Dato: 11.12.2024 Svartype: Med merknad Statens jernbanetilsyns høringssvar - Forslag til forskrift til digitalsikkerhetsloven (digitalsikkerhetsforskriften) 1. Innledning Statens jernbanetilsyn viser til Justis- og beredskapsdepartementets høring om forslag til forskrift om digital sikkerhet (digitalsikkerhetsforskriften). Frist for å inngi høringssvar er satt til 11. desember 2024. Statens jernbanetilsyn er en etat underlagt Samferdselsdepartementet, med ansvar for å ivareta offentlighetens interesser når det gjelder sikkerhet på jernbane, trikk, T-bane, taubaner og fornøyelsesinnretninger i Norge. Statens jernbanetilsyn er tilsynsmyndighet, behandler søknader om tillatelse til å drive virksomhet innenfor nevnte områder, og overvåker markedet for å bidra til et effektivt jernbanemarked. Under følger våre bemerkninger til enkelte bestemmelser i den foreslåtte forskriften. Vi mener at vi ved dette også dekker de punktene hvor departementet har bedt om høringsinstansens syn særskilt. 2. Til forskriftens § 5 Departementet etterspør høringsinstansenes tilbakemelding knyttet til innmeldingen av tilbyder av samfunnsviktige tjenester. I forskriftens forslag til § 5 er det foreslått en plikt for virksomheten om å melde til tilsynsmyndigheten(e) og til nasjonal sikkerhetsmyndighet (NSM), at virksomheten tilbyr samfunnsviktige tjenester. I dette ligger at tilbydere som operer innen flere sektorer, må melde inn til samtlige relevante tilsynsmyndigheter. Samtidig skisserer departementet i punkt 4.2.4 i høringsnotatet to andre alternativer; at tilbyderen av samfunnsviktige tjenester kun melder informasjonen til NSM og at NSM deretter melder videre til tilsynsmyndighetene, eller at offentlige myndigheter utpeker tilbyderne på tilsvarende måte som etter sikkerhetsloven § 7-1 andre ledd. Statens jernbanetilsyn støtter departementets forslag til § 5 når det gjelder reguleringen av hvilke myndigheter tilbyderne av samfunnsviktig tjeneste skal melde inn til. Vi anser at det kunne blitt svært ressurskrevende for NSM dersom de måtte sørge for innmelding til tilsynsmyndighetene, særlig når enkelte tilbydere kan være underlagt flere tilsynsmyndigheter. Tilbyderne vet selv hvilke tilsynsmyndigheter de er underlagt, og er dermed nærmest til å melde inn til både NSM og samtlige relevante tilsynsmyndigheter. En løsning tilsvarende sikkerhetsloven § 7-1 andre ledd ville kreve at departementene førte en tilstrekkelig oversikt over aktuelle tilbydere for å kunne utpeke dem, og en slik løsning mener vi av den grunn ikke er hensiktsmessig. Det er likevel vårt syn at forslaget til § 5 er noe uklart når det gjelder hvilke plikter tilbyderen av samfunnsviktig tjeneste har. Bestemmelsen fordrer at virksomhetene selv vet at de er tilbydere av samfunnsviktig tjeneste etter forskriftens § 1, og at de forstår at de har et selvstendig ansvar for å melde sin virksomhet inn til alle relevante tilsynsmyndigheter og NSM. Slik ordlyden er formulert i forslaget, fremstår opplysningene som skal meldes inn som mer sentrale enn innmeldingsplikten som sådan. Etter vårt syn vil en klargjøring av bestemmelsen, f.eks. ved en oppdeling av plikten til å melde seg inn i et ledd, og kravene til opplysningene i innmeldingen i et annet, kunne bidra til at virksomheter i større grad forstår hvilke plikter de har. Vi foreslår også at bestemmelsens overskrift endres, slik at denne inneholder ordet «plikt». For øvrig bemerker vi at man blant annet i forskriftens § 5 og flere av de påfølgende bestemmelsene, har valgt ordet «Tilbyder», mens det gjennomgående i loven er benyttet «En tilbyder». 