← Tilbake til stortingsforslag

Lov om digital sikkerhet (digitalsikkerhetsloven)

Behandlet 21.11.2023 Sak 94165 behandlet regjering
Se full dokumentasjon på Stortinget.no
Justiskomiteen
Voteringer
3
Tagger
0
Status
behandlet

Sammendrag

Vedtak:
Stortinget har vedtatt en ny lov om digital sikkerhet. Loven bygger på Europaparlaments- og rådsdirektiv (EU) 2016/1148 av 6. juli 2016 om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen (NIS-direktivet). Lov om digital sikkerhet er ment å være i samsvar med NIS-direktivet og øvrige sammenlignbare lands nasjonale lovgivning på området. Loven skal forplikte virksomheter som har en særlig viktig rolle for å opprettholde kritisk samfunnsmessig og økonomisk aktivitet, til å overholde digitale sikkerhetskrav og varsle om alvorlige digitale hendelser. Loven skal også bidra med forebyggende sikkerhetstiltak som gjør en virksomhet bedre rustet til å stå imot angrep mot nettverks- og informasjonssystemer de er avhengige av. Videre skal loven sikre planer for håndtering av uønskede hendelser.

Tagger på saken

Felles tagger for saken. Uten votering vises hovedsak-tagger. Med votering speiler disse taggene på voteringene.

Ingen tagger. Logg inn for å legge til.

