Sjøfartsdirektoratets kommentarer til høring – NOU 2018: 14 IKT-sikkerhet i alle ledd og utkast til lov som gjennomfører NIS-direktivet i norsk rett
Vi viser til departementets høringsbrev datert 21. desember 2018.
Sjøfartsdirektoratet berøres av innholdet i høringen både som offentlig etat og som tilsynsmyndighet for maritim sektor. Sjøfartsdirektoratet er forvaltnings- og tilsynsmyndighet for arbeidet med sikkerhet for liv, helse, miljø og materielle verdier på fartøy. Dette omfatter også sikring av utstyr og materiell om bord, herunder IKT-sikkerhet. Sjøfartsdirektoratet har ansvaret for realregistrene Norsk internasjonalt register (NIS) og Norsk ordinært register (NOR).
Til NOU 2018:14 IKT-sikkerhet i alle ledd
Sjøfartsdirektoratet som offentlig etat : Vi tiltrer anbefalingene slik de er oppsummert i fem hovedpunkter i utredningens sammendrag.
Sjøfartsdirektoratet som tilsynsmyndighet i maritim sektor: IKT-sikkerhet i det maritime transportsystemet er omtalt i punkt 2.8.3 i utredningen. Sjøfartsdirektoratet fører tilsyn med norske skip i hele verden og med utenlandske skip i norske farvann, jf. skipssikkerhetsloven § 41 jf. § 2. Dette framkommer ikke tilstrekkelig i utredningen. Skipsfarten er i stor grad regulert av internasjonale instrumenter, da særlig regelverk fastsatt av FNs Sjøfartsorganisasjon (IMO). Sjøfartsdirektoratet leder de norske delegasjonene i IMO som gjelder sikkerhet, herunder cyber security, og underkomiteene, og påser også at instrumentene blir innarbeidet i norsk rett.
Av hensyn til skipsfartens internasjonale karakter vil Sjøfartsdirektoratet fortsette arbeidet i det internasjonale for å bidra til et hensiktsmessig og tilstrekkelig IKT-regelverk for skipsfarten.
Sjøfartsdirektoratet har i samarbeid med Kystverket etter oppdrag i våre respektive tildelingsbrev kartlagt etatenes ansvar og oppgaver knyttet til IKT-sikkerhet. Både Sjøfartsdirektoratet og Kystverket har sentrale ansvarsoppgaver for å ivareta effektiv og sikker sjøtransport. Blant annet på bakgrunn av den kartleggingen anser Sjøfartsdirektoratet det hensiktsmessig at det utarbeides en felles IKT-strategi for aktørene i maritim næring. Noe som Sjøfartsdirektoratet vil ta initiativ til og utarbeide i samarbeid med relevante aktører.
Til forslag om lov som gjennomfører NIS-direktivet i norsk rett
Sjøfartsdirektoratet arbeider i dag enda mer systematisk med IKT-sikkerhet, blant annet etablerer vi et styringssystem for informasjonssikkerhet (ISO 27001). Direktoratet har i tråd med GDPS har etablert eget personvernombud og opererer i samsvar med det. Vi er i ferd med å tilsette en egen sikkerhetsansvarlig i virksomheten. Direktoratet har tjenesteutsatt IT-drift og mener med dette å har redusert risikoen knyttet til IKT-trusler. Videre arbeider vi også med veikart for skytjenester som ytterligere vil økte IKT-sikkerheten.
Sjøfartsdirektoratet er tilsynsmyndighet etter skipssikkerhetsloven, og fører tilsyn både med norske skip og dessuten utenlandske skip i norske farvann. Vi støtter departementets vurdering av at eksisterende myndighetsstruktur bør benyttes i størst mulig grad. Ettersom det ikke er avklart hvilke rederier og sjøfartstjenester som eventuelt vil omfattes av loven, er det vanskelig å si noe om konsekvensene. Som høringsnotatet omtaler er ISM-regelverket gjort gjeldende for rederier og skip i innenriksfart som er sertifisert for mer enn 100 passasjerer, og det er videre lagt til grunn at dette sikkerhetsstyringssystemet omfatter også IKT-risiko. Rederier og skip har for en rekke hendelser allerede varslingsplikt til direktoratet, men ikke for IKT-relaterte hendelser alene.
Vi har merket oss utkastet § 5 om forholdet til andre regler, og det er etter vår oppfatning viktig at denne bestemmelsen tas med videre i en eventuell lov. Slik vi oppfatter utkastet vil bestemmelsen også omfatte eventuelle senere fastsatte krav i særlovgivningen, for eksempel i forskrifter fastsatt med hjemmel i skipssikkerhetsloven.
Skipsfarten er i stor grad regulert av internasjonale instrumenter, og det er hensiktsmessig å unngå norske særkrav, og i alle fall dersom kravene bare vil gjelde for norske skip. I høringsnotatet trekkes hensynet til klarhet og legalitetsprinsippet fram. I den grad det skulle være aktuelt for skip under fremmed flagg å omfattes av loven, bør det vurderes om forholdet til utenlandske skip i norske farvann bør komme klarere fram, eventuelt om det er tilstrekkelig at spørsmålet avklares i lovens forarbeider.
