Høringsuttalelse fra Bergen kommune
Bergen kommune takker for muligheten til å komme med innspill til forslag til forskrift til digitalsikkerhetsloven, som vi har mottatt på høring.
Bergen kommune synes det er positivt at det kommer en lov og forskrift som skal bidra til å sikre grunnleggende krav til digital sikkerhet i virksomheter med særlig betydning for samfunnet ved å forebygge, avdekke og motvirke uønskede hendelser i nettverk og informasjonssystemer som brukes for å levere samfunnsviktige tjenester og digitale hendelser.
For Bergen kommune er det viktig at forskriften utformes på en slik måte at den det er mulig for både kommunesektoren og andre virksomheter å etterleve den. Kommunen er allerede presset og har et stort omfang av ulike lovkrav å følge opp. Det er positivt at departementet legger vekt på veiledning fra Nasjonal sikkerhetsmyndighet (NSM). Dette kan gjøre det lettere å følge opp kravene for kommunen, og ikke minst å gjøre det på en lik måte. For at det skal bidra til å avlaste kommunen og holde nede det økte behovet for kompetanse til å gjøre kvalifiserte vurderinger knyttet til forskriftskravene, er det imidlertid viktig at veiledningen er tilstrekkelig konkret og skalerbar. Dette er en forutsetning for at hele kommunesektoren skal kunne være med. Kravene i forskriften vil variere betydelig bl.a. avhengig av størrelse og modenhet.
En av hovedutfordringene for kommunen vil være å identifisere hvilke tjenester som vil falle inn under forskriftens virkeområde. Det er positivt at noe konkretiseres gjennom forskriften, men innenfor enkelte sektorer, som for eksempel helse, er det fortsatt behov for nærmere avklaring hvilke tjenester som omfattes. Det hadde vært en fordel for kommunene om sentrale aktører, NSM eller KS, kunne synliggjøre hvem i kommunen og hvilke tjenester som defineres som samfunnskritiske.
Bergen kommune ser det som noe uheldig for virksomhetene som blir omfattet av loven, at ikke NIS 1 og NIS 2-direktivet gjennomføres samtidig i Norge. Det vil for mange være krevende å først tilpasse seg et regelverk, for kort tid etter å tilpasse seg et nytt. At man fortsatt ikke vet hvordan og når NIS 2 blir gjennomført i Norge, fører med seg usikkerhet når det trer i kraft i resten av Europa. Det er likevel positivt at departementet har forsøkt å nærme seg kravene i NIS 2 på områder der det passer.
Kommunen vil gjennom den foreslåtte forskriften pålegges nye krav og oppgaver. Det forutsettes at kostnadene knyttet til å løse disse nye og/ eller utvidete oppgavene kompenseres i sin helhet.
I det videre følger Bergen kommunes kommentarer til de konkrete bestemmelsene.
Bergen kommune synes det er positivt at det kommer en lov og forskrift som skal bidra til å sikre grunnleggende krav til digital sikkerhet i virksomheter med særlig betydning for samfunnet ved å forebygge, avdekke og motvirke uønskede hendelser i nettverk og informasjonssystemer som brukes for å levere samfunnsviktige tjenester og digitale hendelser.
For Bergen kommune er det viktig at forskriften utformes på en slik måte at den det er mulig for både kommunesektoren og andre virksomheter å etterleve den. Kommunen er allerede presset og har et stort omfang av ulike lovkrav å følge opp. Det er positivt at departementet legger vekt på veiledning fra Nasjonal sikkerhetsmyndighet (NSM). Dette kan gjøre det lettere å følge opp kravene for kommunen, og ikke minst å gjøre det på en lik måte. For at det skal bidra til å avlaste kommunen og holde nede det økte behovet for kompetanse til å gjøre kvalifiserte vurderinger knyttet til forskriftskravene, er det imidlertid viktig at veiledningen er tilstrekkelig konkret og skalerbar. Dette er en forutsetning for at hele kommunesektoren skal kunne være med. Kravene i forskriften vil variere betydelig bl.a. avhengig av størrelse og modenhet.
En av hovedutfordringene for kommunen vil være å identifisere hvilke tjenester som vil falle inn under forskriftens virkeområde. Det er positivt at noe konkretiseres gjennom forskriften, men innenfor enkelte sektorer, som for eksempel helse, er det fortsatt behov for nærmere avklaring hvilke tjenester som omfattes. Det hadde vært en fordel for kommunene om sentrale aktører, NSM eller KS, kunne synliggjøre hvem i kommunen og hvilke tjenester som defineres som samfunnskritiske.
