NOU 2018: 14

IKT-sikkerhet i alle ledd — Organisering og regulering av nasjonal IKT-sikkerhet

Til innholdsfortegnelse

1 Relevant IKT-sikkerhetsregelverk

Det følger av mandatet at utvalget skal kartlegge relevant sektorspesifikt og tverrsektorielt regelverk. Utvalget har tatt utgangspunkt i at et regelverk stiller krav om IKT-sikkerhet hvis det inneholder bestemmelser om beskyttelse av IKT-systemene, tjenestene som leveres av systemene, eller informasjon som behandles i systemene. Med begrepet «tverrsektorielt regelverk» forstås regelverk som stiller krav til offentlige og/eller private virksomheter i to eller flere samfunnssektorer. Begrepet «regelverk» avgrenses til å omfatte lov og forskrift. For statsforvaltningen omfattes også instrukser.

I fremstillingen av eksisterende relevant regelverk presenteres først tverrsektorielt regelverk. Deretter gjennomgås IKT-sikkerhetsregelverket i relevante sektorer. Utvalget har lagt vekt på det regelverket som primært gjelder IKT-sikkerhet. Det betyr at sektorer og virksomheter kan ha mer oppmerksomhet rettet mot IKT-sikkerhet enn det fremstillingen gir uttrykk for, men da for eksempel som en del av internkontrollen eller som regelverk om forebyggende sikkerhet. Utvalget har vurdert om regelverket ivaretar alle elementene som inngår i forsvarlig nasjonal IKT-sikkerhet, som er presentert i punkt 2.2.2.

1.1 Tverrsektorielt regelverk

1.1.1 Sikkerhetsloven1

Det følger av mandatet at utredningen skal være avgrenset mot bestemmelser, organisering og myndighet som følger av sikkerhetsloven og forslaget til ny sikkerhetslov (Prop. 153 L (2016–2017) Lov om nasjonal sikkerhet). Utvalget mener likevel at den nye sikkerhetsloven vil legge viktige føringer for IKT-sikkerheten i Norge, og at det derfor er naturlig og relevant å presentere den her.

Gjeldende lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) blir avløst av ny lov 1. januar 2019. Utvalget har derfor valgt å fokusere på den nye loven.

I oktober 2016 overleverte Traavik-utvalget sin utredning med forslag til ny sikkerhetslov til regjeringen.2 Utvalget peker på at samfunnet står overfor nye trusler og sårbarheter, at gjeldende sikkerhetslov ikke har vært praktisert etter intensjonen, og at det er behov for en styrket samhandling i det forebyggende sikkerhetsarbeidet.

Et sentralt tema for Traavik-utvalget, som også ligger til grunn for utformingen av lovforslaget, er avveiningen mellom behovet for en helhetlig og sektorovergripende tilnærming til forebyggende sikkerhet på den ene siden og ivaretakelse av den enkelte samfunnssektors særegenheter og ekspertise på den andre. Traavik-utvalget konkluderer med at den beste løsningen for balansert ivaretakelse av begge aspekter er ett felles regelverk for alle samfunnssektorer. Det tverrsektorielle aspektet ivaretas av Forsvarsdepartementet og Justis- og beredskapsdepartementet, med NSM som utøvende organ. Det sektorspesifikke aspektet ivaretas ved at det enkelte sektordepartementet gis mer myndighet, samtidig som det ansvarliggjøres i større grad enn etter eksisterende sikkerhetslov. For å tydeliggjøre behovet for samhandling mellom nasjonale og sektorvise myndigheter foreslår Traavik-utvalget egne bestemmelser om hvordan denne samhandling skal foregå.

Andre viktige endringer er at flere informasjonssystemer skal beskyttes mot et bredere spekter av risikoer enn i dag, objektbegrepet suppleres med infrastruktur, krav til sikkerhetsgraderte anskaffelser og sikkerhetsklarering samt rettsregler om eierskapskontroll.

Traavik-utvalgets rapport ble fulgt opp av regjeringen i Prop. 153 L (2016–2017) Lov om nasjonal sikkerhet. Proposisjonen bygger i all hovedsak på anbefalingene fra Traavik-utvalget. Forslaget ble lagt frem for Stortinget i juni 2017, og et enstemmig Storting vedtok loven 27. februar 2018. Loven og tilhørende forskrifter trer i kraft etter planen 1. januar 2019.

Formål og virkeområde

Formålet med lov om nasjonal sikkerhet er å trygge Norges suverenitet, territorielle integritet, demokratiske styreform og andre nasjonale sikkerhetsinteresser. Formålet skal oppnås ved å forebygge, avdekke og motvirke tilsiktede hendelser som direkte eller indirekte kan skade de nevnte nasjonale verdiene.

Loven legger til grunn at et sett med grunnleggende nasjonale funksjoner må være identifisert for at de nasjonale sikkerhetsinteressene kan ivaretas. Eksempler på områder hvor det er slike funksjoner, er strømforsyning, vannforsyning, helsetjenester og transport. Totalforsvarskonseptet kan fungere som et veiledende utgangspunkt for hvilke funksjoner som skal omfattes. DSB har utarbeidet en oversikt over samfunnets kritiske funksjoner. I oversikten inngår flere av de grunnleggende nasjonale funksjonene.3 Hvilke konkrete funksjoner som anses som grunnleggende nasjonale funksjoner, må vurderes konkret avhengig av både hvilke verdier som legges til grunn for vurderingen, og hvilke kriterier som legges til grunn for kritikalitet. Konkret hvilke funksjoner som skal omfattes, følger ikke direkte av lovens bestemmelser, men vil følge av departementenes identifisering i egen sektor, jf. § 2-1.

Pliktsubjektene etter loven er statlige, fylkeskommunale og kommunale organer, leverandører av varer og tjenester innen sikkerhetsgraderte anskaffelser og private virksomheter som av andre spesifiserte årsaker er underlagt loven etter vedtak av et departement. Det siste gjelder private virksomheter som råder over informasjon, informasjonssystemer, objekter eller infrastruktur, eller driver aktivitet som har avgjørende betydning for grunnleggende nasjonale funksjoner. Med begrepet avgjørende betydning har lovgiveren ment å omfatte aktører som har en sentral rolle i opprettholdelsen av den aktuelle funksjonen. Vurderingen skal baseres på hvilken betydning bortfall eller svekkelse av virksomheten har for den funksjonen som virksomheten understøtter.

Sikkerhetskrav

Verdiene som skal sikres, er informasjon, informasjonssystemer, objekter og infrastruktur som er avgjørende for grunnleggende nasjonale funksjoner. De grunnleggende og generelle sikkerhetskravene loven stiller, er at virksomhetene må (i) ha et styringssystem for sikkerhet som er integrert i virksomhetsstyringen, (ii) regelmessig gjennomføre risikovurderinger, (iii) gjennomføre sikkerhetstiltak for å oppnå et forsvarlig sikkerhetsnivå, (iv) dokumentere tiltakene og (v) varsle om sikkerhetstruende virksomhet. Verdiene skal beskyttes ved å iverksette menneskelige, digitale og fysiske sikkerhetstiltak, og tiltakene skal være egnet som barriere eller for deteksjon, verifikasjon eller reaksjon. Samlet skal tiltakene gi et forsvarlig sikkerhetsnivå i virksomheten.

Videre stilles det enkelte spesifikke krav om sikringen av de ulike verdiene. Når det gjelder skjermingsverdige informasjonssystemer, skal de i henhold til lovens kapittel 6 sikres slik at de fungerer som de skal, at uvedkommende ikke får tilgang til informasjonen som behandles i systemene, at informasjonen som behandles i systemene, ikke endres eller går tapt, og at informasjonen som behandles i systemene, er tilgjengelig. I tillegg stilles det krav om godkjenning av informasjonssystemer og at virksomheten kontinuerlig skal overvåke egne informasjonssystemer (sikkerhetslogging). Det er også tatt inn bestemmelser som gir hjemmel for, men ikke krav om, å gjennomføre inntrengingstesting og kommunikasjons- og innholdskontroll av informasjonssystemene.

De nevnte bestemmelsene gjelder for alle skjermingsverdige informasjonssystemer som omfattes av loven. Avhengig av hva det enkelte informasjonssystemet blir brukt til, vil flere av de øvrige av sikkerhetslovens bestemmelser også få anvendelse. For skjermingsverdige informasjonssystemer som behandler sikkerhetsgradert informasjon, får også bestemmelsene om personellsikkerhet i kapittel 8 og sikkerhetsgraderte anskaffelser i kapittel 9 anvendelse. For skjermingsverdige informasjonssystemer som er utpekt eller inngår i et skjermingsverdig objekt eller en infrastruktur, får også bestemmelsene om objekt og infrastruktursikkerhet i kapittel 7 anvendelse, i tillegg til kapittel 8 og 9.

Reglene om sikkerhetsgraderte anskaffelser gjelder der leverandøren av en vare eller tjeneste kan få tilgang til eller skal tilvirke sikkerhetsgradert informasjon, og der anskaffelsen krever tilgang til et skjermingsverdig objekt eller en infrastruktur. Det følger av § 9-2 at før en slik anskaffelse iverksettes, skal virksomheten inngå en sikkerhetsavtale med leverandøren. Avtalen skal tydeliggjøre og konkretisere partenes plikter og ansvar.

I § 9-4 er det tatt inn en varslingsplikt ved anskaffelser til et skjermingsverdig informasjonssystem, et objekt eller en infrastruktur. Virksomheten skal vurdere om anskaffelsen kan innebære en ikke ubetydelig risiko for at den aktuelle verdien kan rammes av eller bli brukt til sikkerhetstruende virksomhet. Kongen i statsråd kan i hvert enkelt tilfelle fatte vedtak om at anskaffelsen ikke skal gjennomføres, eller at det skal settes vilkår for denne.

Tilsynelatende gjelder det ikke bestemmelser om fysisk sikkerhet eller personell- eller leverandørsikkerhet for skjermingsverdige informasjonssystemer som ikke behandler sikkerhetsgradert informasjon, og heller ikke er utpekt som eller inngår i et skjermingsverdig objekt eller en infrastruktur.

Det slås imidlertid fast i særmerknadene til § 6-2 at «[v]ed utarbeidelse av tilstrekkelige sikkerhetstiltak bør det ses hen til internasjonale standarder for beskyttelse av informasjonssystemer». Traavik-utvalget uttalte blant annet at «[e]r et systems funksjonalitet viktig, og det er enkelt å skaffe seg fysisk tilgang til systemet, er det naturlig nok ikke tilstrekkelig å iverksette logiske sikkerhetstiltak. Da er det også behov for fysisk beskyttelse, og personer som skal ha tilgang, må være autorisert». De nærmere kravene om fysisk sikkerhet og personell- og leverandørsikkerhet vil følge av forskriftene til sikkerhetsloven.

Myndigheter

Sikkerhetsmyndighetens ansvar følger av § 2-2. Sikkerhetsmyndigheten har det overordnede ansvaret for at forebyggende sikkerhetsarbeid i virksomhetene utføres i samsvar med loven, og at sikkerhetstilstanden i alle sektorer kontrolleres. Sikkerhetsmyndigheten har et overordnet ansvar for at det føres tilsyn med hvordan virksomhetene etterlever loven, og skal utarbeide grunnleggende kriterier for tilsyn. Videre skal sikkerhetsmyndigheten innhente og vurdere informasjon som har betydning for forebyggende sikkerhetsarbeid, gi informasjon, råd og veiledning om forebyggende sikkerhetsarbeid og krav om tiltak, bidra til å utvikle sikkerhetstiltak og holde oversikt over hvilke virksomheter som er utpekt etter vedtak.

Sikkerhetsmyndigheten skal også legge til rette for informasjonsdeling, slik at virksomhetene får tilgang til opplysninger som er av betydning for det forebyggende sikkerhetsarbeidet, blant annet trusselinformasjon. Sikkerhetsmyndigheten skal i samråd med sektormyndigheter og andre relevante myndigheter sikre at det etableres nødvendige fora for informasjons- og erfaringsutveksling.

Gjennomføring av tilsyn reguleres i sikkerhetsloven kapittel 3. I utgangspunktet kan sektordepartementet bestemme at myndigheter med sektoransvar som fører tilsyn med beskyttelse av informasjon, informasjonssystemer, objekter eller infrastruktur, skal føre tilsyn også med etterlevelsen av sikkerhetsloven i sektoren. I praksis betyr dette at sektormyndigheter kan føre tilsyn såfremt disse har kompetanse til det. Dersom det ikke er utpekt tilsynsmyndighet i sektoren, skal sikkerhetsmyndigheten føre tilsyn med virksomheter som omfattes av loven. Nærmere bestemmelser om hvilke krav som skal stilles til tilsynsmyndighetene, vil følge av forskriftene. Tilsynsmyndighetene har etter § 3-6 mulighet til å gi pålegg om gjennomføring av tiltak som er nødvendige for å ivareta lovens formål.

Sikkerhetsmyndigheten skal i tillegg føre tilsyn med departementene og de utpekte tilsynsmyndighetene, jf. § 3-1 tredje ledd. Et slikt tilsyn skal blant annet undersøke om sektormyndighetenes tilsyn etter sikkerhetsloven føres i tråd med sikkerhetslovens krav og de grunnleggende kriteriene for tilsyn som er fastsatt av sikkerhetsmyndigheten.

I § 3-2 er det en egen bestemmelse om samarbeid mellom sikkerhetsmyndigheten og andre myndigheter med tilsynsansvar. Første ledd bestemmer at det skal inngås en samarbeidsavtale, og at gjennomføring av tilsyn skal samordnes med andre tilsynsmyndigheter så langt det er mulig. Etter andre ledd skal sikkerhetsmyndigheten utarbeide og utvikle grunnleggende kriterier for tilsyn og legge til rette for felles opplæring av tilsynspersonell. Når det er nødvendig, kan sikkerhetsmyndigheten medvirke til forberedelse og gjennomføring av tilsyn som i utgangspunktet skal utføres av et sektortilsyn.

Oppsummering

Sikkerhetsloven stiller langt på vei krav om forsvarlig IKT-sikkerhet. Loven stiller kun krav om å sikre seg mot tilsiktede handlinger. Det er kun skjermingsverdige informasjonssystemer som skal beskyttes etter loven. Lovens bestemmelser om personellsikkerhet og sikkerhetsgraderte anskaffelser gjelder ikke for alle informasjonssystemer.