Vi viser til departementets høringsbrev datert 21. desember 2018.
Sjøfartsdirektoratet berøres av innholdet i høringen både som offentlig etat og som tilsynsmyndighet for maritim sektor. Sjøfartsdirektoratet er forvaltnings- og tilsynsmyndighet for arbeidet med sikkerhet for liv, helse, miljø og materielle verdier på fartøy. Dette omfatter også sikring av utstyr og materiell om bord, herunder IKT-sikkerhet. Sjøfartsdirektoratet har ansvaret for realregistrene Norsk internasjonalt register (NIS) og Norsk ordinært register (NOR).
Til NOU 2018:14 IKT-sikkerhet i alle ledd
Sjøfartsdirektoratet som offentlig etat : Vi tiltrer anbefalingene slik de er oppsummert i fem hovedpunkter i utredningens sammendrag.
Sjøfartsdirektoratet som tilsynsmyndighet i maritim sektor: IKT-sikkerhet i det maritime transportsystemet er omtalt i punkt 2.8.3 i utredningen. Sjøfartsdirektoratet fører tilsyn med norske skip i hele verden og med utenlandske skip i norske farvann, jf. skipssikkerhetsloven § 41 jf. § 2. Dette framkommer ikke tilstrekkelig i utredningen. Skipsfarten er i stor grad regulert av internasjonale instrumenter, da særlig regelverk fastsatt av FNs Sjøfartsorganisasjon (IMO). Sjøfartsdirektoratet leder de norske delegasjonene i IMO som gjelder sikkerhet, herunder cyber security, og underkomiteene, og påser også at instrumentene blir innarbeidet i norsk rett.
Av hensyn til skipsfartens internasjonale karakter vil Sjøfartsdirektoratet fortsette arbeidet i det internasjonale for å bidra til et hensiktsmessig og tilstrekkelig IKT-regelverk for skipsfarten.
Sjøfartsdirektoratet har i samarbeid med Kystverket etter oppdrag i våre respektive tildelingsbrev kartlagt etatenes ansvar og oppgaver knyttet til IKT-sikkerhet. Både Sjøfartsdirektoratet og Kystverket har sentrale ansvarsoppgaver for å ivareta effektiv og sikker sjøtransport. Blant annet på bakgrunn av den kartleggingen anser Sjøfartsdirektoratet det hensiktsmessig at det utarbeides en felles IKT-strategi for aktørene i maritim næring. Noe som Sjøfartsdirektoratet vil ta initiativ til og utarbeide i samarbeid med relevante aktører.
Til forslag om lov som gjennomfører NIS-direktivet i norsk rett
Sjøfartsdirektoratet arbeider i dag enda mer systematisk med IKT-sikkerhet, blant annet etablerer vi et styringssystem for informasjonssikkerhet (ISO 27001). Direktoratet har i tråd med GDPS har etablert eget personvernombud og opererer i samsvar med det. Vi er i ferd med å tilsette en egen sikkerhetsansvarlig i virksomheten. Direktoratet har tjenesteutsatt IT-drift og mener med dette å har redusert risikoen knyttet til IKT-trusler. Videre arbeider vi også med veikart for skytjenester som ytterligere vil økte IKT-sikkerheten.
Sjøfartsdirektoratet er tilsynsmyndighet etter skipssikkerhetsloven, og fører tilsyn både med norske skip og dessuten utenlandske skip i norske farvann. Vi støtter departementets vurdering av at eksisterende myndighetsstruktur bør benyttes i størst mulig grad. Ettersom det ikke er avklart hvilke rederier og sjøfartstjenester som eventuelt vil omfattes av loven, er det vanskelig å si noe om konsekvensene. Som høringsnotatet omtaler er ISM-regelverket gjort gjeldende for rederier og skip i innenriksfart som er sertifisert for mer enn 100 passasjerer, og det er videre lagt til grunn at dette sikkerhetsstyringssystemet omfatter også IKT-risiko. Rederier og skip har for en rekke hendelser allerede varslingsplikt til direktoratet, men ikke for IKT-relaterte hendelser alene.
Vi har merket oss utkastet § 5 om forholdet til andre regler, og det er etter vår oppfatning viktig at denne bestemmelsen tas med videre i en eventuell lov. Slik vi oppfatter utkastet vil bestemmelsen også omfatte eventuelle senere fastsatte krav i særlovgivningen, for eksempel i forskrifter fastsatt med hjemmel i skipssikkerhetsloven.
Skipsfarten er i stor grad regulert av internasjonale instrumenter, og det er hensiktsmessig å unngå norske særkrav, og i alle fall dersom kravene bare vil gjelde for norske skip. I høringsnotatet trekkes hensynet til klarhet og legalitetsprinsippet fram. I den grad det skulle være aktuelt for skip under fremmed flagg å omfattes av loven, bør det vurderes om forholdet til utenlandske skip i norske farvann bør komme klarere fram, eventuelt om det er tilstrekkelig at spørsmålet avklares i lovens forarbeider.