverrsektorielle reguleringer, mens andre land har IKT-sikkerhetskrav primært i sektorspesifikk regulering.

Land som Estland, Tyskland og Frankrike har en tilnærming med høy grad av sentralisering og tverrsektoriell regulering. I disse landene er det samtidig etablert sterke sentrale fagmyndigheter innen IKT-sikkerhet, med kompetanse til å stille utfyllende krav. På den andre siden har man Storbritannia, hvor omfanget av reguleringer er lite, og hvor de i større grad baserer seg på at virksomhetene selv må ta ansvar for egen IKT-sikkerhet. Andre land, som Danmark, har valgt en mellomløsning hvor enkelte forhold er regulert tverrsektorielt, mens andre er regulert gjennom sektorlovgivningen.

De samme trekkene ser man i landenes tilnærming til implementering av NIS-direktivet (se vedlegg 2). En del land velger å implementere direktivet gjennom egen lov, mens andre implementerer direktivet gjennom lovgivning i de enkelte sektorene.

De klareste fellestrekkene mellom de ulike landene finner vi knyttet til de kravene som stilles til beskyttelse av personopplysninger. På dette området har de fleste europeiske land tverrsektorielle krav om IKT-sikkerhet nedfelt i en egen personopplysningslov. Disse lovene ble inntil nylig bygget på Europaparlaments og rådsdirektiv 95/46/EF av 24. oktober 1995, og stiller i det alt vesentligste sammenfallende krav om beskyttelse av personopplysninger. På tilsvarende måte stiller GDPR tverrsektorielle krav om hvordan personopplysninger skal sikres i landene i EU/EØS-området.

3.2 Gjennomgang av land

3.2.1 Sverige

Departementsnivå

På politisk nivå har Justitiedepartementet omtrent samme ansvar for IKT-sikkerhet som Justis- og beredskapsdepartementet har i Norge. I internasjonale problemstillinger arbeider Justitiedepartementet tett med Utrikesdepartementet.

Näringsdepartementet har ansvar for samordning av IKT-politikken, herunder digital agenda, regulering av elektronisk kommunikasjon, nettsikkerhet, og Internet Governance. Departementet har også etatsstyringsansvar for Post- och telestyrelsen, og har følgelig et ansvar som i Norge er delt mellom Kommunal- og moderniseringsdepartementet og Samferdselsdepartementet.

Sentrale fagmyndigheter

Myndigheten för samhällsskydd och beredskap (MSB) er den sentrale fagmyndigheten for IKT-sikkerhet på sivil side i Sverige. MSB tilsvarer i stor grad DSB i Norge, men har et betydelig større ansvar på IKT-sikkerhetsområdet enn DSB. Det er mer sammenlignbart med NSMs ansvar som fagmyndighet innenfor IKT-sikkerhet.

På IKT-sikkerhetsområdet skal MSB støtte og samordne det arbeidet som utføres i sivil sektor. MSB skal også foreta en fortløpende analyse av trusselutviklingen på området. I dette inngår det å gi råd og veiledning om forebyggende arbeid til statlige myndigheter, kommuner og landsting samt foretak og organisasjoner. Myndigheten skal rapportere til regjeringen om status på IKT-sikkerhetsområdet og kan i denne sammenheng også komme med forslag til tiltak.

MSB har også ansvar for å forebygge og håndtere IKT-hendelser, herunder drifte CERT-SE.

Post- och telestyrelsen (PTS) fører tilsyn med elektronisk kommunikasjon i Sverige. Begrepet elektronisk kommunikasjon innbefatter her telekommunikasjoner, IT og radio. PTS tilsvarer Nkom i Norge og har omtrent samme rolle innenfor IKT-sikkerhet som Nkom. Datainspektionen tilsvarer Datatilsynet i Norge og har tilnærmet samme mandat.

Sentrale samordningsarenaer

I tillegg til de sentrale fagmyndighetene er tre sentrale samordningsarenaer viktige i den svenske organiseringen. Samverkansgruppen för informationssäkerhet (SAMFI) består av et antall myndigheter som alle har et særskilt ansvar for samfunnets informasjonssikkerhet. Myndighetene i SAMFI støtter hverandre gjennom informasjonsutveksling og samarbeid, og drøfter spørsmål innen følgende hovedområder:

• Strategi, handlingsplan og forskrifter

• Tekniske spørsmål og standardiseringsspørsmål

• Nasjonal og internasjonal utvikling innen informasjonssikkerhet

• Informasjonsvirksomhet

• Øvelser og trening

• Ledelse og forebygging av IKT-hendelser

Informationssäkerhetsrådet er et privat–offentlig råd med bred representasjon fra offentlige og private virksomheter, og det er ledet av MSB.

Rådet bistår MSB med

• informasjon om utviklingstrender innen informasjonssikkerhet herunder beskyttelse av informasjon og sikring av informasjonssystemer

• synpunkter på innretning, prioritering og gjennomføring av MSBs arbeid på området

• kvalitetssikring av MSBs arbeid

Rådet skal bidra til spredning av informasjon om MSBs arbeid med informasjonssikkerhet i samfunnet.

Nationella telesamverkansgruppen (NTSG) består av de største markedsaktørene innen elektronisk kommunikasjon. Her samarbeider disse, på frivillig basis, med PTS om å styrke den nasjonale elektroniske infrastrukturen.

