Telenor viser til høring fra Kommunal- og distriktsdepartementet 8. juli 2022 vedr. tilleggshøring til ny ekomlov – datasenterregulering. Vi viser til vårt opprinnelige høringssvar vedr. ny ekomlov og -forskrift, men vil i det følgende særskilt kommentere enkelte elementer i nevnte tilleggshøring.
Generelle kommentarer
Telenor deler departementets syn på viktigheten av å stille krav til sikkerhet og beredskap i det digitale domenet, herunder også for datasentre. Etter hvert som flere samfunnskritiske funksjoner plasseres inn i datasentre, øker også samfunnets behov for å kunne pålegge sikring av disse datasentrene mot ulike trusler. Vi har derfor forståelse for at departementet ønsker tydelige hjemler for å regulere datasentre.
Telenor vil i denne forbindelse understreke viktigheten av størst mulig grad av samordning av sikkerhetslovgivning på nordisk nivå. Det å kunne benytte våre egne ansatte over hele Norden, å kunne bruke leverandøransatte i våre markeder, samt å dele tekniske løsninger og infrastruktur på tvers i Norden, er svært viktig.
Vi vil generelt bemerke at det i det videre arbeidet med regulering av datasentre i størst mulig grad må sikres like konkurransevilkår både mellom tjenester som produseres i datasentre og tjenester som produseres i egne lokaler, og mellom tjenester produsert i inn- og utland.
Definisjoner og terskelverdi
Det er verdt å understreke, slik departementet også tar høyde for i høringsnotatet, at «datasentre» ikke er en ensartet størrelse. Telenor merker seg at hvilke datasentre som skal omfattes foreslås gjensidig avgrenset av øvrige definisjoner, herunder en terskelverdi på 1 MW «allokert elektrisk effekt».
Telenor mener generelt at det er viktig med tydelighet i definisjonene som legges til grunn for ny regulering, jf. forslag til endringer i § 1-5, og vil anmode om at det på egnet måte i definisjonen av datasenter tydeliggjøres et klart skille mellom anlegg (dvs. bygg/rom/kraftforsyning/kjøling) samt tjenestene som leveres i dette – til forskjell fra servere/data som utgjør bidrag til hele eller deler av produksjonen av digitale tjenester. Det vil i mange tilfeller også være ulike leverandører av de passive datasentertjenestene og de aktive tjenestene som produseres i det samme sentret. Definisjonen må ta høyde for dette, og være presis for kombinasjoner av denne type scenarier i ett og samme fysiske datasenter.
Telenor støtter at definisjonen av datasenteroperatører ikke er ment å omfatte tilbydere av elektronisk kommunikasjon som realiserer tjenesteproduksjon av egne elektroniske kommunikasjonstjenester i egne datasenter – dvs. virksomhetsinterne datasenter. Vi antar at det ikke er intensjonen at tekniske rom anvendt for egen tjenesteproduksjon skal omfattes av reguleringen. Ekomloven omfatter også samlokalisering, og vi antar derfor at det heller ikke er intensjonen at dette skal omfattes av forslaget til regulering. Definisjonen av «datasenteroperatør» bør derfor utformes slik at tilbydere av elektronisk kommunikasjon, herunder tilbydere av samlokalisering, under ekomloven ikke omfattes av den foreslåtte datasenterreguleringen.
Når det gjelder den foreslåtte terskelverdien på 1 MW vil Telenor bemerke at det uttalte formålet om at reguleringen skal omfatte «de viktigste aktørene» som opererer datasentre som antas å ha en «betydelig samfunnskritisk betydning», samt hensynet til minst mulig inngripende regulering, tilsier at grensen bør legges noe høyere enn dette. Telenor legger uansett til grunn at det fastsettes tydelige regler for hvordan denne effektgrensen skal forstås, herunder om det er snakk om netto eller brutto effekt og om det er snakk om gjennomsnittlig forbruk eller installert effekt.
Det er skissert at det for enkelte distribuerte («edge») datasentre vil gjelde en samlet kumulativ grense for å omfattes av reglene. Det er vanskelig å se hvordan dette vil fungere i praksis, og hvilke kriterier som skal gi grunnlag for å se ulike sentre samlet på denne måten. For Telenors del vil denne type sentre i stor grad måtte forstås som virksomhetsinterne datasentre, jf. over.
Registreringsplikt og sikkerhet i datasentre
Telenor merker seg at det innføres en registreringsplikt for datasentre, og støtter dette.
