Sikkerhets- og varslingskravene i utkast til lov om sikkerhet i nettverk og informasjonssystemer
– en sammenligning med lignende krav i sikkerhetsloven og personopplysningsloven.
Lesetid 2 minutter
Digitaliseringen av samfunnet påvirker og stiller krav til virksomheter på flere måter. I diskusjoner og analyser fokuseres det gjerne på behov for kompetanseheving, omstillingsevne eller virksomhetenes evne til å håndtere et endret risikobildet. En annen og mer underkommunisert utfordring ved teknologiutviklingen er den økte kompleksiteten når det gjelder rettslige krav som virksomhetene er underlagt. Nye lover og forskrifter innføres nærmest på løpende bånd, både som følge av nasjonale vurderinger (eksempelvis sikkerhetsloven) og internasjonale forpliktelser (eksempelvis personvernforordningen – GDPR). Resultatet er et komplekst samspill av generelle og sektorspesifikke krav på ulike nivåer som gjør det krevende for virksomheter å forstå hvilke forpliktelser de er underlagt, og hvordan forpliktelsene kan etterleves på en effektiv måte.
I en fagfellevurderte artikkel i MAGMA nr. 2-2020 tar forfatterne for seg utkastet til lov om sikkerhet i nettverk og informasjonssystemer, og analyserer i hvilken grad lovutkastet medfører nye forpliktelser for virksomheter som blir underlagt bestemmelsene. Loven skal gjennomføre det såkalte NIS-direktivet i norsk rett og omfatter to kategorier virksomheter: tilbydere av samfunnsviktige tjenester og enkelte tilbydere av digitale tjenester. Den første kategorien omfatter tilbydere innenfor sektorene energi, transport, helse, bank/finans, drikkevannsforsyning og digital infrastruktur. Den andre kategorien omfatter nettbaserte markedsplasser, nettbaserte søkemotorer og skytjenester. Virksomheter som omfattes av loven, får blant annet krav til å gjennomføre sikkerhetstiltak som står i et rimelig forhold til den risikoen virksomheten står overfor og krav om å varsle om alvorlige IKT-sikkerhetshendelser.