Komiteens merknader
Komiteen, medlemmene fra
Arbeiderpartiet, Odd Harald Hovland, Hadia Tajik og Maria Aasen-Svensrud,
fra Høyre, Ingunn Foss og Sveinung Stensland, fra Senterpartiet,
Ivar B. Prestbakmo og Else Marie Rødby, fra Fremskrittspartiet, lederen
Per-Willy Amundsen og Tor André Johnsen, fra Sosialistisk Venstreparti, Andreas
Sjalg Unneland, og fra Venstre, Ingvild Wetrhus Thorsvik,
viser til at Justis- og beredskapsdepartementet i proposisjonen
foreslår en ny lov om digital sikkerhet. Komiteen viser
til at loven bygger på NIS-direktivet, hvis formål er å forbedre
det indre markedets funksjon gjennom å stille sikkerhetskrav til nettverks-
og informasjonssystemer som er nødvendige for å opprettholde leveransen
av samfunnsviktige tjenester.
Komiteen viser til
at den omfattende digitaliseringen som preger samfunnsutviklingen,
er et viktig premiss for effektivisering av samfunnet, verdiskaping og
økonomisk vekst. Digitale systemer er sentrale for alle samfunnsfunksjoner.
Digital sikkerhet er derfor helt avgjørende for å ivareta velferdssamfunnet,
viktige samfunnsfunksjoner og nasjonale interesser. Den sikkerhetspolitiske
situasjonen i verden er i endring, noe som påvirker det nasjonale
trusselbildet og skaper sikkerhetsmessige utfordringer. Komplekse
trusler og verdikjeder fordrer helhetlige sikkerhetstiltak og myndighetenes
kontroll av disse.
Komiteen viser videre
til at loven vil være et utgangspunkt for videre kravstilling og
regulering innen digital sikkerhet. NIS-direktivet av 6. juli 2016
ble først besluttet tatt inn i EØS-avtalen 3. februar 2023. NIS2-direktivet
(EU) 2022/2555 ble vedtatt i EU 14. desember 2022. Innen 24. oktober
2024 skal medlemsstatene ha gjennomført direktivet i nasjonal rett.
Fra dette tidspunktet oppheves gjeldende NIS-direktiv. Dersom NIS2-direktivet
blir en del av EØS-avtalen, vil dette medføre behov for lovendringer
og endringer i tilhørende forskrifter. Det vil også bli behov for
å kartlegge relevant sektorspesifikt regelverk og vurdere eventuelle
behov for endringer eller tilpasninger som følge av NIS2-direktivet.
Komiteen viser til
at bakgrunnen for NIS2-direktivet er erkjennelsen av at selv om
NIS-direktivet har vært en viktig start på reguleringen av sikkerhet
i EU, har implementeringen avdekket flere mangler som forhindrer
direktivet fra effektivt å adressere aktuelle og fremtidige utfordringer
innen digital sikkerhet. Det har blant annet vært en fragmentert
tilnærming i de ulike EU-landene til kravene i direktivet, noe som
har medført økte kostnader for virksomheter som tilbyr tjenester
på tvers av landegrenser. Det har også vært ulik praksis i utpekingen
av virksomheter som er omfattet av NIS-direktivet.
Komiteen vil peke
på at i NIS2-direktivet ønsker kommisjonen å redusere fragmenteringen
og øke harmoniseringen gjennom mer effektivt samarbeid mellom kompetente
myndigheter fra hver medlemsstat, gjennom underleggelse av flere
sektorer og gjennom sanksjoner som kan brukes til effektiv håndheving.
Komiteens flertall,
medlemmene fra Arbeiderpartiet, Høyre, Senterpartiet, Fremskrittspartiet
og Venstre, viser til at det råder liten tvil om at det er
et betydelig behov for økt fokus på sikkerhet og beredskap, også
ved bruk av IT og IT-basert samfunnskritisk infrastruktur. Flertallet viser til at den skjerpede
sikkerhetspolitiske situasjonen, spesielt med henblikk på Russland
og Kina, fortsatt går mot en forverring.
