Lover og regelverk for digital sikkerhet

Artikelen nedenfor gir en innføring i regulering av digital sikkerhet.

1. Viktigheten av regelverk om digital sikkerhet

Lover og regler har alltid vært nødvendig for å opprettholde et velfungerende samfunn. Gjennom digitalisering er samfunnet blitt helt avhengig av digitale systemer for å fungere. Økning i angrep mot digitale systemer med alvorlige konsekvenser utgjør dermed en alvorlig trussel, slik at sikkerheten i digitale systemer må reguleres for å opprettholde et velfungerende samfunn.

1.1. Regelverk som kilde til krav om informasjonssikkerhet

Regelverk for informasjonssikkerhet er en essensiell kilde til krav om informasjonssikkerhet. Noen lover eller forskrifter gir direkte pålegg om sikkerhetstiltak, som f.eks. forskrift om IT-standarder i offentlig forvaltning, § 11, som blant annet sier at alle nettsider tilhørende offentlig forvaltning skal sikres med serversertifikater og HTTPS. Imidlertid er det mer og mer vanlig at lover og forskrifter pålegger virksomheter å implementere sikkerhet ut ifra risikovurderinger, som f.eks. sikkerhetsloven, § 4-2, som blant annet sier at risikovurderinger skal danne grunnlag for iverksetting av forebyggende sikkerhetstiltak.

Virksomheter har en plikt til å følge lover og forskrifter, der ledelsen er ansvarlig (eng. accountable) for at virksomheten etterlever disse. For en virksomhet er det betydelig mer utfordrende å etterleve krav om å styre informasjonssikkerhet basert på risikovurderinger, enn det er å etterleve konkrete krav om å implementere spesifikke sikkerhetstiltak. Virksomheten må ha en viss modenhet og trenger et styringssystem for informasjonssikkerhet (ISMS) for å kunne styre informasjonssikkerhet basert på risikovurderinger. En ekvivalent betegnelse for ISMS er «system for internkontroll». For at en virksomhet skal kunne styre informasjonssikkerhet på best mulig måte, og gjøre risikobaserte prioriteringer, krever mange lover og forskrifter at virksomheter nettopp skal ha et styringssystem for informasjonssikkerhet.

Arbeidet med å etterleve krav til informasjonssikkerhet spesifisert i regelverk har naturligvis en kostnad som virksomheter må integrere i sine budsjetter. Å ikke etterleve, eller bare delvis å etterleve, visse krav kan derfor gi en kostnadsbesparelse. På den annen side vil det medføre en risiko for at virksomheten, eller individer, blir ilagt straff, eller får andre negative konsekvenser hvis det avdekkes at virksomheten ikke etterlever lover og forskrifter. Rent økonomisk kan virksomheter se på dette som etterlevelsesrisiko, som altså er risikoen for at mulige kostnader ved mangel på etterlevelse er større enn besparelser gjennom reduserte kostnader ved redusert etterlevelse. Ansvarsområdet for slike vurderinger ligger hos toppledelsen.

1.2. Ansvar

Toppledelsen og eierne av en virksomhet er ansvarlig (eng. accountable) for å sørge for at drift av virksomheten skjer i samsvar med gjeldende regelverk. Ved brudd på etterlevelse av gjeldende regelverk kan virksomheten straffes med overtredelsesgebyrer, som er en virksomhetsstraff. Alternativt, eller i tillegg, kan individer straffes med bøter eller fengsel, som er en personlig straff. Hvem i virksomheten som kan gis en personlig straff ved lovbrudd, avhenger av omstendigheter. I utgangspunktet skal den straffes som har høyest autoritet i virksomheten, og som samtidig burde visst om, og kunne forhindret, bruddet på loven. Det er en misforståelse å tro at den ansatte som klikket på en skadelig lenke i en phishing-e-post, dermed er ansvarlig hvis det fører til et sikkerhetsbrudd med betydelig tap som følge. Selv om alle i virksomheten er «ansvarlige» (eng. responsible) for informasjonssikkerhet, ligger «ansvaret» (eng. accountability) alltid hos toppledelsen. Den tvetydige språkbruken rund begrepet ansvarlig, som dessverre er vanlig på norsk, kan være forvirrende, og forklares lenger ned i avsnittet.

Sentrale lover for informasjonssikkerhet uttrykker prinsippet om ansvar svært tydelig. Sikkerhetsloven § 4-1 sier at virksomhetens leder har ansvar for det forebyggende sikkerhetsarbeid i virksomheten, og GDPR art. 5-2 peker på at den behandlingsansvarlige (i prinsippet virksomhetens ledelse) nettopp er ansvarlig for å overholde GDPR. Ved brudd på etterlevelse kan virksomheten etter sikkerhetsloven eller GDPR få en virksomhetsstraff.