Dokumenttekst

Les dokumentet Prop. 109 LS (2022–2023) Lov om digital sikkerhet (digitalsikkerhetsloven) og samtykke til godkjenning av EØS-komiteens beslutninger nr. 21/2023 og 22/2023 om innlemmelse i EØS-avtalen av direktiv (EU) 2016/1148 og forordningene (EU) 2018/151 og (EU) 2019/881 Til innholdsfortegnelse Justis- og beredskapsdepartementet Lenkeverktøy er aktivert, trykk på lenkeikon ved siden av overskrift/avsnitt for å kopiere lenke. Slå av lenkeverktøy 1 Hovedinnholdet i proposisjonen Justis- og beredskapsdepartementet foreslår i denne proposisjonen en ny lov om digital sikkerhet. I tillegg bes det om Stortingets samtykke til godkjenning av to beslutninger i EØS-komiteen. Loven bygger på Europaparlaments- og rådsdirektiv (EU) 2016/1148 av 6. juli 2016 om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen (NIS-direktivet). Direktivet og tilhørende gjennomføringsforordning 2018/151 om spesifisering av NIS-direktivet artikkel 16 nr. 1 og nr. 4 (gjennomføringsforordningen) ble besluttet tatt inn i EØS-avtalen 3. februar 2023. Forslaget til lov om digital sikkerhet er ment å være i samsvar med NIS-direktivet og øvrige sammenlignbare lands nasjonale lovgivning på området. Loven skal forplikte virksomheter som har en særlig viktig rolle for å opprettholde kritisk samfunnsmessig og økonomisk aktivitet, til å overholde digitale sikkerhetskrav og varsle om alvorlige digitale hendelser. Loven skal bidra med forebyggende sikkerhetstiltak som gjør en virksomhet bedre rustet til å stå imot angrep mot nettverks- og informasjonssystemer de er avhengige av. Videre skal loven sikre planer for håndtering av uønskede hendelser. Loven stiller overordnede krav til sikkerhet og varsling, og virkeområdet er kun angitt i form av hvilke sektorer den gjelder i. Dette forutsetter et underliggende regelverk med tydeligere avgrensinger og konkretiseringer. Loven inneholder derfor en vid adgang til å fastsette nærmere bestemmelser i forskrift. Loven etablerer rammeverk for tilsyn med virksomhetene og åpner for ileggelse av pålegg og eventuelt overtredelsesgebyr ved manglende oppfyllelse av pliktene. Myndighetene skal også ta imot varsler om alvorlige digitale hendelser. Departementet legger opp til at eksisterende myndighetsstruktur benyttes i størst mulig grad for å begrense behovet for nye kontaktpunkter for virksomhetene som blir underlagt regelverket, og for at myndigheter som allerede utfører oppgaver som ligner oppgaver denne loven pålegger dem, skal kunne samkjøre disse så langt det er mulig. Departementet mener videre at eksisterende myndigheter også bør føre tilsyn med virksomheter som per i dag ikke er underlagt tilsyn. Europaparlaments- og rådsforordning (EU) 2019/881 av 17. april 2019 om ENISA (Den europeiske unions cybersikkerhetsbyrå), om cybersikkerhetssertifisering av informasjons- og kommunikasjonsteknologi og om oppheving av forordning (EU) nr. 526/2013 (cybersikkerhetsforordningen) ble også besluttet tatt inn i EØS-avtalen 3. februar 2023. Forordningen er planlagt inkorporert i forskrift til denne loven. Norge deltok i beslutningene i EØS-komiteen med forbehold om Stortingets samtykke, jf. Grunnloven § 26 andre ledd. Det bes på denne bakgrunn om Stortingets samtykke til godkjenning av EØS-komiteens beslutninger om innlemmelse av rettsaktene. Last ned dokument Dokumentet i PDF format (1,9 MB) Dokumentet i EPUB format (343,3 kB) Dokumentet i Word format (241 kB) Søk i dokumentet: Tøm søkefeltet 1 Hovedinnholdet i proposisjonen 2 Lovforslagets bakgrunn 2.1 Utviklingstendenser 2.2 Begrepsbruk 2.3 NIS-direktivet 2.3.1 Innledning 2.3.2 Nasjonale rammeverk for sikkerhet i nettverks- og informasjonssystemer 2.3.3 Samarbeid mellom statene og de nasjonale responsmiljøene 2.3.4 Sikkerhetstiltak og varsling for tilbydere av samfunnsviktige tjenester 2.3.5 Sikkerhetstiltak og varsling for tilbydere av digitale tjenester 2.4 Gjennomføringsforordningen 2.5 Cybersikkerhetsforordningen 2.5.1 Innledning 2.5.2 ENISA 2.5.3 Cybersikkerhetssertifisering 2.6 Metode for gjennomføring av rettsaktene 2.7 Høringen 3 Lovens formål, virkeområde og forholdet til andre lover 3.1 Gjeldende rett 3.2 Direktivet 3.2.1 Innledning 3.2.2 Tilbydere av samfunnsviktige tjenester 3.2.3 Tilbydere av digitale tjenester 3.3 Forslaget i høringsnotatet 3.4 Høringsinstansenes syn 3.5 Departementets vurderinger 3.5.1 Formål og virkeområde 3.5.2 Tilbydere av samfunnsviktige tjenester 3.5.3 Tilbydere av digitale tjenester 4 Lovens geografiske virkeområde 4.1 Gjeldende rett 4.2 Direktivet 4.2.1 Tilbydere av samfunnsviktige tjenester 4.2.2 Tilbydere av digitale tjenester 4.3 Forslaget i høringsnotatet 4.4 Høringsinstansenes syn 4.5 Departementets vurderinger 5 Behandling av personopplysninger 5.1 Gjeldende rett 5.1.1 Innledning 5.1.2 Personvernforordningen og personopplysningsloven 5.1.3 Grunnloven og internasjonale forpliktelser 5.2 Direktivet 5.3 Forslaget i høringsnotatet 5.4 Høringsinstansenes syn 5.5 Departementets vurderinger 6 Krav om sikkerhet 6.1 Gjeldende rett 6.2 Direktivet 6.2.1 Tilbydere av samfunnsviktige tjenester 6.2.2 Tilbydere av digitale tjenester 6.3 Forslaget i høringsnotatet 6.4 Høringsinstansenes syn 6.5 Departementets vurderinger 7 Krav om varsling 7.1 Gjeldende rett 7.2 Direktivet 7.2.1 Tilbydere av samfunnsviktige tjenester 7.2.2 Tilbydere av digitale tjenester 7.3 Forslaget i høringsnotatet 7.4 Høringsinstansenes syn 7.5 Departementets vurderinger 7.5.1 Varslingskrav 7.5.2 Responsmiljø 8 Tilsyn 8.1 Gjeldende rett 8.2 Direktivet 8.2.1 Innledning 8.2.2 Tilbydere av samfunnsviktige tjenester 8.2.3 Tilbydere av digitale tjenester 8.3 Forslaget i høringsnotatet 8.4 Høringsinstansenes syn 8.5 Departementets vurderinger 9 Pålegg, tvangsmulkt og overtredelsesgebyr 9.1 Gjeldende rett 9.2 Direktivet 9.3 Forslaget i høringsnotatet 9.4 Høringsinstansenes syn 9.5 Departementets vurderinger 10 Samtykke til godkjenning av EØS-komiteens beslutninger 10.1 Innledning 10.2 EØS-komiteens beslutning nr. 21/2023 om innlemmelse i EØS-avtalen av NIS-direktivet og gjennomføringsforordningen 10.3 EØS-komiteens beslutning nr. 22/2023 om innlemmelse i EØS-avtalen av cybersikkerhetsforordningen 10.4 Konklusjon 11 Økonomiske og administrative konsekvenser 11.1 Lov om digital sikkerhet, NIS-direktivet og gjennomføringsforordningen 11.2 Cybersikkerhetsforordningen 12 Merknader til bestemmelsene i lovforslaget Tilråding A Forslag til lov om digital sikkerhet (digitalsikkerhetsloven) B Forslag til vedtak om samtykke til godkjenning av EØS-komiteens beslutninger nr. 21/2023 og 22/2023 om innlemmelse i EØS-avtalen av direktiv (EU) 2016/1148 og forordningene (EU) 2018/151 og (EU) 2019/881 Vedlegg og registre 1 EØS-komiteens beslutning nr. 21/2023 av 3. februar 2023 om endring av EØS-avtalens vedlegg XI (Elektronisk kommunikasjon, audiovisuelle tjenester og informasjonssamfunnstjenester) og protokoll 37 om listen omhandlet i artikkel 101 2 EØS-komiteens beslutning nr. 22/2023 av 3. februar 2023 om endring av EØS-avtalens vedlegg IX (Elektronisk kommunikasjon, audiovisuelle tjenester og informasjonssamfunnstjenester) og protokoll 37 om listen omhandlet i artikkel 101 3 Europaparlaments- og rådsdirektiv (EU) 2016/1148 av 6. juli 2016 om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen 4 Kommisjonens gjennomføringsforordning (EU) 2018/151 av 30. januar 2018 om fastsettelse av regler for anvendelse av europaparlaments- og rådsdirektiv (EU) 2016/1148 med hensyn til ytterligere spesifisering av de elementene som tilbydere av digitale tjenester skal ta hensyn til for å håndtere risikoene knyttet til sikkerheten i nettverks- og informasjonssystemer, og av parametrene for å avgjøre om en hendelse har en betydelig innvirkning 5 Europaparlaments- og rådsforordning (EU) 2019/881 av 17. april 2019 om ENISA (Den europeiske unions cybersikkerhetsbyrå), om cybersikkerhetssertifisering av informasjons- og kommunikasjonsteknologi og om oppheving av forordning (EU) nr. 526/2013 (cybersikkerhetsforordningen) Lenkeverktøy Du kan kopiere lenke til et spesifikt kapittel/avsnitt Aktivér lenkeverktøy