Bergen kommune ser det som noe uheldig for virksomhetene som blir omfattet av loven, at ikke NIS 1 og NIS 2-direktivet gjennomføres samtidig i Norge. Det vil for mange være krevende å først tilpasse seg et regelverk, for kort tid etter å tilpasse seg et nytt. At man fortsatt ikke vet hvordan og når NIS 2 blir gjennomført i Norge, fører med seg usikkerhet når det trer i kraft i resten av Europa. Det er likevel positivt at departementet har forsøkt å nærme seg kravene i NIS 2 på områder der det passer.
Kommunen vil gjennom den foreslåtte forskriften pålegges nye krav og oppgaver. Det forutsettes at kostnadene knyttet til å løse disse nye og/ eller utvidete oppgavene kompenseres i sin helhet.
I det videre følger Bergen kommunes kommentarer til de konkrete bestemmelsene.
Punkt 4.2.2 Virkeområde for tilbydere av samfunnsviktige tjenester
4.2.2.1 Identifiseringsprosess og terskelverdier
Bergen kommune ser på det som positivt at terskelverdiene er utformet så konkret at det skal være mulig for tilbyder selv å avgjøre hvorvidt de leverer en samfunnsviktig tjeneste.
Bergen kommune ser på det som positivt at terskelverdiene er utformet så konkret at det skal være mulig for tilbyder selv å avgjøre hvorvidt de leverer en samfunnsviktig tjeneste.
4.2.2.8 Helse
Bergen kommune ønsker å påpeke at det ser ut til å være en skrivefeil i høringen. Begrepet «omfattet av» står i prosateksten, men ikke i forslaget til forskrift. Bergen kommune ber departementet presisere hva som menes.
Når det gjelder terskelverdiene i forskriften, mener Bergen kommune at terskelverdien i forslaget til bokstav a er klar og tydelig. Når det gjelder bokstav b og c, mener Bergen kommune at det bør presiseres ytterligere hva som menes med «tjenesten ikke kan overføres eller avlastes av andre tjenester», da dette fremstår som åpent for tolkning.
Vi vil videre poengtere at det er få kommuner i Norge som har mer enn 50 000 innbyggere. Forskriften legger dermed en høy terskel for at kommunene skal omfattes, og den vil pålegge de rundt 20 kommunene over terskelverdi betydelig flere plikter enn de som faller under og dermed ikke berøres av forskriften i like stor grad. Storbritannia har en radikalt annen geografi enn Norge, og Sverige har færre kommuner fordelt på omtrent dobbelt så mange innbyggere. Effekten av terskelverdiene slik de nå er foreslått, bør vurderes konkret opp mot norsk geografi og bosettingsmønster.
Når det gjelder terskelverdiene i forskriften, mener Bergen kommune at terskelverdien i forslaget til bokstav a er klar og tydelig. Når det gjelder bokstav b og c, mener Bergen kommune at det bør presiseres ytterligere hva som menes med «tjenesten ikke kan overføres eller avlastes av andre tjenester», da dette fremstår som åpent for tolkning.
Vi vil videre poengtere at det er få kommuner i Norge som har mer enn 50 000 innbyggere. Forskriften legger dermed en høy terskel for at kommunene skal omfattes, og den vil pålegge de rundt 20 kommunene over terskelverdi betydelig flere plikter enn de som faller under og dermed ikke berøres av forskriften i like stor grad. Storbritannia har en radikalt annen geografi enn Norge, og Sverige har færre kommuner fordelt på omtrent dobbelt så mange innbyggere. Effekten av terskelverdiene slik de nå er foreslått, bør vurderes konkret opp mot norsk geografi og bosettingsmønster.
4.2.4 Innmelding av samfunnsviktige tjenester
Bergen kommune mener at den mest hensiktsmessige måten tilbydere kan melde inn samfunnsviktige tjenester på, er at tilbyderen melder inn til Nasjonal sikkerhetsmyndighet, og at Nasjonal Sikkerhetsmyndighet melder videre til tilsynsmyndigheten. Dette vil redusere den administrative byrden for tilbyder, og hindre at det for eksempel ved feil blir meldt ulike opplysninger til ulike myndigheter.
Bergen kommune ber departementet vurdere om det bør utvikles en elektronisk meldeløsning der tilbyder melder inn en gang, og informasjonen går til både NSM og tilsynsmyndigheter. Dette vil lette arbeidet for kommunen, og sikre ulike myndigheter får lik informasjon.