3. Til forskriftens § 2 Av høringsnotatets side 14 under punkt 4.2.5 fremgår at det i forskriftens § 2 foreslås en regulering av at tilbydere av digitale tjenester som har færre enn 50 ansatte og en årlig omsetning eller årlig samlet balanse som ikke overstiger 100 millioner kroner, «ikke omfattes av § 13 om sikkerhetskrav for tilbydere av digitale tjenester og § 15 om varslingsplikt». Henvisningene til henholdsvis § 13 og § 15 fremgår også av § 2 i forskriftsforslaget. Statens jernbanetilsyn gjør departementet oppmerksom på at § 13 i selve forskriftsforslaget omhandler «[H]endelseshåndtering og beredskap». Forslagets § 15 omhandler «[T]iltak for sikkerhetsstyring for tilbydere av digitale tjenester og kriterier for å avgjøre om en hendelse skal anses for å ha betydelig innvirkning». Det må derfor gjøres justeringer i forslagets § 2, slik at det der blir vist til de korrekte hjemlene. 4. Til forskriftens § 7 Forskriftsforslagets § 7 Risikovurdering lister i tredje ledd opp hva risikovurderinger minst skal inneholde. Statens jernbanetilsyn gjør oppmerksom på at listens nummerering i forskriftsforslaget (trolig som følge av en inkurie) starter på bokstav g, mens omtalen av samme liste starter på bokstav a under punkt 5.3.3.i høringsnotatet på side 18. Når det gjelder det nærmere innholdet i bestemmelsen om risikovurderinger i forslagets § 7, støtter vi forslaget slik det der er formulert i dag. Vi ønsker likevel å bemerke at vi anser det uheldig at det fra forskriftens bestemmelser er utelatt en regulering som knytter seg til risikoaksept. Etter vårt syn er en vurdering av risikoaksept helt nødvendig for å berede et godt nok grunnlag for virksomhetens risikovurderinger. Dersom man for virksomheten ikke har oppstilt akseptkriterier, har man heller ikke noe konkret å evaluere risikoen mot. Å kunne etterspørre fastsatte kriterier for risikoaksept, vil også være relevant for tilsynsmyndighetene når disse utøver sin tilsynsoppgave. Vi er imidlertid enige med departementet i at en bestemmelse om risikoaksept ikke er treffende plassert i forskriftens § 7 om risikovurderinger. Etter vårt syn ville en hensiktsmessig plassering være i forslagets § 6 fjerde ledd, etter første setning. Vi foreslår derfor følgende nye ordlyd i forskriftens § 6 fjerde ledd: «Virksomhetens ledelse har ansvar for at virksomheten har et forsvarlig sikkerhetsnivå innenfor virkeområdet til digitalsikkerhetsloven. I dette inngår at ledelsen må fastsette kriterier for risikoaksept.» 5. Til forskriftens § 8 Departementet har foreslått en regulering av generelle krav til risikohåndtering i forskriftens § 8. Konkrete krav til sikkerhetstiltak følger i de påfølgende bestemmelsene §§ 9-14. Sikkerhetstiltakene suppleres med veiledningsmateriale fra NSM. Departementet har bedt om høringsinstansenes syn på den foreslåtte minimumsreguleringen med supplerende veiledningsmateriale fra NSM. Statens jernbanetilsyn støtter en slik løsning. Når det gjelder innholdet i de konkrete bestemmelsene i forskriftens §§ 9-11, er disse ment å redegjøre for konkrete minimumskrav for henholdsvis organisatoriske, teknologiske og fysiske sikkerhetstiltak som skal utgjøre en del av virksomhetens risikohåndtering. Vi anser at dette vil være bestemmelser som det er aktuelt for tilsynsmyndighetene å føre tilsyn med, og av den grunn er formuleringene i bestemmelsene sentrale for utøvelsen av vår rolle. Statens jernbanetilsyn mener at bestemmelsen i forskriftsforslagets § 9 om organisatoriske sikkerhetstiltak er noe omstendelig formulert i tillegg til at oppbyggingen avviker markant fra de påfølgende bestemmelsene som regulerer teknologiske og fysiske sikkerhetstiltak. Vi hadde foretrukket om oppbyggingen og innholdet lignet mer på bestemmelsene i forskriftens § 10 og 11. Utover dette ser vi også grunn til å nevne at forskriftens § 9 første ledd har en ordlyd som det kan være vanskelig å få grep om. I henhold til bestemmelsen skal virksomhetene utarbeide skriftlige «instrukser for rutiner og prosedyrer innenfor sikkerhet». Det er uklart hva som konkret menes med dette, og om det med dette legges opp til at virksomhetene har både rutiner og prosedyrer, i tillegg til instrukser for rutinene og prosedyrene. Det er vår bekymring at virksomhetene ut fra ordlyden ikke vil forstå hva som forlanges av dem, som igjen vil kunne resultere i vanskeligheter for tilsynsmyndighetene ved utøvelsen av tilsyn. Etter vårt syn ville det vært tilstrekkelig om man