Søk

Komiteens merknader

Komiteen, medlemmene fra Arbeiderpartiet, Odd Harald Hovland, Hadia Tajik og Maria Aasen-Svensrud, fra Høyre, Ingunn Foss og Sveinung Stensland, fra Senterpartiet, Ivar B. Prestbakmo og Else Marie Rødby, fra Fremskrittspartiet, lederen Per-Willy Amundsen og Tor André Johnsen, fra Sosialistisk Venstreparti, Andreas Sjalg Unneland, og fra Venstre, Ingvild Wetrhus Thorsvik, viser til at Justis- og beredskapsdepartementet i proposisjonen foreslår en ny lov om digital sikkerhet. Komiteen viser til at loven bygger på NIS-direktivet, hvis formål er å forbedre det indre markedets funksjon gjennom å stille sikkerhetskrav til nettverks- og informasjonssystemer som er nødvendige for å opprettholde leveransen av samfunnsviktige tjenester.

Komiteen viser til at den omfattende digitaliseringen som preger samfunnsutviklingen, er et viktig premiss for effektivisering av samfunnet, verdiskaping og økonomisk vekst. Digitale systemer er sentrale for alle samfunnsfunksjoner. Digital sikkerhet er derfor helt avgjørende for å ivareta velferdssamfunnet, viktige samfunnsfunksjoner og nasjonale interesser. Den sikkerhetspolitiske situasjonen i verden er i endring, noe som påvirker det nasjonale trusselbildet og skaper sikkerhetsmessige utfordringer. Komplekse trusler og verdikjeder fordrer helhetlige sikkerhetstiltak og myndighetenes kontroll av disse.

Komiteen viser videre til at loven vil være et utgangspunkt for videre kravstilling og regulering innen digital sikkerhet. NIS-direktivet av 6. juli 2016 ble først besluttet tatt inn i EØS-avtalen 3. februar 2023. NIS2-direktivet (EU) 2022/2555 ble vedtatt i EU 14. desember 2022. Innen 24. oktober 2024 skal medlemsstatene ha gjennomført direktivet i nasjonal rett. Fra dette tidspunktet oppheves gjeldende NIS-direktiv. Dersom NIS2-direktivet blir en del av EØS-avtalen, vil dette medføre behov for lovendringer og endringer i tilhørende forskrifter. Det vil også bli behov for å kartlegge relevant sektorspesifikt regelverk og vurdere eventuelle behov for endringer eller tilpasninger som følge av NIS2-direktivet.

Komiteen viser til at bakgrunnen for NIS2-direktivet er erkjennelsen av at selv om NIS-direktivet har vært en viktig start på reguleringen av sikkerhet i EU, har implementeringen avdekket flere mangler som forhindrer direktivet fra effektivt å adressere aktuelle og fremtidige utfordringer innen digital sikkerhet. Det har blant annet vært en fragmentert tilnærming i de ulike EU-landene til kravene i direktivet, noe som har medført økte kostnader for virksomheter som tilbyr tjenester på tvers av landegrenser. Det har også vært ulik praksis i utpekingen av virksomheter som er omfattet av NIS-direktivet.

Komiteen vil peke på at i NIS2-direktivet ønsker kommisjonen å redusere fragmenteringen og øke harmoniseringen gjennom mer effektivt samarbeid mellom kompetente myndigheter fra hver medlemsstat, gjennom underleggelse av flere sektorer og gjennom sanksjoner som kan brukes til effektiv håndheving.

Komiteens flertall, medlemmene fra Arbeiderpartiet, Høyre, Senterpartiet, Fremskrittspartiet og Venstre, viser til at det råder liten tvil om at det er et betydelig behov for økt fokus på sikkerhet og beredskap, også ved bruk av IT og IT-basert samfunnskritisk infrastruktur. Flertallet viser til at den skjerpede sikkerhetspolitiske situasjonen, spesielt med henblikk på Russland og Kina, fortsatt går mot en forverring.