Som nevnt over kan individer også straffes. Aksjeloven § 17-1 sier for eksempel at daglig leder eller (medlemmer i) styret i et aksjeselskap kan bli erstatningsansvarlig dersom selskapet eller aksjeeierne påføres tap som følge av uaktsomhet fra daglig leder eller styret. Krav om erstatning mot individer kan komme dersom selskapet blir påført betydelige tap som følge av brudd på informasjonssikkerhet, og det blir påvist at ledelsen eller styret over tid bevisst har nedprioritert styring av informasjonssikkerhet i den helhetlige ledelse og styring av selskapet. GDPR art. 84 sier at hvert medlemsland skal bestemme strafferammen overfor individer i tilfelle det begås grove brudd på GDPR. Som nasjonal tilpasning har Norge, gjennom personopplysningsloven § 48, satt strafferammen til bøter og/eller fengsel inntil 1 år (3 år ved særdeles skjerpende omstendigheter).

Begrepet «ansvarlig» er tvetydig på norsk. På engelsk skilles det mellom «accountability» og «responsibility». Det kan forklares slik at «accountability» betyr «regnskapelighet» eller «å stå til regnskap», mens «reponsibility» betyr å ha som oppgave og plikt å utføre noe. På norsk betyr begrepet ansvarlig begge deler, slik at vi er nødt til å tolke meningen av «ansvarlig» ut fra sammenhengen, men det er ikke alltid like enkelt. Man kan oså si at «accountability» oversettes til «overordnet ansvar», og at «responsibility» oversettes til «utførende ansvar».

I GDPR (personopplysningsloven) betyr «den behandlingsansvarlige» den som står til regnskap for behandlingen overfor «de registrerte» og overfor myndighetene. Det står i kontrast til modellen for skyarkitekturer og skysikkerhet der ansvarlig betyr den som har til oppgave å utføre en type IT-tjeneste eller en type sikkerhetsfunksjon.

For å unngå misforståelser er det viktig å være bevisst de to betydningene av begrepet ansvarlig. Når begrepet nevnes i lover og forskrifter, og i diskusjoner om etterlevelse av lover og forskrifter, er det alltid betydningen av «den som står til regnskap» eller «overordnet ansvarlig» (eng. accountable) som gjelder. Når begrepet benyttes i sammenheng med sikkerhetskultur og ansattes roller i arbeid med informasjonssikkerhet i virksomheten, er det som regel betydningen av «den som har til oppgave» eller «utførende ansvarlig» (eng. responsibility) som gjelder.

2. Grunnleggende begreper om regelverk

Nedenfor gis en kort beskrivelse av generelle aspekter ved regelverk. Det fins lærebøker om lov og rett som gir en mer utfyllende oversikt.

2.1. Hierarki av regelverk og krav

Regelverk rangeres etter et hierarki, som betyr at regelverk lenger opp i hierarkiet er mer generelle enn regelverk lenger ned. Det betyr også at regelverk lenger opp overkjører regelverk lenger ned hvis de på en eller annen måte skulle motsi hverandre. Figuren nedenfor viser hierarkiet av regelverk delt opp i tre kategorier.

Hierarki av regelverkHierarki av regelverk.

Den øverste kategorien består av lover og forskrifter bestemt av myndighetene. I denne kategorien ligger naturligvis Grunnloven på topp, etterfulgt av vanlige lover, stortingsvedtak, kongelige resolusjoner, administrative regelverk og andre vedtak fra ulike myndigheter. For en virksomhet utgjør denne kategorien eksterne myndighetskrav.

Den mellomste kategorien består av eksterne krav fra andre enn myndigheter. I første rekke vil kontrakter med eksterne parter sette krav som avtales mellom virksomheten og eksterne parter. I mange sektorer fins det formelle normer som setter krav til virksomheter for å kunne delta innen sektoren. Et eksempel på slike krav er den nasjonale Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren (Normen), som setter sikkerhetskrav til alle virksomheter som deltar i, og er koblet til, Norsk helsenett. Et annet eksempel er den internasjonale Payment Card Industry Data Security Standard (PCI DSS), som setter sikkerhetskrav til alle virksomheter som deltar i betalingstransaksjoner med betalingskort og kredittkort. Det fins også en rekke mindre formelle normer som virksomheter forventes å følge, uten at det nødvendigvis får noen direkte konsekvenser om de ikke gjør det. For eksempel regnes det som god praksis at virksomheter gir offentlig informasjon når de har vært utsatt for alvorlige cyberangrep.

