NIS2 - direktivet

Forslag til europaparlaments- og rådsdirektiv om tiltak for å sikre et høyt felles nivå for sikkerhet i nett- og informasjonssystemer i hele Unionen og om oppheving av direktiv (EU) 2016/1148

Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on measures for a high common level of cybersecurity across the Union, repealing Directive (EU) 2016/1148 COM/2020/823 final

Sakstrinn

  1. Faktanotat
  2. Foreløpig posisjonsnotat
  3. Posisjonsnotat
  4. Gjennomføringsnotat

Opprettet 16.02.2021

Spesialutvalg: Kommunikasjoner

Dato sist behandlet i spesialutvalg:

Hovedansvarlig(e) departement(er): Justis- og beredskapsdepartementet

Vedlegg/protokoll i EØS-avtalen:

Kapittel i EØS-avtalen:

Status

Forslaget ble lagt frem 15. desember 2020. Det er ikke registrert noen øvrig tidsplan foreløpig.

Sammendrag av innhold

6. juli 2016 ble direktivet om tiltak for et høyt felles sikkerhetsnivå i nettverk og informasjonssystemer i hele Unionen (NIS-direktivet) vedtatt. 16. desember 2020 la Kommisjonen fram et forslag til lovgivning som etterfølger og erstatter NIS-direktivet. Forslaget er en del av en tiltakspakke som skal forbedre motstandsdyktigheten til både den digitale og fysiske infrastrukturen i offentlig og privat sektor, vedkommende myndigheter og Unionen som helhet. Gjeldende forslag medfører en utvidelse av bl.a. virkeområdet gjennom underleggelse av virksomheter i flere sektorer.

Målet er å øke motstandsdyktigheten i nettverk og informasjonssystemer til både private og offentlige aktører som opererer i relevante sektorer i EU, redusere fragmenteringen av det indre markedet i sektorer som allerede er omfattet av NIS-direktivet og forbedre den felles bevisstheten og kapasiteten knyttet til motstandsdyktighet. Kommisjonen ønsker å redusere fragmentering og øke harmoniseringen gjennom mer effektivt samarbeid mellom kompetente myndigheter fra hver medlemsstat, gjennom underleggelse av flere sektorer og gjennom sanksjoner som kan brukes til effektiv håndheving.

Forslaget til nytt direktivet er omfattende og berører mange ulike samfunnssektorer. NIS 2-direktivet vil utvide virkeområdet sammenlignet med  det nåværende NIS-direktivet, ved å innlemme flere sektorer som anses som kritisk for både økonomien og samfunnet.

Utvidelsen innebærer at virkeområdet vil omfatte tilbydere av samfunnsviktige tjenester innen 15 definerte sektorer. Det vil skilles mellom mer og mindre samfunnsviktige tjenester (essential og important), og alle vil fremgå av direktivets vedlegg 1 og 2. Foreløpig benyttes «vesentlige» og «viktige» på norsk. De vesentlige tjenestene fremgår av direktivets vedlegg 1. Denne gruppen omfatter utvalgte offentlige eller private tilbydere av samfunnsviktige tjenester som opererer i  sektorene energi, transport, bank, finansmarkedsinfrastrukturer, helse, drikkevann, avløpsvann, digital infrastruktur, offentlig forvaltning og romvirksomhet. Den viktige gruppen omfatter tilbydere som opererer i sektorene som er oppført i vedlegg 2, som er post - og kurertjenester, avfallshåndtering, produksjon og distribusjon av kjemikalier, matproduksjon, prosessering og distribusjon.

En konsekvens av at tilbydere klassifiseres og deles i to ulike kategorier, er at de underlegges forskjellige tilsynsregimer.

I forslaget går man bort fra kravet i gjeldende direktiv om å nærmere identifisere tilbydere av samfunnsviktige tjenester på eget territorium.  I utgangspunktet vil det kun være de større virksomhetene som underlegges etter NIS2 fordi det innføres et størrelsestak som avgrenser virkeområdet mot små og mellomstore virksomheter.  Det oppstilles imidlertid spesifikke unntak fra dette utgangspunktet, ved at virksomheter av særlig sikkerhetsmessig betydning kan underlegges regelverket. En slik sikkerhetsmessig betydning kan foreligge eksempelvis der virksomheten er eneleverandør til et EU land, eller driver en særskilt utsatt virksomhet. Disse skal identifiseres og jevnlig innmeldes til Kommisjonen.

