Utvalgte hurtiglenker

    Proposisjoner til Stortinget

    Prop. 109 LS (2022–2023)

    Lov om digital sikkerhet (digitalsikkerhetsloven) og samtykke til godkjenning av EØS-komiteens beslutninger nr. 21/2023 og 22/2023 om innlemmelse i EØS-avtalen av direktiv (EU) 2016/1148 og forordningene (EU) 2018/151 og (EU) 2019/881

    Til innholdsfortegnelse
    Neste kapittel
    Forrige kapittel

    4 Lovens geografiske virkeområde

    4.1 Gjeldende rett

    Som beskrevet over er det i norsk lovgivning i dag ikke ett samlet regelverk som innholdsmessig tilsvarer NIS-direktivet. Eksisterende tverrsektorielt og sektorspesifikt regelverk om digital sikkerhet er for øvrig heller ikke samlet sett dekkende for å oppfylle NIS-direktivet.

    Sikkerhetsloven gjelder for virksomheter på Svalbard, Jan Mayen og i bilandene i den utstrekning Kongen bestemmer, jf. sikkerhetsloven § 1-2 tredje ledd. I sikkerhetsloven § 1-2 fjerde ledd fremgår det at Kongen i statsråd kan gi forskrift om lovens virkeområde. For øvrig er det ikke egne bestemmelser om lovens geografiske virkeområde.

    Det geografiske virkeområdet til personopplysningsloven følger av § 4, hvor det i første ledd heter at «[l]oven og personvernforordningen gjelder for behandling av personopplysninger som utføres i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig eller en databehandler i Norge, uavhengig av om behandlingen finner sted i EØS eller ikke». Etter § 4 fjerde ledd kan Kongen i forskrift gi nærmere bestemmelser om lovens anvendelse på Svalbard og Jan Mayen.

    4.2 Direktivet

    4.2.1 Tilbydere av samfunnsviktige tjenester

    Direktivet gjelder i EØS-stater og for virksomheter som er etablert på statenes territorium. For øvrig er det ikke særlige bestemmelser om geografisk virkeområde for tilbydere av samfunnsviktige tjenester.

    4.2.2 Tilbydere av digitale tjenester

    For tilbydere av digitale tjenester gir direktivet bestemmelser om det geografiske virkeområdet. Det følger av direktivet artikkel 18 nr. 1 og 2 at en tilbyder av digitale tjenester anses å være underlagt jurisdiksjonen i den EØS-staten hvor den har sitt hovedforetak. Videre anses virksomheten å ha sitt hovedforetak der den har sitt hovedkontor. Tilbydere som ikke er etablert i EØS, men som tilbyr digitale tjenester i EØS, skal utpeke en representant. Representanten skal være etablert i en av EØS-statene hvor tjenestene tilbys. Tilbyderen av digitale tjenester skal anses som underlagt jurisdiksjonen til staten hvor representanten er etablert.

    4.3 Forslaget i høringsnotatet

    Departementet foreslo i høringen at Kongen i forskrift kan bestemme at loven helt eller delvis skal gjelde for Svalbard og Jan Mayen.

    4.4 Høringsinstansenes syn

    Ingen høringsinstanser hadde innspill til lovens geografiske virkeområde.

    4.5 Departementets vurderinger

    Som utgangspunkt vil direktivets geografiske virkeområde tilsvare EØS-avtalens virkeområde. Det vil si at direktivet vil gjelde på norsk territorium, jf. EØS-avtalen artikkel 126. Ut i fra en tradisjonell folkerettslig tilnærming betyr dette at EØS-avtalen gjelder det geografiske området hvor det utøves suverenitet, det vil si på landjorden, territorialfarvannet og luftrommet. Kontinentalsokkelen, den økonomiske sonen og den tilstøtende sonen omfattes ikke.

    Svalbard, Jan Mayen og bilandene er underlagt norsk suverenitet, men står likevel i en særstilling da de er unntatt fra virkeområdet til EØS-avtalen. Departementet mener at også Svalbard, Jan Mayen og bilandene bør omfattes av en nasjonal lov om digital sikkerhet. Departementet mener at det bør fastsettes i forskrift om og eventuelt i hvilken utstrekning og med hvilke stedlige tilpasninger loven også skal gjelde for Svalbard, Jan Mayen og bilandene.

    For tilbydere av digitale tjenester som ikke er etablert i EØS, men som tilbyr tjenester i EØS, følger det av direktivet artikkel 18 nr. 2 at tilbyderen må oppnevne en representant. Representanten må være etablert i et av landene der tjenesten tilbys.

    Departementet foreslår en egen bestemmelse i § 12 med krav om at tilbydere av digitale tjenester som ikke har sitt hovedkontor i Norge eller en annen EØS-stat, og som tilbyr digitale tjenester i Norge, skal utpeke en representant i Norge, med mindre tilbyderen har utpekt en representant i en annen EØS-stat hvor tjenestene tilbys. Det kan synes lite hensiktsmessig å oppstille en plikt til å utpeke en representant andre steder, ettersom loven her i så fall ikke skal gjelde. Plikten til å utpeke kommer først på spissen dersom man ikke har gjort det i en EØS-stat. Derfor foreslår departementet en plikt til å utpeke i Norge, med mindre man utpeker en representant i en annen EØS-stat.

    På denne bakgrunn foreslår departementet en egen bestemmelse i § 3 om geografisk virkeområde og en bestemmelse i § 12 om plikt til å utpeke representant i Norge.

    Det foreslås at § 3 første ledd bokstav a angir at loven gjelder for tilbydere av samfunnsviktige tjenester som er etablert i Norge og i bokstav b at den gjelder for tilbydere av digitale tjenester med hovedkontor i Norge eller som har eller skal ha en representant i Norge etter § 12. I andre ledd gis det hjemmel for at Kongen kan gi forskrift om lovens anvendelse for Svalbard, Jan Mayen og bilandene.

    Direktivets artikkel 18 nr. 1 og 2 om jurisdiksjon foreslås med dette gjennomført i lovforslaget §§ 3 og 12.

    Neste kapittel
    Forrige kapittel
    Neste kapittel
    Forrige kapittel
    Til forsiden
    Til toppen