Den nederste kategorien krav er de som virksomheten setter til seg selv gjennom policyer og interne regler for prosedyrer, forretningsprosesser og saksbehandling. Virksomhetens policyer kan for eksempel sette krav til passordstyrke eller ansattes bruk av personlige enheter.

2.2. Formål og virkeområde til lover og forskrifter

Virksomheter må kartlegge hvilke lover og regler de er underlagt. Med utgangspunkt i hver enkelt lov eller forskrift er det forholdsvis enkelt å finne ut om den gjelder for en virksomhet. Lover er typisk delt inn i kapitler, der kapittel 1 alltid har en paragraf som definerer hvem eller hva loven gjelder for. I sikkerhetsloven, som beskrives nedenfor, er det § 1-2 som definerer hvem loven gjelder for. I energiloven er det § 1-1 som definerer Virkeområde, det vil si hva loven gjelder for.

En lov har alltid et formål (ellers ville loven være meningsløs). Formålet er ofte eksplisitt uttrykt i loven i en av de første paragrafene (i kapittel 1) av loven. I energiloven er det § 1-2 som definerer dens formål slik:

  • Loven skal sikre at produksjon, omforming, overføring, omsetning, fordeling og bruk av energi foregår på en samfunnsmessig rasjonell måte, herunder skal det tas hensyn til allmenne og private interesser som blir berørt.

2.3. Sammenheng mellom lover og forskrifter

Teknologiutviklingen går i rasende fart, mens utvikling og revisjon av regelverk typisk er en langsom og møysommelig prosess. Det er derfor svært utfordrende å lage lover som effektivt kan regulere bruk av ny IT (informasjonsteknologi). Dette er desto mer problematisk når ny IT fører til dramatiske endringer av samfunnet, som innføringen av internett gjorde, og som nå skjer med innføringen av AI (kunnstig intelligens) og ML (maskinlæring) i stor skala.

Det går relativt raskere og det er lettere å lage og endre forskrifter enn det gjør med lover. Dermed er forskrifter ofte bedre egnet til å regulere ny IT. For at det skal være mulig, må lover inneholde paragrafer som nettopp sier at regjeringen (beskrevet som Kongen i statsråd), et departement eller annen reguleringsmyndighet kan lage forskrifter som gir mer detaljerte regler enn selve loven. Når en forskrift på den måten utfyller en spesifikk lov, sier vi at forskriften har hjemmel i loven. Alle forskrifter må ha hjemmel i minst én lov, og kan ha hjemmel i flere lover.

Lovhjemmelen til en forskrift er alltid oppført helt i begynnelsen av forskriften. Som eksempel er det lett å slå opp i Lovdata.no og se at virksomhetssikkerhetsforskriften er hjemlet i sikkerhetsloven, at kraftberedskapsforskriften er hjemlet i energiloven, og at forskrift om IT-standarder i offentlig forvaltning er hjemlet i forvaltningsloven.

Lover og forskrifter må håndheves av et statlig organ, ellers vil de ikke bli fulgt, og blir meningsløse. Lover og forskrifter kan nevne et statlig organ som forvaltningsmyndighet for loven, eller kan si at regjeringen (Kongen i statsråd) eller et departement kan utpeke en forvaltningsmyndighet. Som eksempel er NSM (Sikkerhetsmyndigheten) forvalter av sikkerhetsloven, Datatilsynet er forvalter av personopplysningsloven, NVE er forvalter av kraftberedskapsforskriften, og hvert organ for stat eller kommune regnes som forvaltningsorgan for forvaltningsloven.

3. Sentrale lover for digital sikkerhet

Det eksisterer et stort antall lover og forskrifter som berører informasjonssikkerhet. Avsnittene nedenfor dekker bare de mest sentrale.

3.1. Sikkerhetsloven

Formålet med sikkerhetsloven av 2019 er særdeles klart uttrykt i § 1-1:

Loven skal bidra til

  • a. å trygge Norges suverenitet, territorielle integritet og demokratiske styreform og andre nasjonale sikkerhetsinteresser
  • b. å forebygge, avdekke og motvirke sikkerhetstruende virksomhet
  • c. at sikkerhetstiltak gjennomføres i samsvar med grunnleggende rettsprinsipper og verdier i et demokratisk samfunn.

Det er interessant å legge merke til at begrepet «sikkerhetstruende virksomhet» i § 1-1.b er definert som «tilsiktede handlinger som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser» i § 1-5.4. Med andre ord fokuserer sikkerhetsloven ikke på å forebygge brudd på sikkerhet som følge av naturhendelser, systemfeil eller menneskelige feil. Sikkerhetslovens smale fokus på både årsak og konsekvens er illustrert med oransje farge i figuren nedenfor.