Regulering

For statlige organer har MSB fastsatt Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet av 1. mars 2016. Regelverket stiller krav til at statlige virksomheter med utgangspunkt i et styringssystem for sikkerhet skal gjennomføre et systematisk og risikobasert informasjonssikkerhetsarbeid. De skal ta hensyn til ISO 27001 og 27002 i arbeidet. Virksomhetene skal definere ansvar, roller og myndighet i arbeidet med informasjonssikkerhet, utarbeide en informasjonssikkerhetspolicy, og dokumentere sikkerhetsarbeidet. Virksomheten skal verdivurdere informasjonen sin med utgangspunkt i behovet for konfidensialitet, integritet og tilgjengelighet og iverksette risikobaserte tiltak for å beskytte informasjonen. Forskriften stiller også krav til at virksomhetene skal ha rutiner for å håndtere hendelser som kan påvirke sikkerheten.

Gjennom Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters rapportering av it-incidenter av 1. mars 2016 pålegges statlige myndigheter en rapporteringsplikt til MSB. Hendelser som alvorlig kan påvirke informasjonssikkerheten, skal rapporteres. Der hvor statlige virksomheter benytter private underleverandører, skal disse i outsourcingsavtalen pålegges en tilsvarende rapporteringsplikt.

For å iverksette NIS-direktivet i svensk rett har Riksdagen i juni 2018 vedtatt Lag om informationssäkerhet för samhällsviktiga och digitala tjänster. Regjeringen har fastsatt en forordning koblet til den nye loven. Lov og forordning trådte i kraft 1. august 2018.

Fra 25. mai 2018 er GDPR implementert i svensk rett og regulerer sikring av personopplysninger.

3.2.2 Danmark

Departementsnivå

På politisk nivå er Forsvarsministeriet ansvarlig for samordningen på IKT-sikkerhetsområdet. Det nasjonale senteret for cybersikkerhet, Center for Cybersikkerhed, er underlagt Forsvarsministeriet.

Ervervs- og Vækstministeriet arbeider for å fremme IT-sikkerhet og ansvarlig datahåndtering i små og mellomstore virksomheter. De ivaretar sekretariatet for Virksomhetsrådet for IT-sikkerhet, og lanserte blant annet sikkehedstjekket.dk sammen med Rådet for Digital Sikkerhed i 2016. Sikkerhetstjekket.dk skal gjennom målrettet informasjon og veiledning styrke IT-sikkerheten i virksomhetene. Ministeriet har også gitt ut Privacykompasset (2015), som veileder virksomhetene i håndtering av personvern innenfor eksisterende lovgivning og den nye personvernforordningen. De er ansvarlige for tilsynet av de spesifikke databeskyttelsesreglene i e-Databeskyttelsesdirektivet for telesektoren, som blant annet omfatter kommunikasjonshemmeligheter, trafikk- og lokasjonsdata og databrudd og er implementert i dansk rett.

Utenrigsministeriet ivaretar internasjonale spørsmål relatert til IKT-sikkerhet.

Sentrale fagmyndigheter

I 2012 ble Center for Cybersikkerhed (CFCS) opprettet som en sammenslåing av MilCERT og GovCERT. CFCS er en del av Forsvarets etterretningstjeneste, som ligger under Forsvarsministeriet. Senteret er den nasjonale IKT-sikkerhetsmyndighet for danske myndigheter og virksomheter og fungerer som nasjonalt kompetansesenter på cybersikkerhetsområdet. CFCS har også ansvaret for informasjonssikkerhet og beredskap i telesektoren. Det betyr blant annet at de fører tilsyn på området og skal bidra til at det er et høyt sikkerhetsnivå i IKT-infrastrukturen. Videre skal senteret oppdage, analysere og bidra til å avverge avanserte IKT-angrep mot myndigheter og virksomheter som eier/drifter samfunnsviktige funksjoner (for eksempel finanssektoren, statsforvaltningen, telenettet, vannforsyning). Senteret utarbeider halvårlige trusselvurderinger. CFCS ivaretar den danske nasjonale CERT-funksjonen. CFCS har ansvarsområder som i Norge ivaretas av NSM, Nkom og delvis DSB.

Datatilsynet tilsvarer det norske Datatilsynet. Det er en uavhengig myndighet, administrativt underlagt Justitsministeriet.

Digitaliseringsstyrelsen har ansvaret for å fremme digitaliseringen av offentlig sektor i Danmark, herunder å styrke rammene for statsforvaltningens IKT-sikkerhet gjennom innføring av sikkerhetsstandarden ISO 27001. Styrelsen publiserer informasjons- og veiledningsmateriell primært rettet mot statsforvaltningen og innbyggerne for å øke bevisstheten om IKT-sikkerhet, og de fører tilsyn med Statens IT på vegne av alle statens kunder.

Beredskapsstyrelsen har mange oppgaver tilsvarende DSB i Norge og utgir en årlig nasjonal risikovurdering som forutsettes å inngå som et grunnlag for myndighetenes og virksomhetenes risikovurderinger.