Komiteens medlemmer
fra Høyre, Fremskrittspartiet og Venstre viser til at det
i NSMs rapport om digital sikkerhet av i år, «Nasjonalt digitalt
risikobilde 2023», pekes på at beredskapen for å håndtere omfattende
cyberangrep mot Norge har store mangler. Evnen til å oppdage digitale
angrep i Norge er for dårlig, og det mangler helhetlig styring og
koordinering av IT-sikkerhet på tvers av statlige etater.
Disse medlemmer merker
seg at det i rapporten pekes på at ettersom stadig flere industrielle
anlegg kobles fysisk til internett, øker faren for at cyberangrep også
kan lamme fysisk infrastruktur. NSM mener at det trengs bedre koordinering,
deteksjon og beredskap for å tette igjen disse hullene før de utnyttes
av fiendtlige aktører. Samtidig må kritisk infrastruktur sikres
bedre mot digitale trusler.
Disse medlemmer viser
til at det i rapporten advares av NSM mot målrettede cyberangrep
mot energi- og petroleumssektoren med potensial til å lamme kritisk
infrastruktur i Norge og Europa. I kjølvannet av at Norge har blitt
en svært viktig gassleverandør til kontinentet, trekkes cybertrusler
mot gassforsyning spesielt frem. I rapporten påpekes det at vellykkede
hackerangrep kan få store konsekvenser som strømbrudd og stans i
gassleveransene til Europa.
Disse medlemmer viser
også til at petroleumsbransjen nylig har blitt underlagt sikkerhetsloven ved
at «kontroll med utvinning av petroleum på norsk sokkel» og «transport
av gass i rør til Europa» har blitt definert som grunnleggende nasjonale
funksjoner (GNF) som skal ivaretas. I petroleumsbransjen er imidlertid
hovedprinsippet i sikkerhetsreguleringen at hvis man ikke har kontroll
over situasjonen, skal man stenge ned produksjon og evakuere personell
for å sikre liv og helse, verdier og miljø. Myndighetsreguleringen
er derfor i mindre grad fokusert på å ivareta leveransesikkerhet
i situasjoner som er utenfor det normale.
Disse medlemmer viser
i den forbindelse til høringsinnspillet fra Det norske Veritas (DNV),
hvor det fremholdes at sikkerhetsloven og digitalsikkerhetsloven
«på mange måter [har] et ‘motsatt’ fokus
som den gjeldende sektorbaserte sikkerhetsreguleringen».
DNV anbefaler derfor at myndighetene ved implementeringen
av digitalsikkerhetsloven vier særskilt oppmerksomhet til lovens
forhold til den sektorbaserte sikkerhetsreguleringen i petroleumsnæringen,
og at dette bør skje i nær dialog med både sektortilsyn og relevante
næringsaktører, en anbefaling disse medlemmer støtter.
Disse medlemmer viser
videre til at NSM i sin rapport peker på at man i løpet av det siste
året har sett bølger av tjenestenektangrep fra pro-russiske aktører, som
har truffet virksomheter i transport-, finans- og helsesektoren,
sektorer som NSM tidligere ikke har sett på som mål for denne typen
hendelser. Dataangrep rammer i økende grad flere mål samtidig, med
en økende grad av profesjonalisering i alle ledd i angrepskjeden. Innbruddsmetoder
endrer seg raskt på taktisk nivå, og flere nulldagssårbarheter kommer
til syne.
Komiteens medlemmer
fra Arbeiderpartiet og Senterpartiet vil understreke at regjeringen
har kommet med en rekke kraftfulle satsinger for å møte den endrede
sikkerhetspolitiske situasjonen. Disse medlemmer viser
til at regjeringen våren 2022 foreslo å styrke den sivile beredskapen
med en halv milliard.
Disse medlemmer bemerker
at regjeringen har fremmet en stortingsmelding om nasjonal kontroll
og digital motstandskraft, med flere sentrale tiltak for å styrke
den digitale beredskapen, og at det nå fremmes et lovforslag om
digital sikkerhet. Dette er den første loven om digital sikkerhet
i Norge.
Disse medlemmer viser
videre til at det etableres en nasjonal portal for digital sikkerhet
for bedre å tilgjengeliggjøre nasjonale råd og veiledninger, samt
et støtteverktøy for norske virksomheter for å forenkle arbeidet
med å følge opp nasjonale råd.