Sikkerhetslovens fokusSikkerhetslovens fokus.

I henhold til § 1-2 gjelder sikkerhetsloven for statlige, fylkeskommunale og kommunale organer, for leverandører av varer eller tjenester i forbindelse med sikkerhetsgraderte anskaffelser, og andre områder som regjeringen (Kongen i statsråd) bestemmer. Sikkerhetsloven fokuserer både på beskyttelse av gradert informasjon, og på beskyttelse av informasjonssystemer, infrastruktur og objekter av sentral betydning for nasjonal sikkerhet. Sikkerhetsloven er dynamisk på den måten at den setter krav til at virksomheter har et styringssystem for informasjonssikkerhet og innfører sikkerhetstiltak basert på risikovurderinger for å oppnå et forsvarlig sikkerhetsnivå. I tillegg til offentlig sektor er flere private selskaper og sektorer underlagt sikkerhetsloven, som f.eks. infrastruktur, elektronisk kommunikasjon, kraftforsyning, vannforsyning, bank, og finans. De private virksomheter, eller deler av disse, som er underlagt sikkerhetsloven, forvalter grunnleggende nasjonale funksjoner (GNF). For disse er det viktig at ansatte, styrer og ledelse evner å forstå styring av informasjonssikkerhet.

Virksomhetssikkerhetsforskriften, som er hjemlet i sikkerhetsloven, gir utfyllende regler om hvordan offentlige og private virksomheter som er underlagt sikkerhetsloven, skal utføre forebyggende sikkerhetsarbeid. Forskriften setter blant annet krav til styringssystem for informasjonssikkerhet.

3.2. Personopplysningsloven

For tradisjonell informasjonssikkerhet eksisterer forretningsmodeller og insentiver for at organisasjoner selv innfører tiltak for å redusere sikkerhetsrisiko. I kontrast til tradisjonell informasjonssikkerhet eksisterer det egentlig ingen naturlig forretningsmodell for organisasjoner for å ivareta personopplysningsvern. Sagt på en annen måte: Uten regulering ville organisasjoner hatt få insentiver for å sørge for personopplysningsvern. I EU eksisterer det sterk politisk vilje til nettopp å beskytte innbyggeres integritet gjennom personopplysningsvern, noe som har resultert i innføringen av GDPR. Dette har vært en politisk og juridisk prosess som har gjort GDPR til en særegen modell for personopplysningsvern. GDPR er juridisk orientert, og kan virke relativt innviklet og vanskelig å forstå fra et IT-perspektiv.

Uavhengig av GDPR fins det en rekke tilnærminger for å styrke personvern i digitale omgivelser. Slike teknologier går gjerne under navnet PET (Privacy Enhancing Technologies). Typiske PET er teknologier for anonymisering og pseudonymisering. GDPR (General Data Protection Regulation) er en EU-forordning som skal styrke og harmonisere personvernet i EU og EØS gjennom regler for behandling av personopplysninger. På norsk kalles GDPR for Personvernforordningen. Dette navnet er igjen en unøyaktighet, for egentlig burde det hete «Personopplysningsvernforordningen», men det ville nok være for mye å forvente av noen å uttale et slikt ord. Vanligvis snakker man om «GDPR» i stedet for det unøyaktige ordet «Personvernforordningen».

Selv om GDPR er en forordning, åpner den for en rekke nasjonale tilpasninger som i Norge er innlemmet i personopplysningsloven, men som ikke er en del av GDPR. Som eksempel sier GDPR art. 84 at hvert medlemsland skal bestemme strafferammen overfor individer i tilfelle det begås grove brudd på GDPR. Som nasjonal tilpasning har Norge, gjennom personopplysningsloven § 48, satt strafferammen til bøter og/eller fengsel inntil 1 år (3 år ved særdeles skjerpende omstendigheter).

GDPR gjelder først og fremst innen EU/EØS, men omhandler også behandling av personopplysninger som skjer utenfor EU eller overføring av personopplysninger ut av EU.

Hensdiktebn med GDPR er at «behandling av personopplysninger ikke får konsekvenser for den registrertes rettigheter og friheter». Det som menes med «rettigheter og friheter», er først og fremst rettighetene som beskrives i GDPR art. 12–22, men også rettigheter nedfelt i Grunnloven, FNs menneskerettigheter og Den europeiske menneskerettighetskonvensjonen, som blant annet beskriver retten til privatliv, kommunikasjonsvern, ytringsfrihet, religionsfrihet, retten til å organisere seg, og frihet fra diskriminering.