Komiteens medlemmer fra Høyre, Fremskrittspartiet og Venstre viser til at det i NSMs rapport om digital sikkerhet av i år, «Nasjonalt digitalt risikobilde 2023», pekes på at beredskapen for å håndtere omfattende cyberangrep mot Norge har store mangler. Evnen til å oppdage digitale angrep i Norge er for dårlig, og det mangler helhetlig styring og koordinering av IT-sikkerhet på tvers av statlige etater.

Disse medlemmer merker seg at det i rapporten pekes på at ettersom stadig flere industrielle anlegg kobles fysisk til internett, øker faren for at cyberangrep også kan lamme fysisk infrastruktur. NSM mener at det trengs bedre koordinering, deteksjon og beredskap for å tette igjen disse hullene før de utnyttes av fiendtlige aktører. Samtidig må kritisk infrastruktur sikres bedre mot digitale trusler.

Disse medlemmer viser til at det i rapporten advares av NSM mot målrettede cyberangrep mot energi- og petroleumssektoren med potensial til å lamme kritisk infrastruktur i Norge og Europa. I kjølvannet av at Norge har blitt en svært viktig gassleverandør til kontinentet, trekkes cybertrusler mot gassforsyning spesielt frem. I rapporten påpekes det at vellykkede hackerangrep kan få store konsekvenser som strømbrudd og stans i gassleveransene til Europa.

Disse medlemmer viser også til at petroleumsbransjen nylig har blitt underlagt sikkerhetsloven ved at «kontroll med utvinning av petroleum på norsk sokkel» og «transport av gass i rør til Europa» har blitt definert som grunnleggende nasjonale funksjoner (GNF) som skal ivaretas. I petroleumsbransjen er imidlertid hovedprinsippet i sikkerhetsreguleringen at hvis man ikke har kontroll over situasjonen, skal man stenge ned produksjon og evakuere personell for å sikre liv og helse, verdier og miljø. Myndighetsreguleringen er derfor i mindre grad fokusert på å ivareta leveransesikkerhet i situasjoner som er utenfor det normale.

Disse medlemmer viser i den forbindelse til høringsinnspillet fra Det norske Veritas (DNV), hvor det fremholdes at sikkerhetsloven og digitalsikkerhetsloven

«på mange måter [har] et ‘motsatt’ fokus som den gjeldende sektorbaserte sikkerhetsreguleringen».

DNV anbefaler derfor at myndighetene ved implementeringen av digitalsikkerhetsloven vier særskilt oppmerksomhet til lovens forhold til den sektorbaserte sikkerhetsreguleringen i petroleumsnæringen, og at dette bør skje i nær dialog med både sektortilsyn og relevante næringsaktører, en anbefaling disse medlemmer støtter.

Disse medlemmer viser videre til at NSM i sin rapport peker på at man i løpet av det siste året har sett bølger av tjenestenektangrep fra pro-russiske aktører, som har truffet virksomheter i transport-, finans- og helsesektoren, sektorer som NSM tidligere ikke har sett på som mål for denne typen hendelser. Dataangrep rammer i økende grad flere mål samtidig, med en økende grad av profesjonalisering i alle ledd i angrepskjeden. Innbruddsmetoder endrer seg raskt på taktisk nivå, og flere nulldagssårbarheter kommer til syne.

Komiteens medlemmer fra Arbeiderpartiet og Senterpartiet vil understreke at regjeringen har kommet med en rekke kraftfulle satsinger for å møte den endrede sikkerhetspolitiske situasjonen. Disse medlemmer viser til at regjeringen våren 2022 foreslo å styrke den sivile beredskapen med en halv milliard.

Disse medlemmer bemerker at regjeringen har fremmet en stortingsmelding om nasjonal kontroll og digital motstandskraft, med flere sentrale tiltak for å styrke den digitale beredskapen, og at det nå fremmes et lovforslag om digital sikkerhet. Dette er den første loven om digital sikkerhet i Norge.

Disse medlemmer viser videre til at det etableres en nasjonal portal for digital sikkerhet for bedre å tilgjengeliggjøre nasjonale råd og veiledninger, samt et støtteverktøy for norske virksomheter for å forenkle arbeidet med å følge opp nasjonale råd.