Disse medlemmer merker
seg også at arbeidet med å kartlegge verdier både innenfor og utenfor
sikkerhetsloven er intensivert for å sikre bedre oversikt over den
nasjonale sikkerhetstilstanden, i tillegg at det også blir arbeidet
med en ny ekomlov med skjerpede sikkerhetskrav, bl.a. sikkerhetskrav
til datasentre og en registreringsplikt for datasenteraktører. Disse medlemmer viser også til at det
jobbes med å etablere en nasjonal skytjeneste.
Saklig virkeområde
Komiteen viser til
at digitalsikkerhetsloven retter seg mot virksomheter som leverer
tjenester som er viktige for et velfungerende samfunn og næringsliv.
Virksomhetene er delt i to hovedkategorier: tilbydere av samfunnsviktige
tjenester og tilbydere av digitale tjenester.
Komiteen merker
seg at en virksomhet skal anses som tilbyder av en «digital tjeneste»
dersom den tilbyr nettbaserte markedsplasser, nettbaserte søkemotorer og
skytjenester. På dette området er hensikten å få ensartede regler
i hele EØS, hva gjelder både virkeområde og sikkerhets- og varslingsplikter.
De aktuelle virksomhetene må dermed vurdere om de er omfattet, ut
ifra lovforslagets bestemmelser.
Komiteen viser også
til at en virksomhet skal anses som tilbyder av en «samfunnsviktig
tjeneste» dersom tre kumulative vilkår er oppfylt. Det første kriteriet er
at virksomheten må tilby en tjeneste som er viktig for opprettholdelsen
av kritiske samfunnsmessige eller økonomiske aktiviteter innen samfunnssektorene energi,
transport, helse, bank, finansmarkedsinfrastruktur, drikkevannsforsyning
og -distribusjon og digital infrastruktur. Det er kun den delen
av virksomheten som leverer den aktuelle tjenesten, som omfattes.
Eksempelvis vil trafikkstyringen på en stor flyplass omfattes, mens
butikkområdet ikke omfattes. Det andre kriteriet er at tjenesteleveransen
må være avhengig av nettverks- og informasjonssystemer. Det tredje
kriteriet er at en hendelse i virksomhetens nettverks- og informasjonssystemer
ville hatt «betydelig forstyrrende virkning» på leveransen av den
samfunnsviktige tjenesten. Vurderingstemaet knytter seg ikke til
virksomhetens tjenesteleveranse isolert sett, men til tjenesteleveranse
i en samfunnssammenheng. Det er altså spørsmål om i hvilken grad
det går ut over samfunnets tilgang på en viss tjeneste at den aktuelle
virksomheten ikke leverer sitt bidrag til totalen som normalt.
Komiteen viser til
at ved identifisering av virksomheter underlagt loven vil det som
utgangspunkt være to mulige tilnærminger, enten utpeking ved enkeltvedtak
(ovenfra og ned) eller selvidentifisering basert på nærmere fastsatte
kriterier og terskelverdier (nedenfra og opp). Ovenfra-og-ned-tilnærmingen
er for eksempel valgt for utpeking av grunnleggende nasjonale funksjoner
og virksomheter med avgjørende betydning for disse etter sikkerhetsloven.
Fordelen med en slik tilnærming er at den gir sektormyndighetene
god oversikt over verdikjedene og avhengighetene i sektoren. Ulempen
er at en slik løsning blir svært tid- og ressurskrevende, da loven
vil ha et vesentlig bredere nedslagsfelt enn sikkerhetsloven. På
den andre siden vil en nedenfra-og-opp-tilnærming gi sektormyndighetene
mindre kontroll.
Komiteen merker
seg at en nedenfra-og-opp-tilnærming, der virksomhetene selv vil
identifisere seg, etter departementets syn fremstår som den mest
hensiktsmessige. For å sikre at virksomheter som ikke tilfredsstiller
terskelverdiene, men som kan være i en særstilling og slik likevel
har en rolle som gjør at de bør omfattes av loven, mener departementet
at det vil være hensiktsmessig at sektormyndighet gis anledning
til å utpeke enkeltvirksomheter loven skal gjelde for. Dette vil
gi sektormyndighetene nødvendig fleksibilitet og ligner på vedtakskompetansen
som sikkerhetsmyndigheten har etter sikkerhetsloven.