Forslaget styrker sikkerhetskravene som stilles til tilbydere ved å innføre krav om en risikostyringsmetode som skal gi en minimumsliste over grunnleggende sikkerhetselementer som må legges til grunn for sikkerhetsarbeidet. Medlemsstatene er pålegges også å sikre at tilbydere iverksetter hensiktsmessige og proporsjonale tekniske og organisatoriske tiltak for å håndtere risiko i nettverk og informasjonssystemer, som er en videreføring av gjeldende direktiv. Det foreslås imidlertid noen minimumskrav, blant annet krav om at tilbydere håndterer cybersikkerhetsrisiko i forsyningskjeder og hos leverandører, planer for vedlikehold, overvåkning og testing samt bruk av krypto.

Forslaget innfører også mer presise bestemmelser om prosessen for varsling av hendelser, hva det skal varsles om og når.

På europeisk nivå  skal forslaget styrke sikkerhet i forsyningskjeden for viktige informasjons- og kommunikasjonsteknologier. Det legges opp til et tettere  samarbeid med Kommisjonen og ENISA for å utføre koordinerte risikovurderinger av kritiske forsyningskjeder. Forslaget innfører strengere tilsynsmessige tiltak for nasjonale myndigheter, strengere håndhevingskrav og tar sikte på å harmonisere sanksjonsregimer i alle medlemsstater. Direktivet forplikter medlemsstatene til å sikre at myndighetene har anledning til å pålegge bøter, av en nærmere angitt maksimalsats.

Forslaget skal også forbedre NIS- samarbeidsgruppens rolle i utformingen av øvrige strategiske politiske beslutninger om ny teknologi og nye trender. Andre samarbeidsinitiativer videreføres som CSIRT-nettverket, og nye opprettes som European cyber crisis liason organisation network (EU-CyCLONe).Disse foraene skal øke informasjonsdeling og samarbeid mellom myndighetene i medlemsstatene og forbedre også det operativt samarbeidet, inkludert cyberkrisehåndtering.

Forslaget omfatter også et grunnleggende rammeverk om koordinert offentliggjøring av sårbarheter for nylig oppdagede sårbarheter i hele EU. Det skal opprettes et register for sårbarheter som skal forvaltes av ENISA.

Merknader
Rettslige konsekvenser

Pr. 16.02.2021 er enda ikke det gjeldende direktivet om tiltak for et høyt felles sikkerhetsnivå i nettverk og informasjonssystemer i hele Unionen (NIS-direktivet) en del av EØS-avtalen, men det må forventes at dette vil skje innen kort tid. I Norge er det utarbeidet et forslag til en lov som gjennomfører gjeldende direktiv i norsk rett. Forslaget til nytt direktiv får ikke direkte konsekvenser for det norske lovforslaget, men dersom loven vedtas vil den  bli gjenstand for  revisjon når NIS2 direktivet eventuelt blir en del av EØS-avtalen.

Økonomiske og administrative konsekvenser

Basert på Kommisjonens foreløpige vurderinger kan forslaget forventes å gi positive samfunnsmessige gevinster og innsparinger gjennom økt motstandsdyktighet og færre konsekvenser av digitale hendelser og digital kriminalitet. Det må påregnes økning i compliance og håndhevingskostnader, både for myndigheter og virksomheter som omfattes av direktivet. Tydeligere krav til sikkerhetstiltak kan medføre kostander for de virksomhetene som blir omfattet og ikke har tilstrekkelige sikkerhetstiltak fra før. Det må påventes økte økonomiske administrative konsekvenser som følge av et skjerpet tilsynsregime. Kostnader i forbindelse med samarbeid etablert gjennom direktivet og EUs satsning innen cybersikkerhet må påregnes at økes.

Tydeliggjøring og harmonisering av krav og samarbeid om policyutvikling kan medføre større forutsigbarhet for virksomhetene. Videre vil bedre harmonisering opp mot tilgrensende og delvis overlappende EU-regelverk forhåpentligvis medføre innsparinger.

Kommisjonen forventer at de positive følgene av å innføre regelverket i unionen veier opp for kostandene ved å implementere regelverket.

Sakkyndige instansers merknader

Vurdering

Pr. februar 2021 er ikke gjeldende direktiv (Europaparlamentets og Rådets direktiv (EU) 2016/1148 av 6. juli 2016 om tiltak som skal sikre et høyt felles sikkerhetsnivå i nettverks- og informasjonssystemer i EU)  inntatt i EØS-avtalen. I Norge har Justis- og beredskapsdepartementet (JD) forberedt en lov som gjennomfører direktivet og planlagt å innføre tilsvarende regler som direktivet uavhengig av EØS-prosessen. Norge har dermed ikke direkte erfaring med det gjeldende direktivet.  JD har imidlertid, ut fra lovarbeidet, erfart enkelte utfordringer med det gjeldende direktivet. Disse utfordringene samsvarer i stor grad med EUs egen gjennomgang i forkant av det foreliggende forslaget til nytt direktiv.