Sentrale samordningsarenaer

Det er flere sentrale samordningsarenaer i Danmark. Den tværministerielle kontaktgruppe vedrørende cybersikkerhed er underlagt CFCS. Gruppen skal sikre at departementenes toppledelse har oppdatert kunnskap om hvilke cybertrusler statlige myndigheter står overfor, og hvordan de – i tett dialog med CFCS – kan styrke beskyttelsen mot avanserte IKT-angrep. Gruppen møtes fast to til tre ganger i året, eventuelt ved behov.

Det Strategiske Samarbejdsforum for Cybersikkerhed er også underlagt CFCS, og er en samarbeidsarena der samfunnsviktige virksomheter i privat sektor (foreløpig bare IT- og telesektoren, finanssektoren, transportsektoren, forsvarsindustrien og energi- og forsyningssektoren) samt bransjeorganisasjoner inviteres til dialog/informasjonsutveksling med tanke på beskyttelse av samfunnsviktig infrastruktur og funksjoner. Formålet med arenaen er at CFCS skal understøtte virksomhetenes egeninnsats på området på bakgrunn av den informasjonen som blir delt i forumet. Gruppen møtes fast to til tre ganger i året, eventuelt ved behov.

Rådet for Digital Sikkerhed er en uavhengig privat forening som består av et bredt spekter av aktører (virksomhetsmedlemmer) i offentlig og privat sektor og i akademia, og som fokuserer på IKT-sikkerhet og personvern. Formålet med rådet er i felleskap å skape bedre IKT-sikkerhet i Danmark.

Regulering

Lov om Center for Cybersikkerhed av 25. juni 2014 etablerer lovgrunnlaget for CFCS. Loven pålegger CFCS å understøtte et høyt informasjonssikkerhetsnivå i IKT-infrastruktur som samfunnsviktige funksjoner er avhengige av. CFCS skal drive en nettsikkerhetstjeneste, som er sammenlignbar med det norske VDI-systemet. Gjennom tjenesten overvåkes de tilknyttede virksomheters nettverkskommunikasjon. Loven definerer de rettslige rammene for denne tjenesten. Tilknytning til nettsikkerhetstjenesten er som i Norge basert på frivillighet. De øverste statsorganene, statlige, regionale og kommunale myndigheter og andre virksomheter som forvalter samfunnsviktige funksjoner, kan etter anmodning bli tilsluttet nettsikkerhetstjenesten. Etter loven har CFCS hjemmel til å behandle innhold- og trafikkdata fra nettverkene til de tilsluttede virksomhetene innenfor formålet å understøtte et høyt informasjonssikkerhetsnivå i samfunnet. CFCS er unntatt fra den danske personopplysningsloven. Senterets behandling av personopplysninger er derfor uttømmende regulert i senterets eget rettsgrunnlag.

Lov om net- og informationssikkerhed av 15. desember 2015 etablerer en hjemmel for at CFCS kan fastsette regler i form av minimumskrav om informasjonssikkerhet hos tilbydere av ekomtjenester. Formålet med disse reglene er å bidra til å sikre en robust ekominfrastruktur. Loven gir også hjemmel for at det fastsettes nærmere bestemmelser om rapporteringsplikt til CFCS. Dette omfatter en plikt til å rapportere om hvordan ekomnettene er innrettet og blir driftet, om større planlagte anskaffelser til nettene og om sikkerhetsbrudd som kan ha vesentlige driftsmessige konsekvenser. I disse tilfellene kan tilbyderne også pålegges å underrette allmenheten. CFCS kan også gi regler som er nødvendig for å sikre ekomtjenester i beredskapssituasjoner og andre ekstraordinære situasjoner. CFCS fører tilsyn med etterlevelsen av bestemmelsene gitt i og i medhold av lov om net- og informationssikkerhed.

Danmark implementerte NIS-direktivet gjennom reguleringer i den enkelte sektor. Gjennom dette vil man oppnå at det fastsettes målrettede sikkerhetskrav tilpasset den enkelte sektor. I tilknytning til implementering av NIS-direktivet ble en ny lov om net- og informationssikkerhed for domænenavnssystemer og visse digitale tjenester vedtatt 8. mai 2018. Dette lovforslaget implementerer de deler av direktivet som stiller sikkerhetskrav til samtrafikkpunkter (internet exchange points). Loven gir CFSC hjemmel til å stille nærmere sikkerhetskrav og føre tilsyn. Loven tilrettelegger videre for at CFCS kan ivareta de tverrgående myndighetsoppgaver som følger av direktivet, herunder funksjonen som nasjonalt kontaktpunkt og nasjonalt responsmiljø (CSIRT).1

Lov nr. 522 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven) av 23. mai 2018 regulerer behandlingen av personopplysninger i Danmark og implementerer GDPR i dansk rett.

3.2.3 Finland

Departementsnivå

Det finske finansdepartementet har ansvaret for digitaliseringen av offentlig sektor i Finland, herunder IKT-sikkerhet i offentlig sektor. Kommunikationsministeriet har ansvaret for nasjonal IKT-sikkerhet og elektronisk kommunikasjon. Utrikesministeriet har ansvaret for å ivareta Finlands interesser i internasjonale IKT-sikkerhetsspørsmål.

Sentrale fagmyndigheter

I Finland er Kommunikationsverket (FICORA), tilsvarende Nkom i Norge, den sentrale fagmyndigheten på IKT-sikkerhetsområdet. FICORA er underlagt Kommunikationsministeriet, og på IKT-sikkerhetsområdet har de oppgaver som i Norge ligger under NSM. The National Cyber Security Centre Finland (NCSC-FI) er en del av FICORA. Senteret er tillagt den nasjonale CERT-funksjonen, som tidligere het CERT-FI.