Det stilles videre krav til sikkerhet i datasentre tilsvarende det som vil gjelde for ekomnett- og tjenester. Det legges dermed opp til at datasenteroperatørene har et ansvar for «forsvarlig sikkerhet». Telenor ønsker velkommen tydelige sikkerhetskrav i datasentre, men vil bemerke at grad av sikkerhet for datasentre vil avhenge av de tjenestene som produseres i sentret, og at et slikt krav vil medføre at det er et behov for at datasenteroperatøren opprettholder en oversikt over hvilke tjenester deres kunder produserer og vurderer hvilke sikringstiltak som er nødvendige. Det bør etter Telenors oppfatning klargjøres at det for datasenteroperatøren er sikkerheten til anlegget og datasentertjenestene som sådan som skal vurderes, og ikke sikkerheten til tjenestene som produseres i senteret. Det må påhvile de som benytter anlegget og datasentertjenestene et ansvar om å sikre forsvarlig sikkerhet av sitt utstyr og informasjon i henhold til de lover og regler disse er underlagt, herunder for eksempel sikkerhetsloven.
Videre bør det ikke legges opp til krav som medfører at datasenterleverandøren har behov for innsikt i hvilke tjenester som produseres eller hvordan disse tjenestene er sikret. Dette ansvaret bør ligge på eier av tjenesten, som selv vil måtte vurdere sikkerhetsnivået for tjenesten, også hensyntatt evt. annet regelverk, og velge leverandør ut fra det. Ved behov for økt sikkerhet ut over det datasenteroperatøren i utgangspunktet tilbyr, bør dette baseres på markedsmessige forhandlinger mellom partene.
I utkast til ny ekomforskrift § 1-9 punkt 8 påhviler det datasenteroperatøren å opplyse om hvilke statlige, fylkeskommunale og kommunale myndigheter, organer og virksomheter som er kunder av datasenteret. Det må presiseres at en datasenteroperatør kun kan opplyse om hvilke direkte kunder denne har av sine datasentertjenester. Datasenteroperatøren kan ikke ha ansvar for å innhente informasjon fra sine direkte kunder, for eksempel en skytjenesteleverandør, om hvem som igjen er kunde av disse.
Når det gjelder kravet om politiattest anser Telenor dette som naturlig gitt parallellitet til tilsvarende krav for ekomtilbydere.
Sektoravgift og gebyr
Telenor har ingen innvendinger mot at sektoravgift og gebyr tillegges datasenteroperatører, jf. foreslått endring i ny ekomlov , men vil understreke at aktører som allerede omfattes av denne bestemmelsen ikke skal måtte ilegges «dobbel» betaling.
Telenor har for øvrig ingen ytterligere kommentarer til høringsnotatet.
Generelle kommentarer
Telenor deler departementets syn på viktigheten av å stille krav til sikkerhet og beredskap i det digitale domenet, herunder også for datasentre. Etter hvert som flere samfunnskritiske funksjoner plasseres inn i datasentre, øker også samfunnets behov for å kunne pålegge sikring av disse datasentrene mot ulike trusler. Vi har derfor forståelse for at departementet ønsker tydelige hjemler for å regulere datasentre.
Telenor vil i denne forbindelse understreke viktigheten av størst mulig grad av samordning av sikkerhetslovgivning på nordisk nivå. Det å kunne benytte våre egne ansatte over hele Norden, å kunne bruke leverandøransatte i våre markeder, samt å dele tekniske løsninger og infrastruktur på tvers i Norden, er svært viktig.
Vi vil generelt bemerke at det i det videre arbeidet med regulering av datasentre i størst mulig grad må sikres like konkurransevilkår både mellom tjenester som produseres i datasentre og tjenester som produseres i egne lokaler, og mellom tjenester produsert i inn- og utland.
Definisjoner og terskelverdi
Det er verdt å understreke, slik departementet også tar høyde for i høringsnotatet, at «datasentre» ikke er en ensartet størrelse. Telenor merker seg at hvilke datasentre som skal omfattes foreslås gjensidig avgrenset av øvrige definisjoner, herunder en terskelverdi på 1 MW «allokert elektrisk effekt».
Telenor mener generelt at det er viktig med tydelighet i definisjonene som legges til grunn for ny regulering, jf. forslag til endringer i § 1-5, og vil anmode om at det på egnet måte i definisjonen av datasenter tydeliggjøres et klart skille mellom anlegg (dvs. bygg/rom/kraftforsyning/kjøling) samt tjenestene som leveres i dette – til forskjell fra servere/data som utgjør bidrag til hele eller deler av produksjonen av digitale tjenester. Det vil i mange tilfeller også være ulike leverandører av de passive datasentertjenestene og de aktive tjenestene som produseres i det samme sentret. Definisjonen må ta høyde for dette, og være presis for kombinasjoner av denne type scenarier i ett og samme fysiske datasenter.