Disse medlemmer merker seg også at arbeidet med å kartlegge verdier både innenfor og utenfor sikkerhetsloven er intensivert for å sikre bedre oversikt over den nasjonale sikkerhetstilstanden, i tillegg at det også blir arbeidet med en ny ekomlov med skjerpede sikkerhetskrav, bl.a. sikkerhetskrav til datasentre og en registreringsplikt for datasenteraktører. Disse medlemmer viser også til at det jobbes med å etablere en nasjonal skytjeneste.

Saklig virkeområde

Komiteen viser til at digitalsikkerhetsloven retter seg mot virksomheter som leverer tjenester som er viktige for et velfungerende samfunn og næringsliv. Virksomhetene er delt i to hovedkategorier: tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester.

Komiteen merker seg at en virksomhet skal anses som tilbyder av en «digital tjeneste» dersom den tilbyr nettbaserte markedsplasser, nettbaserte søkemotorer og skytjenester. På dette området er hensikten å få ensartede regler i hele EØS, hva gjelder både virkeområde og sikkerhets- og varslingsplikter. De aktuelle virksomhetene må dermed vurdere om de er omfattet, ut ifra lovforslagets bestemmelser.

Komiteen viser også til at en virksomhet skal anses som tilbyder av en «samfunnsviktig tjeneste» dersom tre kumulative vilkår er oppfylt. Det første kriteriet er at virksomheten må tilby en tjeneste som er viktig for opprettholdelsen av kritiske samfunnsmessige eller økonomiske aktiviteter innen samfunnssektorene energi, transport, helse, bank, finansmarkedsinfrastruktur, drikkevannsforsyning og -distribusjon og digital infrastruktur. Det er kun den delen av virksomheten som leverer den aktuelle tjenesten, som omfattes. Eksempelvis vil trafikkstyringen på en stor flyplass omfattes, mens butikkområdet ikke omfattes. Det andre kriteriet er at tjenesteleveransen må være avhengig av nettverks- og informasjonssystemer. Det tredje kriteriet er at en hendelse i virksomhetens nettverks- og informasjonssystemer ville hatt «betydelig forstyrrende virkning» på leveransen av den samfunnsviktige tjenesten. Vurderingstemaet knytter seg ikke til virksomhetens tjenesteleveranse isolert sett, men til tjenesteleveranse i en samfunnssammenheng. Det er altså spørsmål om i hvilken grad det går ut over samfunnets tilgang på en viss tjeneste at den aktuelle virksomheten ikke leverer sitt bidrag til totalen som normalt.

Komiteen viser til at ved identifisering av virksomheter underlagt loven vil det som utgangspunkt være to mulige tilnærminger, enten utpeking ved enkeltvedtak (ovenfra og ned) eller selvidentifisering basert på nærmere fastsatte kriterier og terskelverdier (nedenfra og opp). Ovenfra-og-ned-tilnærmingen er for eksempel valgt for utpeking av grunnleggende nasjonale funksjoner og virksomheter med avgjørende betydning for disse etter sikkerhetsloven. Fordelen med en slik tilnærming er at den gir sektormyndighetene god oversikt over verdikjedene og avhengighetene i sektoren. Ulempen er at en slik løsning blir svært tid- og ressurskrevende, da loven vil ha et vesentlig bredere nedslagsfelt enn sikkerhetsloven. På den andre siden vil en nedenfra-og-opp-tilnærming gi sektormyndighetene mindre kontroll.

Komiteen merker seg at en nedenfra-og-opp-tilnærming, der virksomhetene selv vil identifisere seg, etter departementets syn fremstår som den mest hensiktsmessige. For å sikre at virksomheter som ikke tilfredsstiller terskelverdiene, men som kan være i en særstilling og slik likevel har en rolle som gjør at de bør omfattes av loven, mener departementet at det vil være hensiktsmessig at sektormyndighet gis anledning til å utpeke enkeltvirksomheter loven skal gjelde for. Dette vil gi sektormyndighetene nødvendig fleksibilitet og ligner på vedtakskompetansen som sikkerhetsmyndigheten har etter sikkerhetsloven.