Virkeområdet etter gjeldende direktiv er snevert og ikke klart angitt i direktivet, og det medfører en krevende utpekingsprosess. I EU-landene har denne prosessen medført et stort sprik i hvordan medlemsstatene har definert virkeområdet nærmere, og medført at enkelte grenseoverskridende virksomheter ikke har blitt identifisert. Det anses som positivt at dette tydeliggjøres i forslaget, da det vil gi mer forutberegnelighet og være prosessbesparende. Uklare regler knyttet til varsling har også medført stor forskjell mellom medlemsstatenes implementering og har skapt en ekstra byrde for virksomhetene, særlig for virksomheter som opererer i flere land. En tydeliggjøring av varslingskravene anses som positivt. Tilsyn etter gjeldende direktiv og håndheving av kravene som oppstilles har også blitt gjennomført svært forskjellig innad i unionen, noe som ifølge evalueringen av direktivet skal ha medført at det er stor forskjell på medlemsstatenes evne til å håndtere og vurdere risiko.

Departementet anser forslaget som et positivt tilskudd for å høyne sikkerhetsnivået og forbedre samarbeidet om IKT-sikkerhet i Europa. Det anses som positivt at EU satser på digital sikkerhet, og det er viktig at Norge deltar på denne arenaen. Det er også positivt at EU søker å harmonisere eget regelverk innen sikkerhet og tilpasser lovgivningen til øvrig relevant regelverk.

IKT-systemenes pålitelighet og sikkerhet er grunnleggende for økonomisk og sosial aktivitet og det indre markeds funksjon. Departementet mener en revisjon av NIS-direktivet med sikte på å styrke motstandsdyktigheten på nettområdet, både på nasjonalt og EU-nivå, men ikke minst for å tydeliggjøre gjeldende direktiv på flere områder, er nødvendig. Departementet bemerker imidlertid at forslagene i direktivet er omfattende og berører mange samfunnssektorer med ulik grad av IKT-sikkerhetsmodenhet.

Når det gjelder de konkrete forslagene, som omfattende utvidelse av sektorer og inndeling i spesielt viktige og viktige enheter, strengere tilsynsordninger, innføring av gebyrer og strengere sikkerhetskrav, må detaljene i disse analyseres nærmere.

Forslaget legger opp til et nærere samarbeid mellom landene, og det er et uttalt formål å sikre harmonisering og lik praktisering i medlemsstatene. I hvilken grad dette påvirker medlemsstatenes implementeringen av regelverket er foreløpig ikke helt klart. Det er blant annet foreslått det som departementet foreløpig registrerer som en tydelig innskjerping av krav om tilsyn. Departementet registrerer at det blant annet at det er forslått å gi administrative bøter oppad begrenset til 10 000 000 EURO, eller 2% av global omsetning der det konstateres brudd på krav om å gjennomføre risikovurderinger og brudd på varslingskravene.

Departementet anser det også som viktig at medlemslandenes ansvar for nasjonal sikkerhet ivaretas og at direktivet ikke hindrer landene i å treffe de tiltak de anser som nødvendige for dette formålet. Departementet anser det videre som viktig at det er mulig å balansere kostnader ved sikkerhetstiltak opp mot nytteverdien av disse, og at det på samme måte som ved gjeldende direktiv står fritt til å gjennomføre funksjonelle krav.

Departementet anser det som viktig at Norge gis adgang til å delta i samarbeidet som videreføres fra gjeldende direktiv, blant annet CSIRT-nettverket, NIS-samarbeidsgruppen og EU-CyCLONe, men også andre nyetablerte samarbeidsfora som følge av dette forslaget og ny strategi om cybersikkerhet.

I følge forslaget skal tiltakene, for EU-medlemmer, implementeres i nasjonal lovgivning innen 18 måneder etter vedtak om direktivet.

Departementets foreløpige vurdering er at direktivet er å anse som EØS-relevant.

Andre opplysninger

Som rettslig grunnlag viser kommisjonen til artikkel 114 i traktaten om Den europeiske unions virkemåte (TEUV).

Nøkkelinformasjon

Institusjon: Kommisjonen
Type rettsakt: Direktiv
KOM-nr.: KOM(2020)823
Basis rettsaktnr.:

Norsk regelverk

Høringsstart:
Høringsfrist:
Frist for gjennomføring:

Lenker