Norges Rederiforbund

Norges Rederiforbund viser til brev datert 11.9.24 om å levere høringsinnspill til forskrift til lov 20. desember 2023 nr. 108 om digital sikkerhet (digitalsikkerhetsforskriften). Vi takker for muligheten for å komme med våre innspill til forskriftsforslaget.

Etter vår vurdering er implementeringen av EUs NIS-direktiv i norsk lovverk et viktig skritt for å utvikle et effektivt regelverk for digital sikkerhet. Norges Rederiforbund er derfor positive til formålet med forslaget som nettopp er å sikre grunnleggende krav til digital sikkerhet i virksomheter av stor samfunnsmessig betydning. Vi ser samtidig noen utfordringer med hvordan departementets forslag skal gjennomføres i praksis. I dette høringsinnspillet vil vi derfor kommentere noen forhold som vi mener er særlig relevante fra et skipsfartsperspektiv.

Hensikten med å etablere et felles regelverk for digital sikkerhet i EU er å sikre helhetlige sikkerhetstiltak på tvers av medlemsland. Digitalsikkerhetsforskriften er en implementering av NIS1-direktivet i norsk lovverk. I forskriften har departementet forsøkt å tilnærme seg kravene i NIS2-direktivet der de mener det er hensiktsmessig. Å innføre deler av NIS2-direktivet inn i digitalsikkerhetsforskriften, før NIS2-direktivet er innført i EU, er etter vår vurdering uheldig. I tillegg er NIS2-implementeringen i flere EU-land utsatt, og det er fremdeles uklart hvordan skipsfarten skal omfattes av NIS2.

For en næring som er global og som opererer mellom land og kontinenter, herunder mellom Norge og EU, vil et nasjonalt regelverk på digital sikkerhet som ikke er tilstrekkelig harmonisert med gjeldende regelverk i EU skape utfordringer. Ulik implementering, både i innhold og tidspunkt, medfører at rederier som opererer skip mellom Norge og EU risikerer å måtte forholde seg til ulike rammeverk for digital sikkerhet.

Dette vil, etter vår vurdering, ikke være i tråd med hensikten til forskriften som nettopp skal være å etablere et felles internasjonalt regelverk knyttet til digital sikkerhet.

I høringsnotatet fremgår det at det ved utarbeidelsen av terskelverdier er sett hen til andre europeiske land og at det er søkt harmonisering på tvers av sektorer. De foreslåtte terskelverdiene er også forsøkt utformet så konkret at det skal være mulig for tilbyder selv å avgjøre hvorvidt de leverer en samfunnsviktig tjeneste.

Sjøtransport er utpekt som en samfunnsviktig tjeneste i høringsnotatets punkt 4.2.2.7. De foreslåtte terskelverdiene for rederier viser først til de foreslåtte terskelverdiene for havn, og deretter er det oppstilt egne kriterier for hvilke rederier som er omfattet av forslaget.

Det er viktig med et harmonisert regelverk med de andre EU-landene, også rundt terskelverdier. Det er ikke fastsatt hvordan maritime virksomheter skal omfattes av NIS2, som EU-landene er i ferd med å implementere, noe som gjør harmonisering vanskelig. Slik vi oppfatter det ses det på helt andre terskelverdier i EU-landene enn hva som her foreslås.

Videre er det uklart hvordan forslaget vil treffe den delen av den norske flåten som opererer innenfor offshore-segmentet og den delen av skipsfarten som ikke driver med gods- og passasjertransport.

Vi er enige med departementet i at det er hensiktsmessig at virksomhetene selv må gjøre en vurdering ut ifra gitte kriterier på om de er underlagt lovens virkeområde, etter et etterlevelsesprinsipp. Et system med utpeking av virksomheter, etter samme metode som etter sikkerhetsloven, vil etter vår vurdering bidra til å forsinke implementeringen av loven. Dette krever imidlertid en tydeligere veiledning på hvordan kriteriene skal forstås innen den enkelte næring.

I høringsnotatets punkt 4.2.2.7 brukes betegnelsen «rederier som har skip» som beskrivelse av den type virksomhet som innenfor sjøtransporten omfattes av forskriften. Etter vår vurdering fremstår dette uklart. Skipsfarten er global og gjennomkommersialisert, og som følge av det vil rederiene i mange tilfeller være oppdelt i ulike funksjonelle virksomhetsområder, hvor driftsorganisasjonen (ship management) gjerne kan være atskilt som en egen virksomhetsdel.

Å avklare om det er hele rederiet eller kun driftsorganisasjonen, den delen av virksomheten som opererer skipene, som omfattes av forskriften er viktig for å tydeliggjøre hva slags ansvar som vil tillegge virksomheten når det gjelder oppfølging av tiltakene i forskriften samt pålagte krav om rapportering. Dette må presiseres ytterligere både i forskriften og i en eventuell veileder til forskriften.

Departementet foreslår i høringsnotatet at myndigheter med sektoransvar skal føre tilsyn etter digitalsikkerhetsloven i sin sektor. Dette forslaget støttes. Etter vår oppfatning bør flest mulig tilsynsoppgaver samles til det sektortilsynet som kjenner næringen best, slik det legges opp til i departementets forslag.

Departementet foreslår samtidig at virksomheter som opererer i flere sektorer, skal forholde seg til flere tilsynsmyndigheter for digital sikkerhet. Rederier som opererer i tilknytning til andre sektorer enn kun sjøtransport, eksempelvis mot petroleumssektoren, vil kunne underlegges ulike sektorvise tilsynsmyndigheter, noe som i praksis vil bety av man vil måtte forholde seg til ulike varslings- og rapporteringspunkter. Grenseoppgangen her må avklares ytterligere.

Innføringen av digitalsikkerhetsloven med tilhørende forskrift er et viktig tiltak for å styrke arbeidet med digital sikkerhet, og gjennom det også styrke robustheten og motstandsdyktigheten til virksomheter med særlig betydning for samfunnet. Vi har i dette høringsinnspillet trukket fram noen forhold som vi mener er særlig relevante fra skipsfartsperspektiv og som vi mener er relevante å vurdere i det videre arbeidet med å utvikle et norsk regelverk på området. Vi imøteser også muligheten til å presentere våre synspunkter i en muntlig høring om forskriften, dersom det er ønskelig.

Norges Rederiforbund Toril Charlotte Kobbeltvedt

Direktør, politikk og analyse