Komiteen viser til
at det etter NIS-direktivet i stor grad er opp til medlemsstatene
å fastsette hvilke aktører som oppfyller kriteriene for å bli klassifisert
som tilbyder av samfunnsviktige tjenester. Fordi virkeområdet etter
gjeldende direktiv er snevert og ikke klart angitt i direktivet,
medfører dette en krevende utpekingsprosess. I EU-landene har denne
prosessen medført et stort sprik i hvordan medlemsstatene har definert
virkeområdet nærmere, og medført at enkelte grenseoverskridende
virksomheter ikke har blitt identifisert. Komiteen viser
også til at Justis- og beredskapsdepartementet i et posisjonsnotat
av 23. august 2023 skriver at
«det anses som positivt at dette tydeliggjøres
i det nye direktivet, da et vil gi mer forutberegnelighet og være prosessbesparende».
Komiteen viser videre
til at det i NIS2-direktivet er fastsatt mer enhetlige kriterier
for hvilke aktører som skal omfattes av direktivet. NIS2-direktivet
innlemmer flere sektorer som anses som kritiske for både økonomien
og samfunnet. De nye sektorene er forvaltning av IKT-tjenester,
post- og kurertjenester, avfallshåndtering, fremstilling, produksjon
og distribusjon av kjemikalier og produksjon av visse typer utstyr
og forskning.
Alle virksomheter av en viss størrelse og en
viss type skal være omfattet. Også mindre virksomheter som anses
for å ha en nøkkelrolle for samfunnet, økonomien eller en viss sektor,
omfattes av direktivet. Dette kan være tilfelle for mindre virksomheter
som er eneleverandør til et EU-land, eller som driver en særskilt
utsatt virksomhet. Slike virksomheter skal identifiseres og jevnlig
innmeldes til Kommisjonen (og eventuelt, for Norges del, EFTAs overvåkingsorgan).
NIS2-direktivet skiller mellom vesentlige og viktige samfunnsviktige tjenester.
Komiteen viser til
at Justis- og beredskapsdepartementet i et posisjonsnotat av 23. august
2023 skriver at departementet
«anser NIS2 som et positivt tilskudd
for å høyne sikkerhetsnivået og forbedre samarbeidet om IKT-sikkerhet
i Europa. Det anses som positivt at EU satser på digital sikkerhet,
og det er viktig at Norge deltar på denne arenaen».
Krav om sikkerhet
Komiteen viser til
at en rekke virksomheter per i dag er underlagt sikkerhetskrav av
ulik art, men at det i mange tilfeller er uklart om disse kan tolkes
slik at det stilles krav om digital sikkerhet. Departementet mener derfor
at det er behov for bestemmelser som stiller krav til digital sikkerhet
i virksomhetene som er omfattet av lovforslaget.
Komiteen merker
seg at tilbydere av samfunnsviktige tjenester skal treffe tekniske
og organisatoriske tiltak som er hensiktsmessige og står i et rimelig forhold
til risikoen som knytter seg til nettverkene og informasjonssystemene.
Det er departementets vurdering at hvis tilbydere følger «NSMs grunnprinsipper
for IKT-sikkerhet», vil de ivareta kravene som fremgår av loven.
Hva tilbydere av digitale tjenester angår, viser komiteen til at det går tydelig frem
av fortalen til NIS-direktivet at det skal stilles mindre strenge
sikkerhetskrav til tilbydere av digitale tjenester, da de anses
noe mindre viktige enn de samfunnsviktige tjenestene. Ut over den generelle
føringen i direktivet om at det skal stilles noe mindre strenge
krav til tilbydere av digitale tjenester, gis det ikke særlige føringer
på hva dette betyr i praksis. På grunn av digitale tjenesters grensekryssende
natur bør de være underlagt et regelverk som er harmonisert i hele
EØS. Dette er ivaretatt gjennom gjennomføringsordningen, som etterlater
lite rom for nasjonale tilpasninger. I tråd med direktivet er momenter
som skal hensyntas, konkretisert i lovforslaget § 10 andre ledd
bokstav a til e. Med unntak av dette er §§ 7 og 10 likelydende.