GDPR Art. 5 kan betraktes som et sammendrag av hele GDPR. Denne artikkelen definerer hva som menes med begrepet personvern i henhold til GDPR, og definerer syv kortfattede prinsipper som skal være lette å huske. Disse prinsippene er kort beskrevet nedenfor.

  • Art. 5.1.a: Lovlighet, rettferdighet og åpenhet
    Med lovlighet menes for det første at det fins et behandlingsgrunnlag for behandlingen, der art. 6 i GDPR beskriver spesifikke behandlingsgrunnlag. Den behandlingsansvarlige må begrunne at behandlingen faller inn under minst ett av behandlingsgrunnlagene beskrevet i art. 6. Dernest avhenger lovlighet også av at behandlingen er i samsvar med alle de andre artiklene i GDPR, og her er det mye å passe på. For eksempel krever art. 25 at det som standardinnstilling kun skal samles inn og behandles et minimum av personopplysninger som er nødvendig for formålet. Art. 32 krever at lagring og behandling av personopplysninger er underlagt adekvate sikkerhetstiltak. Hvis personopplysninger skal overføres til land utenfor EU/EØS, kreves et overføringsgrunnlag som beskrives i art. 45 og 46. Dette er bare noen eksempler. Med rettferdighet menes det som befolkningen i EU/EØS generelt oppfatter som rettferdig. Dette prinsippet er altså noe vagt, og kan juridisk sett bli benyttet til å fange opp ting som ikke spesifiseres konkret av andre artikler i GDPR. Med åpenhet menes at den registrerte skal ha innsyn i om det behandles personopplysninger om hen, hvilke opplysninger som behandles, og hva formålet er. Dette er avgjørende for at den registrerte skal kunne benytte seg av de andre rettighetene som GDPR gir, som retten til å få sine opplysninger korrigert, eller å trekke tilbake samtykke og få sine opplysninger slettet.
  • Art. 5.1.b: Formålsbegrensning
    Med formålsbegrensning menes at personopplysninger kun behandles for spesifikke og legitime formål. Alle behandlingsformål av personopplysninger skal beskrives presist og forklares på en måte som gjør at alle berørte har samme forståelse av formålene. At et formål er legitimt, betyr at det skal ha et rettslig grunnlag og at det skal være i samsvar med øvrige etiske og rettslige samfunnsnormer. Personopplysninger som er samlet inn for et spesifikt formål, kan ikke gjenbrukes til formål som er uforenelig med det opprinnelige formålet.
  • Art. 5.1.c: Dataminimering
    Med dataminimering menes at innsamling og bruk av personopplysninger i behandlingen skal begrenses til det som er nødvendig for å realisere formålet med behandlingen. Dersom personopplysninger ikke er nødvendige for å oppnå formålet, skal de heller ikke samles inn. Videre skal hver applikasjon bare benytte og hente personopplysninger som er nødvendig for behandlingen, selv om virksomheten kanskje har lagret et større sett med personopplysninger.
  • Art. 5.1.d: Riktighet
    Personopplysninger som behandles, skal være korrekte sett opp mot behandlingens formål. Dette kan for eksempel være avgjørende for at helsepersonell skal kunne gi riktig behandling. Hvis aspekter ved en person endres, skal personopplysninger om disse aspektene oppdateres. Dette betyr at den behandlingsansvarlige må sørge for å straks rette personopplysninger som er utdaterte eller feil, eller slette personopplysninger som ikke kan rettes.
  • Art. 5.1.e: Lagringsbegrensning
    Prinsippet om lagringsbegrensning betyr at personopplysninger skal slettes eller anonymiseres når de ikke lenger er nødvendige for formålet de ble innhentet for. Imidlertid er det ikke alltid klart når formålet er oppnådd. For eksempel ved ansettelser der flere personer har søkt på samme stilling, skal normalt søknader til de som ikke ble ansatt, slettes når stillingen er besatt. Men i tilfelle den nyansatte ombestemmer seg etter kort tid, vil det være praktisk at virksomheten kan se nærmere på neste person på listen og tilby stillingen til denne uten å måtte utlyse stillingen på nytt. Dessuten fins en rekke andre lover som setter krav til oppbevaring av personopplysninger, blant annet for etterforskning av kriminalitet og for arkivering av regnskapsdokumenter.
  • Art. 5.1.f: Integritet og konfidensialitet
    Dette prinsippet fokuserer på tradisjonell informasjonssikkerhet, som betyr at personopplysninger må beskyttes med adekvate sikkerhetstiltak. Selv om det ikke nevnes eksplisitt, bør tilgjengelighet inkluderes her, slik at dette prinsippet betyr KIT for personopplysninger.
  • Art. 5.2: Ansvar
    Prinsippet om ansvar betyr at virksomheter står til regnskap for å sørge for at behandlingen av personopplysninger skjer i samsvar med GDPR. På engelsk kalles dette prinsippet «accountability», som også kan oversettes med regnskapelighet eller «å stå til regnskap», se forklaring i avsnitt 1.2 ovenfor. Å vise ansvarlighet betyr at virksomheten dokumenterer alle relevante aspekter ved behandlingen, som formål, behandlingsgrunnlag, typer personopplysninger, DPIA og risikovurderinger osv., og at dokumentasjonen kan legges frem ved tilsyn. Det betyr også at den behandlingsansvarlige ikke skal kunne fraskrive seg ansvar ved brudd på GDPR, selv om hendelsen for eksempel ligger hos en databehandler. For å vise ansvarlighet må virksomheter opptre proaktivt ved å etablere nødvendige organisatoriske og tekniske tiltak som trengs for å etterleve GDPR.

