Norges Bank

Brev

Høringssvar – tilleggshøring til ny ekomlov – datasenterregulering

Norges Banks brev av 9. september 2022 til Kommunal- og distriktsdepartementet.

Vi viser til tilleggshøring fra Kommunal- og distriktsdepartementet datert 8. juli 2022 til ny lov om elektronisk kommunikasjon (ekomloven) med forslag til ny regulering av datasentre i Norge.

Norges Bank skal etter sentralbankloven fremme finansiell stabilitet og et effektivt og sikkert betalingssystem. Det gjør Norges Bank blant annet ved å legge til rette for et sikkert og effektivt system for oppgjør av betalinger og ved å utstede sedler og mynter. Videre overvåker Norges Bank betalingssystemet og annen finansiell infrastruktur og bidrar til beredskapsløsninger. Etter betalingssystemloven er Norges Bank konsesjons- og tilsynsmyndighet for interbanksystemer.

Norges Bank anser at datasentre og tilknyttede IKT-tjenester har en sentral rolle i samfunnets infrastruktur, og at de kan være av betydning for stats- og samfunnssikkerheten, jf. også brev fra Norges Bank til Finansdepartementet 30. september 2021.[1] IKT-leverandører og datasentre er imidlertid ikke underlagt tilsvarende regulering og tilsyn som de konsesjonspliktige aktørene i bank- og betalingssystemet. Det innebærer at Norges Bank, som konsesjons- og tilsynsmyndighet, ikke kan stille krav direkte til IKT-leverandørene og datasentre som systemeierne i betalingssystemet benytter. Kravene må rettes mot konsesjonshaver som deretter får ansvaret for at deres leverandører følger opp. Datasentre blir dermed indirekte omfattet av myndighetenes regulering via kravene som stilles av konsesjonshaver.

Selv om datasentre indirekte blir omfattet av regulering fra sektormyndigheter, kan kravene fra ulike kunder av datasentre og deres sektormyndigheter variere ut fra hvilke behov som vektlegges. Det kan medføre en fragmentert og lite effektiv oppfølging av datasentre, og at enkelte typer risiko ikke får en tilfredsstillende tilsynsmessig håndtering. Et sentralt regelverk for datasentre kan bidra til en mer helhetlig og effektiv tilnærming til å oppnå et forsvarlig sikkerhetsnivå.

Norges Bank støtter i hovedsak forslaget til regulering av datasentre i Norge, herunder registreringsplikt for datasenteraktører og krav til sikkerhet og beredskap.

Norges Bank har enkelte innspill som knytter seg til følgende problemstillinger:

Konsentrasjonsrisiko

Et stort antall aktører i bank- og betalingssystemet er avhengig av noen få sentrale IKT-leverandører og datasentre. Dersom sentrale IKT-leverandører eller datasentre feiler, for eksempel som følge av operasjonell svikt eller cyberangrep, kan viktige deler av betalingssystemet stoppe opp.

IKT-sikkerhetsutvalget, som leverte sin utredning i desember 2018, foreslo tiltak om organisering og regulering av nasjonal IKT-sikkerhet.[2] Utvalget pekte blant annet på at tilsynet med sentrale IKT-leverandører kan bli mangelfullt. Norges Bank skrev i høringssvaret til Justis- og beredskapsdepartementet at følgende punkter bør utredes nærmere for konkret oppfølging:[3]

  • Betydningen og håndteringen av konsentrasjonsrisikoen ved at flere kritiske samfunnsfunksjoner er avhengig av noen få IKT-leverandører og datasentre.
  • Tilsynsrammene for IKT-leverandører og datasentre som er viktige for sentrale samfunnsfunksjoner, herunder betalingssystemet.
  • Om beredskapen til sentrale IKT-leverandører og datasentre er tilstrekkelig.

På bakgrunn av disse punktene er Norges Bank positive til at reguleringsforslaget legger opp til tilsyn med og styrket beredskap for datasentre. Når det gjelder konsentrasjonsrisiko er det i dag vanskelig for den enkelte sektormyndighet å få oversikt over og å følge opp dette. Likeledes er det vanskelig for kunder av datasenteroperatørene å vurdere og håndtere risiko som følger av andre kunder i datasenteret. Oppfølging av konsentrasjonsrisiko er ikke eksplisitt nevnt i forslaget, men vi antar at forslag til ny § 3-13 i ekomloven kan anvendes ved gjennomføring av tiltak i denne sammenheng. Det kan samtidig vurderes om oppgaven med å vurdere konsentrasjonsrisiko i datasentre bør tildeles en bestemt myndighet.