Komiteen viser til at det etter NIS-direktivet i stor grad er opp til medlemsstatene å fastsette hvilke aktører som oppfyller kriteriene for å bli klassifisert som tilbyder av samfunnsviktige tjenester. Fordi virkeområdet etter gjeldende direktiv er snevert og ikke klart angitt i direktivet, medfører dette en krevende utpekingsprosess. I EU-landene har denne prosessen medført et stort sprik i hvordan medlemsstatene har definert virkeområdet nærmere, og medført at enkelte grenseoverskridende virksomheter ikke har blitt identifisert. Komiteen viser også til at Justis- og beredskapsdepartementet i et posisjonsnotat av 23. august 2023 skriver at

«det anses som positivt at dette tydeliggjøres i det nye direktivet, da et vil gi mer forutberegnelighet og være prosessbesparende».

Komiteen viser videre til at det i NIS2-direktivet er fastsatt mer enhetlige kriterier for hvilke aktører som skal omfattes av direktivet. NIS2-direktivet innlemmer flere sektorer som anses som kritiske for både økonomien og samfunnet. De nye sektorene er forvaltning av IKT-tjenester, post- og kurertjenester, avfallshåndtering, fremstilling, produksjon og distribusjon av kjemikalier og produksjon av visse typer utstyr og forskning.

Alle virksomheter av en viss størrelse og en viss type skal være omfattet. Også mindre virksomheter som anses for å ha en nøkkelrolle for samfunnet, økonomien eller en viss sektor, omfattes av direktivet. Dette kan være tilfelle for mindre virksomheter som er eneleverandør til et EU-land, eller som driver en særskilt utsatt virksomhet. Slike virksomheter skal identifiseres og jevnlig innmeldes til Kommisjonen (og eventuelt, for Norges del, EFTAs overvåkingsorgan). NIS2-direktivet skiller mellom vesentlige og viktige samfunnsviktige tjenester.

Komiteen viser til at Justis- og beredskapsdepartementet i et posisjonsnotat av 23. august 2023 skriver at departementet

«anser NIS2 som et positivt tilskudd for å høyne sikkerhetsnivået og forbedre samarbeidet om IKT-sikkerhet i Europa. Det anses som positivt at EU satser på digital sikkerhet, og det er viktig at Norge deltar på denne arenaen».

Krav om sikkerhet

Komiteen viser til at en rekke virksomheter per i dag er underlagt sikkerhetskrav av ulik art, men at det i mange tilfeller er uklart om disse kan tolkes slik at det stilles krav om digital sikkerhet. Departementet mener derfor at det er behov for bestemmelser som stiller krav til digital sikkerhet i virksomhetene som er omfattet av lovforslaget.

Komiteen merker seg at tilbydere av samfunnsviktige tjenester skal treffe tekniske og organisatoriske tiltak som er hensiktsmessige og står i et rimelig forhold til risikoen som knytter seg til nettverkene og informasjonssystemene. Det er departementets vurdering at hvis tilbydere følger «NSMs grunnprinsipper for IKT-sikkerhet», vil de ivareta kravene som fremgår av loven.

Hva tilbydere av digitale tjenester angår, viser komiteen til at det går tydelig frem av fortalen til NIS-direktivet at det skal stilles mindre strenge sikkerhetskrav til tilbydere av digitale tjenester, da de anses noe mindre viktige enn de samfunnsviktige tjenestene. Ut over den generelle føringen i direktivet om at det skal stilles noe mindre strenge krav til tilbydere av digitale tjenester, gis det ikke særlige føringer på hva dette betyr i praksis. På grunn av digitale tjenesters grensekryssende natur bør de være underlagt et regelverk som er harmonisert i hele EØS. Dette er ivaretatt gjennom gjennomføringsordningen, som etterlater lite rom for nasjonale tilpasninger. I tråd med direktivet er momenter som skal hensyntas, konkretisert i lovforslaget § 10 andre ledd bokstav a til e. Med unntak av dette er §§ 7 og 10 likelydende.