stilte krav til at tilbyderne av samfunnsviktige tjenester hadde utarbeidet skriftlige prosedyrer innenfor sikkerhet som var tilpasset virksomhetens størrelse og kompleksitet. Når det gjelder bestemmelsens andre ledd legger denne opp til at virksomhetene skal ha «oppdaterte lister over sikkerhetstiltak som kan iverksettes dersom risikoen endrer seg eller det oppstår en hendelse, jf. § 13.» Vi opplever det som uklart hva som menes med «lister» i dette henseende. Det er mulig at departementet har sett for seg at dette er operasjonelle lister som kan benyttes ved en hendelse. Dersom det er dette man har siktet til, bør dette komme tydeligere frem av ordlyden slik at også alle aktører (inklusive tilsynsmyndigheter) er kjent med hva som forlanges dokumentert. Videre oppfatter vi at det i ordlyden blandes mellom tiltak som er et resultat av en risikovurdering (risikoreduserende (proaktive) tiltak) og beredskapstiltak som iverksettes i relasjon til forventede konsekvenser av en hendelse (konsekvensreduserende (reaktive) tiltak). Etter vårt syn bør det tydeliggjøres i ordlyden om man sikter til reaktive eller proaktive tiltak, eller begge deler. 6. Til forskriftens § 10 I forslaget til forskriftens § 10 angis teknologiske sikkerhetstiltak, og det er listet opp åtte punkter (kategorier) som de teknologiske sikkerhetstiltakene minst skal omfatte uten at det angis hvilken metode som anvendes for implementeringen av tiltakskategorien. Departementet fremhever under pkt. 5.3.5.2. i høringsnotatet at det er vurdert om det bør inntas en bestemmelse om en unntaksadgang, for de tilfeller der tilbyderen ikke kan gjennomføre et eller flere av kategoriene av tiltak. Et unntak er likevel ikke foreslått, og departementet etterspør høringsinstansenes syn på dette. Statens jernbanetilsyn anser det uheldig å utelate en unntaksbestemmelse helt. En snever unntaksadgang vil kunne være hensiktsmessig for de tilfeller der enkelte av kravene ikke lar seg oppfylle, men et lavere sikkerhetsnivå i det konkrete tilfellet likevel kan aksepteres basert på en helhetlig vurdering av øvrige omstendigheter. Statens jernbanetilsyn ønsker også å bemerke at vi opplever forskriftens § 10 bokstav f som utfordrende. Bestemmelsen legger opp til at virksomhetens teknologiske sikkerhetstiltak skal omfatte «tiltak som skal sikre at nettverk og informasjonssystemer har tilstrekkelig kapasitet til å tåle overbelastning og utstyrssvikt». Etter vårt syn kan det i praksis bli svært utfordrende å kontrollere og iverksette tiltak mot dette for tilbyderne av samfunnsviktige tjenester, samtidig som det kan tenkes at dette er et forhold som kan bli ivaretatt gjennom kontrakter virksomhetene har med sin IT-leverandør. 7. Om leverandørbegrepet i forskriftens §§ 12, 13 og 14 I forslaget til forskrift benyttes begrepet «leverandør» i enkelte av bestemmelsene, samtidig som begrepet «underleverandør» brukes i andre bestemmelser. Ved flere av tilfellene etterfølges begrepene av «eller andre som utfører arbeid for eller på vegne av virksomheten». Dette gjelder forslagets §§ 12 første ledd, 13 tredje ledd og 14. Slik forskriftsforslaget er formulert, er det også andre bestemmelser som muligens er tenkt å omfatte leverandører av ulikt slag, men som ikke uttrykkelig benytter leverandørbegrepet. Dette gjelder § 9 Organisatoriske sikkerhetstiltak, der bestemmelsens siste ledd sier «Relevante instrukser, rutiner, prosedyrer og lister etter første og andre ledd skal gjøres kjent for personell som utfører oppgaver for eller på vegne av virksomheten og som kan få tilgang til virksomhetens nettverk og informasjonssystemer». Statens jernbanetilsyn anser det uheldig at forskriftsforslaget ikke er konsekvent i bruken av leverandørbegrepet. Videre er det vår erfaring at virksomheter ikke nødvendigvis har et bevisst forhold til hvem som bør medregnes i leverandørbegrepet, og om begrepet kun sikter til eksterne leverandører eller også om konserninterne leverandører er tenkt omfattet. For eksempel vil søsterselskaper i konsernet som gir føringer om bruk av administrative tjenester og systemer, det være seg innen IKT, økonomi eller HR, måtte regnes som en leverandør for virksomheten. Departementet bes derfor vurdere om det kan være hensiktsmessig med en enhetlig begrepsbruk, en klargjøring i de aktuelle bestemmelsene, eller alternativt en definisjonsbestemmelse knyttet til leverandørbegrepet. 