1.1.2 Personopplysningsloven4

Justis- og beredskapsdepartementet fremla i statsråd 23. mars 2018 forslag til ny lov om behandling av personopplysninger (personopplysningsloven).5 Forordningen fikk anvendelse i EU-statene 25. mai 2018 og trådte i kraft i Norge 20. juli 2018.6

Den nye personopplysningsloven avløser gjeldende personopplysningslov og består av to hovedelementer. For det første gjøres EUs personvernforordning til norsk lov gjennom en inkorporasjonsbestemmelse. Forordningen er tatt inn som vedlegg til loven og vil på mange områder danne utgangspunktet for lovreguleringen. For det andre vil en rekke bestemmelser i den norske lovteksten supplere reglene i forordningen.

Formål og virkeområde

Loven og personvernforordningen gjelder ved helt eller delvis automatisert behandling av personopplysninger og ved ikke-automatisert behandling av personopplysninger som inngår i eller skal inngå i et register. Loven og personvernforordningen gjelder ikke når annet er bestemt i eller med hjemmel i lov.7

Pliktsubjektene i loven er den behandlingsansvarlige og databehandleren. Den behandlingsansvarlige er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Databehandleren er den som behandler personopplysninger på vegne av den behandlingsansvarlige.

Hvem som er de viktigste aktørene i regelverket, endres ikke. Det er fortsatt den registrerte som skal vernes, og det stilles krav til den behandlingsansvarlige og databehandleren. En av endringene er at forordningen stiller flere direkte krav og gir større ansvar til databehandleren enn tidligere.

Sikkerhetskrav

Den forrige personopplysningsloven § 13 stilte krav om informasjonssikkerhet til både den behandlingsansvarlige og databehandleren. Det het i første ledd at

[d]en behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.

Den nye personopplysningsloven har ingen egne bestemmelser om informasjonssikkerhet, men det er krav om sikkerhet i både artikkel 24, 25 og 32.

Artikkel 24 om den behandlingsansvarliges ansvar fastsetter en plikt til å gjennomføre «egnede tekniske og organisatoriske tiltak», jf. artikkel 24 nr. 1. Tiltakene skal både «sikre» og «påvise» at behandlingen utføres i samsvar med forordningens krav. Det skal tas hensyn til «behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter». Etter artikkel 24 nr. 2 skal tiltakene omfatte «iverksetting av egnede retningslinjer for vern av personopplysninger», dersom dette står i et rimelig forhold til behandlingsaktivitetene. Overholdelse av godkjente atferdsnormer eller sertifiseringsmekanismer kan brukes som en faktor for å påvise at forpliktelsene overholdes, jf. artikkel 24 nr. 3.8

Plikten etter artikkel 24 må sees i sammenheng med blant annet reglene om innebygd personvern og personvern som standardinnstilling, jf. artikkel 25. Personopplysningsloven og forskriften har i dag ingen bestemmelser som tilsvarer forordningens bestemmelser om innebygget personvern eller personvern som standardinnstilling. Plikten til å sørge for innebygd personvern følger av artikkel 25 nr. 1, som bestemmer at den behandlingsansvarlige skal gjennomføre egnede tekniske og organisatoriske tiltak «både på tidspunktet for fastsettelse av midlene som skal brukes i forbindelse med behandlingen, og på tidspunktet for selve behandlingen». Kravet om tiltak allerede fra tidspunktet for fastsettelse av midlene som skal benyttes, innebærer at det ved utvikling av løsninger for behandling av personopplysninger må bygges inn personverntiltak fra begynnelsen av.9

Personvern som standardinnstilling innebærer at den behandlingsansvarlige skal gjennomføre egnede tekniske og organisatoriske tiltak for å sikre at det «som standard» bare behandles personopplysninger som er nødvendige for hvert spesifikke formål. Forpliktelsen gjelder mengden personopplysninger, omfanget av behandlingen, lagringstiden og tilgjengeligheten av personopplysningene. Det er særlig nevnt i artikkel 25 nr. 2 at tiltakene skal sikre at personopplysninger som standard ikke gjøres tilgjengelige for et ubegrenset antall personer uten den registrertes medvirkning. Etter artikkel 25 nr. 3 kan en godkjent sertifiseringsmekanisme i henhold til artikkel 42 brukes som en faktor for å påvise at kravene til innebygget personvern og personvern som standardinnstilling er oppfylt.10

Artikkel 32 fastslår at både den behandlingsansvarlige og databehandleren plikter å «gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen», jf. artikkel 32 nr. 1. Eksempler på slike tiltak fremgår av bokstav a til d. En angivelse av sentrale elementer i risikovurderingen følger av artikkel 32 nr. 2. Overholdelse av godkjente atferdsnormer etter artikkel 40 eller en godkjent sertifiseringsmekanisme etter artikkel 42 kan brukes som en faktor for å påvise at kravene til informasjonssikkerhet er oppfylt, jf. artikkel 32 nr. 3. Etter artikkel 32 nr. 4 skal den behandlingsansvarlige og databehandleren sikre at enhver som handler på vegne av den behandlingsansvarlige eller databehandleren, bare behandler opplysninger etter instruks fra den behandlingsansvarlige, med mindre unionsretten eller medlemsstatenes rett pålegger en plikt til behandling.11

I forbindelse med høringen om den nye personopplysningsloven uttalte departementet om sikkerhetsbestemmelsene at:12

[e]tter departementets vurdering vil imidlertid anvendelse av reglene i artikkel 32 trolig lang på vei gi samme resultat som gjeldende regler slik de er formulert i personopplysningsloven § 13 og personopplysningsforskriften kapittel 2.

Departementet gikk derfor inn for at forordningen artikkel 32 skulle gis anvendelse som en videreføring av personopplysningsloven § 13.

Datatilsynet har utarbeidet en veileder om internkontroll og informasjonssikkerhet.13 Blant annet gis det veiledning om hvordan styringssystem for informasjonssikkerhet kan iverksettes. Når det gjelder sikring av IKT-systemer, viser veilederen til NSMs grunnprinsipper for IKT-sikkerhet.

Oppsummering

Personopplysningsloven stiller krav om forsvarlig IKT-sikkerhet for de IKT-systemene som loven omfatter. Det er krav om både risikovurdering og beskyttelse. Det er spesifikke krav til tekniske og organisatoriske løsninger, krav om innebygd personopplysningsvern og krav til utforming av informasjonssystemer og -arkitektur. Det stilles også sikkerhetskrav til databehandleren som behandler personopplysninger på vegne av den behandlingsansvarlige.

Det er kun virksomheter og systemer som behandler personopplysninger, som er omfattet av regelverket.

1.1.3 Lov om elektroniske tillitstjenester14

Lov om tillitstjenester ble tatt inn i EØS-avtalen 9. februar 2018. Loven ble vedtatt av Stortinget i juni og trådte i kraft 15. juni 2018. Loven avløste da samtidig lov om elektronisk signatur (esignaturloven). Det nye regelverket skal bidra til økt elektronisk samhandling mellom næringsdrivende, innbyggere og offentlige myndigheter på tvers av landegrensene i EØS.

Bakgrunnen for loven er EU-forordningen om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre markedet (eIDAS-forordningen). eIDAS-forordningen trådte i kraft i EU 1. juli 2016. Formålet med eIDAS-forordningen er å sikre et velfungerende marked og oppnå et passende sikkerhetsnivå for elektronisk identifikasjon og tillitstjenester.

eIDAS-forordningen består av to deler. Første del regulerer elektronisk identifisering (eID), som Difi er ansvarlig for. Andre del regulerer tillitstjenester, som Nkom er tilsynsmyndighet for.

Formål og virkeområde

Artikkel 2 definerer virkeområdet. Forordningen gjelder for elektroniske identifikasjonsordninger som har blitt meldt inn av en medlemsstat. Videre gjelder den for tilbydere av tillitstjenester som er etablert i EU. Begrepet «tillitstjenester» er i artikkel 3 nr. 16 definert som en elektronisk tjeneste som normalt utføres mot betaling, herunder fremstilling, kontroll og validering av elektroniske signaturer, elektroniske segl eller elektroniske tidsstempler, elektronisk registrerte leveringstjenester og sertifikater knyttet til disse tjenestene, eller fremstilling, kontroll og validering av sertifikater for nettstedsautentisering, eller lagring av elektroniske signaturer, segl eller sertifikater knyttet til disse tjenestene.15

Forordningen gjelder ikke for tillitstjenester som utelukkende er brukt innenfor lukkede systemer i henhold til nasjonal lovgivning eller avtale mellom en avgrenset krets av personer.16

Sikkerhetskrav

Forordningen legger til rette for å oppnå elektronisk samhandling mellom innbyggere i EU ved å regulere tillitstjenester. Tillitstjenestene er avgrenset til å omfatte de tjenestene som er tilgjengelige og omsettes på det åpne markedet. Forordningen styrker dagens eksisterende krav om elektronisk signatur og innfører krav til flere typer elektroniske tillitstjenester. De fleste kravene i forordningen gjelder for kvalifiserte tillitstjenester, og disse er i artikkel 3 nr. 17 definert som tillitstjenester som oppfyller forordningens krav.17

Lov om tillitstjenester regulerer flere nye typer tjenester, inkludert sertifikater for elektroniske segl (virksomhetssertifikater) og nettstedsertifikater (SSL/TLS-sertifikater). Tillitstjenester benyttes blant annet ved bruk av nettbank og ved innlogging på offentlige tjenester.

Alle tilbydere av tillitstjenester må iverksette tekniske og organisatoriske tiltak for å håndtere sikkerhetsrisikoen ved de tjenestene de tilbyr. Tilbyderne skal også melde fra til Nkom om sikkerhetshendelser som i betydelig omfang påvirker tillitstjenesten. Melding skal sendes Nkom innen 24 timer etter at tilbyderen har blitt oppmerksom på hendelsen.

Oppsummering

Lov om elektroniske tillitstjenester stiller krav om forsvarlig IKT-sikkerhet for de IKT-systemene som omfattes av loven (betalingssystemer og identifikasjonssystemer).

1.1.4 Forvaltningsloven18

Formål og virkeområde

Lov om behandlingsmåten i forvaltningssaker (forvaltningsloven) gjelder for alle forvaltningsorganer. Loven hjemler blant annet forskrift om elektronisk kommunikasjon med og i forvaltningen (eforvaltningsforskriften).19

Sikkerhetskrav

Loven regulerer ikke IKT-sikkerhet direkte, det følger imidlertid taushetsplikt for «enhver som utfører tjeneste eller arbeid for et forvaltningsorgan» for opplysninger om noens personlige forhold og forretningsrelaterte opplysninger som det vil være av konkurransemessig betydning å hemmeligholde jf. § 13 første ledd. Bokstav c i § 13 c fastslår at «[d]okumenter og annet materiale som inneholder opplysninger undergitt taushetsplikt, skal forvaltningsorganet oppbevare på betryggende måte». Det er forskriftshjemmel til å gi nærmere krav til oppbevaring av dokumenter og annet materiale som omhandler taushetspliktbestemmelser.

Videre er det forskriftshjemmel i § 15 a om elektronisk kommunikasjon mellom forvaltningen og publikum og elektronisk saksbehandling og kommunikasjon i forvaltningen. Begge bestemmelsene understøttes av krav i beskyttelsesinstruksen og eforvaltningsforskriften.

Eforvaltningsforskriften gir konkrete føringer ved bruk av elektronisk kommunikasjon i et forvaltningsorgan, blant annet i § 5. Det vises her til at risiko for uberettiget innsyn i opplysningene ved bruk av elektronisk kommunikasjon må «være forebygget på tilfredsstillende måte», jf. § 5, første ledd.

Eforvaltningsforskriften har ingen definisjon av informasjonssikkerhet, men hjemmelen for forskriften sier blant annet at det kan gis nærmere bestemmelser om signering, autentisering, sikring av integritet og konfidensialitet (forvaltningsloven § 15 a punkt b).

For de aller fleste forvaltningsorganer oppfylles eforvaltningsforskriftens sikkerhetskrav gjennom det samme styringssystemet som de følger etter den tidligere personopplysningsforskriften. Med eforvaltningsforskriften vil tilsvarende krav også gjelde for forvaltningsorganer som ikke behandler personopplysninger.

På forvaltningslovens område suppleres informasjonssikkerhetskravene i personopplysningsloven av kravene i eforvaltningsforskriften § 15. Forskriftens krav om informasjonssikkerhet er mer detaljerte enn personopplysningsloven, men legger til rette for samordning av krav og tiltak. Forskriften nevner personopplysningslovens krav spesielt.

Eforvaltningsforskriften har lagt opp til visse muligheter for å harmonisere sikkerhetsnivået på tvers av forvaltningsorganer, dels ved det veiledningsansvaret Difi er tildelt i medhold av § 15, og dels ved det koordinerende organet som utpekes i medhold av § 36. Det er også gitt en forskrift om IT-standarder i forvaltningen med hjemmel i forvaltningsloven § 15 a, og Difi foreslår årlig endringer av denne som forelegges Kommunal- og moderniseringsdepartementet for beslutning.

Oppsummering

Forvaltningsloven og eforvaltningsforskriften stiller krav om IKT-sikkerhet, men har noen mangler. For det første er det usikkert om forskriften gjelder for alle relevante IKT-systemer i offentlig forvaltning. For det andre stilles det relativt vage sikkerhetskrav. For det tredje har eforvaltningsforskriften ikke bestemmelser om tilsyn.

1.1.5 Sivilbeskyttelsesloven20

Lov om kommunal beredskapsplikt, sivile beskyttelsestiltak og Sivilforsvaret (sivilbeskyttelsesloven) har som formål å beskytte liv, helse, miljø, materielle verdier og kritisk infrastruktur ved bruk av ikke-militær makt når riket er i krig, når krig truer, når rikets selvstendighet eller sikkerhet er i fare, og ved uønskede hendelser i fredstid, jf. § 1.

Etter § 14 plikter kommunen å kartlegge hvilke uønskede hendelser​ som kan inntreffe i kommunen, vurdere sannsynligheten for at disse hendelsene inntreffer, og hvordan de i så fall kan påvirke kommunen. Resultatet av dette arbeidet skal vurderes og sammenstilles i en helhetlig risiko- og sårbarhetsanalyse. Med utgangspunkt i risiko- og sårbarhetsanalysen etter § 14 skal kommunen utarbeide en beredskapsplan. Beredskapsplanen skal inneholde en oversikt over hvilke tiltak kommunen har forberedt for å håndtere uønskede hendelser. Som et minimum skal beredskapsplanen inneholde en plan for kommunens kriseledelse, varslingslister, ressursoversikt, evakueringsplan og plan for informasjon til befolkningen og media, jf. § 15.

