Sammendrag
Justis- og beredskapsdepartementet
ber i proposisjonen om Stortingets samtykke til godkjenning av to beslutninger
i EØS-komiteen. I tillegg foreslås det i proposisjonen en ny lov
om digital sikkerhet. Det vises til egen innstilling om lovsaken.
EØS-komiteen fattet to beslutninger 3. februar
2023 om innlemmelse i EØS-avtalen av NIS-direktivet, gjennomføringsforordningen
til NIS-direktivet og cybersikkerhetsforordningen. Beslutningene
ble fattet med forbehold om Stortingets samtykke, da gjennomføringen
i norsk rett nødvendiggjør lovendring, jf. Grunnloven § 26 annet
ledd. Stortinget inviteres gjennom denne proposisjonen til å samtykke
i godkjenning av EØS-komiteens beslutning.
Rettsaktene er en del av EUs cybersikkerhetsstrategi, som
har som formål å sikre et globalt og åpent internett med sterkt
vern mot risiko for at grunnleggende rettigheter og friheter i Europa
kan bli truet. Et styrket samarbeid i EUs regi vil være av stor
betydning for å løse fremtidige utfordringer innen digital sikkerhet.
Det er viktig at Norge sikres en plass i dette samarbeidet, da nåværende
og fremtidige utfordringer ikke kan løses av én stat alene.
Nettverks- og informasjonssystemer er forbundet med
hverandre, og store forstyrrelser i ett land kan få konsekvenser
for andre land. Nettverks- og informasjonssystemers robusthet og
stabilitet, samt kontinuiteten i de sentrale tjenestene, er avgjørende
for et velfungerende indre marked og særlig for det digitale indre markeds
videreutvikling.
Både NIS-direktivet og cybersikkerhetsforordningen
har som hovedformål å forbedre det indre markeds funksjon. NIS-direktivet
har direkte innvirkning på berørte tilbyderes rammevilkår og indirekte
for alle andre virksomheter ved at sikkerheten i sentral infrastruktur blir
bedret.
Gjeldene forordning om ENISA (som erstattes
av cybersikkerhetsforordningen) er en del av EØS-avtalen og i dag
gjennomført i ekomregelverket. Erfaringen fra arbeidet i ENISA er
at byrået bidrar med viktige innsikter og bidrag innen digital sikkerhet
som det ut fra et norsk standpunkt er ønskelig å delta i og være
med på å forme.
Sertifisering av IKT-produkter, IKT-tjenester
og IKT-prosesser vil etter forordningen inntil videre være frivillig.
Innen en viss tid skal EU-kommisjonen ha gjort en første vurdering
av hvorvidt enkelte sertifiseringsordninger skal gjøres obligatoriske.
Det vil i første omgang være snakk om sektorer som er omfattet av
NIS-direktivet. Flere norske virksomheter vil dermed kunne bli bundet
av krav om sertifisering av IKT-produkter, IKT-tjenester eller IKT-prosesser.
Ettersom leverandører av slike tjenester ofte er globale og/eller
europeiske, er felles-europeiske løsninger riktig.
Forslag til lov om digital sikkerhet med tilhørende forskrifter
vil gjennomføre NIS-direktivet. Gjennomføringsforordningen og cybersikkerhetsforordningen
vil tas inn i norsk rett i sin helhet ved inkorporering i forskrift
med hjemmel i forslag til ny lov om digital sikkerhet.