Voteringer i saken

Klikk på en votering for å vise resultatet per parti. Klikk igjen for å skjule.

Votering 1 – Forkastet

FOR
29
MOT
72
IKKE TIL STEDE / IKKE AVGITT
68
Votering ID: 21782
Forslag fra Høyre, Venstre
Vis forslagstekst

Stortinget ber regjeringen vurdere hvilke tilpasninger som må gjøres i lov om digital sikkerhet for å tilfredsstille kravene i NIS2-direktivet, og sende forslag til endringer på høring uavhengig av prosessen med å ta NIS2-direktivet inn i EØS-avtalen.

Tagger på denne voteringen:
Ingen tagger Logg inn for å legge til tagger og stemme.

Voteringsresultat per parti

Votering 2 – Enstemmig vedtatt

Votering ID: 21783
Komiteens tilråding
Vis forslagstekst

om digital sikkerhet (digitalsikkerhetsloven)

Kapittel 1. Innledende bestemmelser
§ 1 Formål

Loven skal bidra til å sikre grunnleggende krav til digital sikkerhet i virksomheter med særlig betydning for samfunnet ved å forebygge, avdekke og motvirke uønskede hendelser i nettverks- og informasjonssystemer som brukes for å levere samfunnsviktige tjenester og digitale tjenester. Loven skal også legge til rette for sikkerhet i IKT-produkter, IKT-tjenester og IKT-prosesser.

§ 2 Saklig virkeområde

Loven gjelder for

  • a. tilbydere av samfunnsviktige tjenester etter § 6 i sektorene energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur

  • b. tilbydere av digitale tjenester etter § 9.

Loven gjelder ikke for virksomheter som er omfattet av lov om elektroniske tillitstjenester.

Kongen kan gi forskrift med nærmere bestemmelser om og unntak fra lovens virkeområde.

§ 3 Geografisk virkeområde

Loven gjelder for

  • a. tilbydere av samfunnsviktige tjenester som er etablert i Norge

  • b. tilbydere av digitale tjenester som har sitt hovedkontor i Norge, eller som har eller skal ha en representant i Norge etter § 12.

Kongen kan gi forskrift om lovens anvendelse for Svalbard, Jan Mayen og bilandene og fastsette særlige regler som er nødvendige av hensyn til de stedlige forholdene.

§ 4 Definisjoner

I denne loven menes med

  • 1. nettverks- og informasjonssystemer:

    • a. elektronisk kommunikasjonsnett som nevnt i ekomloven § 1-5 nr. 2

    • b. en enhet eller en gruppe av sammenkoblede eller beslektede enheter som behandler digitale data automatisk ved hjelp av et program

    • c. digitale data som lagres, behandles, innhentes eller overføres ved hjelp av elementer som nevnt i bokstav a eller b for at dataene skal kunne driftes, vernes, beskyttes eller vedlikeholdes.