Komiteen viser til
at kravene om sikkerhet reguleres nærmere i forskrift. Samtidig
må nærhetsprinsippet og sektoransvaret tas i betraktning. Hvilke
tiltak som bør iverksettes, kan variere avhengig av hvilken sektor
det er tale om, og den enkelte tilbyders egenart. Kravene som stilles
etter loven og direktivet, utgjør minimumskrav til digital sikkerhet,
og de er ikke til hinder for at tilbyderne iverksetter strengere
sikkerhetstiltak enn de som følger av direktivet og loven.
Komiteen merker
seg at NIS2-direktivet styrker sikkerhetskravene som stilles til
tilbydere, sammenlignet med NIS-direktivet. I NIS2-direktivet oppstilles
det i tillegg en risikostyringsmetode med en minimumsliste over
grunnleggende sikkerhetselementer som må legges til grunn for sikkerhetsarbeidet,
blant annet krav om at tilbydere håndterer cybersikkerhetsrisiko
i forsyningskjeder og hos leverandører, planer for vedlikehold,
overvåkning og testing samt bruk av krypto.
Krav om varsling
Komiteen viser til
at det i loven etableres likelydende varslingskrav for de to kategoriene
av tilbydere, selv om det legges opp til en nyanseforskjell i varslingskravene
i NIS-direktivet. Varsling skal skje ved hendelser som «virker betydelig
inn på tjenesteleveransen», og varsling skal skje «uten unødig opphold».
Dersom det er behov for å fange opp nyanseforskjellen direktivet
legger opp til, kan dette gjøres i forskrift. Departementet legger
videre opp til at tidspunktet for varsling presiseres ytterligere
i forskrift, og at fristen for å varsle vil kunne bero på blant
annet hvilken sektor tilbyderen tilhører.
Komiteen merker
seg at det i NIS2-direktivet innføres mer presise bestemmelser om
prosessen for varsling av hendelser, hva det skal varsles om, og
når. Etter artikkel 23 nr. 1 skal det varsles om hendelser som har en
betydelig innvirkning på tjenesteleveransen, i nr. 3 står det beskrevet
hva som utgjør en slik hendelse, og i nr. 4 er det angitt detaljerte
bestemmelser om tidspunktene for varsling.
Tilsyn
Komiteen viser til
at NIS-direktivet artikkel 8 og 9 bestemmer at statene skal utpeke
eller etablere et nasjonalt kontaktpunkt, én eller flere kompetente
myndigheter og ett eller flere hendelseshåndteringsmiljøer. Særlig
fordi mange virksomheter per i dag ikke er underlagt tilsyn med
digital sikkerhet, foreslår departementet bestemmelser om tilsyn
og sanksjoner som er ment å dels tilsvare direktivets krav, med
mulighet for å gi nærmere bestemmelser om tilsyn i forskrift.
Komiteen merker
seg at departementet ser det som hensiktsmessig å gi hjemmel i lov
til å gi forskrift om nasjonalt kontaktpunkt, samtidig som departementet
utpeker Nasjonal sikkerhetsmyndighet (NSM) som en naturlig kandidat
til rollen.
Komiteen viser videre
til at departementet ser for seg en tilsynsmodell der myndigheter
med sektoransvar fører tilsyn etter loven i den enkelte sektor.
En forutsetning for en slik modell er at sektormyndighetene har
tilstrekkelig kompetanse innenfor digital sikkerhet og gjennomføring
av tilsyn. Der sektormyndighetene ikke allerede besitter nødvendig
kompetanse innen digital sikkerhet, forutsettes det at loven vil
kunne fungere som en pådriver for opparbeidelse av kompetanse på
feltet.
Komiteen merker
seg at det i tråd med NIS-direktivet legges til rette for forskjellige
tilsynsregimer for henholdsvis tilbydere av samfunnsviktige tjenester
og tilbydere av digitale tjenester. Departementet ser det som mest
hensiktsmessig at dette gjøres i forskrift. Der kan det eksempelvis
reguleres at det bare føres tilsyn med en tilbyder av digitale tjenester
dersom det foreligger informasjon om at tilbyderen ikke overholder
kravene i direktivet, og at den ikke kan bli gjenstand for uanmeldt
tilsyn.