I DSBs veileder til helhetlig risiko- og sårbarhetsanalyse i kommunen er cyberangrep og hacking anført som to eksempler på tilsiktede uønskede hendelser som kommunen skal vurdere.21

Oppsummering

I den grad sivilbeskyttelsesloven stiller krav om IKT-sikkerhet er kravene vagt utformet.

1.1.6 Aksjeloven og allmennaksjeloven22

Formål og virkeområde

Lov om aksjeselskaper (aksjeloven) og lov om allmennaksjeselskaper (allmennaksjeloven) gjelder for selskaper som har valgt aksjeselskap eller allmennaksjeselskap som selskapsform, og gir til sammen en samlet regulering av de to selskapsformene.

Sikkerhetskrav

§ 1-6 i begge lovene stiller krav til utarbeidelse og oppbevaring av dokumentasjon som kreves utarbeidet etter aksjeloven. Bestemmelsen ble tilføyd ved lov 16 juni 2017 nr. 71 (med ikrafttredelse 1. juli 2017). Bestemmelsene ble fremmet som en del av forslaget til modernisering og forenkling av aksjelovgivningen.23

Bestemmelsen gjelder kun for «dokumentasjon som kreves utarbeidet etter aksjeloven». Eksempler på dette er aksjeeierboken, stiftelsesdokumenter, generalforsamlingsprotokoller og styreprotokoller. Bestemmelsen gjelder altså ikke sikring av all informasjon, tjenester eller systemer hos selskaper underlagt de to lovene.

Bestemmelsen stiller først og fremst krav om at dokumentasjonen skal være sikret mot urettmessig endring, ødeleggelse og tap. Kravet skal også ivareta behovet for notoritet, aktørenes mulighet til signering på hensiktsmessig måte og videreformidling av dokumentasjon. Bestemmelsen sidestiller fysisk og elektronisk kommunikasjon og utarbeidelse hvor aksjeloven har krav om skriftlighet.

I forarbeidene til bestemmelsen ble det vurdert at det var behov for å sikre at dokumentasjon er beskyttet mot endring, men at det ikke er behov for eksplisitte krav til dette i aksjelovene.24

Departementet viste til bokføringsloven § 13 tredje ledd første punktum, som krever at dokumentasjon skal oppbevares «ordnet» og være «betryggende sikret mot ødeleggelse, tap og endring». På grunn av den verdien selskapsdokumentasjon kan ha, mente departementet at det kan være hensiktsmessig å pålegge selskapene en eksplisitt plikt til å sikre dokumenter mot ødeleggelse, tap og endring. Departementet skriver videre at:25

[e]n generell plikt til å ha IT-systemer som sikrer mot endring av dokumenter, eller som sporer hvem som har endret et dokument og når det ble gjort, vil påføre selskapene en økonomisk og administrativ byrde. De som velger aksjeselskaps- og allmennaksjeselskapsformen, oppnår begrenset ansvar. De må derfor i en viss utstrekning godta at selskapet, blant annet av hensyn til kreditorer, pålegges flere byrder enn de som velger selskapsformer med ubegrenset deltakeransvar. Departementet antar at strenge krav til IT-systemene vil begrense selskapenes muligheter med hensyn til valg av medium for dokumentasjon. En mulig konsekvens er at selskaper istedenfor elektroniske løsninger velger papirbasert lagring eller ikke følger loven. Det vil kunne hindre automatisert kommunikasjon og rapportering til offentlige myndigheter og andre aktører. Departementet foreslår derfor at det i utgangspunktet skal være opp til det enkelte selskap å vurdere hva som vil være tilfredsstillende informasjonssikkerhet. Løsningen selskapet velger, må imidlertid være slik at dokumentasjonen kan oppbevares på en betryggende måte. Løsningen må gi en forholdsmessig sikkerhet mot endring, ødeleggelse og tap. I tillegg må det foretas sikkerhetskopiering. Skulle senere erfaringer tilsi at det er behov for nærmere regulering av hva som er en betryggende oppbevaringsmåte, vil det være hensiktsmessig å regulere dette i forskrift. Det foreslås derfor en hjemmel til å gi nærmere bestemmelser i forskrift.

Det er ikke gitt noen nærmere krav i forskrift til hva som er betryggende oppbevaringsmåte.

Oppsummering

Aksjeloven og allmennaksjeloven inneholder ikke krav om forsvarlig IKT-sikkerhet. Det er enkelte bestemmelser om sikring av informasjon, men det stilles ikke krav om sikring av IKT-systemer som understøtter virksomhetenes produksjon av varer og tjenester.

1.1.7 Arkivloven26

Formål og virkeområde

Lov om arkiv (arkivloven) med tilhørende forskrifter gjelder for alle offentlige organer med unntak for Stortinget, Riksrevisjonen, Sivilombudsmannen og andre organer for Stortinget.27 Alle organene plikter å ha arkiv, og arkivene skal være ordnet og innrettet slik at dokumentene er trygge informasjonskilder for samtid og ettertiden.

Sikkerhetskrav

Loven inneholder en vid forskriftshjemmel i § 12: «Kongen gjev utfyllande føresegner om journalsystem, arkivnøklar, arkivinstruksar, dokumentkvalitet, arkivutstyr, arkivlokale, arkivavgrensingar, kassasjon, bortsetjingsarkiv, avlevering, refusjonsreglar m.m., og om rett til å klaga over Riksarkivarens avgjerder.»28

Forskrifter om dokumentkvalitet, arkivutstyr og arkivlokale vil kunne omfatte krav om IKT-sikkerhet.

Frem til 1. januar 2018 inneholdt arkivforskriften kapittel 4 detaljerte krav om fysisk sikkerhet for arkivrommet. Det var klare krav til organisering av arkivet, arkivsystemet, lagringsmedium, backup, rutiner for mottak av informasjon, utlevering, kassasjon og så videre. Kravene var primært knyttet til tilgjengelighet, men integritet omfattes også av bestemmelsene.

Kulturdepartementet har revidert og vedtatt en ny versjon av arkivforskriften og riksarkivarens forskrift.29 Den nye arkivforskriften erstatter detaljerte krav med overordnede og funksjonelle krav. Disse endringene legger til rette for tilpasning til ulike organisatoriske og teknologiske løsninger. Det er nå krav til lagringsmedium og format (§ 6) og krav til arkivlokale (§ 7), men krav til system for elektronisk journal og arkiv skal fastsettes av Riksarkivaren (§ 11). Mer detaljerte tekniske og arkivfaglige bestemmelser er flyttet til forskrift om tekniske og arkivfaglige bestemmelser om behandling av offentlige arkiver, som fastsettes av Riksarkivaren.

I riksarkivarens forskrift § 3-1 (3) står det at system for journalføringspliktige saksdokumenter, jf. arkivforskriften § 9, skal følge krav som Riksarkivaren med hjemmel i arkivforskriften § 11 har fastsatt i Norsk arkivstandard (Noark).

Noark setter krav til systemenes informasjonsinnhold (hvilke opplysninger som skal registreres og gjenfinnes), datastruktur (utforming av data og deres relasjon), funksjonalitet (hvilke funksjoner systemene skal støtte) og brukergrensesnitt (hvordan systemet kommuniserer med brukerne). Det er Riksarkivaren som har tilsynsmyndighet med lov og forskrift.

Oppsummering

Arkivloven stiller noen krav om IKT-sikkerhet. De kravene som stilles er vagt utformet.

1.1.8 Bokføringsloven30

Formål og virkeområde

Lov om bokføring (bokføringsloven) med forskrifter gjelder for alle som har regnskapsplikt etter regnskapsloven. Formålet med regelverket er å sørge for at regnskapsrapportering er tilfredsstillende sikret og dokumentert.

Sikkerhetskrav

Regelverket regulerer krav om sikring av regnskapsmateriale mot endringer og sletting. Det stilles ingen krav om konfidensialitet. Kravene er formulert i lovens § 13 hvor det fremgår at «[o]ppbevaringspliktig regnskapsmateriale skal oppbevares ordnet og være betryggende sikret mot ødeleggelse, tap og endring». I bokføringsforskriften kapittel 7 stilles det krav til oppbevaringsmedium og sikkerhetskopi.31

Etter bokføringsforskriften § 7-5 kan bokføringspliktige «oppbevare elektronisk regnskapsmateriale i et annet EØS-land dersom avtale eller overenskomst sikrer norske skatte- og avgiftsmyndigheter tilfredsstillende adgang til regnskapsinformasjonen for kontrollformål i oppbevaringstiden, og slik oppbevaring ikke vil være til hinder for effektiv norsk politietterforskning». I tillegg må de informere Skattedirektoratet om hvilket regnskapsmateriale som oppbevares i utlandet, hvor regnskapsmaterialet oppbevares, og hvordan kontrollmyndighetene til enhver tid kan få adgang til regnskapsmaterialet.

Loven og forskriftene inneholder ingen øvrige krav til IKT-systemer eller tjenester.

Skatteetaten er utøvende forvaltningsmyndighet etter bokføringsloven.

Oppsummering

Bokføringsloven stiller noen krav om IKT-sikkerhet. De kravene som stilles er vagt utformet.

1.1.9 Straffeloven32

Straffeloven inneholder ingen bestemmelser som regulerer forsvarlig IKT-sikkerhet. Derimot inneholder straffeloven flere bestemmelser om datakriminalitet.

De mest sentrale bestemmelsene i straffeloven om datakriminalitet er § 201 (Uberettiget befatning med tilgangsdata, dataprogram mv.), § 204 (Innbrudd i datasystem) og § 206 (Fare for driftshindring).

Hacking er straffbart etter § 201, som omfatter forsettlig handling som uberettiget fremstiller, anskaffer, besitter eller gjør tilgjengelig for en annen a) passord eller andre opplysninger som kan gi tilgang til databasert informasjon eller datasystem, eller b) dataprogram eller annet som er særlig egnet som middel til å begå straffbare handlinger som retter seg mot databasert informasjon eller datasystem.

Innbrudd i datasystem er straffbart etter § 204. Det er ikke et vilkår for straff at gjerningspersonen har gjort seg kjent med dataene eller informasjonen i datasystemet, det er tilstrekkelig at personen har skaffet seg tilgang til dem. Det er ikke et vilkår at innbruddet skjer ved å bryte en beskyttelse, jf. «eller på annen uberettiget måte».33

Datamaskinens tilgjengelighet er vernet gjennom § 206, som gjelder fare for driftshindringer. Handlinger som gjør datasystemer utilgjengelige, vil normalt rammes av den alminnelige bestemmelsen om skadeverk, jf. § 351, eller forsøk på slikt skadeverk.34

Oppsummering

Bestemmelsene om datakriminalitet i straffeloven har hovedsakelig innretning mot at en handling er skjedd. Det er ingen bestemmelser om straffeansvar for handlinger som leder opp til datakriminalitet.

1.2 Sektorregelverk

Utvalget har kartlagt eksisterende krav om IKT-sikkerhet i sektorregelverk. Regelverkene er valgt ut basert på sektorer som vil være underlagt NIS-direktivet, og sektorer som inngår i DSBs oversikt over samfunnets kritiske funksjoner.35

Utvalget har vurdert i hvilken grad sektorregelverk har krav om forsvarlig IKT-sikkerhet. Utvalget legger til grunn at det kan være formuleringer eller krav som brukes til å sikre IKT-systemer, tjenester eller leveranser i regelverk utover det som er nevnt, men mener denne presentasjonen omfatter de viktigste.

Næringsberedskapsloven og forurensingsloven har ikke særskilte krav om IKT-sikkerhet.36 Lovene omtales ikke nærmere nedenfor.

1.2.1 Elektroniske kommunikasjonsnett og -tjenester

Om sektoren

Denne sektoren omfatter elektronisk kommunikasjon gjennom kommersielle nett og Nødnett.37

Regulering av IKT-sikkerhet i sektoren

I ekomsektoren er krav om IKT-sikkerhet hovedsakelig formulert som sikkerhets- og beredskapsplikter som er pålagt tilbydere av elektroniske kommunikasjonsnett og -tjenester i Norge. De er i nedfelt i ekomloven, ekomforskriften, klassifiseringsforskriften og forskrift om prioritet i mobilnett, i tillegg til enkeltvedtak fra Nkom.38 I hovedsak er kravene i ekomloven kapittel 2 og spesielt ekomloven §§ 2-7, 2-9 og 2-10 og ekomforskriften kapittel 8.

Lov om elektronisk kommunikasjon (ekomloven) regulerer kommersielle ekomtilbydere i Norge, og er grunnlaget for reguleringen av den nasjonale kommunikasjonsinfrastrukturen. Formålet med loven er å sikre brukerne i hele landet gode, rimelige og fremtidsrettede elektroniske kommunikasjonstjenester gjennom effektiv bruk av samfunnets ressurser ved å legge til rette for bærekraftig konkurranse og stimulere til næringsutvikling og innovasjon.

Ekomloven § 2-10 sier at tilbyder skal tilby ekomnett og -tjeneste med forsvarlig sikkerhet for brukerne i fred, krise og krig, og opprettholde nødvendig beredskap. Myndigheten kan gjennom vedtak eller forskrift presisere hva som er forsvarlig sikkerhet og nødvendig beredskap. Etter § 2-7 har en tilbyder plikt til å gjennomføre nødvendige sikkerhetstiltak til vern av kommunikasjon i egne elektroniske kommunikasjonsnett og -tjenester. Videre kan myndigheten fatte enkeltvedtak, inngå avtale eller gi forskrift om at tilbyderne skal gjennomføre tiltak for å oppfylle nasjonale behov for sikkerhet, beredskap og funksjonalitet. Dette er ment å sikre tiltak som går ut over forsvarlighetsnivået nevnt ovenfor. Merkostnadene knyttet til slike tiltak kompenseres av staten. § 2-9 pålegger tilbydere og installatører taushetsplikt og plikt til å gjennomføre tiltak for å hindre at andre enn de som opplysningene gjelder, får anledning til selv å skaffe seg kjennskap til slike opplysninger.