  • 2. sikkerheten i nettverks- og informasjonssystemer: evnen nettverk eller informasjonssystemer har til å tåle, på et gitt tillitsnivå, enhver handling som går ut over tilgjengeligheten, autentisiteten, integriteten eller tilliten til lagrede, overførte eller behandlede data eller tilknyttede tjenester som tilbys eller er tilgjengelige via slike nettverks- og informasjonssystemer

  • 3. hendelse: enhver hendelse med negativ virkning på sikkerheten i nettverks- og informasjonssystemer.

§ 5 Forholdet til andre lover som stiller krav om sikkerhet og varsling

Kravene om sikkerhet og varsling i §§ 7, 8, 10 og 11 gjelder så langt det ikke er fastsatt tilsvarende eller strengere krav i eller i medhold av annen lov.

Kapittel 2. Krav til tilbydere av samfunnsviktige tjenester
§ 6 Tilbydere av samfunnsviktige tjenester

Som tilbyder av en samfunnsviktig tjeneste regnes virksomheter som

  • a. leverer en tjeneste som er viktig for å opprettholde kritiske samfunnsmessige eller økonomiske aktiviteter

  • b. er avhengig av nettverks- og informasjonssystemer for å levere tjenesten, og

  • c. kan få tjenesteleveransen betydelig forstyrret av en hendelse.

Ved vurderingen av om en hendelse kan betydelig forstyrre en tjenesteleveranse, skal det særlig legges vekt på

  • a. antallet brukere som er avhengig av tjenesten

  • b. i hvilken grad andre samfunnssektorer som er nevnt i § 2, er avhengig av tjenesten

  • c. hvilken virkning en hendelse kan ha i form av omfang og varighet for økonomiske og samfunnsmessige aktiviteter eller samfunnssikkerheten

  • d. virksomhetens markedsandel

  • e. størrelsen på det geografiske området som kan bli påvirket av en hendelse

  • f. den berørte virksomhetens betydning for at det er tilstrekkelig tilgang på tjenesten, tatt i betraktning hvilke alternativer som finnes

  • g. særlige sektorspesifikke forhold.

Kongen kan gi forskrift om hvilke virksomheter som skal regnes som tilbydere av samfunnsviktige tjenester.

§ 7 Krav om sikkerhet for tilbydere av samfunnsviktige tjenester

En tilbyder av en samfunnsviktig tjeneste skal gjennomføre en risikovurdering av nettverks- og informasjonssystemer som benyttes for å levere tjenesten.

Tilbyderen skal iverksette hensiktsmessige og proporsjonale tekniske og organisatoriske sikkerhetstiltak som samlet skal sørge for et sikkerhetsnivå som er tilpasset risikoen. Ved vurderingen av hva som er et forsvarlig sikkerhetsnivå, skal det blant annet ses hen til den teknologiske utviklingen.

Tilbyderen skal iverksette proporsjonale tiltak for å forebygge, avdekke og redusere konsekvensene av hendelser, slik at tjenesteleveransen kan opprettholdes.

§ 8 Krav om varsling for tilbydere av samfunnsviktige tjenester

En tilbyder av en samfunnsviktig tjeneste skal uten unødig opphold og uten hinder av taushetsplikt varsle det organet Kongen utpeker, om hendelser som virker betydelig inn på tjenesteleveransen. Ved vurderingen av om innvirkningen er betydelig, skal det blant annet legges vekt på antallet brukere som påvirkes, hendelsens varighet og størrelsen på det geografiske området som berøres.

Kapittel 3. Krav til tilbydere av digitale tjenester
§ 9 Tilbydere av digitale tjenester

Som tilbyder av en digital tjeneste regnes virksomheter som tilbyr tjenester som definert i ehandelsloven § 1 andre ledd bokstav a og b i form av nettbaserte markedsplasser, nettbaserte søkemotorer eller skytjenester.

Med nettbasert markedsplass menes en tjeneste som gjør det mulig for forbrukere og næringsdrivende å inngå nettbaserte salgs- eller tjenesteavtaler med næringsdrivende, enten på nettstedet til den nettbaserte markedsplassen eller på nettstedet til en næringsdrivende som bruker datatjenester som leveres av den nettbaserte markedsplassen.

Med nettbasert søkemotor menes en tjeneste som gjør det mulig for brukere å foreta søk på i prinsippet alle nettsteder eller nettsteder på et bestemt språk, på grunnlag av et nøkkelord, en setning eller andre inndata, og som viser lenker hvor det er mulig å finne informasjon om det forespurte innholdet.

Med skytjeneste menes en tjeneste som gir tilgang til en skalerbar og fleksibel samling av delbare databehandlingsressurser.

Kongen kan gi forskrift om hvilke virksomheter som skal regnes som tilbydere av digitale tjenester.