Bergen kommune ber departementet vurdere om det bør utvikles en elektronisk meldeløsning der tilbyder melder inn en gang, og informasjonen går til både NSM og tilsynsmyndigheter. Dette vil lette arbeidet for kommunen, og sikre ulike myndigheter får lik informasjon.
5. Krav til sikkerhet for samfunnsviktige tjenester
5.3.2 Krav til styringssystem for sikkerhet
Bergen kommune ser det som positivt at det forskriftsfestes at styringssystemet skal baseres på anerkjente standarder, og at det slås tydelig fast at virksomhetens leder har ansvar for at virksomheten har et forsvarlig sikkerhetsnivå.
Bergen kommune mener imidlertid at det bør fremgå tydeligere av forskriften at digital sikkerhet må ses i sammenheng med virksomhetenes øvrige risikostyring og overordnete styringssystem. Dette vil understreke at digital sikkerhet er et ledelsesansvar, og plassere eierskap. I NIS 2 er ledelsesansvar tydelig understreket, dermed vil en slik bestemmelse vil være positivt med tanke på en senere innføring av NIS 2.
5.3.3 Risikovurdering
Bergen kommune mener at det kan være viktig å forskriftsfeste gjennomføring av risikovurderinger, og minimumskrav til risikovurderingen. Vi støtter i utgangspunktet at forskriften gir rom for at virksomhetene tilpasser metodikken til egen sektor og egenart, da loven og forskriften vil ramme virksomheter av ulike størrelser.
Vi vil likevel påpeke viktigheten av at Nasjonal sikkerhetsmyndighet og eventuelt sektormyndigheter gir god og helhetlig og veiledning for risikovurderinger. Gode veiledninger vil være nødvendig for å sikre lik praksis mellom virksomheter. Gode og grundige veiledninger vil også senke kostnadene som kommunen får knyttet til å innføre tiltak som sikrer at kravene i forskriften etterleves.
5.3.4 Risikohåndtering
Forslaget om at NSM skal lage veiledningsmateriale som supplerer sikkerhetstiltakene i §§ 9-14 støttes i utgangspunktet. Veiledningsmateriale fra NSM kan da endres raskt ved behov, i stedet for forskrifter som må sendes på høringer osv.
Bergen kommune er likevel bekymret for at dette kan føre til ulik praksis mellom virksomheter. Bergen kommune tror det derfor at detaljeringsnivå på veiledningsmaterialet bør vurderes grundig, slik at det blir enkelt for alle, også mindre virksomheter, å etterleve kravene.
5.3.5.2 Teknologiske sikkerhetstiltak
Bergen kommune støtter forslaget om å forskriftsfeste en liste med minimum teknologiske sikkerhetstiltak. Bergen kommune støtter også bruken av kategorier av sikkerhetstiltak uten krav om metoden for implementering av tiltakskategorien. Forskriften vil omfatte virksomheter, herunder kommuner, av ulik størrelse, og det vil derfor være mulig for virksomheten å vurdere på hvilken måte man skal gjennomføre tiltakene, så lenge forskriftens krav oppfylles.
Departementet har vurdert om det i forskriften bør tas inn en bestemmelse som åpner for at dersom tilbyderen ikke kan gjennomføre et eller flere av kategoriene av tiltak, vil de kunne gjøre unntak dersom det begrunnes og dokumenteres, og ber om høringsinstansenes syn på dette.
Bergen kommune mener at det bør vurderes om det er behov for en unntaksbestemmelse. En slik bestemmelse blir relevant i mange kommuner, der det benyttes eldre fagsystemer som må benyttes frem til de kan byttes ut. Dersom det tas inn en unntaksbestemmelse, bør kriteriene for unntak være svært tydelige, for å unngå ulik praksis. Vi oppfordrer departementet til å vurdere om slike unntak fra forskriften bør godkjennes av tilsynsmyndigheten. I tillegg vil Bergen kommune understreke at mange sikkerhetstiltak ikke kan gjennomføres etter utviklingen av systemet. Bergen kommune oppfordrer departementet til å vurdere om det tas inn et krav om innebygd sikkerhet. Dette bør synliggjøre at leverandørene må designe systemer som kan ivareta et forsvarlig sikkerhetsnivå og tekniske krav som er satt i forskriften.