3.3. Andre relevante lover og forskrifter for digital sikkerhet

Det fins et relativt stort antall lover og forskrifter som setter krav til informasjonssikkerhet. Nedenfor presenteres et lite utvalg.

3.3.1. eForvaltningsforskriften
Forskriftens formål er å legge til rette for sikker og effektiv bruk av elektronisk kommunikasjon med og i forvaltningen. Forskriften gjelder for elektronisk kommunikasjon med forvaltningen og for elektronisk saksbehandling og kommunikasjon i forvaltningen. Forskriften setter krav om at forvaltningsorganer skal ha et styringssystem for informasjonssikkerhet, beskrevet som Internkontroll på informasjonssikkerhetsområdet (Kapittel 3. Styring og kontroll med informasjonssikkerheten, § 15)

3.3.2. Kraftberedskapsforskriften
Forskriften skal sikre at kraftforsyningen opprettholdes og at normal forsyning gjenopprettes på en effektiv og sikker måte i og etter ekstraordinære situasjoner for å redusere de samfunnsmessige konsekvensene. Kraftberedskapsforskriften gjelder for alle KBO-enheter, der KBO (Kraftforsyningens beredskapsorganisasjon) omfatter NVE og de virksomheter som står for kraftforsyningen. Dette omfatter alle enheter som eier eller driver kraftproduksjon med tilhørende vassdragsregulering, overføring og distribusjon av elektrisk kraft og fjernvarme. Forskriften har en rekke bestemmelser relatert til informasjonssikkerhet. Disse er:

  • Kapittel 5. Klassifisering og sikringstiltak
  • Kapittel 6. Informasjonssikkerhet
  • Kapittel 7. Beskyttelse av driftskontrollsystem

3.3.3. Aksjeloven og almenaksjeloven
Et aksjeselskap er en selskapsform hvor eierne ikke er personlig ansvarlige for selskapets forpliktelser eller gjeld. Det betyr at selskapets kreditorer ikke kan kreve at aksjeeierne personlig dekker gjelden til selskapet. Selskapet skal ha et styre med ett eller flere medlemmer. Lovene inneholder bestemmelser om hvordan aksjeselskapet skal organiseres på en forsvarlig måte. Aksjeloven og allmennaksjeloven tar i liten grad for seg informasjonssikkerhet. Imidlertid er det viktig å legge merke til det implisitte kravet om rapportering til styret ved alvorlige cybersikkerhetshendelser. Dette uttrykkes slik i § 6-14 nr. 2: «Den daglige ledelse omfatter ikke saker som etter selskapets forhold er av uvanlig art eller stor betydning.» Hvis en cybersikkerhetshendelse er uvanlig eller har stor betydning, har altså daglig leder plikt til å rapportere hendelsen til styret.

3.4. Regelverk fra EU

EU har et omfattende regelverk bestående hovedsaklig av direktiver (eng. directives) og forordninger (eng. acts, regulations). Et EU-direktiv skal implementeres i en eller flere nasjonale lover med omtrent tilsvarende innhold. Hvis Norge tar inn et nytt direktiv, kan det hende at Norge allerede har lover som dekker direktivet helt eller delvis.

En EU-forordning skal som hovedregel implementeres som nasjonal lov nøyaktig slik den er artikulert av Europakommisjonen, bare oversatt til det nasjonale språk. Den nasjonale loven er da en henvisningslov. Imidlertid kan en forordning inneholde bestemmelser som gir den enkelte stat mulighet til å tilpasse deler av en forordning til nasjonal rett. Et typisk eksempel på dette er GDPR, der Norge har gjort en rekke nasjonale tilpasninger i personopplysningsloven som omfatter GDPR.