8. Til forskriftens § 14 Av forskriftsforslagets § 14 fremkommer det at «Tilbyder av samfunnsviktig tjeneste skal påse at leverandører og andre som utfører arbeid som kan påvirke sikkerheten i nettverk og informasjonssystemer og som utfører arbeid for eller på vegne av virksomheten, utfører arbeidet på en måte som gjør at virksomhetenes krav til forsvarlig sikkerhet overholdes» (vår understrekning). Statens jernbanetilsyn bemerker at ordet «påse» kan skape uklarhet om hvilken forpliktelse og hvilket ansvar tilbyderen av samfunnsviktig tjeneste har overfor leverandører og andre nevnt i bestemmelsen. Klargjøring av hva som ligger i ansvaret, er også av betydning for tilsynsmyndighetenes oppfølging ved tilsyn. Statens jernbanetilsyn foreslår derfor at det benyttes et begrep som i større grad klargjør plikten og hvordan denne kan ivaretas, for eksempel ved bruk av begreper som «kontrollere» eller «undersøke». Dersom departementet likevel skulle ønske å benytte begrepet «påse» i bestemmelsen, fordrer dette etter vår mening at man i kommentarer til bestemmelsen må redegjøre for hvordan tilbyderen kan ivareta denne forpliktelsen. 9. Til forskriftens § 16 Departementet har foreslått at NSM blir nasjonalt responsmiljø for håndteringen av hendelser etter digitalsikkerhetsloven. I tillegg er det foreslått at ansvarlig departement kan utpeke sektorvise responsmiljøer som kan bistå tilbyderen med å håndtere hendelser innen sin sektor. NSM skal orienteres om utpekingen. Statens jernbanetilsyn er hovedsakelig positive til en slik løsning, som er i tråd med gjeldende prinsipper innen digital sikkerhet. Vi ønsker imidlertid å bemerke at det bør klargjøres, enten i ordlyden eller i kommentarer til bestemmelsen, hva som legges i «håndteringen av hendelser» i første ledd og de sektorvise responsmiljøenes bistand til håndteringen i annet ledd. Det bør komme tydeligere frem om man kun ser for seg et koordinerende arbeid, eller en aktiv bistand i hendelseshåndteringen. Om man tar sikte på en direkte eller aktiv bistand i hendelseshåndteringen fra de sektorvise responsmiljøene, bør også ansvarsdelingen tydeliggjøres. I tillegg er det viktig for oss å presisere at Statens jernbanetilsyn er en liten virksomhet som per i dag verken har kompetanse eller ressurser til å utgjøre et sektorvis responsmiljø innen jernbanesektoren. Det er kjent for oss at Bane NOR har etablert sektorvis responsmiljø (SRM) for jernbane og skinnegående kollektivtrafikk på oppdrag fra Samferdselsdepartementet. Vi presiserer at dette er etablert i henhold til nasjonal strategi for digital sikkerhet, uavhengig av digitalsikkerhetsloven og digitalsikkerhetsforskriften. Departementet gjøres også oppmerksom på at etablering av sektorvise responsmiljøer hos virksomheter som samtidig er tilbydere av samfunnsviktig tjeneste, vil kunne utgjøre en utfordring for tilsynsmyndighetene ved tilsynsutøvelsen. I et tilsynstilfelle vil tilsynsmyndigheten stå overfor spørsmålet om de kan utøve tilsyn over både virksomhetens rolle som tilbyder av samfunnsviktig tjeneste, og virksomhetens rolle som responsmiljø. Et alternativ for å forhindre en slik problematikk, kunne etter vårt syn være at NSM blir tilsynsmyndighet for sektorvise responsmiljøer. På den måten vil det være NSM som får ansvar for å føre tilsyn med at responsmiljøet ivaretar rollen som responsmiljø, mens de ordinære tilsynsmyndighetene kan føre tilsyn med virksomheten i rollen som tilbyder av samfunnsviktig tjeneste. 