Nationella säkerhetsmyndigheten (NSA) er underlagt Utrikesministeriet og har ansvar for å følge opp internasjonale avtaler og for gradert kommunikasjon med utlandet og mellom sentrale myndigheter.

Regulering

I Finland er det ikke gitt sektorovergripende reguleringer av IKT-sikkerhet. IKT-sikkerhet reguleres derimot i en rekke sektorspesifikke særlover. Sentral i denne sammenheng er Information Society Code (917/2014). Denne loven regulerer ekomtjenester og stiller også krav til at tilbydere av ekomtjenester skal ivareta IKT-sikkerhet. Større sikkerhetsbrudd eller forhold som kan utgjøre en trussel mot informasjonssikkerheten, skal rapporteres til FICORA. Loven stiller overordnede sikkerhetskrav og gir FICORA hjemmel til å stille utdypende krav i forskrifter.

NIS-direktivet er implementert i finsk rett gjennom endringer i en rekke ulike sektorlover. I desember 2017 fremmet den finske regjeringen et forslag til parlamentet om implementering av NIS-direktivet. Forslaget vil medføre endringer i Information Society Code, Aviation Act, Railway Act, Vessel Traffic Service Act, Act on Security Measures on certain Ships and in Ports serving them and on monitoring the Security Measures, Act on Transport Services, Electricity Market Act, Natural Gas Market Act, Act on the Control of the Electricity and Natural Gas Market, Water Services Act og Act on the Financial Supervisory Authority.2 Forslaget ble vedtatt og gitt ikrafttredelse den 9. mai 2018.3

Government Decree on information security in central government (681/2010) stiller krav til hvordan statlige myndigheter skal beskytte sensitiv informasjon, herunder sikkerhetsgradert informasjon, personopplysninger og annen informasjon som kan skade offentlige interesser som kommer uvedkommende i hende. Instruksen har en helhetlig tilnærming til sikkerhet, hvor krav om IKT-sikkerhet inngår som ett av flere elementer.

Personal Data Act (523/1999) stiller krav om sikring av personopplysninger. Ny lovgivning som skal implementere GDPR i finsk rett, er under utarbeidelse, men synes ennå ikke endelig vedtatt.

3.2.4 Storbritannia

Departementsnivå

I Storbritannia har Cabinet Office en koordinerende rolle innenfor IKT-sikkerhet, men hvert departement har ansvar for IKT-sikkerhet i egen sektor. Cabinet Office er direkte underlagt statsministeren, men gir støtte til hele regjeringen på flere politikkområder. Department of Digital, Culture, Media and Sport er ansvarlig departement for ekom og internett, og de gjennomfører også The Cyber security breaches study med jevne mellomrom. Home Office er ansvarlig departement for politiet og dermed også for IKT-kriminalitetsbekjempelse, og Foreign and Commonwealth Office er ansvarlig for Storbritannias internasjonale IKT-sikkerhetsstrategi og IKT-sikkerhetsarbeid.

Sentrale fagmyndigheter

Cyber and Government Security Directorate (CGSD) er en del av Cabinet Office og bistår og gir råd i forbindelse med prioriteringer og strategisk retning for IKT-sikkerhetsarbeidet. CGSD koordinerer National Cyber Security Program (NCSP) og er ansvarlig for den nasjonale IKT-sikkerhetsstrategien.

Government Communications Headquarters (GCHQ), som er underlagt Foreign and Commonwealth Office har ansvar for å identifisere trusler og sårbarheter på IKT-sikkerhetsområdet og støtter forsvaret i deres operasjoner. National Cyber Security Centre (NCSC) er en del av GCHQ og skal bidra til å beskytte vitale interesser i landet mot uønskede hendelser. Senteret gir råd og veiledning og håndterer hendelser, og ivaretar den nasjonale CERT-funksjonen i Storbritannia. Det ble etablert i 2016 og er en sammenslåing av elementer både innenfor og utenfor GCHQ, herunder National Technical Authority for Information Assurance (CESG), the Centre for Cyber Assessment (CCA), CERT-UK, Gov-CERT og cyberdelen av Centre for Protection of National Infrastructure (CPNI). Sistnevnte har fortsatt en viss rådgivningsrolle og samarbeider tett med NCSC. Bakgrunnen for etableringen av senteret var et ønske om bedre koordinering og entydig råd og veiledning fra myndighetene, og bedre utnyttelse av myndighetenes kompetanse ved å samle den under samme tak.

Selv om NCSC er en del av etterretnings- og sikkerhetsorganisasjonen GCHQ, er samhandling med næringsliv og andre offentlige etater en sentral del av NCSCs virksomhet. De har til enhver tid om lag 100 secondees, personer ansatt i næringslivet eller andre offentlige virksomheter, som jobber i senteret to til tre dager i uken. Dette gir virksomhetene kompetanseheving, og det gir NCSC essensiell sektorkunnskap i tillegg til arbeidskraft. Samhandlingen med næringslivet er i all hovedsak basert på tillit, og senteret ønsker ikke å være en regulatorisk myndighet for å svekke denne tilliten.