5.3.7 Oppfølgingsplikt
Departementet foreslår i § 14 en bestemmelse som regulerer tilbyderens bruk av leverandører og oppdragstaker.
Erfaringsmessig krever det mye ressurser fra kommunen å følge opp at leverandørene overholder de kravene som vi stiller gjennom våre anskaffelser. Kommuner er i dag pålagt en rekke krav når det gjelder leverandører, gjennom blant annet GDPR, åpenhetsloven, forskrift om universell utforming, miljøkrav og så videre. Kommunen ser viktigheten av å følge opp egne underleverandører og ha oversikt over kjeden av leverandører og andre kontraktører. Det vesentlige er at kravene legges opp på en slik måte at de er mulige å gjennomføre, og at oppfølgingen ikke krever uforholdsmessig høy ressursinnsats kommunene. Det bør derfor tydeliggjøres hva som kreves for å ivareta oppfølgingsplikten.
For mange av Bergen kommunes tjenesteområder, finnes det få leverandører av systemer. Dette gir noen leverandører tilnærmet monopol på visse tjenester. En slik situasjon kan være uheldig med tanke på konkurransesituasjonen for kommunen, men det gir samtidig store muligheter for å standardisere av krav til leverandørmarkedet. Bergen kommune mener at det ville vært mer hensiktsmessig om kravene ble stilt direkte til leverandørene, og at leverandørmarkedet følges opp med tilsyn. Det vil spare kommunene for kostnader knyttet til oppfølging. Vi ber derfor om at departementet vurderer om krav til standardisering gir høyere effekt dersom disse innarbeides som krav i Statens standardavtaler, og tas inn i NSMs veiledere for oppfølging av leverandører.
Bergen kommune ser det som positivt at det forskriftsfestes at styringssystemet skal baseres på anerkjente standarder, og at det slås tydelig fast at virksomhetens leder har ansvar for at virksomheten har et forsvarlig sikkerhetsnivå.
Bergen kommune mener imidlertid at det bør fremgå tydeligere av forskriften at digital sikkerhet må ses i sammenheng med virksomhetenes øvrige risikostyring og overordnete styringssystem. Dette vil understreke at digital sikkerhet er et ledelsesansvar, og plassere eierskap. I NIS 2 er ledelsesansvar tydelig understreket, dermed vil en slik bestemmelse vil være positivt med tanke på en senere innføring av NIS 2.
5.3.3 Risikovurdering
Bergen kommune mener at det kan være viktig å forskriftsfeste gjennomføring av risikovurderinger, og minimumskrav til risikovurderingen. Vi støtter i utgangspunktet at forskriften gir rom for at virksomhetene tilpasser metodikken til egen sektor og egenart, da loven og forskriften vil ramme virksomheter av ulike størrelser.
Vi vil likevel påpeke viktigheten av at Nasjonal sikkerhetsmyndighet og eventuelt sektormyndigheter gir god og helhetlig og veiledning for risikovurderinger. Gode veiledninger vil være nødvendig for å sikre lik praksis mellom virksomheter. Gode og grundige veiledninger vil også senke kostnadene som kommunen får knyttet til å innføre tiltak som sikrer at kravene i forskriften etterleves.
5.3.4 Risikohåndtering
Forslaget om at NSM skal lage veiledningsmateriale som supplerer sikkerhetstiltakene i §§ 9-14 støttes i utgangspunktet. Veiledningsmateriale fra NSM kan da endres raskt ved behov, i stedet for forskrifter som må sendes på høringer osv.
Bergen kommune er likevel bekymret for at dette kan føre til ulik praksis mellom virksomheter. Bergen kommune tror det derfor at detaljeringsnivå på veiledningsmaterialet bør vurderes grundig, slik at det blir enkelt for alle, også mindre virksomheter, å etterleve kravene.
5.3.5.2 Teknologiske sikkerhetstiltak
Bergen kommune støtter forslaget om å forskriftsfeste en liste med minimum teknologiske sikkerhetstiltak. Bergen kommune støtter også bruken av kategorier av sikkerhetstiltak uten krav om metoden for implementering av tiltakskategorien. Forskriften vil omfatte virksomheter, herunder kommuner, av ulik størrelse, og det vil derfor være mulig for virksomheten å vurdere på hvilken måte man skal gjennomføre tiltakene, så lenge forskriftens krav oppfylles.
Departementet har vurdert om det i forskriften bør tas inn en bestemmelse som åpner for at dersom tilbyderen ikke kan gjennomføre et eller flere av kategoriene av tiltak, vil de kunne gjøre unntak dersom det begrunnes og dokumenteres, og ber om høringsinstansenes syn på dette.