Komiteen viser til at kravene om sikkerhet reguleres nærmere i forskrift. Samtidig må nærhetsprinsippet og sektoransvaret tas i betraktning. Hvilke tiltak som bør iverksettes, kan variere avhengig av hvilken sektor det er tale om, og den enkelte tilbyders egenart. Kravene som stilles etter loven og direktivet, utgjør minimumskrav til digital sikkerhet, og de er ikke til hinder for at tilbyderne iverksetter strengere sikkerhetstiltak enn de som følger av direktivet og loven.

Komiteen merker seg at NIS2-direktivet styrker sikkerhetskravene som stilles til tilbydere, sammenlignet med NIS-direktivet. I NIS2-direktivet oppstilles det i tillegg en risikostyringsmetode med en minimumsliste over grunnleggende sikkerhetselementer som må legges til grunn for sikkerhetsarbeidet, blant annet krav om at tilbydere håndterer cybersikkerhetsrisiko i forsyningskjeder og hos leverandører, planer for vedlikehold, overvåkning og testing samt bruk av krypto.

Krav om varsling

Komiteen viser til at det i loven etableres likelydende varslingskrav for de to kategoriene av tilbydere, selv om det legges opp til en nyanseforskjell i varslingskravene i NIS-direktivet. Varsling skal skje ved hendelser som «virker betydelig inn på tjenesteleveransen», og varsling skal skje «uten unødig opphold». Dersom det er behov for å fange opp nyanseforskjellen direktivet legger opp til, kan dette gjøres i forskrift. Departementet legger videre opp til at tidspunktet for varsling presiseres ytterligere i forskrift, og at fristen for å varsle vil kunne bero på blant annet hvilken sektor tilbyderen tilhører.

Komiteen merker seg at det i NIS2-direktivet innføres mer presise bestemmelser om prosessen for varsling av hendelser, hva det skal varsles om, og når. Etter artikkel 23 nr. 1 skal det varsles om hendelser som har en betydelig innvirkning på tjenesteleveransen, i nr. 3 står det beskrevet hva som utgjør en slik hendelse, og i nr. 4 er det angitt detaljerte bestemmelser om tidspunktene for varsling.

Tilsyn

Komiteen viser til at NIS-direktivet artikkel 8 og 9 bestemmer at statene skal utpeke eller etablere et nasjonalt kontaktpunkt, én eller flere kompetente myndigheter og ett eller flere hendelseshåndteringsmiljøer. Særlig fordi mange virksomheter per i dag ikke er underlagt tilsyn med digital sikkerhet, foreslår departementet bestemmelser om tilsyn og sanksjoner som er ment å dels tilsvare direktivets krav, med mulighet for å gi nærmere bestemmelser om tilsyn i forskrift.

Komiteen merker seg at departementet ser det som hensiktsmessig å gi hjemmel i lov til å gi forskrift om nasjonalt kontaktpunkt, samtidig som departementet utpeker Nasjonal sikkerhetsmyndighet (NSM) som en naturlig kandidat til rollen.

Komiteen viser videre til at departementet ser for seg en tilsynsmodell der myndigheter med sektoransvar fører tilsyn etter loven i den enkelte sektor. En forutsetning for en slik modell er at sektormyndighetene har tilstrekkelig kompetanse innenfor digital sikkerhet og gjennomføring av tilsyn. Der sektormyndighetene ikke allerede besitter nødvendig kompetanse innen digital sikkerhet, forutsettes det at loven vil kunne fungere som en pådriver for opparbeidelse av kompetanse på feltet.

Komiteen merker seg at det i tråd med NIS-direktivet legges til rette for forskjellige tilsynsregimer for henholdsvis tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester. Departementet ser det som mest hensiktsmessig at dette gjøres i forskrift. Der kan det eksempelvis reguleres at det bare føres tilsyn med en tilbyder av digitale tjenester dersom det foreligger informasjon om at tilbyderen ikke overholder kravene i direktivet, og at den ikke kan bli gjenstand for uanmeldt tilsyn.