§ 10 Krav om sikkerhet for tilbydere av digitale tjenester

En tilbyder av en digital tjeneste skal gjennomføre en risikovurdering av nettverks- og informasjonssystemer som benyttes for å levere tjenesten.

Tilbyderen skal iverksette hensiktsmessige og proporsjonale tekniske og organisatoriske sikkerhetstiltak som samlet skal sørge for et sikkerhetsnivå som er tilpasset risikoen. Ved vurderingen av hva som er et forsvarlig sikkerhetsnivå, skal det blant annet ses hen til den teknologiske utviklingen og tas hensyn til

  • a. sikkerheten i systemer, utstyr og anlegg

  • b. hendelseshåndtering

  • c. styring av opprettholdelse av tjenesteleveransen

  • d. overvåking, revisjon og testing

  • e. anerkjente internasjonale standarder.

Tilbyderen skal iverksette proporsjonale tiltak for å forebygge, avdekke og redusere konsekvensene av hendelser, slik at tjenesteleveransen kan opprettholdes.

§ 11 Krav om varsling for tilbydere av digitale tjenester

En tilbyder av en digital tjeneste skal uten unødig opphold og uten hinder av taushetsplikt varsle det organ Kongen utpeker, om hendelser som virker betydelig inn på tjenesteleveransen. Ved vurderingen av om innvirkningen er betydelig, skal det legges vekt på antall brukere som påvirkes, hendelsens varighet, størrelsen på det geografiske området som berøres, omfanget av funksjonalitetssvikten i tjenesten og omfanget av innvirkningen på økonomisk og samfunnsmessig aktivitet.

§ 12 Plikt til å utpeke en representant i Norge

En tilbyder av digitale tjenester som ikke har sitt hovedkontor i Norge eller en annen EØS-stat, og som tilbyr digitale tjenester i Norge, skal utpeke en representant i Norge, med mindre tilbyderen har utpekt en representant i en annen EØS-stat hvor tjenestene tilbys.

Kapittel 4. Tilsyn og administrative reaksjoner
§ 13 Tilsyn

Kongen utpeker én eller flere tilsynsmyndigheter som skal føre tilsyn med tilbydere som omfattes av loven.

§ 14 Opplysningsplikt og tilgang til lokaler og utstyr

Tilbydere og de som handler på vegne av en tilbyder, har plikt til å gi de opplysningene som tilsynsmyndigheten krever for å utføre sine oppgaver, og gi tilsynsmyndigheten tilgang til virksomhetens lokaler og utstyr og yte nødvendig bistand ved tilsynsmyndighetens undersøkelser.

Første ledd gjelder uten hinder av lovbestemt taushetsplikt.

§ 15 Pålegg om retting

Ved overtredelse av bestemmelser gitt i eller i medhold av denne loven kan tilsynsmyndigheten gi tilbydere pålegg om at forholdet skal bringes i orden. Når det gis pålegg, skal det settes en frist for oppfyllelse.

§ 16 Tvangsmulkt

Tilsynsmyndigheten kan treffe vedtak om tvangsmulkt for å sikre at pålegg etter § 15 blir oppfylt. Tvangsmulkten kan fastsettes som en løpende mulkt eller som et engangsbeløp.

Tilsynsmyndigheten kan i særlige tilfeller frafalle påløpt tvangsmulkt.

§ 17 Overtredelsesgebyr

Tilsynsmyndigheten kan ilegge overtredelsesgebyr dersom en tilbyder eller noen som handler på dennes vegne, forsettlig eller uaktsomt overtrer §§ 7, 8, 10, 11 eller 14.

Dersom den ansvarlige for overtredelsesgebyret er et foretak som inngår i et konsern, hefter foretakets morselskap og morselskapet i det konsern selskapet er en del av, subsidiært for beløpet.

Adgangen til å ilegge overtredelsesgebyr foreldes fem år etter at overtredelsen er opphørt. Fristen avbrytes ved at myndigheten gir forhåndsvarsel om eller fatter vedtak om overtredelsesgebyr.

Kapittel 5. Utfyllende regler mv.
§ 18 Forskrifter

Kongen kan gi forskrift om

  • a. krav til sikkerhet og varsling i samsvar med §§ 7, 8, 10 og 11, herunder hva som regnes som tilsvarende krav etter § 5

  • b. gjennomføring av tilsyn med tilbydere underlagt loven

  • c. opplysningsplikt og tilgang til lokaler og utstyr etter § 14

  • d. ileggelse og utmåling av tvangsmulkt og overtredelsesgebyr

  • e. at den som forsettlig eller uaktsomt overtrer forskrift gitt i medhold av bokstav a, kan ilegges overtredelsesgebyr

  • f. gjennomføring av forpliktelser som følger av EØS-avtalen og andre internasjonale avtaler, og som understøtter lovens regler eller formål

  • g. behandling av personopplysninger, blant annet om formålet med behandlingen, behandlingsansvar, hvilke personopplysninger som kan behandles, viderebehandling, utlevering og sletting

  • h. nasjonalt kontaktpunkt for sikkerhet i nettverks- og informasjonssystemer.