Komiteen merker
seg at NIS2-direktivets skille mellom vesentlige og viktige samfunnsviktige
tjenester innebærer at de underlegges forskjellige tilsynsregimer. Tilbydere
av samfunnsviktige tjenester skal underlegges et mindre strengt
tilsynsregime enn tilbydere av vesentlige samfunnsviktige tjenester.
Direktivet innfører mer detaljerte og strengere tiltak for nasjonale
tilsynsmyndigheter og tar sikte på å harmonisere sanksjonsregimer
i medlemslandene.
Pålegg, tvangsmulkt
og overtredelsesgebyr
Komiteen viser til
at det i mange sektorer er etablert sektorregelverk som har sanksjonsbestemmelser, samtidig
som det for mange sektorer er uklart om sanksjonsbestemmelsene omfatter
digital sikkerhet. I NIS-direktivet stilles det krav om at EØS-statene
fastsetter regler om sanksjoner ved brudd på forpliktelsene etter direktivet.
Sanksjonene skal være virkningsfulle, stå i et rimelig forhold til
overtredelsen og virke avskrekkende. Det skilles ikke mellom tilbydere
av samfunnsviktige og digitale tjenester i direktivets sanksjonsbestemmelse.
Komiteen viser til
at det i loven foreslås å gi tilsynsmyndigheten kompetanse til å
pålegge den som overtrer lovens bestemmelser, å bringe de ulovlige
forholdene til opphør, og at pålegg kan gis i tilknytning til brudd
på loven og forskrifter gitt i medhold av loven. Påleggskompetansen
er ikke avgrenset til grove eller gjentatte brudd på loven og kan
gis uavhengig av subjektiv skyld.
Komiteen viser videre
til at det i loven foreslås å gi tilsynsmyndigheten hjemmel til
å ilegge tvangsmulkt. Tvangsmulkt kan ilegges uavhengig av subjektiv
skyld og uavhengig av omfanget av overtredelsen. Tvangsmulktens
størrelse skal fastsettes under hensyn til hvor viktig det er at
pålegget blir gjennomført, og hvilke kostnader det antas å medføre.
Tvangsmulkt skal fungere som et pressmiddel, og utgangspunktet er
at mulkten skal være så stor at den er effektiv uten å være urimelig.
Komiteen peker på
at departementet videre foreslår en bestemmelse om overtredelsesgebyr
som gjelder alle tilbydere som omfattes av loven. Det skal kunne
reageres med overtredelsesgebyr ved brudd på plikten både til å
sikre og til å varsle og der det er gitt uriktige eller ufullstendige
opplysninger til tilsynsmyndigheten.
Komiteen merker
seg at NIS2-direktivet i mye mer detalj regulerer hvordan overtredelser
av direktivet skal sanksjoneres. Blant annet pålegges medlemsstatene
å sørge for at tilsynsmyndigheten har mulighet til å ilegge administrativ
sanksjon ved overtredelse av direktivet. I direktivet gis det nærmere
bestemmelser om administrative sanksjoner, og det oppstilles størrelsestak ved
overtredelsesgebyr.
Samarbeidsmekanismer
på EU-nivå
Avslutningvis merker komiteen seg
at NIS2-direktivet skal styrke sikkerheten i forsyningskjeden for viktige
informasjons- og kommunikasjonsteknologier på europeisk nivå. Det
legges opp til et tettere samarbeid mellom Kommisjonen og ENISA
om å utføre koordinerte risikovurderinger av kritiske forsyningskjeder. Direktivet
forplikter medlemsstatene til å sikre at myndighetene har anledning
til å pålegge bøter av en nærmere angitt maksimalsats.