Klassifiseringsforskriften skal sikre nettutstyr i anlegg mot uønsket ytre fysisk påvirkning, og retter seg mot tilbydere av elektroniske kommunikasjonsnett som benyttes til offentlig elektronisk kommunikasjonstjeneste (nettilbydere). Nettilbydere skal klassifisere alle anlegg ut fra hvor viktig eget nettutstyr i anleggene er for offentlige elektroniske kommunikasjonstjenester. Sentralt i klassifiseringsforskriften er bestemmelsen som krever at nettilbyderne gjennomfører en helhetlig risiko- og sårbarhetsvurdering knyttet til sine anlegg, og sørger for at anlegg i de ulike klassene er forsvarlig sikret i samsvar med denne vurderingen. Nkom har utarbeidet egen veiledning for klassifiseringsforskriften og skjema for rapportering.

I ekomforskriften § 8-2 har tilbydere plikt til å utarbeide og vedlikeholde beredskapsplaner. Det forutsettes at det ligger dokumenterte risiko- og sårbarhetsvurderinger til grunn for disse beredskapsplanene. Det fremkommer også av § 8-2 at tilbyderne på forespørsel skal delta på beredskapsøvelser arrangert av myndigheten.

Varsling

Etter ekomloven § 2-7 fjerde ledd plikter en tilbyder å varsle myndighetene straks dersom det foreligger særlig risiko for brudd på sikkerheten eller sikkerhetsbrudd som har krenket personvernet til en abonnent eller bruker.

Etter ekomforskriften § 8-5 skal en tilbyder «varsle Nasjonal kommunikasjonsmyndighet om hendelser som vesentlig kan redusere eller har redusert tilgjengeligheten til elektroniske kommunikasjonstjenester».

Tilsyn

Nkom er tilsynsmyndighet og fører tilsyn med blant annet IKT-sikkerhet. Tilsynsmyndigheten kan kreve opplysninger som er nødvendige for gjennomføringen av loven eller vedtak gitt i medhold av loven. Den som er gjenstand for tilsyn, har medvirkningsplikt. Myndigheten har påleggskompetanse.

Sanksjoner

For å sikre at krav fastsatt i eller i medhold av ekomloven oppfylles, kan Nkom fastsette tvangsmulkt, jf. ekomloven § 10-7. Ved forsettlig eller uaktsom overtredelse av blant annet §§ 2-4 til 2-10, kan Nasjonal kommunikasjonsmyndighet pålegge overtredelsesgebyr.

Oppsummering

Sektoren for elektronisk kommunikasjonsnett og –tjenester er underlagt krav om «forsvarlig sikkerhet». Dette omfatter også forsvarlig IKT-sikkerhet, men kravet til forsvarlig IKT-sikkerhet er i liten grad detaljert i regelverket. Mye av detaljstyringen gjøres gjennom veiledning, tilsyn og enkeltvedtak fattet av Nkom.

1.2.2 Finansielle tjenester

Om sektoren

Finansiell stabilitet er et hovedmål for myndighetenes styring av finanssektoren. Dette innebærer at det finansielle systemet må være robust overfor forstyrrelser, slik at det er i stand til å formidle finansiering, utføre betalinger og omfordele risiko på en tilfredsstillende måte. Det finansielle systemet består av finansmarkeder, finansinstitusjoner og finansiell infrastruktur.39

Finanstilsynet er ansvarlig leder og sekretariat for Beredskapsutvalget for finansiell infrastruktur (BFI). Hvert år redegjør Finanstilsynet i en egen rapport for sitt syn på risikoen og sårbarheten innen finanssektoren knyttet til finansforetakenes bruk av IKT.

Regulering av IKT-sikkerhet i sektoren

Krav om IKT-sikkerhet i finansnæringen er hovedsakelig regulert gjennom forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT-forskriften), som gjelder for norske banker og finansforetak.40 Forskriften er hjemlet i betalingssystemloven, børsloven og finanstilsynsloven.41 Forskriften omfatter IKT-systemer som er av betydning for foretakets virksomhet og skal sikre at IKT-virksomheten leverer de tjenestene som er avtalt, også der hele eller deler av IKT-virksomheten er utkontraktert til andre aktører. Den stiller blant annet krav om planlegging og organisering av sikkerhetsarbeidet, risikoanalyse og avviks- og endringshåndtering.

For å vurdere om finansforetakene etterlever kravene i IKT-forskriften, benytter Finanstilsynet såkalt egenevaluering. Spørsmålene er basert på Cobit, ITIL, ISO og andre kilder, tilpasset av Finanstilsynet for det norske finansmarkedet. Finanstilsynet har utarbeidet en veileder for etterlevelse av IKT-forskriften § 5 om sikkerhet og risiko- og sårbarhetsanalyser. I tillegg har de utarbeidet veiledninger som er tilpasset spesielle foretak, mindre sparebanker og eiendomsmeglingsforetak.

For kredittinstitusjoner er det gitt nærmere krav om risikostyring og internkontroll i CRR/CRD IV-forskriften §§ 27–31.42 Det følger blant annet av § 27 at det skal etableres retningslinjer for operasjonell risiko som skal omfatte beredskapsplaner for å sikre at driften kan videreføres og tap begrenses ved alvorlige driftsforstyrrelser.

Børsloven har bestemmelser om taushetsplikt (§ 14). I dette ligger det indirekte et krav om at regulerte markeder skal ha et kontrollsystem som sikrer at innsyn i taushetsbelagt informasjon er avgrenset i størst mulig grad, og at tilgang til slik informasjon blir kontrollert.

Verdipapirhandelloven43 har bestemmelser om innsideinformasjon, taushetsplikt og tilbørlig informasjonshåndtering. I dette ligger det indirekte et krav om at foretakene skal ha et kontrollsystem som sikrer at innsyn i taushetsbelagt informasjon er avgrenset i størst mulig grad, og at tilgang til slik informasjon blir kontrollert.

Varsling

IKT-forskriften § 9 stiller krav om at foretakene skal rapportere til Finanstilsynet om avvik som medfører vesentlig reduksjon i funksjonalitet som følge av brudd på konfidensialitet, integritet eller tilgjengelighet til IKT-systemer og/eller data. Rapporteringen skal normalt omfatte hendelser som foretaket selv kategoriserer som svært alvorlig eller kritisk, men kan også omfatte andre avvik.

Tilsyn

Finanstilsynet fører tilsyn med de aktuelle virksomhetene. Dette inkluderer tilsyn med IKT-sikkerheten i virksomhetene. Virksomhetene har medvirkningsplikt, og tilsynet har påleggskompetanse.

Sanksjoner

Finanstilsynet har etter finanstilsynsloven påleggsmyndighet. Blant annet kan tilsynet gi pålegg om at foretaket skal innrette internkontrollen sin etter de bestemmelsene tilsynet fastsetter, jf. § 4, og om å stanse virksomhet, jf. § 4 a.

I medhold av finanstilsynsloven § 10 kan departementet bestemme at det skal betales løpende mulkt ved forsettlig eller uaktsom overtredelse av bestemmelser gitt i eller i medhold av loven.

Finansforetaksloven gir i § 22-2 departementet hjemmel til å gi pålegg og tvangsmulkt ved overtredelse av bestemmelser gitt i eller i medhold av loven.44 Tilsvarende hjemmel finnes i betalingssystemloven § 6-3.

Verdipapirhandelloven § 16-3 og børsloven § 47 gir Finanstilsynet hjemmel til å gi pålegg om retting og stansing.

Oppsummering

IKT-forskriften som gjelder for finanssektoren stiller krav om forsvarlig IKT-sikkerhet. Den sikrer alle systemer som er av betydning for foretakets virksomhet. Forskriftens krav om sikkerhet og dokumentasjon må ivaretas ved eksterne tilkoblinger eller brukere.

1.2.3 Helse og omsorg

Om sektoren

Denne sektoren omfatter helse- og omsorgstjenester.

Regulering av IKT-sikkerhet i sektoren

Den viktigste kilden til IKT-sikkerhet i sektoren er Norm for informasjonssikkerhet i helse- og omsorgssektoren (Normen). Normen er ikke en egen lov eller forskrift, men en samling av krav om personvern og informasjonssikkerhet som helsesektoren har utarbeidet, og som er basert på regulering.45 Normen er derfor per definisjon soft law, men fordi den gir uttrykk for gjeldende regulering, er den omhandlet her og ikke i punkt 19.3.

Formålet med Normen er å etablere mekanismer hvor virksomhetene kan ha gjensidig tillit til at behandling av helse- og personopplysninger gjennomføres på et forsvarlig sikkerhetsnivå. Ifølge Datatilsynet er Normen et egnet verktøy i arbeidet for å etterleve personopplysningslovens og helseregisterlovens bestemmelser om informasjonssikkerhet.4647 Helseregisterloven, personopplysningsloven og øvrig regelverk stiller enkelte krav om behandling av helse- og personopplysninger utover det som er tema for Normen.

Innenfor helsesektoren er det gjennomgående at alle krav som stilles om IKT-sikkerhet, har med behandlingen av personopplysninger å gjøre. Kravene er også nesten likelydende. Både helsetilsynsloven, helseberedskapsloven, helseregisterloven, pasientjournalloven og 19 forskrifter stiller alle nesten likelydende krav om sikring av informasjon. Kravene bygger i stor grad på det som er spesifisert i personvernforordningen artikkel 32.48

Det er også andre funksjoner i regelverket enn sikring av informasjon. Helsetilsynsloven hjemler for eksempel forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten.49 Formålet med forskriften er å bidra til faglig forsvarlige helse- og omsorgstjenester, kvalitetsforbedring og pasient- og brukersikkerhet, og til at øvrige krav i helse- og omsorgslovgivningen etterleves. I forskriften presiseres det at den som har det overordnede ansvaret for virksomheten, skal sørge for at det etableres og gjennomføres systematisk styring av virksomhetens aktiviteter (styringssystem). Videre presiseres plikten til å dokumentere, planlegge, gjennomføre, evaluere og korrigere.

Forskrift om IKT-standarder i helse- og omsorgstjenesten bidrar til at virksomheter i helse- og omsorgstjenesten som yter helsehjelp, bruker IKT-standarder for å fremme sikker og effektiv elektronisk samhandling.50 Forskriften gjelder private og offentlige virksomheter innen helse- og omsorgstjenesten som bruker behandlingsrettede helseregistre, jf. pasientjournalloven § 2 bokstav d. Direktoratet for e-helse gir ut en katalog med oversikt over obligatoriske og anbefalte standarder.

I NAV-loven § 10 fremkommer det at Arbeids- og velferdsdirektoratet skal påse at det utarbeides planer for beredskap i etaten. Planene skal inneholde krav om opprettholdelse av driftssikkerhet for behandling av krav om ytelser og for utbetaling, til lagring av materiell og utstyr, og til øvelser og opplæring av personell. Direktoratet skal videre påse at avtaler med leverandører av varer og tjenester inneholder krav om leveringsdyktighet og informasjonssikkerhet ved kriser i freds- og krigstid, og det skal sikre arbeidskraftbehovet til samfunnsviktige virksomheter ved krise i fred eller krig samt opprettholde systemer for kartlegging av samfunnsviktige virksomheter og deres behov.

I forskrift om rekvirering og utlevering av legemidler fra apotek kan departementet med hjemmel i § 9-3 stille særskilte krav om oppbevaring av EDB-baserte reseptopplysninger.51 Det gjelder også resepter og rekvisisjoner som er overført elektronisk.

Pasientjournalloven gjelder all behandling av helseopplysninger som er nødvendig for å yte, administrere eller kvalitetssikre helsehjelp til enkeltpersoner. Lovens formål er at behandling av helseopplysninger skal skje på en måte som gir pasienter og brukere helsehjelp av god kvalitet ved at relevante og nødvendige opplysninger på en rask og effektiv måte blir tilgjengelige for helsepersonell, samtidig som vernet mot at opplysninger gis til uvedkommende, ivaretas, og sikrer pasienters og brukeres personvern, pasientsikkerhet og rett til informasjon og medvirkning.

Helseregisterloven gjelder for behandling av helseopplysninger til statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten. Formålet med loven er å legge til rette for innsamling og annen behandling av helseopplysninger for å fremme helse, forebygge sykdom og skade og gi bedre helse- og omsorgstjenester. Loven skal sikre at behandlingen foretas på en etisk forsvarlig måte, ivaretar den enkeltes personvern og brukes til individets og samfunnets beste.

Formålet med helseberedskapsloven er å «verne befolkningens liv og helse og bidra til at nødvendig helsehjelp, helse- og omsorgstjenester og sosiale tjenester kan tilbys befolkningen under krig og ved kriser og katastrofer i fredstid. For å ivareta lovens formål, skal virksomheter loven omfatter kunne fortsette og om nødvendig legge om og utvide driften under krig og ved kriser og katastrofer i fredstid, på basis av den daglige tjeneste, oppdaterte planverk og regelmessige øvelser, slik det er bestemt i eller i medhold av loven».

Varsling

Etter Normen punkt 6.3 skal Datatilsynet varsles dersom det har blitt foretatt en uautorisert utlevering av helse- og personopplysninger.

Det følger av helseberedskapsloven § 2-3 at virksomheter loven omfatter, plikter å varsle om forhold innen helse- og omsorgstjenesten eller sosialtjenesten som kan gi grunnlag for tiltak etter denne lov. Varsel gis til departementet eller den myndighet departementet bestemmer.

I helse- og omsorgssektoren er det for øvrig en rekke bestemmelser med krav om å varsle om uønskede hendelser. Disse hendelsene er imidlertid primært relatert til personskade og/eller bivirkninger ved pasientbehandlingen.

Tilsyn

Det finnes i dag ikke et eget sektortilsyn for IKT-sikkerhet på helseområdet. Statens helsetilsyn er øverste tilsynsmyndighet og har det overordnede faglige tilsynet med helse- og omsorgstjenestene og folkehelsearbeid, jf. helsetilsynsloven § 1. Statens helsetilsyn har myndighet til å pålegge retting av avvik, jf. § 5. Fylkesmannen er faglig underlagt Statens helsetilsyn og fører tilsyn. Helsedirektoratet har en koordinatorrolle for sektorens innsats ved kriser. Det gjelder også hendelser som inkluderer svikt i IKT-systemer.

