Søk

Sammendrag

Justis- og beredskapsdepartementet foreslår i proposisjonen en ny lov om digital sikkerhet. I tillegg bes det om Stortingets samtykke til godkjenning av to beslutninger i EØS-komiteen. Det vises til egen innstilling om samtykkesaken.

Loven bygger på Europaparlaments- og rådsdirektiv (EU) 2016/1148 av 6. juli 2016 om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen (NIS-direktivet). Direktivet og tilhørende gjennomføringsforordning 2018/151 om spesifisering av NIS-direktivet artikkel 16 nr. 1 og nr. 4 (gjennomføringsforordningen) ble besluttet tatt inn i EØS-avtalen 3. februar 2023.

Forslaget til lov om digital sikkerhet er ment å være i samsvar med NIS-direktivet og øvrige sammenlignbare lands nasjonale lovgivning på området.

Loven skal forplikte virksomheter som har en særlig viktig rolle for å opprettholde kritisk samfunnsmessig og økonomisk aktivitet, til å overholde digitale sikkerhetskrav og varsle om alvorlige digitale hendelser. Loven skal bidra med forebyggende sikkerhetstiltak som gjør en virksomhet bedre rustet til å stå imot angrep mot nettverks- og informasjonssystemer de er avhengige av. Videre skal loven sikre planer for håndtering av uønskede hendelser. Loven stiller overordnede krav til sikkerhet og varsling, og virkeområdet er kun angitt i form av hvilke sektorer den gjelder i. Dette forutsetter et underliggende regelverk med tydeligere avgrensinger og konkretiseringer. Loven inneholder derfor en vid adgang til å fastsette nærmere bestemmelser i forskrift.

Loven etablerer rammeverk for tilsyn med virksomhetene og åpner for ileggelse av pålegg og eventuelt overtredelsesgebyr ved manglende oppfyllelse av pliktene. Myndighetene skal også ta imot varsler om alvorlige digitale hendelser. Departementet legger opp til at eksisterende myndighetsstruktur benyttes i størst mulig grad for å begrense behovet for nye kontaktpunkter for virksomhetene som blir underlagt regelverket, og for at myndigheter som allerede utfører oppgaver som ligner oppgaver denne loven pålegger dem, skal kunne samkjøre disse så langt det er mulig. Departementet mener videre at eksisterende myndigheter også bør føre tilsyn med virksomheter som per i dag ikke er underlagt tilsyn.

De økonomiske og administrative kostnadene knyttet til lovforslaget er vanskelige å tallfeste. Loven legger opp til at det i forskrift vil bli utarbeidet både nærmere kriterier for identifisering av tilbydere av samfunnsviktige tjenester og også spesifisering av sikkerhets- og varslingskrav. Forslag til forskrift vil bli gjenstand for egen offentlig høring hvor det trolig vil komme noe mer konkret om eventuelle kostnader knyttet til blant annet sikkerhets- og varslingskrav.