1. Innledning

Norges Bank viser til høringsbrev fra Justis- og beredskapsdepartementet 21. desember 2018 hvor to saker er sendt på felles høring:

Regjeringens utkast til lov som gjennomfører EUs direktiv om sikkerhet i nettverk og informasjonssystemer (NIS-direktivet).Utredning fra IKT-sikkerhetsutvalget NOU 2018: 14 IKT-sikkerhet i alle ledd – Organisering og regulering av nasjonal IKT-sikkerhet.

Justis- og beredskapsdepartementet opplyser i høringsbrevet at NOU 2018: 14 og lovforslaget som skal gjennomføre NIS-direktivet er sendt på felles høring fordi det er nær sammenheng mellom sakene. Dette gjelder særlig IKT-sikkerhetsutvalgets (utvalgets) anbefaling om en ny IKT-sikkerhetslov, der utvalget i stor grad viser til regjeringens lovutkast som skal gjennomføre NIS-direktivet.

2. Forslag til ny lov om IKT-sikkerhet som gjennomfører EUs NIS-direktiv

NIS-direktivet har som formål å øke IKT-sikkerheten i EU. Det bes i høringsbrevet om en tilbakemelding på om det bør vedtas en lov som gjennomfører minimumsforpliktelser som følger av NIS-direktivet selv om vi foreløpig ikke er forpliktet etter EØS-avtalen. Regjeringen besluttet i 2016 å anse direktivet som EØS-relevant. Direktivet trådte i kraft i EU i mai 2018.

Norges Bank har ingen innvendinger mot at NIS-direktivet gjennomføres nå, selv om Norge foreløpig ikke er forpliktet til det etter EØS-avtalen.

3. Utredning fra IKT-sikkerhetsutvalget - NOU 2018: 14

Norges Bank støtter anbefalingene til utvalget.

Utvalget viser til at sikkerhetsloven fra 1. januar 2019 i begrenset grad oppfyller behovet for IKT-sikkerhet i samfunnet. Sikkerhetsloven er avgrenset til å gjelde forebygging, avdekking og motvirkning av tilsiktede handlinger. Loven stiller derfor ikke krav om sikring mot utilsiktede hendelser. Utvalget antar også at det er mange samfunnskritiske virksomheter som ikke vil omfattes av sikkerhetsloven. Sikkerhetsloven stiller videre kun krav til å sikre IKT-systemer som blir utpekt som skjermingsverdige.

Norges Bank støtter utvalgets forslag om at også offentlig forvaltning og samfunnskritiske virksomheter underlegges ny lov om IKT-sikkerhet. Norges Bank legger til grunn at offentlig forvaltning og samfunnskritiske virksomheter i hovedsak er underlagt IKT-sikkerhetskrav som minst tilsvarer lovforslaget. Det innebærer at loven vil få begrenset betydning for hoveddelen av offentlig forvaltning og samfunnskritisk virksomhet. Det følger av lovforslaget at «Dersom annen lov stiller krav om sikkerhet og varsling som minst tilsvarer denne loven, skal annen lov benyttes.» Dette vil hindre unødvendig regelbyrde og dobbeltregulering. Norges Bank er enig med utvalget i at behovet for IKT-krav til alle norske virksomheter bør utredes nærmere før eventuelle nye krav innføres.

Norges Bank støtter anbefalingen om å etablere et nasjonalt IKT-sikkerhetssenter der NSM NorCERT inngår, etter en behovs- og kostnadsanalyse. Banken vil understreke viktigheten av å styrke nasjonal koordinering på området for IKT-sikkerhet.

Konsentrasjonsrisiko

I NOU 2018:14 under punkt 9.4.2 Mangler i tilsynskompetanse heter det:

«Lange og uoversiktlige digitale verdikjeder kan også føre til at tilsynet blir mangelfullt gitt en tradisjonell inndeling i tilsynsobjekt og tilsynsutfører. Norges Bank peker på at svikt hos sentrale IKT-leverandører kan sette viktige deler av betalingssystemet og andre sentrale samfunnsfunksjoner ut av spill. Slik konsentrasjonsrisiko kan vanskelig håndteres av den enkelte systemeier. Norges Banks hovedstyre mener derfor det bør utredes hvordan sentrale IKT-leverandører til betalingssystemet best kan underlegges tilsyn.[1] Utfordringer med å føre tilsyn hos underleverandører kan gjelde hos flere samfunnskritiske virksomheter.»

Et stort antall aktører i bank- og betalingssystemet er avhengig av noen få sentrale IKT-leverandører. Konsesjonshaver har ansvaret for utkontrakterte oppgaver, men det er utfordrende for aktørene å styre og få kontroll over konsentrasjonsrisikoen som oppstår når flere benytter samme IKT-leverandør.

I rapporten Finansiell infrastruktur 2018 heter det:

«Konsentrasjonsrisiko kan vanskelig håndteres av den enkelte systemeier. Det bør utredes hvordan IKT-leverandører og datasentre som er kritiske for betalingssystemet best kan underlegges tilsyn. En slik utredning må avgrenses mot [IKT-sikkerhetsutvalgets] pågående arbeid [...]»

Norges Bank merker seg at utvalget ikke har konkrete anbefalinger knyttet til håndtering av konsentrasjonsrisiko som oppstår ved at store deler av samfunnet er avhengig av noen få IKT-leverandører og datasentre.Etter Norges Banks vurdering er det i lys av NOU 2018: 14 fortsatt behov for at det utredes hvordan konsentrasjonsrisikoen knyttet til IKT-leverandører bør håndteres, herunder hvordan sentrale IKT-leverandører og datasentre best kan underlegges tilsyn.

På denne bakgrunn mener Norges Bank at følgende punkter bør utredes nærmere for konkret oppfølging:

Betydningen og håndteringen av konsentrasjonsrisikoen ved at flere kritiske samfunnsfunksjoner er avhengig av noen få IKT-leverandører og datasentre.Tilsynsrammene for IKT-leverandører og datasentre som er viktige for sentrale samfunnsfunksjoner, herunder betalingssystemet.Om beredskapen til sentrale IKT-leverandører og datasentre er tilstrekkelig.

Med hilsen

Øystein Olsen Sentralbanksjef

Torbjørn Hægeland Direktør

Kopi til:

Finansdepartementet