I forarbeidene til lovforslaget antydes det blant annet at nærmere reguleringer av informasjonssikkerhet, varslingsbestemmelser og tilsyn vil fastsettes ved forskrift. Det vil også komme nærmere bestemmelser om hvilke samfunnsviktige virksomheter som vil omfattet av loven, f.eks. ved bruk av terskelverdier. Det sies også at "Terskelverdiene som identifiserer tjenestene skal utformes så konkret at det skal være mulig for virksomheter selv å avgjøre hvorvidt de leverer den omtalte tjenesten".
Hvordan forskriftene konkret vil utformes, må vi avvente. Men departementet skriver i lovforarbeidene at "Forslag til forskrift vil selvsagt bli gjenstand for egen offentlig høring".
Lovforslagets § 10 fastsetter at ved vurdering om man har oppnådd forsvarlig sikkerhet for digitale tjenester, skal man ta hensyn til i hvilken grad man opptrer i samsvar med standarder og sertifiseringer.
Departementet skriver også uttrykkelig i forarbeidene at tilbydere som etterlever NSMs grunnprinsipper for IKT-sikkerhet normalt vil "ivareta kravene som fremgår av loven og retningslinjene".
Et informasjonssikkerhetsbrudd vil typisk omfatte personlige data i tillegg til annen sensitive data. I henhold til Forvaltningsloven har alle forvaltningsorganer og tilsynsmyndigheter en plikt til samordning. Hvis man vurderer en sanksjon for et forhold som også kan være underlagt en annen tilsynsmyndighet, skal man alltid samordne seg. Men i teorien kan vi ikke utelukke at man sanksjoneres etter begge lovene.
Etter lovforslagets kapittel 4 gis relevant tilsynsmyndighet rett til å gi omfattede virksomheter pålegg om å gi informasjon vedrørende digital sikkerhet, samt tilgang til lokaler og utstyr. Ved brudd på loven eller pålegg vil myndighetene kunne kreve retting, pålegge tvangsmulkt og ilegge overtredelsesgebyr.
En vesentlig forskjell fra GDPR, er at det ikke vil bli etablert ett tilsynsorgan for alle virksomhetene som er underlagt loven. Departementet skriver at tilsynsmyndigheten vil legges til eksisterende sektormyndighet. For eksempel kan en se for seg at Mattilsynet ha tilsynsansvar for tilsyn innen sin sektor, f.eks. tilbydere av vannforsyningstjenester.
Det blir derfor spennende å se hvordan tilsynsmyndighetene vil klare å sikre at loven praktiseres likt på tvers av sektorene. Det kan bli en utfordring å sørge for harmonisering, ikke bare nasjonalt, men også på tvers av land andre EU-/EØS-land.
Digitalsikkerhetsloven åpner opp for overtredelsesgebyr ved uaktsomt eller forsettlig brudd på sikkerhetskrav, varslingsplikter eller misligholdt opplysningsplikt til tilsynsmyndighetene, men dette vil normalt være forbeholdt de mer graverende bruddene. Tilsynsmyndighetene vil f.eks. først kunne gi pålegg om retting av avvik.
I tillegg til pålegg om overtredelsesgebyr og retting gir digitalsikkerhetsloven tilsynsmyndighetene rett til å få tilgang til virksomhetens lokaler og utstyr, samt kreve fremlagt dokumentasjon (f.eks. dokumentasjon på risikovurderinger og et styringssystem for it-sikkerhet).
I henhold til lovforslaget kan overtredelsesgebyr rettes mot virksomheten eller noen som handler på vegne av virksomheten. Lovforarbeidene antyder at personlig ansvar først og fremst er aktuelt når det er “nødvendig”. Spørsmålet er når noe er nødvendig. Vårt syn er at dette først om fremst vil være aktuelt i mer graverende tilfeller, eller hvor virksomheten er tømt for kapital, og at hovedregelen vil være at det er virksomheten som blir sanksjonert.
Merk at styremedlemmer, daglig leder eller andre som opptrer på selskapets vegne uavhengig av digitalsikkerhetsloven kan bli holdt personlig erstatningsansvarlig for handlinger de foretar eller unnlater å foreta på en virksomhets vegne etter aksjeloven.
Som alle tiltak knyttet til risiko, det være seg HMS, brann eller andre ting, vil også digital sikkerhet ha en kostnad. Men å forebygge før en hendelse koster betydelig mindre enn å reparere eller gjenopprette etter en hendelse. Vi ser at gjennopprettelse etter ikt-hendelser koster ekstremt mye og du risikerer også å miste verdifull data. Å forebygge i denne sammenheng betyr å planlegge godt, gjennomføre risikovurderinger og basert på dem iverksette kostnadseffektive tiltak.
Både GDPR og NIS-direktivet formulerer overordnede krav til at sikkerheten er egnet holdt opp mot risikoen. Reglene i begge regelsett har nesten identisk ordlyd, men NIS-direktivet regulerer mer enn bare personopplysninger. Derfor vil NSM grunnprinsipper i større grad være egnet som veileder til datasikkerhet opp mot NIS.
Et smart sted å begynne, er å gjøre en såkalt gap-analyse. Den vil gi dere svar på hva som må til for å tette gapet mellom nåsituasjonen i deres virksomhet og kravene som NIS-direktivet stiller.
Les mer om hva en gap-analyse er og hvordan vi i Netsecurity jobber med gap-analyser.