Opplysninger som datasenteroperatør plikter å gi

Forslag til ny § 1-9 i ekomforskriften lister opp ti forhold som datasenteroperatøren skal opplyse om skriftlig ved registrering hos myndigheten. Norges Bank er i hovedsak enig i forholdene som foreslås registrert. I tillegg har vi enkelte kommentarer og forslag som kan vurderes:

  • Hvem som er kunder (punkt 8): Av forslaget framgår det at datasenteroperatøren skal opplyse om «norske statlige, fylkeskommunale og kommunale myndigheter, organer og virksomheter som er kunder hos datasenteret». I tillegg kan det opplyses om «andre kunder som er underlagt sikkerhetsloven ved vedtak etter sikkerhetsloven § 1-3 der dette har relevans for bruken av datasenteret».
  • Andel kraftforbruk som anvendes til kryptovalutautvinning (punkt 9): Norske datasentre kan være involvert i kryptovaluta på annen måte enn å utvinne kryptovaluta på en kraftkrevende måte. Det kan for eksempel skje ved å utvinne og delta i driften av kryptovaluta basert på valideringsmekanismer knyttet til at man kontrollerer en beholdning av kryptovaluta (såkalt proof-of-stake). Kraftforbruket som brukes på å delta i utvinning av kryptovaluta kan derfor være en mangelfull indikasjon på involvering i kryptoaktiva.
  • Relevante tilsynsmyndigheter: Myndigheten som følger opp datasentre, bør gis mulighet for samvirke med andre konsesjons- og tilsynsmyndigheter med et ansvar for verdier i datasenteret. Det kan derfor være hensiktsmessig at datasenteroperatøren opplyser om konsesjons- og tilsynsmyndigheter som har oppfølgingsansvar for kunder i datasenteret.
  • Eierskap: Det kan vurderes om det inntas et punkt som gir myndigheten en oversikt over eierstrukturen for datasenteret.

Datasenteroperatørens vurdering av forsvarlig sikkerhetsnivå        

I forslag til ny § 3-13 i ekomloven gis det eksempler på momenter som datasenteroperatør skal ta hensyn til i vurderingen av hva som er et forsvarlig sikkerhetsnivå. Et av hensynene er datasentertjenestens betydning. Etter Norges Banks vurdering kan det ikke uten videre legges til grunn at datasenteroperatør har tilstrekkelig informasjon og kompetanse til å vurdere hvor kritiske de ulike tjenestene er for samfunnet. Det bør derfor vurderes om det er behov for at myndighetene her bidrar til å sikre helhetlige vurderinger av tjenestenes samfunnsmessige betydning.

Involvering av andre myndigheter

Norges Bank og flere andre myndigheter fører tilsyn med kunder i datasentre, men ikke med datasentre direkte. Det kan være hensiktsmessig at informasjon om sikkerhetsnivå og risiko ved datasentre kan utveksles fra Nasjonal kommunikasjonsmyndighet med sektormyndigheter ved behov. Det bør samtidig klargjøres om bestemmelser om taushetsplikt er til hinder for slik deling av informasjon.

 

Med hilsen

Torbjørn Hægeland
Avdelingsdirektør

Anna Grinaker 
Direktør

Fotnoter

[1] Brev fra Norges Bank til Finansdepartementet 30. september 2021: Revisjon av oversikten over kritiske samfunnsfunksjoner (KIKS-rammeverket).

[2] NOU 2018:14 – IKT-sikkerhet i alle ledd – Organisering og regulering av nasjonal IKT-sikkerhet.

[3] Norges Banks brev av 20. mars 2019 til Justis- og beredskapsdepartementet: Høringssvar – utredning fra IKT-sikkerhetsutvalget og forslag til lov som gjennomfører EU-direktiv om IKT-sikkerhet.

Publisert 14. september 2022 09:00