Kapittel 6. Sikkerhetssertifisering
§ 19 Sikkerhetssertifisering av informasjons- og kommunikasjonsteknologi

Kongen kan gi forskrift om sikkerhetssertifisering av IKT-produkter, IKT-tjenester og IKT-prosesser for å gjennomføre forpliktelser etter EØS-avtalen. Dette omfatter også

  • a. utpeking av sertifiseringsmyndighet

  • b. tilsyn med sertifiseringsorganer som tilbyr sikkerhetssertifisering av IKT-produkter, IKT-tjenester og IKT-prosesser

  • c. pålegg om retting, tvangsmulkt og overtredelsesgebyr ved overtredelse av krav til sikkerhetssertifisering.

Kapittel 7. Sluttbestemmelser
§ 20 Ikrafttredelse

Loven trer i kraft fra den tiden Kongen bestemmer. De enkelte bestemmelsene kan settes i kraft til ulik tid.

Tagger på denne voteringen:
Ingen tagger Logg inn for å legge til tagger og stemme.

Voteringsresultat per parti

Votering 3 – Enstemmig vedtatt

Votering ID: 21784
Komiteens tilråding
Vis forslagstekst

om digital sikkerhet (digitalsikkerhetsloven)

Kapittel 1. Innledende bestemmelser
§ 1 Formål

Loven skal bidra til å sikre grunnleggende krav til digital sikkerhet i virksomheter med særlig betydning for samfunnet ved å forebygge, avdekke og motvirke uønskede hendelser i nettverks- og informasjonssystemer som brukes for å levere samfunnsviktige tjenester og digitale tjenester. Loven skal også legge til rette for sikkerhet i IKT-produkter, IKT-tjenester og IKT-prosesser.

§ 2 Saklig virkeområde

Loven gjelder for

  • a. tilbydere av samfunnsviktige tjenester etter § 6 i sektorene energi, transport, helse, vannforsyning, bank, finansmarkedsinfrastruktur og digital infrastruktur

  • b. tilbydere av digitale tjenester etter § 9.

Loven gjelder ikke for virksomheter som er omfattet av lov om elektroniske tillitstjenester.

Kongen kan gi forskrift med nærmere bestemmelser om og unntak fra lovens virkeområde.

§ 3 Geografisk virkeområde

Loven gjelder for

  • a. tilbydere av samfunnsviktige tjenester som er etablert i Norge

  • b. tilbydere av digitale tjenester som har sitt hovedkontor i Norge, eller som har eller skal ha en representant i Norge etter § 12.

Kongen kan gi forskrift om lovens anvendelse for Svalbard, Jan Mayen og bilandene og fastsette særlige regler som er nødvendige av hensyn til de stedlige forholdene.

§ 4 Definisjoner

I denne loven menes med

  • 1. nettverks- og informasjonssystemer:

    • a. elektronisk kommunikasjonsnett som nevnt i ekomloven § 1-5 nr. 2

    • b. en enhet eller en gruppe av sammenkoblede eller beslektede enheter som behandler digitale data automatisk ved hjelp av et program

    • c. digitale data som lagres, behandles, innhentes eller overføres ved hjelp av elementer som nevnt i bokstav a eller b for at dataene skal kunne driftes, vernes, beskyttes eller vedlikeholdes.

  • 2. sikkerheten i nettverks- og informasjonssystemer: evnen nettverk eller informasjonssystemer har til å tåle, på et gitt tillitsnivå, enhver handling som går ut over tilgjengeligheten, autentisiteten, integriteten eller tilliten til lagrede, overførte eller behandlede data eller tilknyttede tjenester som tilbys eller er tilgjengelige via slike nettverks- og informasjonssystemer

  • 3. hendelse: enhver hendelse med negativ virkning på sikkerheten i nettverks- og informasjonssystemer.

§ 5 Forholdet til andre lover som stiller krav om sikkerhet og varsling

Kravene om sikkerhet og varsling i §§ 7, 8, 10 og 11 gjelder så langt det ikke er fastsatt tilsvarende eller strengere krav i eller i medhold av annen lov.

Kapittel 2. Krav til tilbydere av samfunnsviktige tjenester
§ 6 Tilbydere av samfunnsviktige tjenester

Som tilbyder av en samfunnsviktig tjeneste regnes virksomheter som

  • a. leverer en tjeneste som er viktig for å opprettholde kritiske samfunnsmessige eller økonomiske aktiviteter

  • b. er avhengig av nettverks- og informasjonssystemer for å levere tjenesten, og

  • c. kan få tjenesteleveransen betydelig forstyrret av en hendelse.