Datatilsynets oppgaver tar i hovedsak utgangspunkt i personopplysningsloven med hovedfokus på personvern, men de har i tillegg tilsynsansvar for pasientjournalloven. Tilsyn med helseregistrene vil i hovedsak utføres av Datatilsynet.

Sanksjoner

Helsetilsynsloven § 5 gir Statens helsetilsyn adgang til å gi pålegg om å «rette på forholdene».

Pasientjournalloven §§ 27, 28 og 29 gir Datatilsynet hjemmel til henholdsvis å gi pålegg, fastsette tvangsmulkt og gi overtredelsesgebyr ved overtredelser av bestemmelser gitt i eller i medhold av loven. Tilsvarende hjemler følger av helseregisterloven §§ 27, 28 og 29.

Oppsummering

Reguleringen i helse- og omsorgssektoren stiller i hovedsak krav om forsvarlig sikring av informasjon. Det inkluderer krav om sikring av IKT-systemer som behandler pasientinformasjon, men det er få krav om sikring av IKT-systemer som ikke har den type informasjon.

1.2.4 Kraftforsyning

Om sektoren

Kraftforsyning omfatter de systemer og leveranser som er nødvendige for å ivareta samfunnets behov for elektrisk energi til oppvarming, husholdning, produksjon, transport med mer, og fjernvarme der slike anlegg er utbygd.52

Regulering av IKT-sikkerhet i sektoren

For elektrisitetssektoren gjelder energiloven.53 Loven hjemler beredskapsforskriften. Energiloven stiller både krav om informasjonssikkerhet (§ 9-3) og krav om sikring av system og anlegg i beredskapsforskriften.

Beredskapsforskriften gjelder forebygging, håndtering og begrensning av virkningene av ekstraordinære situasjoner som kan skade eller hindre produksjon, omforming, overføring og fordeling av elektrisk energi eller fjernvarme.

Det følger av beredskapsforskriften § 1-3 at den gjelder for virksomheter som helt eller delvis eier eller driver anlegg eller system som er, eller kan bli, av vesentlig betydning for produksjon, omforming, overføring, omsetning eller fordeling av elektrisk energi eller fjernvarme.

Beredskapsforskriften stiller krav om internkontroll, varsling og rapportering, risikovurderinger, tilgangskontroll og tilgang til systemene fra leverandører. I tillegg er kravene i forskriften differensiert, slik at de viktigste selskapene er underlagt de strengeste sikkerhetskravene.

NVE sendte forslag til revidert beredskapsforskrift på høring før jul 2017.54 Forslaget bygger på anbefaling fra Lysne-utvalget og NVEs egen gjennomgang av eksisterende regelverk for å styrke arbeidet med å håndtere de risikoer som følger med digitaliseringen.55 Forskriftsendringene vil tre i kraft fra 1. januar 2019.56

Forslaget innebærer at det stilles krav om grunnsikring for alle digitale informasjonssystemer hos alle virksomheter som er underlagt forskriften. Kravene gjelder alle nettselskaper, omsettere, produsenter, fjernvarmevirksomheter og andre aktører som kontrollerer produksjon, omforming, overføring, omsetning og fordeling av energi på til sammen minst 100 GWh per år, og som vil kunne ha en vesentlig betydning for energiforsyningen.

Den digitale grunnsikringen innebærer at virksomheter plikter å sikre digitale informasjonssystemer slik at konfidensialitet, integritet og tilgjengelighet ivaretas. Grunnsikring for digitale informasjonssystemer skal være i henhold til anerkjente standarder og normer, deriblant å identifisere og dokumentere, sikre og oppdage, håndtere og gjenopprette. I tillegg til at det er krav om ROS-analyse og tjenesteutsetting.

Varslingskrav

Det er varslings- og rapporteringsplikt for virksomhetene til beredskapsmyndigheten for alle ekstraordinære situasjoner. Varslet skal kortfattet beskrive hendelsen, forventet gjenoppretting og kontaktperson. Det er foreslått å splitte denne bestemmelsen i to, en for varsling når noe ekstraordinært skjer, og en for rapportering etter at hendelsen er over, jf. forslag til §§ 2-5 og 2-6.

I forslaget § 6-9 er det lagt opp til at «[v]irksomheten skal varsle uønskede hendelser i sine digitale informasjonssystemer til det sektorvise responsmiljøet».

Hendelseshåndtering behandles gjennom KraftCERT og kraftforsyningens beredskapsorganisasjon (KBO). KBO ledes av beredskapsmyndigheten (NVE).

Tilsyn

Det er i energiloven § 10-1 hjemmel til å føre kontroll med at bestemmelser gitt i eller i medhold av energiloven blir overholdt. NVE fører tilsyn med virksomhetenes etterlevelse av IKT-sikkerhetskrav i beredskapsforskriften.

Sanksjoner

Energiloven §§ 10-1, 10-3 og 10-7 hjemler henholdsvis pålegg, tvangsmulkt og overtredelsesgebyr. Det samme gjør beredskapsforskriften §§ 8-4 og 8-5.

Oppsummering

Regelverket til kraftsektoren stiller krav om forsvarlig IKT-sikkerhet. Det er mange selskaper og systemer som kan være utenfor virkeområdet til grunnsikringen i og med at det er først og fremst bare KBO-enheter som det stilles krav til. Dette gjelder særskilt omsettere av elektrisk energi.

1.2.5 Justissektoren

Om sektoren

Justissektoren omfatter i grove trekk domstolene, politi og påtalemyndighet og kriminalomsorgen. I tillegg inngår oppgaver hvor ansvaret er tillagt Tolletaten og helseforetak.

Regulering av IKT-sikkerhet i sektoren

Innenfor justissektoren er det først og fremst krav om IKT-sikkerhet som gjelder personopplysninger, som er regulert gjennom eksisterende lovgivning. Eksempler på dette er politiregisterloven § 15, SIS-loven § 3 og SIS-forskriften kapittel 7, som stiller krav som samsvarer kravene i personopplysningsloven.57 Det er også eksempler på forskriftshjemler for ivaretakelse av informasjonssikkerhet, slik som straffegjennomføringsloven § 4 e.58

Flere av bestemmelsene inneholder formuleringer som kunne vært brukt til å stille sikkerhetskrav til systemer og tjenester, men forarbeidene er klare på at formålet med bestemmelsene er sikring av personopplysninger.

Utvalgets gjennomgang har kartlagt to forskrifter som omtaler mer enn sikring av informasjon:

  1. Politiregisterforskriften § 73-3 første ledd stiller krav til at politiet skal foreta nedtegning av alle behandlinger som følger av tilgangen til VIS, slik at det er mulig å kontrollere om søkene er tillatt, om behandlingen er lovlig og for å utføre internkontroll og sikre datakvalitet og datasikkerhet, og om systemet fungerer korrekt.59

  2. I ELSAM-forskriften § 12 er det (i tillegg til krav til tilfredsstillende informasjonssikkerhet) krav til at elektronisk kommunikasjon mellom domstolen og en registrert bruker skal sikres med tilfredsstillende innloggingssystem og betryggende metode for å autentisere kommunikasjonspartene.60

Oppsummering

Regelverket innenfor justissektoren stiller delvis krav om forsvarlig IKT-sikkerhet. Det er enkelte bestemmelser om sikring av informasjon, men det stilles ikke krav om sikring av IKT-systemer som understøtter virksomhetenes produksjon av varer og tjenester.

1.2.6 Olje- og gass

Om sektoren

Produksjon av olje og gass inngår ikke i DSBs rapport om kritiske samfunnsfunksjoner. Det er ikke klarlagt om denne sektoren vil bli omfattet av et regelverk som gjennomfører NIS-direktivet i norsk rett. Lysne-utvalget inkluderte Olje- og gassektoren i sin gjennomgang av kritiske samfunnsfunksjoner.

Regulering av IKT-sikkerhet i sektoren

Olje- og gassindustrien har en funksjonsbasert regulering innenfor helse, miljø og sikkerhet. Petroleumsloven stiller krav til sikkerhet (kapittel 9), og § 10-1 setter krav om forsvarlig petroleumsvirksomhet.61 Blant annet skal petroleumsvirksomheten ivareta hensynet til sikkerhet for de økonomiske verdiene som innretninger og fartøyer representerer. I dette ligger også et krav om sikring av driftstilgjenglighet. Det følger av særmerknaden til bestemmelsen at sikkerhetsbegrepet skal tolkes vidt.

Kravene er funksjonelle og angir sjelden et spesifikt nivå for oppfyllelse. Det angis gjennom henvisninger til standarder i de enkelte veiledningene til forskriftsbestemmelsene. Selve systemet for dette følger av rammeforskriften § 24.62 Sikkerhetsreglene er omfattende, og det følgende er et utdrag av de mest relevante reglene.

Etter styringsforskriften § 7 skal den ansvarlige fastsette og videreutvikle mål og strategier for å forbedre helse, miljø og sikkerhet.63 Operatøren skal sikre at det er samsvar mellom kortsiktige og langsiktige mål på ulike områder, på ulike nivå og mellom ulike deltakere i virksomheten. Målene skal uttrykkes slik at det er mulig å ta stilling til graden av måloppnåelse.

Det følger av styringsforskriften § 17 at det skal utføres risikoanalyser som gir et nyansert og mest mulig helhetlig bilde av risikoen forbundet med virksomheten. Risikoanalysene skal blant annet identifisere og analysere risikoreduserende tiltak, jf. rammeforskriften § 11 og styringsforskriften §§ 4 og 5.

Styringsforskriften § 4 bestemmer at ved reduksjon av risiko som nevnt i rammeforskriften § 11, skal den ansvarlige velge tekniske, operasjonelle og organisatoriske løsninger som reduserer sannsynligheten for at det oppstår skade, feil og fare- og ulykkessituasjoner.

Forskrift om Petroleumsregisteret § 5-1 stiller krav om at opplysninger i Petroleumsregisteret blir samlet inn, registrert, oppbevart og benyttet på en forsvarlig måte. Det skal tas sikkerhetskopier av Petroleumsregisteret.

Regelverket legger altså til grunn at selskapene selv vurderer risiko, setter akseptkriterier og beslutter relevante tiltak. Dette gjøres gjennom risiko- og beredskapsanalyser i de enkelte selskapene. Bransjens egenutviklede standarder legges til grunn for arbeidet. Næringen har selv, gjennom Norsk olje og gass, utarbeidet spesifikke retningslinjer for informasjonssikkerhet i IKT-baserte prosesskontroll-, sikkerhets- og støttesystemer. Retningslinjene er basert på ISO 270001/2-standarden.

Hendelseshåndtering

Det følger av styringsforskriften § 17 at det skal gjennomføres beredskapsanalyser. Det følger videre av aktivitetsforskriften § 76 at det skal utarbeides beredskapsplaner som til enhver tid beskriver beredskapen og inneholder aksjonsplaner for de definerte fare- og ulykkessituasjonene.64 Aktuelle bekjempelsesmetoder skal være beskrevet i beredskapsplanen. Aktivitetsforskriften § 77 setter krav til den faktiske håndteringen av fare- og ulykkessituasjoner.

Varsling

Etter styringsforskriften § 29 skal operatøren sikre varsling til Petroleumstilsynet ved fare- og ulykkessituasjoner som har ført til, eller under ubetydelig endrede omstendigheter kunne ha ført til død, alvorlig og akutt skade, akutt livstruende sykdom, alvorlig svekking eller bortfall av sikkerhetsrelaterte funksjoner eller barrierer, slik at innretningens eller landanleggets integritet er i fare eller ved akutt forurensning. Veiledningen til bestemmelsen presiserer at dette også gjelder «situasjoner der normal drift av kontroll- eller sikkerhetssystemer blir forstyrret av arbeid som ikke er planlagt (IKT-hendelse)».

Petroleumstilsynet har utarbeidet et standardskjema for varsling av hendelser, hvor det blant annet skal fylles inn tidspunkt for hendelsen, hvem som var involvert, hendelsesforløpet og skadeomfanget.

Tilsyn

Det er hjemmel i petroleumsloven § 10-3 til å føre tilsyn med at bestemmelsene gitt i eller i medhold av petroleumsloven blir overholdt av alle som driver petroleumsvirksomhet som omfattes av loven.

Petroleumstilsynet fører tilsyn med næringens arbeid med IKT-sikkerhet. I mai/juni 2017 ble det gjennomførte en tilsynskampanje med alle operatører med felt og anlegg i drift og redere med alle flyttbare innretninger (primært borerigger) som er registrert i et nasjonalt skipsregistersom (SUT). Tilsynet rettet seg mot virksomhetenes arbeid med beskyttelse av datasystemer på anlegg og innretninger som ivaretar styring av prosessene, overvåker mulige gassutslipp eller branntilløp og foretar sikker nedstengning av innretninger og anlegg.

Sanksjoner

Det er hjemmel i § 10-3 til å gi pålegg og § 10-16 hjemler flere tvangsmidler, herunder tvangsmulkt. Overtredelsesgebyr er ikke regulert, men i § 10-13 gis Kongen myndighet til å kalle tilbake tillatelser som er gitt i medhold av loven.

Oppsummering

Sikkerhetskravene er generelt utformet og det er uklart om de inkluderer IKT-sikkerhet.

1.2.7 Satellittbaserte tjenester

Om sektoren

Satellittbaserte tjenester har et bredt spekter av bruksmuligheter, som har til felles at de leveres ved hjelp av satellitter. En satellitt er et legeme som går i bane rundt jorden. Satellitter bærer nyttelaster til ulike formål og er plassert i baner som er tilpasset formålet. Satellitter kan ha nyttelaster for jordobservasjon, navigasjon, kommunikasjon eller vitenskapelige undersøkelser, eller en kombinasjon av disse.

Regulering av IKT-sikkerhet i sektoren

Sektoren er hovedsakelig underlagt krav om IKT-sikkerhet i ekomloven og sikkerhetsloven.

Utover dette stiller § 6 i forskrift om etablering, drift og bruk av jordstasjon for satellitt krav om drift og sikring av jordstasjoner. Det er der eksplisitte krav om at en jordstasjon skal sikres slik at uvedkommende ikke får adgang til stasjonen eller kjennskap til innholdet i data som sendes til eller mottas fra en satellitt.

Oppsummering

Det er uklart om det stilles tilstrekkelige krav om IKT-sikkerhet til virksomhetene i sektoren.

1.2.8 Transport

Gjennomgangen under er inndelt i luftfartssystemet, jernbanesystemet, det maritime transportsystemet og veitransportsystemet.