Bergen kommune mener at det bør vurderes om det er behov for en unntaksbestemmelse. En slik bestemmelse blir relevant i mange kommuner, der det benyttes eldre fagsystemer som må benyttes frem til de kan byttes ut. Dersom det tas inn en unntaksbestemmelse, bør kriteriene for unntak være svært tydelige, for å unngå ulik praksis. Vi oppfordrer departementet til å vurdere om slike unntak fra forskriften bør godkjennes av tilsynsmyndigheten. I tillegg vil Bergen kommune understreke at mange sikkerhetstiltak ikke kan gjennomføres etter utviklingen av systemet. Bergen kommune oppfordrer departementet til å vurdere om det tas inn et krav om innebygd sikkerhet. Dette bør synliggjøre at leverandørene må designe systemer som kan ivareta et forsvarlig sikkerhetsnivå og tekniske krav som er satt i forskriften.
5.3.7 Oppfølgingsplikt
Departementet foreslår i § 14 en bestemmelse som regulerer tilbyderens bruk av leverandører og oppdragstaker.
Erfaringsmessig krever det mye ressurser fra kommunen å følge opp at leverandørene overholder de kravene som vi stiller gjennom våre anskaffelser. Kommuner er i dag pålagt en rekke krav når det gjelder leverandører, gjennom blant annet GDPR, åpenhetsloven, forskrift om universell utforming, miljøkrav og så videre. Kommunen ser viktigheten av å følge opp egne underleverandører og ha oversikt over kjeden av leverandører og andre kontraktører. Det vesentlige er at kravene legges opp på en slik måte at de er mulige å gjennomføre, og at oppfølgingen ikke krever uforholdsmessig høy ressursinnsats kommunene. Det bør derfor tydeliggjøres hva som kreves for å ivareta oppfølgingsplikten.
For mange av Bergen kommunes tjenesteområder, finnes det få leverandører av systemer. Dette gir noen leverandører tilnærmet monopol på visse tjenester. En slik situasjon kan være uheldig med tanke på konkurransesituasjonen for kommunen, men det gir samtidig store muligheter for å standardisere av krav til leverandørmarkedet. Bergen kommune mener at det ville vært mer hensiktsmessig om kravene ble stilt direkte til leverandørene, og at leverandørmarkedet følges opp med tilsyn. Det vil spare kommunene for kostnader knyttet til oppfølging. Vi ber derfor om at departementet vurderer om krav til standardisering gir høyere effekt dersom disse innarbeides som krav i Statens standardavtaler, og tas inn i NSMs veiledere for oppfølging av leverandører.
8. Varsling av hendelser
Etter Bergen kommunes vurdering, bør både lov og forskrift suppleres med en veileder eller tilsvarende. Denne bør inneholde utdypende informasjon om hvilke hendelser som skal meldes, slik at det ikke er noen tvil hos virksomhetene. Dette særlig viktig med tanke på at fristen for første melding settes så kort som 24 timer.
Det vil være en fordel dersom det også opprettes en meldeløsning for virksomhetene med skjema som angir hvilke opplysninger som skal gis, tilsvarende den som Datatilsynet har for personvernavvik.
Det vil være en fordel dersom det også opprettes en meldeløsning for virksomhetene med skjema som angir hvilke opplysninger som skal gis, tilsvarende den som Datatilsynet har for personvernavvik.
9. Tilsyn
Bergen kommune støtter forslaget om at departementet utpeker sektortilsyn, og at eksisterende tilsynsstruktur benyttes. Forslaget om at tilsynsmyndigheten kan innhente spisskompetanse ved behov støttes også. Bergen kommune vil likevel understreke at kommunene fortsatt vil ha behov for veiledning fra NSM, og at det er derfor er viktig at veiledning fra tilsynsmyndigheten koordineres med NSM for å unngå ulik praksis mellom sektorene.
Bergen kommune ber departementet vurdere behovet for å også i forskriften understreke at plikten til å tilgjengeliggjøre informasjon, dokumentasjon og å gi tilgang til lokaler også skal gjelde leverandører og eventuelt underleverandører.
Bergen kommune ber departementet vurdere behovet for å også i forskriften understreke at plikten til å tilgjengeliggjøre informasjon, dokumentasjon og å gi tilgang til lokaler også skal gjelde leverandører og eventuelt underleverandører.