Ved vurderingen av om en hendelse kan betydelig forstyrre en tjenesteleveranse, skal det særlig legges vekt på

  • a. antallet brukere som er avhengig av tjenesten

  • b. i hvilken grad andre samfunnssektorer som er nevnt i § 2, er avhengig av tjenesten

  • c. hvilken virkning en hendelse kan ha i form av omfang og varighet for økonomiske og samfunnsmessige aktiviteter eller samfunnssikkerheten

  • d. virksomhetens markedsandel

  • e. størrelsen på det geografiske området som kan bli påvirket av en hendelse

  • f. den berørte virksomhetens betydning for at det er tilstrekkelig tilgang på tjenesten, tatt i betraktning hvilke alternativer som finnes

  • g. særlige sektorspesifikke forhold.

Kongen kan gi forskrift om hvilke virksomheter som skal regnes som tilbydere av samfunnsviktige tjenester.

§ 7 Krav om sikkerhet for tilbydere av samfunnsviktige tjenester

En tilbyder av en samfunnsviktig tjeneste skal gjennomføre en risikovurdering av nettverks- og informasjonssystemer som benyttes for å levere tjenesten.

Tilbyderen skal iverksette hensiktsmessige og proporsjonale tekniske og organisatoriske sikkerhetstiltak som samlet skal sørge for et sikkerhetsnivå som er tilpasset risikoen. Ved vurderingen av hva som er et forsvarlig sikkerhetsnivå, skal det blant annet ses hen til den teknologiske utviklingen.

Tilbyderen skal iverksette proporsjonale tiltak for å forebygge, avdekke og redusere konsekvensene av hendelser, slik at tjenesteleveransen kan opprettholdes.

§ 8 Krav om varsling for tilbydere av samfunnsviktige tjenester

En tilbyder av en samfunnsviktig tjeneste skal uten unødig opphold og uten hinder av taushetsplikt varsle det organet Kongen utpeker, om hendelser som virker betydelig inn på tjenesteleveransen. Ved vurderingen av om innvirkningen er betydelig, skal det blant annet legges vekt på antallet brukere som påvirkes, hendelsens varighet og størrelsen på det geografiske området som berøres.

Kapittel 3. Krav til tilbydere av digitale tjenester
§ 9 Tilbydere av digitale tjenester

Som tilbyder av en digital tjeneste regnes virksomheter som tilbyr tjenester som definert i ehandelsloven § 1 andre ledd bokstav a og b i form av nettbaserte markedsplasser, nettbaserte søkemotorer eller skytjenester.

Med nettbasert markedsplass menes en tjeneste som gjør det mulig for forbrukere og næringsdrivende å inngå nettbaserte salgs- eller tjenesteavtaler med næringsdrivende, enten på nettstedet til den nettbaserte markedsplassen eller på nettstedet til en næringsdrivende som bruker datatjenester som leveres av den nettbaserte markedsplassen.

Med nettbasert søkemotor menes en tjeneste som gjør det mulig for brukere å foreta søk på i prinsippet alle nettsteder eller nettsteder på et bestemt språk, på grunnlag av et nøkkelord, en setning eller andre inndata, og som viser lenker hvor det er mulig å finne informasjon om det forespurte innholdet.

Med skytjeneste menes en tjeneste som gir tilgang til en skalerbar og fleksibel samling av delbare databehandlingsressurser.

Kongen kan gi forskrift om hvilke virksomheter som skal regnes som tilbydere av digitale tjenester.

§ 10 Krav om sikkerhet for tilbydere av digitale tjenester

En tilbyder av en digital tjeneste skal gjennomføre en risikovurdering av nettverks- og informasjonssystemer som benyttes for å levere tjenesten.

Tilbyderen skal iverksette hensiktsmessige og proporsjonale tekniske og organisatoriske sikkerhetstiltak som samlet skal sørge for et sikkerhetsnivå som er tilpasset risikoen. Ved vurderingen av hva som er et forsvarlig sikkerhetsnivå, skal det blant annet ses hen til den teknologiske utviklingen og tas hensyn til

  • a. sikkerheten i systemer, utstyr og anlegg

  • b. hendelseshåndtering

  • c. styring av opprettholdelse av tjenesteleveransen

  • d. overvåking, revisjon og testing

  • e. anerkjente internasjonale standarder.

Tilbyderen skal iverksette proporsjonale tiltak for å forebygge, avdekke og redusere konsekvensene av hendelser, slik at tjenesteleveransen kan opprettholdes.

§ 11 Krav om varsling for tilbydere av digitale tjenester

En tilbyder av en digital tjeneste skal uten unødig opphold og uten hinder av taushetsplikt varsle det organ Kongen utpeker, om hendelser som virker betydelig inn på tjenesteleveransen. Ved vurderingen av om innvirkningen er betydelig, skal det legges vekt på antall brukere som påvirkes, hendelsens varighet, størrelsen på det geografiske området som berøres, omfanget av funksjonalitetssvikten i tjenesten og omfanget av innvirkningen på økonomisk og samfunnsmessig aktivitet.