Komiteen merker seg at NIS2-direktivets skille mellom vesentlige og viktige samfunnsviktige tjenester innebærer at de underlegges forskjellige tilsynsregimer. Tilbydere av samfunnsviktige tjenester skal underlegges et mindre strengt tilsynsregime enn tilbydere av vesentlige samfunnsviktige tjenester. Direktivet innfører mer detaljerte og strengere tiltak for nasjonale tilsynsmyndigheter og tar sikte på å harmonisere sanksjonsregimer i medlemslandene.

Pålegg, tvangsmulkt og overtredelsesgebyr

Komiteen viser til at det i mange sektorer er etablert sektorregelverk som har sanksjonsbestemmelser, samtidig som det for mange sektorer er uklart om sanksjonsbestemmelsene omfatter digital sikkerhet. I NIS-direktivet stilles det krav om at EØS-statene fastsetter regler om sanksjoner ved brudd på forpliktelsene etter direktivet. Sanksjonene skal være virkningsfulle, stå i et rimelig forhold til overtredelsen og virke avskrekkende. Det skilles ikke mellom tilbydere av samfunnsviktige og digitale tjenester i direktivets sanksjonsbestemmelse.

Komiteen viser til at det i loven foreslås å gi tilsynsmyndigheten kompetanse til å pålegge den som overtrer lovens bestemmelser, å bringe de ulovlige forholdene til opphør, og at pålegg kan gis i tilknytning til brudd på loven og forskrifter gitt i medhold av loven. Påleggskompetansen er ikke avgrenset til grove eller gjentatte brudd på loven og kan gis uavhengig av subjektiv skyld.

Komiteen viser videre til at det i loven foreslås å gi tilsynsmyndigheten hjemmel til å ilegge tvangsmulkt. Tvangsmulkt kan ilegges uavhengig av subjektiv skyld og uavhengig av omfanget av overtredelsen. Tvangsmulktens størrelse skal fastsettes under hensyn til hvor viktig det er at pålegget blir gjennomført, og hvilke kostnader det antas å medføre. Tvangsmulkt skal fungere som et pressmiddel, og utgangspunktet er at mulkten skal være så stor at den er effektiv uten å være urimelig.

Komiteen peker på at departementet videre foreslår en bestemmelse om overtredelsesgebyr som gjelder alle tilbydere som omfattes av loven. Det skal kunne reageres med overtredelsesgebyr ved brudd på plikten både til å sikre og til å varsle og der det er gitt uriktige eller ufullstendige opplysninger til tilsynsmyndigheten.

Komiteen merker seg at NIS2-direktivet i mye mer detalj regulerer hvordan overtredelser av direktivet skal sanksjoneres. Blant annet pålegges medlemsstatene å sørge for at tilsynsmyndigheten har mulighet til å ilegge administrativ sanksjon ved overtredelse av direktivet. I direktivet gis det nærmere bestemmelser om administrative sanksjoner, og det oppstilles størrelsestak ved overtredelsesgebyr.

Samarbeidsmekanismer på EU-nivå

Avslutningvis merker komiteen seg at NIS2-direktivet skal styrke sikkerheten i forsyningskjeden for viktige informasjons- og kommunikasjonsteknologier på europeisk nivå. Det legges opp til et tettere samarbeid mellom Kommisjonen og ENISA om å utføre koordinerte risikovurderinger av kritiske forsyningskjeder. Direktivet forplikter medlemsstatene til å sikre at myndighetene har anledning til å pålegge bøter av en nærmere angitt maksimalsats.