Ofcom er den britiske ekommyndigheten og følger i noen grad opp IKT-sikkerhet i ekomsektoren. Det er i første rekke en markedsregulator og ivaretar forbrukerinteresser. Etaten er underlagt Department of Digital, Culture, Media and Sport.

Information Commissioner’s Office (ICO) forvalter de britiske personvernreglene, inkludert GDPR, og forvalter tjenestetilbyderdelen (RDSP) av NIS-direktivet.

Sentrale samordningsarenaer

National Security Council består av de mest relevante departementenes ministre og ledes av statsministeren. Rådet skal til enhver tid være oppdatert på mulige trusler mot Storbritannia, herunder IKT-sikkerhet, og koordinere nødvendige tiltak.

Regulering

Storbritannia har i liten utstrekning lovregulerte krav om IKT-sikkerhet.

Storbritannia har i forskrift av 19. april 2018 implementert NIS-direktivet i britisk rett.4 Forskriften er gitt med hjemmel i European Communities Act fra 1972. Det er myndighetenes intensjon at forskriften og kravene som følger av NIS-direktivet, skal fortsette å gjelde også etter deres uttreden fra EU. Ansvaret for å implementere forskriftens krav om IKT-sikkerhet følger i utgangspunktet sektorprinsippet, med flere ulike departementer som kompetente myndigheter. NCSC etableres som internasjonalt kontaktpunkt knyttet til implementeringen av direktivet, samt som CSIRT i henhold til direktivet.

Storbritannia gjennomførte i 2016 et Cyber Security Regulation and Incentives Review, hvor det i tilknytning til behovet for en bredere regulering av IKT-sikkerhet trekkes følgende konklusjon:5

The Review has considered whether there is a need for regulation beyond data protection. Following detailed consideration of evidence from stakeholders and available literature, it concluded that additional cyber security regulation on organisations across the wider economy is not currently justified. It should ultimately be for organisations to manage their own risk in respect of their own sensitive data and online presence, and it should be in their commercial interests to invest in their protection. Government is clear that all businesses have a responsibility to consider their own cyber security and act in their business interests to protect themselves from cyberattack.

Data Protection Act 2018No 625 av 23. mai 2018 gir bestemmelser som sikring av personopplysninger og implementerer GDPR i britisk rett.

3.2.5 Nederland

Departementsnivå

Ministry of Security and Justice har samordningsansvaret for IKT-sikkerhet i Nederland, og for utformingen av IKT-sikkerhetspolitikken. Ministry of Economic Affairs and Climate Policy har ansvar for utformingen av IKT-politikken og for å regulere ekomsektoren. Nederlands internasjonale arbeid med IKT-sikkerhet forvaltes av Ministry of Foreign Affairs.

Sentrale fagmyndigheter

National Coordinator for Counterterrorism and Security (NCTV) tilsvarer delvis NSM og DSB og er en etat i Ministry of Security and Justice. De har hovedansvar for

• å analysere og redusere identifiserte trusler

• å overvåke og beskytte personer, eiendom, tjenester, arrangementer og viktige sektorer

• cybersikkerhet

• å beskytte eiendom, enkeltpersoner, sektorer og nettverk

• krisehåndtering og krisekommunikasjon

Det nederlandske Data Protection Agency er som Datatilsynet i Norge en uavhengig etat som skal sørge for etterlevelse av personvernlovgivningen. Authority for Consumers and Markets er Nederlands regulatoriske myndighet for ekomsektoren, tilsvarende Nkom i Norge.

National Cyber Security Centre (NCSC) har ansvar for å koordinere nasjonal trussel- og hendelseshåndtering, øke bevisstheten i samfunnet om IKT-sikkerhet, gi råd og veiledning, dele informasjon om trusler og hendelser, bistå ved hendelseshåndtering (herunder med teknisk analyse) og styrke den operasjonelle samordningen. NCSC er Nederlands nasjonale CERT, og det er underordnet NCTV i Ministry of Security and Justice. Senteret har utstrakt offentlig–privat samarbeid, særlig gjennom liaisoner, partnerskap og informasjonsdelingsarenaer. De har også ansvar for å følge opp ICT Response Board (IRB), som er et offentlig–privat samarbeid knyttet til oppfølging og beskyttelse av samfunnskritisk IKT-infrastruktur.

Sentrale samordningsarenaer

Cyber Security Council ble etablert i 2011 og ledes av Ministry of Security and Justice. Rådets mandat er å koordinere og føre tilsyn med implementeringen av tiltakene i National Cyber Security Strategy 2 gjennom å

• drøfte og komme med råd om myndighetenes, private aktørers og akademias («knowledge institutions») arbeid med IKT-sikkerhet

• komme med innspill til prioriteringer knyttet til ressursbruk for å imøtekomme IKT-sikkerhetstrusler mv.

• vurdere nasjonale FoU-behov

• dele informasjon

Rådet har 15 medlemmer fra sentrale myndigheter, private aktører og akademia, og det har et eget sekretariat, som gir råd på forespørsel. Rådet kan også – på eget initiativ – ta opp aktuelle saker og problemstillinger.