§ 12 Plikt til å utpeke en representant i Norge

En tilbyder av digitale tjenester som ikke har sitt hovedkontor i Norge eller en annen EØS-stat, og som tilbyr digitale tjenester i Norge, skal utpeke en representant i Norge, med mindre tilbyderen har utpekt en representant i en annen EØS-stat hvor tjenestene tilbys.

Kapittel 4. Tilsyn og administrative reaksjoner
§ 13 Tilsyn

Kongen utpeker én eller flere tilsynsmyndigheter som skal føre tilsyn med tilbydere som omfattes av loven.

§ 14 Opplysningsplikt og tilgang til lokaler og utstyr

Tilbydere og de som handler på vegne av en tilbyder, har plikt til å gi de opplysningene som tilsynsmyndigheten krever for å utføre sine oppgaver, og gi tilsynsmyndigheten tilgang til virksomhetens lokaler og utstyr og yte nødvendig bistand ved tilsynsmyndighetens undersøkelser.

Første ledd gjelder uten hinder av lovbestemt taushetsplikt.

§ 15 Pålegg om retting

Ved overtredelse av bestemmelser gitt i eller i medhold av denne loven kan tilsynsmyndigheten gi tilbydere pålegg om at forholdet skal bringes i orden. Når det gis pålegg, skal det settes en frist for oppfyllelse.

§ 16 Tvangsmulkt

Tilsynsmyndigheten kan treffe vedtak om tvangsmulkt for å sikre at pålegg etter § 15 blir oppfylt. Tvangsmulkten kan fastsettes som en løpende mulkt eller som et engangsbeløp.

Tilsynsmyndigheten kan i særlige tilfeller frafalle påløpt tvangsmulkt.

§ 17 Overtredelsesgebyr

Tilsynsmyndigheten kan ilegge overtredelsesgebyr dersom en tilbyder eller noen som handler på dennes vegne, forsettlig eller uaktsomt overtrer §§ 7, 8, 10, 11 eller 14.

Dersom den ansvarlige for overtredelsesgebyret er et foretak som inngår i et konsern, hefter foretakets morselskap og morselskapet i det konsern selskapet er en del av, subsidiært for beløpet.

Adgangen til å ilegge overtredelsesgebyr foreldes fem år etter at overtredelsen er opphørt. Fristen avbrytes ved at myndigheten gir forhåndsvarsel om eller fatter vedtak om overtredelsesgebyr.

Kapittel 5. Utfyllende regler mv.
§ 18 Forskrifter

Kongen kan gi forskrift om

  • a. krav til sikkerhet og varsling i samsvar med §§ 7, 8, 10 og 11, herunder hva som regnes som tilsvarende krav etter § 5

  • b. gjennomføring av tilsyn med tilbydere underlagt loven

  • c. opplysningsplikt og tilgang til lokaler og utstyr etter § 14

  • d. ileggelse og utmåling av tvangsmulkt og overtredelsesgebyr

  • e. at den som forsettlig eller uaktsomt overtrer forskrift gitt i medhold av bokstav a, kan ilegges overtredelsesgebyr

  • f. gjennomføring av forpliktelser som følger av EØS-avtalen og andre internasjonale avtaler, og som understøtter lovens regler eller formål

  • g. behandling av personopplysninger, blant annet om formålet med behandlingen, behandlingsansvar, hvilke personopplysninger som kan behandles, viderebehandling, utlevering og sletting

  • h. nasjonalt kontaktpunkt for sikkerhet i nettverks- og informasjonssystemer.

Kapittel 6. Sikkerhetssertifisering
§ 19 Sikkerhetssertifisering av informasjons- og kommunikasjonsteknologi

Kongen kan gi forskrift om sikkerhetssertifisering av IKT-produkter, IKT-tjenester og IKT-prosesser for å gjennomføre forpliktelser etter EØS-avtalen. Dette omfatter også

  • a. utpeking av sertifiseringsmyndighet

  • b. tilsyn med sertifiseringsorganer som tilbyr sikkerhetssertifisering av IKT-produkter, IKT-tjenester og IKT-prosesser

  • c. pålegg om retting, tvangsmulkt og overtredelsesgebyr ved overtredelse av krav til sikkerhetssertifisering.

Kapittel 7. Sluttbestemmelser
§ 20 Ikrafttredelse

Loven trer i kraft fra den tiden Kongen bestemmer. De enkelte bestemmelsene kan settes i kraft til ulik tid.

Tagger på denne voteringen:
Ingen tagger Logg inn for å legge til tagger og stemme.

Voteringsresultat per parti