Komiteen merker seg også at NIS2-direktivet forbedrer NIS-samarbeidsgruppens rolle i utformingen av øvrige strategiske politiske beslutninger om ny teknologi og nye trender. CSIRT-nettverket videreføres, men det opprettes også et nytt nettverk: European cyber crisis liaison organisation network (EU-CyCLONe). Sammen skal disse foraene øke informasjonsdeling og samarbeid mellom myndighetene i medlemsstatene og forbedre det operative samarbeidet, inkludert cyberkrisehåndtering. NIS2-direktivet etablerer også et grunnleggende rammeverk for koordinert offentliggjøring av sårbarheter for nylig oppdagede sårbarheter i hele EU. Det skal opprettes et register for sårbarheter, som skal forvaltes av ENISA.

Komiteen registrerer at departementet i posisjonsnotatet av 23. august 2023 skriver at det

«anser det som viktig at Norge gis adgang til å delta i samarbeidet som videreføres fra gjeldende direktiv, blant annet CSIRT-nettverket, NIS-samarbeidsgruppen og EU-CyCLONe, men også andre nyetablerte samarbeidsfora som følger av dette forslaget og ny strategi om cybersikkerhet».

Komiteens medlemmer fra Høyre, Fremskrittspartiet og Venstre viser til at et av hovedformålene med NIS2-direktivet er å rette opp i flere mangler i NIS-direktivet som forhindrer det fra å effektivt adressere aktuelle og fremtidige utfordringer innen digital sikkerhet. Den fragmenterte tilnærmingen i de ulike landene til kravene i direktivet har eksempelvis medført økte kostnader for virksomheter som tilbyr tjenester på tvers av landegrenser. Med NIS2-direktivet ønsker kommisjonen å redusere fragmentering og øke harmonisering, blant annet gjennom underleggelse av flere sektorer og mer effektivt samarbeid mellom kompetente myndigheter fra hver medlemsstat.

Disse medlemmer merker seg i den forbindelse at DNV i sitt høringssvar peker på at mange norske virksomheter opererer i EU og derfor allerede nå må forberede seg på krav for å etterleve NIS2-direktivet og CER-direktivet, og at disse direktivene dekker et bredere spekter av trusler enn digitale angrep. For norske selskaper som opererer internasjonalt, vil det derfor være viktig at digitalsikkerhetsloven

«så langt som mulig ‘harmoniseres’ og tilrettelegger for senere tilpasninger av forventede krav etter både NIS2 og CER».

Disse medlemmer viser til at departementet er positive til NIS2-direktivet, og at deres «foreløpige vurdering er at direktivet er EØS-relevant og akseptabelt for Norges del». Disse medlemmer viser videre til at regjeringen kan vedta nasjonalt regelverk i tråd med EU-regelverk selv om det foreløpig ikke er fattet EØS-komitévedtak. Disse medlemmer spør seg om NIS-direktivet og NIS2-direktivet ikke er et slikt tilfelle, gitt at NIS2-direktivet ble vedtatt allerede før NIS-direktivet ble tatt inn i EØS-avtalen, og at regjeringen er positiv til endringene som ligger i NIS2-direktivet. Disse medlemmer mener det er hensiktsmessig å vurdere hvilke tilpasninger som kan gjøres allerede nå for å tilfredsstille kravene i NIS2-direktivet, uavhengig av prosessen med å ta NIS2-direktivet inn i EØS-avtalen.

På denne bakgrunn fremmer komiteens medlemmer fra Høyre og Venstre følgende forslag:

«Stortinget ber regjeringen vurdere hvilke tilpasninger som må gjøres i lov om digital sikkerhet for å tilfredsstille kravene i NIS2-direktivet, og sende forslag til endringer på høring uavhengig av prosessen med å ta NIS2-direktivet inn i EØS-avtalen.»

Når det gjelder forslaget fra Høyre og Venstre, viser komiteens medlemmer fra Arbeiderpartiet og Senterpartiet til at regjeringen er i gang med å utrede gjennomføringen av NIS2. Dette vurderes i sammenheng med CER-direktivet, og regjeringen vurderer det som svært viktig å se disse to tingene i sammenheng. Disse medlemmer mener at forslaget fra Høyre og Venstre ikke vil bringe oss raskere til målet, og vil derfor ikke støtte det.