Dato: 11.12.2024 Svartype: Med merknad NHO Elektro takker for muligheten til å gi innspill i høringen. Norske virksomheter og samfunn er blant verdens mest digitale. Digitaliseringen er avgjørende for å tilby gode tjenester, effektivisere samfunnet, skape verdier, løse klimautfordringer og samtidig legge til rette for bærekraftig økonomisk vekst. Utviklingen medfører også at norske virksomheter og samfunn i økende grad blir sårbare for digitale trusler. Den sikkerhetspolitiske situasjonen i verden har endret seg betydelig, noe som påvirker det nasjonale trusselbildet og skaper sikkerhetsmessige utfordringer. Digital sikkerhet er derfor helt avgjørende for å ivareta velferdssamfunnet, sikre viktige samfunnsfunksjoner og beskytte nasjonale interesser. Komplekse trusler og verdikjeder krever helhetlige sikkerhetstiltak. NHO Elektro er positive til at EUs NIS1-direktiv nå innføres i norsk rett. NHO Elektro forventer også at det bare er et tidsspørsmål før NIS2-direktivet blir en del av EØS-avtalen og norsk rett. For norske leverandører til virksomheter med særlig betydning for samfunnet, som har nordisk eller europeisk fotavtrykk, vil NIS2-kravene allerede i praksis måtte oppfylles. Det blir unødvendig komplisert og kostbart å både forholde seg til et særnorsk regelverk basert på NIS1 og samtidig levere i henhold til det mer fremtidssikre NIS2-direktivet for hele EU-markedet. Utover denne overordnede kommentaren om at vi ønsker at NIS2-direktivet innføres så raskt som mulig, har NHO Elektro noen få mer konkrete kommentarer til forskriftsforslaget: 1. Frister: Vi kan ikke se at høringsnotatet omtaler frister for å ha innført styringssystem og tiltak som følger av forskriften. Å ha alt på plass fra tidspunktet for forskriftens ikrafttredelse er ikke realistisk. Departementet bør sette frister for innføring i virksomhetene. 2. Ansvarlig myndighet: Departementet foreslår at tilsynet med oppfølging av regelverket skal ligge hos ansvarlig sektordepartement, og ellers hos NSM i tilfeller hvor det ikke er et naturlig sektordepartement. Det er viktig å unngå en fragmentering av myndighets- og tilsynsoppgaver. NHO Elektro har i andre sammenhenger etterlyst et sterkt direktorat som tar helhetsansvar for elsikkerhet, ekomsikkerhet og cybersikkerhet. På sikt mener vi dette er veien å gå. 3. Styringssystem: Forskriftens struktur gjenkjennes fra anerkjente standarder for styringssystem for informasjonssikkerhet, noe som er positivt. Det kan imidlertid gjøres tydeligere hvordan styringssystemet for informasjonssikkerhet skal bli en del av virksomhetens samlede styrings- og rapporteringsstruktur. Videre bør veiledning være tydeligere om krav til dokumentasjon, roller og ansvar for å være i samsvar med forskriftens krav. Veiledninger for beste praksis vil være svært velkomne. 4. Sikkerhetstiltak for personell: I høringsdokumentet fremgår det at tilbydere av samfunnsviktige tjenester skal iverksette nødvendige sikkerhetstiltak for ansatte, leverandører og oppdragstakere som kan få tilgang til virksomhetens nettverk og informasjonssystemer. Bestemmelsen er ment å omfatte bruk av underleverandører. Her må forskriften og veiledningen være mer tydelige om hva dette betyr i praksis. 5. Digital sikkerhet: Det er vår forståelse at forskriften omfatter det som tidligere både er omtalt som både IT- og OT-miljøer, og alle systemer som er kritiske i samfunnsviktige sektorer som energi og transport/samferdsel, også blir vurdert under kravene til digital sikkerhet og omfattes av virksomhetens styringssystem for informasjonssikkerhet. Mer veiledning fra myndighetene om hvordan kravene kan oppfylles, vil være svært velkommen. 6. Unntak: Det er foreslått at små og mellomstore tilbydere av digitale tjenester kan unntas fra visse krav, med mindre de har en kritisk rolle i en gitt sektor. Justiskomiteen understreket i sine merknader til digitalsikkerhetsloven viktigheten av å inkludere alle relevante virksomheter som har betydning for nasjonal sikkerhet, uavhengig av størrelse. Komiteen pekte på at unntak for små og mellomstore virksomheter kan medføre risiko, spesielt dersom disse virksomhetene leverer kritiske tjenester eller er en del av viktige leverandørkjeder. Vi merker oss også at NIS2-direktivet har en annen tilnærming til unntak. Unntaksmulighetene må tydeliggjøres i den endelige forskriften og i veiledningen. Justis- og beredskapsdepartementet Til høringen Til toppen <div class="page-survey" data-page-survey="133" data-page-survey-api="/api/survey/SubmitPageSurveyAnswer" data-text-hidden-title="Tilbakemeldingsskjema" data-text-question="Fant du det du lette etter?"