EØS-landene bestemmer sammen om et EU-direktiv eller en EU-forordning skal gjelde i EØS-landene, som dermed betyr at direktivet eller forordningen blir tatt inn i selve EØS-avtalen. Her gjelder prinsippet om alle eller ingen, det vil si at Norge ikke kan bestemme alene om vi skal eller ikke skal ta inn et EU-direktiv eller en EU-forordning. Norge kan også vedta lover som er i samsvar med et direktiv eller en forordning, uten at disse formelt blir en del av EØS-avtalen.

3.4.1. NIS2-direktivet (Network and Information Security nr. 2), 2023
NIS2-direktivet gjelder fra 2023, og erstatter det tidligere NIS-direktivet fra 2016. Da Norge og EØS-landene allerede har innlemmet det forrige NIS-direktivet, betyr NIS2 at Norge vil implementere NIS2-direktivet som ny lov om digital sikkerhet i 2024. Elementer i NIS2 er blant annet å:

  • skape samarbeid om en europeisk infrastruktur for håndtering av cyberkrise gjennom EU-CyCLONe (European Cyber Crises Liaison Organisation Network),
  • harmonisere sikkerhetskrav og rapporteringsplikter,
  • sørge for at medlemslandenes cybersikkerhetsstrategier dekker sikkerhet i leveransekjeder, sårbarhetshåndtering, sikkerhet i kjernenettet og generell digital sikkerhetskultur og cyberhygiene.

3.4.2. GDPR (General Data Protection, Regulation), 2018
GDPR heter på norsk Personvernforordningen, som er implementert i personopplysningsloven. GDPR er beskrevet ovenfor i avsnitt 3.2 om personopplysningsloven.

3.4.3. eIDAS-forordningen (electronic IDentification And trust Services), 2014
eIDAS er i Norge implementert som lov om elektroniske tillitstjenester, som trådte i kraft 15. juni 2018. Forordningen er for tiden under revisjon i EU.

Myndigheter i alle land går i økende grad over til e-forvaltning (e-Governance), som betyr digitalisering av offentlige tjenester. God autentisering er viktig når innbyggere må logge seg inn for å få tilgang til offentlige tjenester. En ordning for brukerautentisering i e-forvaltning kalles eID. Det er naturlig at eID-ordninger harmoniseres mellom alle offentlige tjenester, både nasjonalt innen hvert land og regionalt som i EU. Norge og mange andre land har derfor publisert veiledere for autentisering til bruk i offentlig sektor. Veileder for identifikasjon og sporbarhet i elektronisk kommunikasjon med og i offentlig sektor, publisert av DigDir i 2022, følger eIDAS-forordningen. Begrepet «tillitstjeneste» er EU-sjargong for PKI-baserte sertifiserings- og autentiseringstjenester. Merk at det i Norge noen ganger fremdeles refereres til det gamle norske autentiseringsrammeverket fra 2008 som definerer fire autentiseringsnivåer. Det europeiske eIDAS definerer tre LoA (Levels of Assurance) for autentisering, dvs. tre autentiseringsnivåer, også kalt sikkerhetsnivåer. Nedenfor er en forenklet beskrivelse av krav for hvert autentiseringsnivå, som er omtrent like i den europeiske eIDAS-forordingen, den amerikanske veilederen SP 800-63-3 og i den norske veilederen for identifikasjon og sporbarhet.

  • Lavt: 1-faktorautentisering, f.eks. statisk passord mottatt personlig eller via post til brukerens offisielle postadresse.
  • Betydelig: 2-faktorautentisering (2FA), f.eks. statisk passord og i tillegg engangskoder mottatt via post til brukerens offisielle postadresse, alternativt via SMS (norsk ordning: MinID).
  • Høyt: 2-faktorautentisering (2FA), f.eks. statisk passord, og i tillegg fysisk brikke mottatt ved personlig oppmøte, alternativt app på mobil (norske ordninger: Commfides, Buypass, BankID-brikke, BankID-app).

I 2021 startet EU prosessen med revidering av eIDAS-forordningen som antagelig vil skifte navn til forordning for digital identitet (eng. digital identity act), også kalt eID-forordningen. Den reviderte forordningen vil blant annet beskrive et europeisk rammeverk for eID. Norge har hatt en god eID-ordning helt siden autentisering med fødselsnummer og BankID ble innført i 2004. De andre nordiske landene og en del andre EU-land har også gode eID-ordninger, men det gjelder ikke alle land i EU. Hensikten med å innføre europeisk eID er blant annet å tvinge alle EU-land til å innføre gode eID-ordninger for sine innbyggere, og for at disse ordningene skal fungere over landegrensene.

