Dato: 10.01.2022 Høringsuttalselse fra KraftCERT AS Viser til brev « Høring om endringer i sikkerhetsloven (eierskapskontroll mv. )», datert 11.10.2021. Vi takker for invitasjon til å bidra i høringen, og vi vil i det følgende kort presentere enkelte kommentarer og innspill fra KraftCERT. Bakgrunnen for endringene er forståelig og godt beskrevet av Justis og beredskapsdepartementet, i samarbeid med Forsvarsdepartementet. Problemstillinger rundt eierskapskontroll er viktig område, og komplekst å regulere i lov, blant annet fordi trusselbildet endrer seg. Det er bra at det sees hen til felles reguleringer i EU, og til lovarbeid og erfaringer i andre sammenlignbare land. Høringsnotatet gir god informasjon om endringene for foreslås, og det er positivt at departementet ønsker høringsinnspill på videre arbeid. Vi starter med en generell kommentar om at informasjonssystemer, eller infrastruktur som er eller betstår av informasjonssystemer, er lite omtalt i endringsforslagene. Høringsnotatet beskriver objekt og infrastruktur som rene fysiske lokasjoner eller bygninger, og drøfter ikke informasjonssystemer. F.eks. omtales «eiendommer av sikkerhetsmessig betydning» i omkringliggende områder av objekter/infrastruktur som et mulig oppkjøpsobjekt for en trusselaktør, og pga denne trusselen foreslås det å pålegge (ved vedtak) eiere av slike eiendommer en meldeplikt. Det eksemplifiseres på s. 35 i høringsnotatet at dersom tiltak mot innsyn og avlytting ikke er tilstrekkelig, kan dette gi grunnlag for vedtak om meldeplikt. Dette kan være forholdsmessig og er godt begrunnet, men trusselen for innsyn og avlytting av informasjonssystemer er ikke begrenset til omkringliggende områder og eiendommer. Et annet eksempel er forslag om egen bestemmelse i sikkerhetsloven om risikovurdering av «eiendommer av sikkerhetsmessig betydning». Det er et paradoks at en relativt lav risiko (i forhold til digitale trusler) tillegges så stor vekt i sikkerhetsloven og endringer av denne loven. En bestemmelse om vurdering av «systemer av sikkerhetsmessig betydning» kunne tenkelig vært vel så sentralt, gitt dagens digitale trusselbilde og digitale avhengigheter. For eksempel vil mange være enige i at en trusselaktørs utnytting av tredjepartsårbarheter og sårbarheter i programvare som mange virksomheter benytter (f.eks. de nylige Log4J-sårbarhetene) er en større risiko enn at en trusselaktør kjøper seg opp i et selskap for å påvirke et styre, eller kjøper eiendom i nærheten av en skjermingsverdig verdi. Digitale trusler/cyberoperasjoner mot informasjonssystemer (og dermed infrastrukturer) omtales ikke i høringsnotatet, selv om dette også er relevant for eierskap, hva en vurdering av risiko bør inneholde, hva myndighetene burde ha oversikt over, osv. Høringsnotatet fokuserer på eierskap og fysiske lokasjoner som mulige trusler, mens digitale trusler og IT/OT-systemer ikke omtales. Dette er en svakhet ved forslaget. En annen kommentar er at vi mener departementet bør se verdien av samarbeid og gjensidig deling av informasjon med ulike relevante virksomheter, spesielt innen komplekse sikkerhetsspørsmål, slik forhold rundt eierskapskontroll er et eksempel på. For eksempel, på siste del av s. 15 står det at departementene kan vurdere vedtak om å underlegge virksomheter av vesentlig betydning eierskapskontroll-kapittelet i sikkerhetsloven « ut fra sine risikovurderinger og eventuelt i samråd med sikkerhetsmyndigheten ». Virksomhetene bør involveres i vurderinger så langt det lar seg gjøre. F.eks. lovfesting av frivillig meldeordning (kap 6 i høringsnotatet) kan være hensiktsmessig, men det er usikkert om det er nødvendig eller formålstjenlig å fastsette frivillighet i lov. Myndighetene bør heller ha fokus på tilrettelegging av samarbeidsarenaer med ulike relevante virksomheter. Frivillig meldeordning kan tilrettelegges for gjennom å utarbeide gode verktøy og kanaler som er hensiktsmessige for virksomhetene. Det er viktig at sektorregelverk med tilhørende veiledninger benyttes til å stille krav, f.eks. detaljer rundt omkringliggende områder eller detaljerte krav til vurdering av risiko. F.eks. innen kraftsektoren vil mye av infrastrukturen ligge åpen i dagen. Det er ulike hensyn som må ivaretas i sikringsspørsmål, og derfor vil sektorregelverk være riktig sted å legge deskriptive krav. Vi bemerker også at begreper som benyttes i notatene har betydelig rom for tolkning. Når sikkerhetsloven bruker begreper som «ikke ubetydelig risiko», «nasjonale sikkerhetsinteresser», «vesentlig betydning», osv., er det stort behov for en prosess/metode/veiledning som departementene og virksomhetene kan benytte for å tolke og operasjonalisere disse begrepene. Det kan være hensiktsmessig å definere angitte sektorer og aktiviteter etter samme modell som Danmark, for å tydeliggjøre hvor eierskapskontroll og andre spesifikke reguleringer gjelder. Dette vil trolig være mer forutsigbart og transparent enn formuleringer som « visse virksomheter av vesentlig betydning kan underlegges sikkerhetsloven kapittel 10 om eierskapskontroll » (Høringsnotatet, s. 14), og omtale av en «terskel» (s. 15). Vurderinger av risiko knyttet til « Eiendommer av sikkerhetsmessig betydning » (s. 34 og 35 i høringsnotatet) bør kunne løses gjennom gode, faglige veiledninger, og ikke nødvendigvis gjennom lovendringer. Sikkerhetslovens bestemmelser rundt avhengigheter kan optimaliseres i veileder, slik at forhold rundt «eiendommer av sikkerhetsmessig betydning» (eller stedlige avhengigheter) blir dekket. Ved å tilrettelegge for rapportering, vil dette kunne gi myndighetene oversikt, og sikkerhetsmyndigheten kan eventuelt sjekke eiendommer mot register, som beskrevet i høringsnotatets (s. 34). KraftCERT ønsker lykke til med videre arbeid. Justis- og beredskapsdepartementet Til høringen Til toppen <div class="page-survey" data-page-survey="133" data-page-survey-api="/api/survey/SubmitPageSurveyAnswer" data-text-hidden-title="Tilbakemeldingsskjema" data-text-question="Fant du det du lette etter?"