Komiteen merker
seg også at NIS2-direktivet forbedrer NIS-samarbeidsgruppens rolle
i utformingen av øvrige strategiske politiske beslutninger om ny
teknologi og nye trender. CSIRT-nettverket videreføres, men det opprettes
også et nytt nettverk: European cyber crisis liaison organisation
network (EU-CyCLONe). Sammen skal disse foraene øke informasjonsdeling
og samarbeid mellom myndighetene i medlemsstatene og forbedre det
operative samarbeidet, inkludert cyberkrisehåndtering. NIS2-direktivet
etablerer også et grunnleggende rammeverk for koordinert offentliggjøring
av sårbarheter for nylig oppdagede sårbarheter i hele EU. Det skal opprettes
et register for sårbarheter, som skal forvaltes av ENISA.
Komiteen registrerer
at departementet i posisjonsnotatet av 23. august 2023 skriver at
det
«anser det som viktig at Norge gis adgang
til å delta i samarbeidet som videreføres fra gjeldende direktiv, blant
annet CSIRT-nettverket, NIS-samarbeidsgruppen og EU-CyCLONe, men
også andre nyetablerte samarbeidsfora som følger av dette forslaget
og ny strategi om cybersikkerhet».
Komiteens medlemmer
fra Høyre, Fremskrittspartiet og Venstre viser til at et av hovedformålene
med NIS2-direktivet er å rette opp i flere mangler i NIS-direktivet
som forhindrer det fra å effektivt adressere aktuelle og fremtidige
utfordringer innen digital sikkerhet. Den fragmenterte tilnærmingen
i de ulike landene til kravene i direktivet har eksempelvis medført
økte kostnader for virksomheter som tilbyr tjenester på tvers av
landegrenser. Med NIS2-direktivet ønsker kommisjonen å redusere
fragmentering og øke harmonisering, blant annet gjennom underleggelse
av flere sektorer og mer effektivt samarbeid mellom kompetente myndigheter
fra hver medlemsstat.
Disse medlemmer merker
seg i den forbindelse at DNV i sitt høringssvar peker på at mange
norske virksomheter opererer i EU og derfor allerede nå må forberede
seg på krav for å etterleve NIS2-direktivet og CER-direktivet, og
at disse direktivene dekker et bredere spekter av trusler enn digitale
angrep. For norske selskaper som opererer internasjonalt, vil det
derfor være viktig at digitalsikkerhetsloven
«så langt som mulig ‘harmoniseres’ og
tilrettelegger for senere tilpasninger av forventede krav etter
både NIS2 og CER».
Disse medlemmer viser
til at departementet er positive til NIS2-direktivet, og at deres
«foreløpige vurdering er at direktivet er EØS-relevant og akseptabelt
for Norges del». Disse medlemmer viser
videre til at regjeringen kan vedta nasjonalt regelverk i tråd med
EU-regelverk selv om det foreløpig ikke er fattet EØS-komitévedtak. Disse medlemmer spør seg om NIS-direktivet
og NIS2-direktivet ikke er et slikt tilfelle, gitt at NIS2-direktivet
ble vedtatt allerede før NIS-direktivet ble tatt inn i EØS-avtalen,
og at regjeringen er positiv til endringene som ligger i NIS2-direktivet. Disse medlemmer mener det er hensiktsmessig
å vurdere hvilke tilpasninger som kan gjøres allerede nå for å tilfredsstille
kravene i NIS2-direktivet, uavhengig av prosessen med å ta NIS2-direktivet
inn i EØS-avtalen.
På denne bakgrunn fremmer komiteens medlemmer fra Høyre og Venstre følgende
forslag:
«Stortinget ber regjeringen vurdere
hvilke tilpasninger som må gjøres i lov om digital sikkerhet for
å tilfredsstille kravene i NIS2-direktivet, og sende forslag til endringer
på høring uavhengig av prosessen med å ta NIS2-direktivet inn i
EØS-avtalen.»
Når det gjelder forslaget fra Høyre
og Venstre, viser komiteens medlemmer fra
Arbeiderpartiet og Senterpartiet til at regjeringen er i gang
med å utrede gjennomføringen av NIS2. Dette vurderes i sammenheng
med CER-direktivet, og regjeringen vurderer det som svært viktig
å se disse to tingene i sammenheng. Disse
medlemmer mener at forslaget fra Høyre og Venstre ikke vil
bringe oss raskere til målet, og vil derfor ikke støtte det.