1.2.8.1 Luftfartssystemet

Regulering av IKT-sikkerhet i sektoren

Luftfartsloven regulerer både sivil og militær luftfart.65 Blant annet reguleres landingsplasser og flysikringstjenesten. Ulike deler av sektoren er regulert ulikt. Flysikringstjenesten kan sies å ha kommet lengst når det gjelder IKT-sikkerhet. Det følger av forskrift om flysikringstjenester at tjenesteleverandøren plikter å ha et sikkerhetsstyringssystem. Indirekte stilles det krav om sikring av relevante IKT-systemer.66

Det pågår regelverksarbeid i regi av Det europeiske luftfartssikkerhetsbyrået (EASA), som ønsker et helhetlig fokus på IKT-sikkerhet i luftfarten. Regelverket vil omfatte både lufthavner, flyselskap og flysikringstjenesten. Regelverket antas å kunne tre i kraft i løpet av 2020. FNs luftfartsorganisasjon, ICAO, har vedtatt en folkerettslig bindende standard som krever at luftfartsaktører gjennomfører risikovurderinger, identifiserer de kritiske systemene sine og innfører tiltak for å sikre disse. Standarden trådte i kraft i november 2018.

Varsling

Det fremgår ikke eksplisitte krav om varsling av sikkerhetshendelser i det gjeldende regelverket. Det legges likevel til grunn at luftfarten har et omfattende rapporteringssystem hvor alle hendelser som har betydning for flysikkerheten, i utgangspunktet skal rapporteres. Hendelser innen IKT-sikkerhet skal også rapporteres i den grad de har betydning for flysikkerheten.

Tilsyn

Luftfartstilsynet fører tilsyn med IKT-sikkerheten, i hovedsak flysikringstjenesten.

Sanksjoner

Luftfartsloven §§ 13 a-4 og 13 a-5 gir hjemmel for henholdsvis å fastsette tvangsmulkt og å gi pålegg om overtredelsesgebyr i forbindelse med overtredelser av loven eller bestemmelser fastsatt med hjemmel i loven, herunder forskrift om felles krav for yting av flysikringstjenester.

Oppsummering

Samlet sett stilles det i sektoren per i dag bare delvis krav om IKT-sikkerhet. Med det pågående internasjonale regelverksarbeidet ser det ut til at virksomheter i luftfartssektoren på sikt blir underlagt hensiktsmessige krav om IKT-sikkerhet.

1.2.8.2 Jernbanesystemet

Regulering av IKT-sikkerhet i sektoren

Jernbaneloven gir departementet hjemmel til å fastsette forskrift om sikring mot tilsiktede uønskede handlinger, herunder bestemmelser om kriseledelse, om taushetsplikt og om hvilke virksomheter som skal omfattes av forskriften.67 Hjemmelen inkluderer også IKT-sikkerhet.68

Samferdselsdepartementet har delegert til Statens jernbanetilsyn å fastsette forskrifter etter loven. Sikringsforskriften pålegger jernbanevirksomheter å arbeide systematisk og proaktivt for å unngå tilsiktede uønskede handlinger og begrense konsekvensene av dem.69

Sikringsforskriften stiller krav til styringssystemer, herunder ansvar for oppgaver som utføres av leverandører, krav til dokumentasjon, taushetsplikt, prosedyrer, ansvarsforhold, beredskap, kompetansekrav, opplæring og så videre. Virksomhetene skal utarbeide risikovurderinger, og det stilles krav om hvordan disse skal følges opp og oppdateres. Videre stilles det krav om systematisk gjennomføring av revisjoner, oppfølging av uønskede hendelser, beredskapsøvelser og oppfølging av avvik.

Varsling

Sikringsforskriften stiller krav til at jernbanevirksomheter skal ha styringssystem som dekker sikring, inkludert IKT-sikkerhet. Krav om systemer omfatter også etterlevelse og praktisering av bestemmelsene i systemet. Det stilles krav om at virksomhetene skal sikre at nødvendige tiltak blir satt i verk raskest mulig, og beredskapen skal blant annet omfatte beredskapsplanverk med tydelig rollefordeling, varslingslister og innsatsplaner.

Tilsyn

Statens jernbanetilsyn fører tilsyn med at bestemmelsene i sikringsforskriften overholdes, jf. jernbaneloven § 11.

Sanksjoner

Jernbaneloven § 13 hjemler tvangsmulkt ved manglende oppfylling av pålegg. § 14 gir hjemmel til å fastsette forskrift om gebyr for kontrolltiltak som gjennomføres for å sikre at loven eller vedtak i medhold av loven blir fulgt.

Oppsummering

Dagens regulering stiller langt på vei krav om forsvarlig IKT-sikkerhet. Kravene er imidlertid vagt utformet og avhenger av virksomhetens eget initiativ til å sørge for et forsvarlig sikkerhetsnivå.

1.2.8.3 Det maritime transportsystemet

Regulering av IKT-sikkerhet i sektoren

Havne- og farvannsloven skal legge til rette for god fremkommelighet, trygg ferdsel og forsvarlig bruk og forvaltning av farvannet i samsvar med allmenne hensyn og hensynet til fiskeriene og andre næringer.70 Loven skal også legge til rette for effektiv og sikker havnevirksomhet som ledd i sjøtransport og kombinerte transporter samt for effektiv og konkurransedyktig sjøtransport av personer og gods innenfor nasjonale og internasjonale transportnettverk. Loven hjemler to særlig relevante forskrifter.

Det følger av havneanleggssikringsforskriften § 10 andre ledd og havnesikringsforskriften § 9 andre ledd at det skal utarbeides en sikringsplan for hvert enkelt anlegg på bakgrunn av en sårbarhetsvurdering.7172 Krav til sårbarhetsvurderingen og sikringsplanen følger av henholdsvis vedlegg 1 og 2. Det er eier av havneanlegget som er ansvarlig for at oppgavene og forpliktelsene følges opp.

Skipssikkerhetsloven skal trygge liv og helse, miljø og materielle verdier ved å legge til rette for god skipssikkerhet og sikkerhetsstyring, herunder hindre forurensing fra skip, sikre et fullt forsvarlig arbeidsmiljø og trygge arbeidsforhold om bord på skipet samt et godt og tidsmessig tilsyn.73 Loven stiller krav om å etablere, gjennomføre og videreutvikle et dokumenterbart og verifiserbart sikkerhetsstyringssystem i rederiets organisasjon og på det enkelte skipet, for å kartlegge og kontrollere risiko samt sikre etterlevelse av krav fastsatt i eller i medhold av lov eller i sikkerhetsstyringssystemet selv.

ISM-koden (International Safety Management Code) er den internasjonale normen for sikkerhetsstyringssystemer på skip, og er tatt inn i norsk rett gjennom forskrift om sikkerhetsstyringssystem for norske skip og flyttbare innretninger. ISM-koden regulerer blant annet krav til sertifisering, revisjon og avvikshåndtering. Regelverket har ikke eksplisitte krav om IKT-sikkerhet, men kravene er generelt utformet og passer også for vurdering og håndtering av slik risiko.

International Maritime Organization (IMO) har vedtatt resolusjon MSC.428(98) som angir at rederiene senest innen første årlige revisjon etter 1. januar 2021 skal innarbeide vurdering og håndtering av risiko knyttet til sikkerhet i nettverk og digitale løsninger som en del av sikkerhetsstyringssystemet. Bakgrunnen for resolusjonen er at disse risikoene faller inn under operasjonelle trusler som allerede dekkes av ISM, og som sikrer at dette blir gjort.

Innen ferjetransporten er virksomheter som er underlagt krav etter forskrift om sikkerhetsstyringssystem for norske skip og flyttbare innretninger omfattet av Sjøfartsdirektoratets tilsynsmyndighet (ISM sertifisering).

Når det gjelder kvalitetskrav, er det per i dag ikke særskilte krav til IKT-vurderinger, men det er fastsatt retningslinjer for oppfølging av cyber security som skal være tatt hensyn til i rederienes sikkerhetsstyringssystemer, senest innen første årlige revisjon etter 1. januar 2021.

Varsling

Forskrift om sikring av havner § 6 bestemmer at sikringshendelser skal varsles til Kystverket. Med sikringshendelse menes «[e]n mistenkelig handling eller omstendighet som utgjør en trussel mot et skip, et havneanlegg eller en havn».

Det følger av ISM-koden punkt 9.1 at sikkerhetsstyringssystemet skal omfatte fremgangsmåter som sikrer avvik, ulykker og farlige situasjoner rapporteres til selskapet, undersøkes og analyseres med det formål å forbedre sikkerheten og hindringen av forurensning.

Tilsyn

Kystverket fører tilsyn med havner og havneanlegg, herunder deres oppfyllelse av sikringsregelverkene. I den utstrekning enhetens IKT-systemer er beskyttet under dette regelverket, vil dette omfattes av tilsynet. Kystverket har ifølge forskrift om sikring av havneanlegg § 20 andre ledd myndighet til å gi de pålegg og gjøre de vedtak som er nødvendig for gjennomføring av bestemmelsene i forskriften. Tilsvarende myndighet følger av forskrift om sikring av havner § 18.

Det følger av skipssikkerhetsloven § 41 første ledd at kongen fastsetter hvem som skal ha tilsynsmyndighet etter loven. Det skal blant annet føres tilsyn med sikkerhetsstyringssystemet, og det er plikt til å medvirke til tilsynet. Tilsyn er for øvrig inngående regulert i blant annet forskrift 22. desember 2014 nr. 1893.

Sanksjoner

Havne- og farvannsloven § 54 gir departementet hjemmel til å «gi forskrifter om gebyr for kontrolltiltak og tilsyn som gjennomføres for å sikre at loven eller vedtak i medhold av loven blir fulgt». Etter § 58 kan «myndigheten» utferdige forelegg mot den som innen fastsatt frist unnlater å etterkomme pålegg eller forbud som er gitt med hjemmel i loven. Havne- og farvannsloven § 60, forskrift om sikring av havneanlegg § 22 og forskrift om sikring av havner § 20 hjemler tvangsmulkt.

Skipssikkerhetsloven kapittel 8 til 10 regulerer sanksjoner og straff. § 50 hjemler tvangsmulkt, § 55 hjemler overtredelsesgebyr, og § 56 hjemler overtredelsesgebyr mot rederiet. Blant annet er overtredelse av § 6 om rederiets alminnelige plikter mulig grunnlag for ileggelse av overtredelsesgebyr.

Nærmere bestemmelser om overtredelsesgebyr følger av forskrift 2. juli 2007 nr. 852 om fastsettelse og gjennomføring av overtredelsesgebyr etter lov 16. februar 2007 nr. 9 om skipssikkerhet (skipssikkerhetsloven) § 55 og § 56.

Oppsummering

Per i dag stilles det bare delvis krav om forsvarlig IKT-sikkerhet. Med det pågående internasjonale regelverksarbeidet ser det ut til at virksomheter i denne sektoren på sikt vil bli underlagt hensiktsmessige krav om IKT-sikkerhet.

1.2.8.4 Veitransportsystemet

Regulering av IKT-sikkerhet i sektoren

Det foreligger per i dag ingen lov- eller forskriftsregulering som stiller krav om IKT-sikkerhet på området trafikkstyring. I stedet gjelder interne retningslinjer som definerer rutiner for bruk, drift og utvikling av automasjonsnettet og SCADA-systemet samt tilhørende nettverk. Vegdirektoratet sørger sammen med regionene i Statens vegvesen for en samordning, der krav og rutiner videreutvikles i takt med endringer i omgivelsene og inngår i etatens kvalitetssystem.

Når det gjelder autonome kjøretøy så er det mulig gjennom forskrift om utprøving av selvkjørende motorvogn å kreve dokumentert hvordan systemet, teknologien og hvordan informasjonssikkerhet er ivaretatt.74

I Nasjonal transportplan, en stortingsmelding som kan likestilles med soft law, fremheves det at transportvirksomhetene har et selvstendig ansvar for å sikre egne IKT-systemer, herunder informasjonen som ligger i disse systemene. IKT-sikkerhet skal inngå som en integrert del av transportvirksomhetenes arbeid med sikring av kritisk infrastruktur. Viktige IKT-systemer og sensitiv informasjon skal identifiseres og sikres mot både tilsiktede og utilsiktede uønskede hendelser. Forebyggende tiltak er viktige og skal videreføres i planperioden. Virksomhetene skal videre gjennomføre og delta i relevante IKT-øvelser og vurdere behovet for inntrengingstester for å prøve motstandskraften i egne IKT-systemer.75

Hendelseshåndtering

I Nasjonal transportplan står det at virksomhetene skal overvåke egen IKT-infrastruktur for å kunne oppdage og håndtere dataangrep. I tillegg til å ha egne IKT-sikkerhetsmiljøer er relevante virksomheter i transportsektoren tilknyttet NSM NorCERT og det nasjonale varslingssystemet for digital infrastruktur (VDI) som sikrer kontinuerlig overvåking av datatrafikken og beskytter mot angrep.76

Oppsummering

Det er i liten grad krav om forsvarlig IKT-sikkerhet i regelverket som regulerer veitransportssektoren.

1.2.9 Drikkevann

Om sektoren

Drikkevannssektoren omfatter produksjon og forsyning av drikkevann.

Regulering av IKT-sikkerhet i sektoren

Drikkevannsforskriften er den primære forskriften som regulerer produksjon og forsyning av drikkevann.77 Formålet med forskriften er å beskytte menneskers helse ved å stille krav om sikker levering av tilstrekkelige mengder helsemessig trygt drikkevann som er klart og uten fremtredende lukt, smak og farge. Forskriften gjennomfører rådsdirektiv 98/83/EF (drikkevannsdirektivet) i norsk rett. Det er vannverkseieren som er ansvarlig for at kravene til vannforsyningssystemer etterleves, herunder at forsyningen av drikkevann oppfyller kravene til tilfredsstillende mengde og tilfredsstillende kvalitet.

Sikkerhetstiltakene har tradisjonelt primært vært knyttet til andre årsaker enn svikt i digital kommunikasjon, men også slike årsaker har det vært fokusert på i den senere tid. Mattilsynets veiledning av april 2017 til vannforsyningssystemene om utarbeiding av beredskapsplaner nevner derfor IKT som et område som må tas med i farekartleggingen.