Den nye eID-forordningen vil også beskrive en såkalt digital identitetslommebok (eng. digital identity wallet), også kalt ID-lommebok. En ordning for ID-lommebok vil gjøre at hver innbygger skal kunne bruke en app tilknyttet sin eID som gjør det enkelt å presentere dokumentasjon i form av verifiserbare akkreditiver (eng. verifiable credentials) i ulike sammenhenger. Et verifiserbart akkreditiv er et digitalt signert dokument som tredjeparts mottagere kan verifisere autentisiteten og ektheten av. Verifiserbare akkreditiver kan for eksempel være sertifiseringer, vitnemål, karakterutskrifter, referanser, attester, lisenser, tillatelser, vaksinasjoner og medisinske prøveresultater. En velfungerende ordning for ID-lommebok har potensial for å effektivisere forvaltning av denne typen dokumenter, og for å forhindre dokumentforfalskning. EU diskuterer også begrepet selv-suveren identitet (SSI) (eng. self-souvereign identity), som betyr at hver innbygger skal kunne definere og forvalte sin egen eID med forankring i blokkjeder. En ordning for SSI ville gjøre det mulig å benytte en selvdefinert identifikator i stedet for fødselsnummeret, for tilgang til e-forvaltningstjenester. Visjonene om ID-lommebok og selv-suveren identitet er temmelig ambisiøse, så det kan ta en stund før den nye eID-forordningen blir ferdig.

3.4.4. PSD2 (betalingstjenestedirektivet), 2019
PSD2 (Payment Services Directive nr. 2) regulerer betalingstjenester i EUs indre marked, og er implementert bl.a. i finansforetaksloven og forskrift om betalingstjenester. Et viktig aspekt er at direktivet åpner for at bankkunder kan benytte andre aktører enn de tradisjonelle bankene for å utføre finansielle operasjoner • Ekomdirektivet (Directive for establishing a European Electronic Communications Code), 2021 Ekomdirektivet er implementert i ekomloven, som har til formål å stimulere investeringer i og utrulling av i høyhastighetsnett i hele EU, styrke det indre marked og styrke forbrukerrettigheter. Den reviderte ekomloven utvider virkeområdet til å dekke nye typer kommunikasjonstjenester som f.eks. Messenger, WhatsApp, Signal osv.

3.4.5. Cybersikkerhetsforordningen (Cybersecurity Act), 2023
Det noe pretensiøse navnet på denne forordningen er ikke lett å tolke intuitivt. Forordningen dreier seg hovedsakelig om ENISA (European Union Agency for Cybersecurity), som gjennom forordningen får en permanent status med spesifikt mandat. ENISA ble opprettet i 2004 som European Network and Information Security Agency, men hadde ingen permanent status og var avhengig av årlig budsjettbevilgning fra Europakommisjonen. Cybersikkerhetsforordningen gir ENISA permanent status, et styrket budsjett, flere ansatte og et styrket mandat. ENISA skal etter anmodning kunne bistå medlemslandene med grenseoverskridende hendelseshåndtering, herunder blant annet rådgivning, analyse og tekniske undersøkelser. ENISA skal også særlig bistå og legge til rette for medlemslandenes kapasitetsutbygging, operasjonelt samarbeid og forskning og utvikling. Forordningen etablerer også et felleseuropeisk rammeverk for frivillig sertifisering av IKT-produkter, tjenester og prosesser. Forordningen er foreløpig ikke vedtatt som norsk lov, men blir det antagelig. Det vil gi Norge og EØS-landene deltagelse og status i ENISA og ECCG (The European Cybersecurity Certification Group), men uten stemmerett.

3.4.6. Cyber Resilience Act (under arbeid)
Forslaget til Cyber Resilience Act fokuserer på å sette sikkerhetskrav til digitale produkter, både maskinvare og programvare. Cyber resilience kan oversettes med cybertåleevne, eller anglifisert som cyberresiliens. Denne forordningen kan knyttes sammen med sertifisering av IKT-produkter som er en del av cybersikkerhetsforordningen beskrevet over.

 

Utdrag fra Informasjonssikkerhet: Teori og praksks, 2. utgave, 2023, Audun Jøsang, Universitetsforlaget.

 

Publisert 5. aug. 2023 12:45 - Sist endret 6. okt. 2023 08:17
Del på e-post