Regulering

I 2017 ble Dutch Data Processing and Cybersecurity Notification Obligation Act vedtatt. Loven kodifiserer oppgavene til NCSC og etablerer hjemmelsgrunnlag for at senteret kan behandle de personopplysninger som er nødvendig for å utføre sine oppgaver. Loven introduserer også en rapporteringsplikt til NCSC for nærmere definerte sikkerhetsbrudd. Rapporteringsplikten retter seg mot det som kalles vital operator. Hvilke virksomheter som er omfattet av dette begrepet, vil bli klargjort i understøttende regelverk. I forarbeidene uttales det imidlertid at virksomheter innen elektrisitet, gass, vannforsyning, ekom, finans, transport og offentlig sektor som et minimum vil være omfattet.6 Rapporteringsplikten knytter seg til sikkerhetsbrudd som har påvirket, eller kan påvirke, tilgjengeligheten eller påliteligheten til de produktene eller tjenestene virksomheten leverer. Dutch Data Processing and Cybersecurity Notification Obligation Act implementerer ikke kravene i NIS-direktivet fullt ut. Direktivet vil derfor bli implementert gjennom en egen lovgivningsprosess. Et lovforslag om implementeringen av NIS-direktivet ble vedtatt av, parlamentet i februar 2018.

The GDPR Implementation Act av 22. mai 2018 stiller krav om sikring av personopplysninger og implementerer GDPR i nederlandsk rett, gjeldende fra 25. mai 2018.

3.2.6 Estland

Departementsnivå

I Estland er Ministry of Economic Affairs and Communication ansvarlig departement for landets IKT-politikk, herunder IKT-sikkerhetspolitikken. Departementet har blant annet ansvar for å gjennomføre Estlands Cyber Security Strategy. Ministry of Foreign Affairs er ansvarlig departement for internasjonale avtaler og internasjonalt samarbeid på IKT-sikkerhetsområdet.

Sentrale fagmyndigheter

Estonia Information Systems Authority (EISA) organiserer, koordinerer og administrerer utvikling av statens informasjonssystemer, organiserer aktiviteter knyttet til IKT-sikkerhet og håndterer sikkerhetshendelser i estiske nettverk. Etaten er underlagt Ministry of Economic Affairs and Communication. Den nasjonale CERT-funksjonen, CERT-EE, er underlagt EISA.

Estonian Defence League er en organisasjon bestående av frivillige mannskaper, som er underlagt Ministry of Defence. Formålet med organisasjonen er å sikre Estlands suverenitet, og de bidrar på en rekke sivile beredskapsområder, også på IKT-sikkerhetsområdet. De har en egen cybergruppering, som samarbeider tett med estiske myndigheter, og tilbyr opplæring og råd og veiledning innenfor IKT-sikkerhet.

Estonian Technical Regulatory Authority er ekommyndigheten i Estland, men de har i liten grad ansvar for IKT-sikkerhet i ekom. Etatens rolle er som markedsregulator og frekvensforvalter.

Sentrale samordningsarenaer

I 2009 ble Cyber Security Council etablert som en del av National Security Committee. Rådet skal sørge for god samordning mellom ulike etater og kontrollere gjennomføringen av Cyber Security Strategy. Rådet ledes av generalsekretæren (tilsvarende departementsråd i Norge) i Ministry of Economic Affairs.

Regulering

The System of security measures for information systems regulation av 20. desember 2007 stiller sikkerhetskrav til IKT-systemer som benyttes av offentlig forvaltning (the state and local government). Forskriften er hjemlet i den estiske offentlighetsloven (Public Information Act av 15. november 2000). Forskriften krever at det skal gjøres risikovurderinger av IKT-systemene. Vurderingen skal ta i betraktning det aktuelle systemets behov for henholdsvis tilgjengelighet, integritet og konfidensialitet. Basert på vurderingen skal systemene tilordnes en sikkerhetsklasse og sikres med tiltak tilpasset den aktuelle klassen. Forskriften krever videre at offentlige virksomheter skal etablere et styringssystem for sikkerhet og gjennomføre uavhengige sikkerhetsrevisjoner. Rapportene fra sikkerhetsrevisjonene skal sendes til Ministry of Economic Affairs and Communication via EISA.

The Security measures for information systems of vital services and related information assets av 14. mars 2013 stiller krav om sikring av IKT-systemer som benyttes for vitale tjenester. Forskriften er gitt med hjemmel i Emergency Act av 8. februar 2017. Formålet med forskriften er å sikre funksjonaliteten til disse systemene og evnen til å gjenopprette dem ved forstyrrelser. Vitale tjenester er i Emergency Act definert til å omfatte elektrisitet og gassforsyning, drivstofforsyning, ekomtjenester, digital ID og digital signatur, helsetjenester, banktjenester, vannforsyning og avløp samt veitransport. Forskriften stiller krav til at tjenesteyteren skal foreta en risikovurdering av IKT-systemene som understøtter disse tjenestene. Systemer som tjenestene er avhengige av, skal sikres med tiltak valgt etter en risikovurdering. Tjenesteyteren skal etablere et styringssystem for sikkerhet. Dette skal være basert på ISO 27001:2006 og kravene i The System of security measures for information systems regulation. Større sikkerhetshendelser i systemene skal rapporteres til EISA. EISA kan skal informere andre berørte aktører. EISA kan også gi pålegg om sikkerhetstiltak til tjenesteyteren.