Drikkevannsforskriften ble revidert i 2016 og stiller nå krav om forebyggende sikring ved at vannverkseieren skal sikre at vannbehandlingsanlegget og alle relevante deler av distribusjonssystemet er tilstrekkelig fysisk sikret, og at alle styringssystemer er tilstrekkelig sikret mot uautorisert tilgang og bruk (§ 10). I veilederen til bestemmelsen trekkes det frem eksempler på hva som bør vurderes for å kunne avgjøre om styringssystemene er tilstrekkelig sikret mot dataangrep.

Hendelseshåndtering

Drikkevannsforskriften stiller krav til vannverkene om å kunne levere drikkevann til enhver tid, og at de skal ha forebyggende sikring og beredskap til å håndtere hendelser. Om årsaken er knyttet til svikt i nett- eller informasjonssystem eller andre forhold, så skal mulige hendelser kartlegges og kunne håndteres.

Varsling

Mattilsynet og abonnentene skal varsles ved avvik i vannkvaliteten. Andre avvik er ikke varslingspliktige til Mattilsynet. Varsling knyttet til svikt i elektroniske komponenter eller signaloverføringer er følgelig ikke varslingspliktig etter drikkevannsforskriften med mindre de medfører avvik i vannkvaliteten.

Tilsyn

Det er Mattilsynet som er tilsynsmyndighet. Mattilsynet fører i henhold til drikkevannsforskriften § 28 tilsyn med alle vannforsyningssystemer. Med samme hjemmel kan Mattilsynet fatte nødvendige vedtak for å sikre etterlevelse av forskriftens krav.

Sanksjoner

Mattilsynet gis i matloven § 23 myndighet til å fatte nødvendige vedtak for gjennomføring av bestemmelser gitt eller i medhold av loven.78 Tilsynet kan etter § 26 fastsette tvangsmulkt.

Oppsummering

Regelverket stiller krav om forsvarlig IKT-sikkerhet.

1.3 Soft law

Mange virksomheter følger veiledere og standarder som ikke er regulert gjennom lov og forskrift når det gjelder krav om IKT-sikkerhet. For mange virksomheter er det egne bransjestandarder som følges. I tillegg er det standarder som er av mer generell karakter. De to mest relevante veiledningene på området er NSMs grunnprinsipper for IKT-sikkerhet og ISO 27000. I tillegg er Statens standardavtaler (SSA) relevante standard kontraktmaler for anskaffelser for kjøp av IT og konsulenttjenester.

1.3.1 NSMs Grunnprinsipper for IKT-sikkerhet

NSM har gjennom sine grunnprinsipper for IKT-sikkerhet definert et sett med anbefalinger for hvordan IKT-systemer bør sikres for å beskytte verdier og leveranser. Grunnprinsippene bygger på anerkjente standarder og rammeverk både i Norge og EU, deriblant ISO 27000-serien.

Grunnprinsippene beskriver hva en virksomhet bør gjøre for å sikre et IKT-system. De beskriver også hvorfor det bør gjøres.

Hovedpunktene i prinsippene er:

  1. Identifisere og kartlegge – gjør risikovurdering

  2. Beskytte – sikre dine verdier

  3. Opprettholde og oppdage – vær bevisst

  4. Håndtere og gjenopprette – lær av dine utfordringer

Hvert grunnprinsipp har underliggende teknologiske og organisatoriske sikringstiltak som beskriver hva som bør gjøres. Figur 1.1 viser NSMs oversikt over hva som inngår i de fire hovedkategoriene.

Figur 1.1 NSMs oversikt over grunnprinsippene

Figur 1.1 NSMs oversikt over grunnprinsippene

På bakgrunn av grunnprinsippene og erfaringer med å utvikle tekniske sikkerhetstiltak for beskyttelse av sikkerhetsgraderte IKT-systemer har NSM anbefalt ti tiltak mot dataangrep. De er inndelt i to deler. Del 1 omfatter fire enkle tiltak. Del to omfatter seks tiltak, som forutsetter at virksomheten har en IT-avdeling som styrer sikkerheten til virksomhetens klienter.

Tiltakene tar utgangspunkt i Windows 7 og målgruppen er store og middels store virksomheter, primært i offentlig forvaltning. Dersom virksomheten har moderne maskin- og programvare, innebærer ikke tiltakene at man skal kjøpe inn spesielle sikkerhetsprodukter. Primært handler disse tiltakene om å utnytte viktige sikkerhetsfunksjoner i Windows bedre. Disse tiltakene hindrer blant annet ukjent (og dermed potensielt skadelig) programvare å starte opp uansett hva sluttbrukeren måtte gjøre, for eksempel i forbindelse med lesing av e-post, bruk av minnepinner eller surfing på internett.

De ti tiltakene gir ikke hundre prosent sikkerhet mot alle typer angrep, for eksempel tapping av brukerkommunikasjon over internett, tjenestenektangrep, angrep fra avanserte statlige aktører og angrep der angriperen har fysisk tilgang til utstyret. Tiltakene forhindrer heller ikke at lettlurte brukere oppgir sensitive opplysninger på nett. Tiltakene til NSM er som følger:

Del 1

  • 1. Oppgrader program- og maskinvare.

  • 2. Installer sikkerhetsoppdateringer så fort som mulig.

  • 3. Ikke tildel administratorrettigheter til sluttbrukere.

  • 4. Blokker kjøring av ikke-autoriserte programmer

Del 2

  • 5. Aktiver kodebeskyttelse mot ukjente sårbarheter.

  • 6. Herde applikasjoner.

  • 7. Bruk klientbrannmur.

  • 8. Bruk sikker oppstart og diskkryptering.

  • 9. Bruk antivirus/antiskadevare.

  • 10. Ikke installer mer funksjonalitet enn nødvendig.

1.3.2 ISO Standarder

ISO er en verdensomfattende sammenslutning av nasjonale standardiseringsorganer. Organisasjonen utarbeider og publiserer internasjonale standarder. En standard kan for eksempel være en måleenhet eller et styringssystem.79

Standardisering utføres av faggrupper som får innspill fra eksperter og interessenter. Det finnes rundt 3000 tekniske grupper, og cirka 50 000 eksperter bidrar årlig til organisasjonen. Vedtak av standarder skjer ved avstemning blant medlemsorganisasjonene.80

Standardene i ISO/IEC 27000-serien har til hensikt å sikre virksomheters informasjon og å ha et system for dette. Serien inneholder råd for god praksis, sertifiseringsstandarder og retningslinjer for hjelp ved innføring.81

I Norge har Difi tilgjengeliggjort standarder i ISO/IEC 27000-serien for statsforvaltningen og inngått en rammeavtale med Standard Online, Standard Norges salgsselskap, om tilgang til standarder for 203 statlige enheter. Blant de mest sentrale standardene i serien er:82

  • NS-EN ISO/IEC 27000

    Holder rede på sammenhengene mellom standardene og begreper som benyttes i serien.

  • NS-EN ISO/IEC 27001

    Stiller krav til etablering, implementering, vedlikehold og kontinuerlig forbedring av et ledelsessystem for informasjonssikkerhet. Denne standarden er grunnlag for sertifisering, og resten av serien er en utdypning av og veiledning i denne standarden.

  • NS-EN ISO/IEC 27002

    Gir god praksis med tanke på hva en bør gjøre, hva en bør vurdere og hva en bør ha på plass når det gjelder informasjonssikkerhet.

  • NS-ISO/IEC 27003

    Skisserer mulige strategier for å iverksette en prosess for å innføre et ledelsessystem for informasjonssikring.

  • NS-ISO/IEC 27004

    Hjelper til med hvordan man måler tilstanden før, under og etter innføringen av sikringstiltak.

  • NS-ISO/IEC 27005

    Omhandler risikostyring av informasjonssikkerhet.

1.3.3 Standardkontrakter

Statens standardavtaler (SSA) er kontraktsmaler for kjøp av IT og konsulenttjenester, med unntak for kjøp av rådgivningstjenester innen bygg og anlegg. SSAene er utarbeidet av Difi med innspill fra både kunde- og leverandørsiden og er gratis å bruke.

SSAene har en del generelle krav om sikkerhet og personvern. I tillegg til de generelle avtaletekstene skal det fylles ut bilag med kravspesifikasjoner (kunden) og løsningsbeskrivelser (leverandøren). Det er i bilagene at avtalen tilpasses den konkrete anskaffelsen. Det må gjøres konkrete vurderinger av krav om sikkerhet i hver anskaffelse, og de relevante kravene må beskrives i kravspesifikasjoner/bilag til avtalen.

En del av avtalen har krav til informasjonssikkerhet. De er utformet på denne måten:

Leverandøren skal iverksette forholdsmessige tiltak for å ivareta krav om informasjonssikkerhet i forbindelse med gjennomføring av tjenesten.
Dette innebærer at Leverandøren skal iverksette forholdsmessige tiltak for å sikre konfidensialitet av Kundens data samt tiltak for å sikre at data ikke kommer på avveie. Videre skal Leverandøren iverksette forholdsmessige tiltak mot utilsiktet endring og sletting av data samt mot angrep av virus og annen skadevoldende programvare.

Flere av avtalene har også krav til beskyttelse og behandling av personopplysninger som skal samsvare med de kravene som følger av personopplysningsloven.

Per oktober 2018 hadde Difi tilgjengelig følgende avtaler:

Avtale om løpende tjenestekjøp (SSA-L): Avtalen egner seg til kjøp av standardiserte skytjenester («as a service»-leveranser). Tjenesten kan også omfatte installasjon, konfigurering, tilpasning og/eller integrasjoner dersom dette spesifiseres i bilag 1. Tjenesten omfatter drift og vedlikehold.83 Avtalen har krav til at leverandøren skal iverksette forholdsmessige tiltak for å ivareta krav om informasjonssikkerhet i forbindelse med gjennomføring av tjenesten, jf. punkt 6.1 i avtalen.

Bistandsavtalene (SSA-B og SSA-B enkel): Avtalen er egnet til konsulentkjøp når man har behov for kompetanse, men ikke vet hvordan sluttresultatet skal bli. Konsulenten har ikke resultatansvar (resultatet/behovet er ikke klart definert). SSA-B skal ikke brukes for konsulentkjøp med tilknytning til bygg og anlegg.84 Avtalen inneholder ingen formulerte krav om IKT-sikkerhet.

Driftsavtalen (SSA-D): Driftsavtalen regulerer et vidt spekter av driftssituasjoner med vekt på standardiserte driftstjenester. Etableringen av driftstjenesten kan deles opp i delleveranser.85 Avtalen stiller krav om at leverandøren skal holde kunden orientert om endringer som kan ha betydning for kundens bruk av driftstjenesten eller for sikkerheten i løsningen før endringene iverksettes. Det er også krav om endringslogg, jf. punkt 2.2.3 i avtalen. Sikkerhetsoppdateringer skal alltid foretas uten unødig opphold, jf. punkt 2.2.9.

Det er også krav om at leverandøren skal iverksette forholdsmessige tiltak for å ivareta krav om informasjonssikkerhet i forbindelse med gjennomføring av tjenesten, jf. punkt 9.2.

Kjøpsavtalen (SSA-K): Avtalen er egnet til kjøp av IT-utstyr og/eller programvare. Avtalen er også egnet for kjøp av tilpasning av programvare dersom man på forhånd kan spesifisere nøyaktig hvordan IT-utstyret og/eller programvaren skal tilpasses. Leverandøren leverer utstyret og/eller programvaren ferdig tilpasset.86 Avtalen inneholder ingen formulerte krav om IKT-sikkerhet.

Oppdragsavtalen (SSA-O): Avtalen er egnet til oppdrag der sluttresultatet er klart beskrevet av kunden. Konsulenten får et selvstendig ansvar for en ferdig leveranse/oppdrag, og kunden skal ikke ha behov for å følge opp konsulenten under arbeidet.87 Avtalen stiller krav om at konsulenten skal iverksette forholdsmessige tiltak for å ivareta krav om informasjonssikkerhet i forbindelse med gjennomføring av oppdraget, jf. punkt 3.6 i avtalen.

Rammeavtalen (SSA-R): Rammeavtaler egner seg bedre enn ordinære kjøpsavtaler dersom man skal kjøpe tjenester/varer over en gitt periode (ikke som et engangskjøp) og/eller kjøpsomfanget er noe uvisst. Rammeavtalen egner seg bedre enn SSA-B og SSA-O dersom det er behov for konsulenttjenester til mer enn én leveranse eller ett oppdrag.88 Avtalen inneholder ingen formulerte krav om IKT-sikkerhet.

Smidigavtalen (SSA-S): Avtalen er beregnet på større programvareanskaffelser hvor det skal benyttes smidig utviklingsmetodikk.89 Avtalen stiller krav om at leverandøren skal iverksette forholdsmessige tiltak for å ivareta krav om informasjonssikkerhet i forbindelse med gjennomføring av tjenesten, jf. punkt 9.2.

Det er kundens ansvar å konkretisere relevante funksjonelle og sikkerhetsmessige krav for leveransen i bilag 1, jf. punkt 9.1 i avtalen.

Utviklings- og tilpasningsavtalen (SSA-T): Avtalen er egnet for kjøp av programvare som skal utvikles eller tilpasses for kunden dersom kunden ikke på forhånd kan spesifisere nøyaktig hvordan programvaren skal utvikles/tilpasses. Avtalen er egnet der leverandørens spesifiseringsarbeid (utarbeidelse av detaljspesifikasjon) ønskes gjennomført i nært samarbeid med kunden.90 Avtalen stiller krav om at leverandøren skal iverksette forholdsmessige tiltak for å ivareta krav om informasjonssikkerhet i forbindelse med gjennomføring av tjenesten, jf. punkt 9.2.

Det er kundens ansvar å konkretisere relevante funksjonelle og sikkerhetsmessige krav for leveransen i bilag 1, jf. punkt 9.1 i avtalen.

Vedlikeholdsavtalen (SSA-V): Avtalen regulerer levering av vedlikehold og service for programvare og/eller utstyr. Avtalen gir også mulighet for kompletteringskjøp, lisensutvidelser eller ytterligere utvikling i begrenset omfang innenfor et angitt målbilde for den aktuelle løsningen.91 Hvis ikke annet fremgår av bilag 1 og 2, skal vedlikeholdstjenesten som et minimum omfatte feilretting og ytelser som er nødvendige for å opprettholde programvarens samvirke med annen programvare som er omfattet av vedlikeholdstjenesten (se bilag 3). Avtalen stiller krav om at leverandøren skal iverksette forholdsmessige tiltak for å ivareta krav om informasjonssikkerhet i forbindelse med gjennomføring av tjenesten, jf. punkt 9.2.