Telenor støtter at definisjonen av datasenteroperatører ikke er ment å omfatte tilbydere av elektronisk kommunikasjon som realiserer tjenesteproduksjon av egne elektroniske kommunikasjonstjenester i egne datasenter – dvs. virksomhetsinterne datasenter. Vi antar at det ikke er intensjonen at tekniske rom anvendt for egen tjenesteproduksjon skal omfattes av reguleringen. Ekomloven omfatter også samlokalisering, og vi antar derfor at det heller ikke er intensjonen at dette skal omfattes av forslaget til regulering. Definisjonen av «datasenteroperatør» bør derfor utformes slik at tilbydere av elektronisk kommunikasjon, herunder tilbydere av samlokalisering, under ekomloven ikke omfattes av den foreslåtte datasenterreguleringen.
Når det gjelder den foreslåtte terskelverdien på 1 MW vil Telenor bemerke at det uttalte formålet om at reguleringen skal omfatte «de viktigste aktørene» som opererer datasentre som antas å ha en «betydelig samfunnskritisk betydning», samt hensynet til minst mulig inngripende regulering, tilsier at grensen bør legges noe høyere enn dette. Telenor legger uansett til grunn at det fastsettes tydelige regler for hvordan denne effektgrensen skal forstås, herunder om det er snakk om netto eller brutto effekt og om det er snakk om gjennomsnittlig forbruk eller installert effekt.
Det er skissert at det for enkelte distribuerte («edge») datasentre vil gjelde en samlet kumulativ grense for å omfattes av reglene. Det er vanskelig å se hvordan dette vil fungere i praksis, og hvilke kriterier som skal gi grunnlag for å se ulike sentre samlet på denne måten. For Telenors del vil denne type sentre i stor grad måtte forstås som virksomhetsinterne datasentre, jf. over.
Registreringsplikt og sikkerhet i datasentre
Telenor merker seg at det innføres en registreringsplikt for datasentre, og støtter dette.
Det stilles videre krav til sikkerhet i datasentre tilsvarende det som vil gjelde for ekomnett- og tjenester. Det legges dermed opp til at datasenteroperatørene har et ansvar for «forsvarlig sikkerhet». Telenor ønsker velkommen tydelige sikkerhetskrav i datasentre, men vil bemerke at grad av sikkerhet for datasentre vil avhenge av de tjenestene som produseres i sentret, og at et slikt krav vil medføre at det er et behov for at datasenteroperatøren opprettholder en oversikt over hvilke tjenester deres kunder produserer og vurderer hvilke sikringstiltak som er nødvendige. Det bør etter Telenors oppfatning klargjøres at det for datasenteroperatøren er sikkerheten til anlegget og datasentertjenestene som sådan som skal vurderes, og ikke sikkerheten til tjenestene som produseres i senteret. Det må påhvile de som benytter anlegget og datasentertjenestene et ansvar om å sikre forsvarlig sikkerhet av sitt utstyr og informasjon i henhold til de lover og regler disse er underlagt, herunder for eksempel sikkerhetsloven.
Videre bør det ikke legges opp til krav som medfører at datasenterleverandøren har behov for innsikt i hvilke tjenester som produseres eller hvordan disse tjenestene er sikret. Dette ansvaret bør ligge på eier av tjenesten, som selv vil måtte vurdere sikkerhetsnivået for tjenesten, også hensyntatt evt. annet regelverk, og velge leverandør ut fra det. Ved behov for økt sikkerhet ut over det datasenteroperatøren i utgangspunktet tilbyr, bør dette baseres på markedsmessige forhandlinger mellom partene.
I utkast til ny ekomforskrift § 1-9 punkt 8 påhviler det datasenteroperatøren å opplyse om hvilke statlige, fylkeskommunale og kommunale myndigheter, organer og virksomheter som er kunder av datasenteret. Det må presiseres at en datasenteroperatør kun kan opplyse om hvilke direkte kunder denne har av sine datasentertjenester. Datasenteroperatøren kan ikke ha ansvar for å innhente informasjon fra sine direkte kunder, for eksempel en skytjenesteleverandør, om hvem som igjen er kunde av disse.
Når det gjelder kravet om politiattest anser Telenor dette som naturlig gitt parallellitet til tilsvarende krav for ekomtilbydere.
Sektoravgift og gebyr
Telenor har ingen innvendinger mot at sektoravgift og gebyr tillegges datasenteroperatører, jf. foreslått endring i ny ekomlov , men vil understreke at aktører som allerede omfattes av denne bestemmelsen ikke skal måtte ilegges «dobbel» betaling.
Telenor har for øvrig ingen ytterligere kommentarer til høringsnotatet.