Personal Data Protection Act av 15. februar 2007 stiller krav om sikring av personopplysninger. Ny lovgivning som skal implementere GDPR i estisk rett, er under utarbeidelse, og et lovutkast foreligger høsten 2018, men er per november 2018 ennå ikke vedtatt.

3.2.7 Tyskland

Departementsnivå

Bundesministerium des Innern, für Bau und Heimat har ansvaret for nasjonal IKT-sikkerhet i Tyskland. Den internasjonale delen av dette ansvaret ligger under Auswärtiges Amt.

Sentrale fagmyndigheter

Bundesamt für Sicherheit in der Informationstechnik (BSI) er den nasjonale fagmyndigheten på IKT-sikkerhet i Tyskland. Tysklands nasjonale CERT-funksjon, CERT-Bund, drives i regi av BSI. Sammen med IT-Lagezentrum, IT-Krisenreaktionszentrum og Cyber-Abwehrzentrum utgjør de den nasjonale håndteringskapasiteten i Tyskland, alt innenfor rammene av BSI. Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) er Tysklands svar på DSB. Det arrangerer blant annet øvelser og har et ansvar innenfor krisehåndtering. Innenfor IKT-sikkerhet jobber det tett sammen med BSI og Cyber-Abwehrzentrum. Bundesnetzagentur er den tyske regulatoriske myndigheten for ekom og er primært markedsregulator og frekvensforvalter.

Sentrale samordningsarenaer

Cyber-Abwehrzentrum i BSI har et koordineringsansvar mellom etater. Senteret samarbeider direkte med Bundes­amt für Verfassungs­schutz Constitution (BfV), som tilsvarer det norske PST. Senteret samarbeider også direkte med BBK. Sicherheitskabinett er et uformelt forum ledet av kansleren. Forumet diskuterer og beslutter innenfor alle sikkerhetsområder.

Regulering

BSIs oppgaver følger av og er forankret i en egen lov: Gesetz über das Bundesamt für Sicherheit in der Informationstechnik av 14. august 2009. Loven fastsetter at BSI skal utøve rollen som overordnet føderal IKT-sikkerhetsmyndighet. Blant oppgavene er å forebygge og avverge trusler mot føderale IKT-systemer, utvikle IKT-sikkerhetstiltak og produkter til bruk for føderale myndigheter, forestå testing, evaluering og godkjenning av IKT-sikkerhetsmekanismer, utvikle og drifte kryptosystemer for beskyttelse av føderal informasjon, gi råd, veiledning og bistand innen IKT-sikkerhet samt avdekke og koordinere håndteringen av uønskede hendelser mot kritisk IKT-infrastruktur.

Loven gir BSI kompetanse til å fastsette minimumsstandarder for hvordan føderal IKT-infrastruktur skal sikres, og utarbeide tekniske veiledninger innen IKT-sikkerhet. Øvrige føderale myndigheter har rapporteringsplikt til BSI hvis de oppdager sårbarheter eller blir utsatt for angrep eller forsøk på angrep. Loven gir BSI hjemmel til å foreta sikkerhetsmessig overvåkning av føderale IKT-systemer, og gir bestemmelser om hvordan innsamlet informasjon skal behandles.

Ved Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme av 24. juli 2015 ble det gjennomført endringer i BSI-loven og flere andre lover som gir bestemmelser om IKT-sikkerhet. Bakgrunnen for disse endringene var at det tidligere ikke var noen enhetlig tilnærming til sikkerhet i kritisk IKT-infrastruktur. Målsetningen med endringsloven var å styrke sikkerheten hos eiere av kritisk IKT-infrastruktur.7 Kritisk infrastruktur betyr her infrastruktur hvor tap eller forstyrrelser i funksjonaliteten vil kunne få alvorlige konsekvenser for den offentlige sikkerheten innen sektorene energi, IT, ekom, transport, trafikk, helse, vann- og matforsyning, finans og forsikring. 2015-loven stiller krav til at eiere av kritisk IKT-infrastruktur skal implementere nødvendige organisatoriske og tekniske tiltak for å sikre disse systemenes tilgjengelighet, integritet, autentisitet og konfidensialitet. Eiere av kritisk IKT-infrastruktur eller deres bransjeorganisasjoner kan foreslå industrispesifikke sikkerhetsstandarder for å imøtekomme kravene. BSI gis myndighet til å vurdere om foreslåtte standarder er tilstrekkelige. BSI kan selv, eller ved bruk av en kvalifisert tredjepart, føre tilsyn med om tilstrekkelige tiltak er implementert. Gjennom loven pålegges videre eiere av kritisk IKT-infrastruktur å rapportere nærmere definerte IKT-sikkerhetshendelser til BSI. Ved uønskede hendelser i infrastrukturen kan BSI etter anmodning bistå i hendelseshåndteringen og i denne sammenheng iverksette de tiltak som er nødvendig for å gjenopprette sikkerheten og funksjonaliteten i systemet. Etter samtykke fra den berørte virksomheten kan BSI benytte en kvalifisert tredjepart hvis dette er nødvendig for å kunne gjenopprette sikkerheten i systemet raskt nok.

Gjennom en endringslov av 23. juni 2017 ble det tatt inn nye bestemmelser i BSI-loven som stiller sikkerhetskrav også til digitale tjenesteleverandører. Dette var for å implementere de deler av NIS-direktivet som ikke allerede var dekket.