Det er kundens ansvar å konkretisere relevante funksjonelle og sikkerhetsmessige krav for leveransen i bilag 1, jf. punkt 9.1 i avtalen.

Fotnoter

1.

Sikkerhetsloven (lov 1. juni 2018 nr. 24 om nasjonal sikkerhet).

2.

NOU 2016: 19 Samhandling for sikkerhet – beskyttelse av grunnleggende samfunnsfunksjoner i en omskiftelig tid.

3.

Direktoratet for samfunnssikkerhet og beredskap (2016) Samfunnets kritiske funksjoner.

4.

Personopplysningsloven (lov 15. juni 2018 nr. 38 om behandling av personopplysninger).

5.

Prop. 56 LS (2017–2018) Lov om behandling av personopplysninger (personopplysningsloven) og samtykke til deltakelse i en beslutning i EØS-komiteen om innlemmelse av forordningen (EU) nr. 2016/679 (generell personvernforordning) i EØS-avtalen.

6.

Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).

7.

Jf. § 2.

8.

Prop. 56 LS (2017–2018) Lov om behandling av personopplysninger (personopplysningsloven) og samtykke til deltakelse i en beslutning i EØS-komiteen om innlemmelse av forordningen (EU) nr. 2016/679 (generell personvernforordning) i EØS-avtalen, s. 110.

9.

Ibid.

10.

Ibid.

11.

Ibid. s. 112.

12.

Justis- og beredskapsdepartementet (2017) Ny personopplysningslov – gjennomføring av personvernforordningen i norsk rett – høringsnotat. Punkt 13.5.3.

13.

Datatilsynet (2018) Internkontroll og informasjonssikkerhet, veileder.

14.

Lov om elektroniske tillitstjenester (lov 15. juni 2018 nr. 44 om gjennomføring av EUs forordning om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked).

15.

Prop. 71 LS (2017–2018) Lov om gjennomføring av EUs forordning om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked (lov om elektroniske tillitstjenester), og samtykke til EØS-komiteens beslutning nr. 22/2018 om innlemmelse av forordningen i EØS-avtalen, s. 10 og 11.

16.

Ibid., s. 10.

17.

Ibid., s. 27.

18.

Forvaltningsloven (lov av 10. februar 1967 om behandlingsmåten i forvaltningssaker).

19.

Eforvaltningsforskriften er hjemlet i både forvaltningsloven, arkivloven og lov om elektroniske tilleggstjenester.

20.

Sivilbeskyttelsesloven (lov 25. juni 2010 nr. 45 om kommunal beredskapsplikt, sivile beskyttelsestiltak og Sivilforsvaret).

21.

Direktoratet for samfunnssikkerhet og beredskap (2014) Veileder til helhetlig risiko- og sårbarhetsanalyse i kommunen. s. 62

22.

Aksjeloven (lov 13. juni 1997 nr. 44 om aksjeselskaper). Allmennaksjeloven (lov 13. juni 1997 nr. 45 om allmennaksjeselskaper).

23.

Prop. 112 L (2016–2017) Endringer i aksjelovgivningen mv. (modernisering og forenkling). Lovforslaget tar utgangspunkt i utredningen NOU 2016: 22 Aksjelovgivning for økt verdiskaping som aksjelovutvalget overleverte til Nærings- og fiskeridepartementet 21. oktober 2016.

24.

Prop. 112 L (2016–2017) Endringer i aksjelovgivningen mv. (modernisering og forenkling). s. 23.

25.

Ibid. s. 23–24.

26.

Arkivloven (lov 4. desember 1992 nr. 126 om arkiv).

27.

Riksarkivaren kan i tillegg registrere visse privatarkiv som særskilt verneverdige. En slik registrering medfører at private blir underlagt visse retningslinjer som følger av loven.

28.

Vedtatte forskrifter under § 12:

Riksantikvarens forskrift. Forskrift 19. desember 2017 nr. 2286 om utfyllende tekniske og arkivfaglige bestemmelser om behandling av offentlige arkiver.

Forskrift om offentlege arkiv. Forskrift 15. desember 2017 nr. 2105.

Helsearkivforskriften. Forskrift 18. mars 2016 nr. 268 om Norsk helsearkiv og Helsearkivregisteret.

Kjernejournalforskriften. Forskrift 31. mai 2013 nr. 563 om nasjonal kjernejournal.

Forskrift om trossamfunn. Forskrift 19. april 2005 nr. 345 om registrerte og uregistrerte trossamfunn.

Eforvaltningsforskriften. Forskrift 25. juni 2004 nr. 988 om elektronisk kommunikasjon med og i forvaltningen.

Forskrift om personellsikkerhet 29. juni 2001 nr. 722.

Forskrift om tilskot til livssynssamfunn 1. desember 1988 nr. 996.

29.

Vedtatt i statsråd 15.12.2017. Ikrafttredelse fra 1.1.2018. Høringsnotatet gjennomgår både arkivmessige utfordringer og fordeler ved bruk av skytjenester, men omtaler ikke IKT-sikkerhet eksplisitt.

30.

Bokføringsloven (lov 19. november 2004 nr. 73 om bokføring).

31.

Bokføringsforskriften. Forskrift 1. desember 2004 nr. 1558 om bokføring.

32.

Straffeloven (lov 20. mai 2005 nr. 28 om straff).

33.

Ot.prp. nr. 22 (2008–2009) Om lov om endringer i straffeloven 20. mai 2005 nr. 28 (siste delproposisjon – sluttføring av spesiell del og tilpasning av annen lovgivning), s. 403.

34.

Ibid. s. 405.

35.

Direktoratet for samfunnssikkerhet og beredskap (2016) Samfunnets kritiske funksjoner

36.

Næringsberedskapsloven (lov 16. desember 2011 nr. 65 om næringsberedskap). Forurensingsloven (lov 13. mars 1981 nr. 6 om vern mot forurensninger og om avfall).

37.

Ibid. s. 82.

38.

Ekomforskriften. Forskrift 16. februar 2004 nr. 401 om elektronisk kommunikasjonsnett og elektronisk kommunikasjonstjeneste. Klassifiseringsforskrifta. Forskrift 10. september 2012 nr. 866 om klassifisering og sikring av anlegg i elektroniske kommunikasjonsnett. Forskrift om prioritet i mobilnett. Forskrift 21. oktober 2013 nr. 1241.

39.

Direktoratet for samfunnssikkerhet og beredskap (2016) Samfunnets kritiske funksjoner, s. 82.

40.

Forretningsbanker, sparebanker, finansieringsforetak, forsikringsselskaper, private, kommunale og fylkeskommunale pensjonskasser og pensjonsfond, børser og autoriserte markedsplasser, verdipapirforetak, forvaltningsselskaper for verdipapirfond, oppgjørssentraler, verdipapirregistre, inkassoforetak, eiendomsmeglerforetak, betalingsforetak, e-pengeforetak og systemer for betalingstjenester.

41.

Betalingssystemloven (lov 17. desember 1999 nr. 95 om betalingssystemer m.v.). Børsloven (lov 29. juni 2007 nr. 74 om regulerte markeder). Finanstilsynsloven (lov 7. desember 1956 om tilsynet med finansforetak mv. ).

42.

CRR/CRD IV-forskriften. Forskrift 22. august 2014 nr. 1097 om kapitalkrav og nasjonal tilpasning av CRR/CRD IV.

43.

Verdipapirhandelloven (lov 29. juni 2007 nr. 75 om verdipapirhandel).

44.

Finansforetaksloven (lov 10. april 2015 nr. 17 om finansforetak og finanskonsern).

45.

Norsk Helsenett. Hva er Normen? Hentet fra: https://www.nhn.no/hva-er-normen/

46.

Direktoratet for e-helse. Datatilsynets vurdering av Normen. Hentet fra: https://ehelse.no/personvern-og-informasjonssikkerhet/norm-for-informasjonssikkerhet/normen/datatilsynets-vurdering-av-normen

47.

Helseregisterloven (lov 20. juni 2014 nr. 43 om helseregistre og behandling av helseopplysninger).

48.

Helsetilsynsloven (lov 30. mars 1984 nr. 15 om statlig tilsyn med helse- og omsorgstjenesten m.m.). Helseberedskapsloven (lov 23. juni 2000 nr. 56 om helsemessig og sosial beredskap). Pasientjournalloven (lov 20. juni 2014 nr. 42 om behandling av helseopplysninger ved ytelse av helsehjelp).

49.

Forskrift om ledelse og kvalitetsforbedring i helse- og omsorgstjenesten. Forskrift 28. oktober 2016 nr. 1250.

50.

Forskrift om IKT-standarder i helse- og omsorgstjenesten. Forskrift 1. juli 2015 nr. 853.

51.

Forskrift om legemidler fra apotek. Forskrift 27. april 1998 nr. 455 om rekvirering og utlevering av legemidler fra apotek.

52.

Direktoratet for samfunnssikkerhet og beredskap (2016) Samfunnets kritiske funksjoner, s. 86.

53.

Energiloven (lov 29. juni 1990 nr. 50 om produksjon, omforming, overføring, omsetning, fordeling og bruk av energi m.m.).

54.

Norges vassdrags- og energidirektorat (2017) Forslag til endringer i beredskapsforskriften

55.

Norges vassdrags- og energidirektorat (2017) Regulering av IKT-sikkerhet.

56.

Norges vassdrags- og energidirektorat (2018) Oppsummeringsdokument: endringer i beredskapsforskriften – krav til IKT-sikkerhet m.m.

57.

Politiregisterloven (lov 28. mai 2010 nr. 16 om behandling av opplysninger i politiet og påtalemyndigheten). SIS-loven (lov 16. juli 1999 nr. 66 om Schengen informasjonssystem (SIS)). SIS-forskriften. Forskrift 21. desember 2000 nr. 1365 til lov om Schengen informasjonssystem.

58.

Straffegjennomføringsloven (lov 18. mai 2001 nr. 21 om gjennomføring av straff mv.).

59.

Visa Information System. Politiregisterforskriften. Forskrift 20. september 2013 nr. 1097 om behandling av opplysninger i politiet og påtalemyndigheten.

60.

ELSAM-forskriften. Forskrift 28. oktober 2016 nr. 1528 om elektronisk kommunikasjon med domstolene.

61.

Petroleumsloven. Lov 19. juni 2015 nr. 65 om petroleumsvirksomhet.

62.

Rammeforskriften. Forskrift 12. februar 2010 nr. 158 om helse, miljø og sikkerhet i petroleumsvirksomheten og på enkelte landanlegg.

63.

Styringsforskriften. Forskrift 29. april 2010 nr. 611 om styring og opplysningsplikt i petroleumsvirksomheten og på enkelte landanlegg.

64.

Aktivitetsforskriften. Forskrift 29. april 2010 nr. 613 om utføring av aktiviteter i petroleumsvirksomheten.

65.

Luftfartsloven (lov 11. juni 1993 nr. 101 om luftfart).

66.

Jf. forskrift 22. desember 2014 nr. 1902 om felles krav for yting av flysikringstjenester.

67.

Jernbaneloven (lov 11. juni 1991 nr. 100 om anlegg og drift av jernbane, herunder sporvei, tunnelbane og forstadsbane m.m. § 6 a).

68.

Prop. 107 L (2014–2015) Om endringer i jernbaneloven (sikring mot tilsiktede uønskede handlinger), jf. Innst. 311 L (2014–2015) Innstilling fra transport- og kommunikasjonskomiteen om endringer i jernbaneloven (sikring mot tilsiktede uønskede handlinger).

69.

Sikringsforskriften. Forskrift 1. juli 2015 nr. 848 om sikring på jernbane.

70.

Havne- og farvannsloven (lov 19. juni 2015 nr. 65 om havner og farvann).

71.

Havneanleggssikringsforskriften. Forskrift 29. mai 2013 nr. 538 om sikring av havneanlegg gjelder for havneanlegg som betjener passasjerskip og lasteskip med bruttotonnasje 500 eller mer og enkelte flyttbare boreinnretninger som er i internasjonal fart.

72.

Havnesikringsforskriften. Forskrift 29. mai 2013 nr. 539 om sikring av havneanlegg. Forskriften skal styrke sikringen i de områder av havnen som ikke er omfattet av havneanleggssikringsforskriften, og underbygge de sikringstiltakene som er iverksatt i medhold av denne.

73.

Skipssikkerhetsloven (lov 16. februar 2007 nr. 9 om skipssikkerhet).

74.

Forskrift 19. desember 2017 nr. 2240 om utprøving av selvkjørende motorvogn.

75.

Meld. St. 33 (2016–2017) Nasjonal transportplan 2018–2019, kap. 12.3.2.

76.

Ibid.

77.

Drikkevannsforskriften. Forskrift 22. desember 2016 nr. 1868 om vannforsyning og drikkevann, fastsatt med hjemmel i blant annet lov 19. desember 2003 nr. 124 om matproduksjon og mattrygghet mv. (matloven).

78.

Matloven (lov 19. desember 2003 nr. 124 om matproduksjon og mattrygghet mv.).

79.

Trygve Holtebekk, ISO, Store Norske leksikon.

80.

Ibid.

81.

Standard Norge, hentet fra: https://www.standard.no/fagomrader/ikt/it-sikkerhet/

82.

Ibid.

83.

Direktoratet for forvaltning og IKT (2018) Avtale om løpende tjenestekjøp (SSA-L).

84.

Direktoratet for forvaltning og IKT (2015) Bistandsavtalene (SSA-B og SSA-B enkel).

85.

Direktoratet for forvaltning og IKT (2018) Driftsavtalen (SSA_D).

86.

Direktoratet for forvaltning og IKT (2018) Kjøpsavtalen (SSA-K).

87.

Direktoratet for forvaltning og IKT (2018) Oppdragsavtalen (SSA-O).

88.

Direktoratet for forvaltning og IKT (2015) Rammeavtalen (SSA-R).

89.

Direktoratet for forvaltning og IKT (2018) Smidigavtalen (SSA-S).

90.

Direktoratet for forvaltning og IKT (2018) Utviklings- og tilpasningsavtalen (SSA-T).

91.

Direktoratet for forvaltning og IKT (2018) Vedlikeholdsavtalen (SSA-V).

Til forsiden