Bundesdatenschutzgesetz (Federal Data Protection Act) av 30. juni 2017 stiller krav om sikring av personopplysninger og implementerer GDPR i tysk rett.

3.2.8 Frankrike

Departementsnivå

I Frankrike har statsministeren det øverste ansvar for IKT-sikkerhetspolitikken. Ansvaret forvaltes gjennom Secrétariat général de la défense et de la sécurité nationale Security (SGDSN), som er en interdepartemental enhet plassert direkte under statsministeren. Særlig forsvarsdepartementet jobber tett med SGDSN for å utvikle Frankrikes cyberkapabiliteter.

Sentrale fagmyndigheter

ANSSI er det nasjonale fagmiljøet for IKT-sikkerhet i Frankrike, og det er en etat direkte underlagt statsministeren på dette området. Formelt sett rapporterer ANSSI som etat til SGDSN. ANSSI har et bredt ansvar for IKT-sikkerhet i Frankrike og jobber med bevisstgjøring av befolkningen så vel som sikring av kritiske systemer for staten. Den nasjonale CERT-funksjonen, CERT-FR, er underlagt ANSSI.

ARCEP er den regulatoriske ekommyndigheten i Frankrike. Det er en kvasiautonom uavhengig etat. Med kvasiautonom menes at etaten er uavhengig, samtidig som regjeringen oppnevner etatens styre. ARCEP har ingen definert rolle innenfor nasjonal IKT-sikkerhet i Frankrike, men er i første rekke markedsregulatorisk myndighet og frekvensforvalter.

CNIL i Frankrike tilsvarer Datatilsynet i Norge og jobber med å følge opp den franske personvernlovgivningen.

Sentrale samordningsarenaer

Utvalget har ikke lykkes med å identifisere etablerte samordningsarenaer i Frankrike. Det fremgår imidlertid av offisielle nettsider og den nasjonale IKT-sikkerhetsstrategien at samarbeid mellom myndighetsaktører og offentlig–privat samarbeid er helt nødvendig på IKT-sikkerhetsområdet. For eksempel ble det ved innføringen av Critical Infrastructures Information Protection-reguleringen (CIIP) i 2013 nedsatt arbeidsgrupper av private og offentlige virksomheter for å skape en bred felles forståelse av regulering, begrepsapparatet og lovens betydning for de ulike sektorene.

Regulering

Frankrikes rettslige rammeverk for IKT-sikkerhet består av flere lover og forordninger (décrets). I 2013 ble det innført et relativt omfattende regelverk som stiller krav til beskyttelse av kritisk informasjonsinfrastruktur (CIIP), og det har siden blitt videreutviklet.

Act No. 2013-1168 of 18 December 2013 on Military Planning for the years 2014 to 2019 inneholder bestemmelser som gir statlige myndigheter ansvar for å ivareta sikkerheten i samfunnskritisk infrastruktur / infrastruktur som understøtter kritiske samfunnsfunksjoner. Med hjemmel i denne loven kan staten fastsette sikkerhetskrav til systemene, kreve at deteksjonssystemer blir implementert i infrastrukturen, kontrollere sikkerheten i systemene gjennom revisjoner samt pålegge operatørene å iverksette beredskapstiltak ved større kriser.

Decree No. 2015-351 of 27 March 2015 fastsetter nærmere bestemmelser om hvordan disse kravene skal implementeres. Virksomheter med kritiske samfunnsfunksjoner skal identifisere den kritiske IKT-infrastrukturen sin og rapportere oversikter over denne til ANSSI. Forordningen gir ANSSI kompetanse til å fastsette nærmere krav til hvordan disse systemene skal sikres. Samfunnskritiske IKT-systemer skal være tilknyttet et deteksjonssystem. Dette kan enten være det statlige systemet som drives av ANSSI, eller et deteksjonssystem levert av en kvalifisert tjenesteleverandør. Hendelser som kan påvirke sikkerheten eller driften av systemene, skal rapporteres til ANSSI. Det skal gjennomføres kontroll/revisjoner av sikkerheten i systemene. Dette gjennomføres av ANSSI eller en kvalifisert tjenesteleverandører.

Decree No. 2015-350 of 27 March 2015 regulerer ulike sikkerhetsmessige sertifiseringsordninger. Forordningen etablerer for det første et regime for evaluering og sertifisering av sikkerhet i IKT-produkter, hvor ANSSI er sertifiseringsmyndighet. Forordningen etablerer videre et system for å kvalifisere leverandører av ulike IKT-sikkerhetstjenester. Leverandørens kvalifikasjoner vurderes i denne prosessen opp mot standarder fastsatt av ANSSI, og kvalifisering gis for en periode på tre år. ANSSI fører kontroll med at leverandørene i perioden innfrir forutsetningene som stilles for kvalifiseringen.

NIS-direktivet er implementert i fransk rett gjennom Act No. 2018-133 of 26 February 2018 on various provisions for adaptation to European Union law in the field of security og Decree No. 2018-384 of 23 May 2018 on the security of the networks and information systems of essential service operators and digital service providers. Implementeringen av direktivet bygger på de strukturene som allerede er etablert gjennom eksisterende regelverk om beskyttelse av kritisk informasjonsinfrastruktur.

Act of 14. May 2018concerning the protection of personal data stiller krav om sikring av personopplysninger og implementerer GDPR i fransk rett.