10. Til forskriftens § 17 I forskriftsforslagets § 17 om varslingsplikt er det i første ledd regulert en forpliktelse til å varsle om hendelser til både tilsynsmyndigheten og NSM. Statens jernbanetilsyn foreslår at det også tas inn en regulering om samtidig varslingsplikt til SRM. I forskriftsforslagets § 17 om varslingsplikt er det i tredje ledd lagt opp til at tilbydere av samfunnsviktig tjeneste innen «en måned» fra varsel som nevnt i første ledd, skal gi varslingsmottaker en hendelsesrapport. En frist som er formulert som én måned, kan etterlate tolkningstvil. Statens jernbanetilsyn oppfordrer derfor departementet til å sette fristen til 30 kalenderdager, slik at det skapes klarhet i fristens lengde. 11. Til pkt. 9.3.1 Tilsyn, opplysningsplikt og tilgang til lokaler De foreslåtte bestemmelsene om tilsyn i §§ 20 og 21, opplysningsplikt og tilgang til lokaler i § 22, er plassert i forskriftens kapittel om «Fellesbestemmelser». Alle de nevnte bestemmelsene knytter seg til utøvelsen av et tilsynsansvar. Etter Statens jernbanetilsyns mening ville det lovteknisk vært en bedre oppbygging av forskriften dersom de nevnte bestemmelsene ble plassert i et eget kapittel om tilsyn, eller alternativt i et eget kapittel som omhandler tilsyn og administrative reaksjoner. En slik strukturering ville også være i tråd med oppbyggingen i digitalsikkerhetsloven, hvor tilsyn og administrative reaksjoner er plassert i et eget kapittel. Statens jernbanetilsyn støtter departementets forslag om å delegere tilsynsansvar til sektortilsynene, jf. forskriften § 20. Ved delegert tilsynsansvar til oss, bemerker vi at Statens jernbanetilsyn per i dag ikke dekker alle områder med tilhørende systemer og infrastruktur innen jernbanesektoren, ettersom Direktoratet for samfunnssikkerhet og beredskap (DSB) forvalter regelverk og tilsyn med el-sikkerhet innen sitt myndighetsområde. Det kan også være andre tilsynsmyndigheter som vi kan få et grensesnitt til, slik som for eksempel NVE, Datatilsynet, og disse grensesnittene bør avklares. Når det gjelder gjennomføringen av tilsyn, utfører vi i dag våre tilsyn med jernbanevirksomheter som systemrevisjon med utgangspunkt i NS-EN ISO 19011. Vi ser for oss at tilsvarende systematikk kan anvendes ved et eventuelt tilsynsansvar etter digitalsikkerhetsforskriften. En vesentlig utfordring vi imidlertid vil stå overfor dersom vi får delegert tilsynsansvar etter forskriften, er mangelen på kompetanse og ressurser til å utføre tilsyn på dette området. Hva dette innebærer av faglig, økonomisk og administrativ karakter, kommenteres nærmere i punktene 12 og 13. Som nevnt under punkt 9 over, bes departementet ta stilling til hvem som skal føre tilsyn med responsmiljøene. Dette innebærer både å tydeliggjøre hvilken kompetanse som kreves til å føre tilsyn med responsmiljøet og hvor uavhengig responsmiljøet skal være av tjenestetilbydere. Videre har vi merket oss at det av høringsnotatet fremgår at departementet ser for seg at tilsyn med tilbydere av samfunnsviktige tjenester kan utøves uavhengig av overtredelser. Derimot skal tilsyn med tilbydere av digitale tjenester bare gjennomføres ved overtredelser, jf. forslagets § 21. Statens jernbanetilsyn ber departementet vurdere om det kan være hensiktsmessig med en formulering knyttet til det som fremstår som hovedregelen i § 20. Her er det i forslaget per i dag utelatt en direkte regulering som synliggjør hva som ligger i tilsynsansvaret, herunder at tilsyn kan føres uavhengig av overtredelser. Å synliggjøre hva som ligger i tilsynsansvaret direkte i forskriftsteksten kan for eksempel gjøres ved å tilføye følgende i § 20, før første ledd: «Tilsyn med tilbydere av samfunnsviktige tjenester kan utøves når tilsynsmyndigheten finner det nødvendig, uavhengig av informasjon om overtredelser. Ansvarlig departement utpeker myndighet som skal føre tilsyn […]» Forskriftsforslagets § 22 har overskriften «Opplysningsplikt og tilgang til lokaler». Det fremgår av høringsnotatet på side 25 at departementet i § 22 foreslår «at tilsynsmyndigheten skal kunne kreve opplysninger fra tilbyder, leverandør og andre som utfører arbeid for eller på vegne av tilbyder». Vi kan imidlertid ikke se at en slik regulering fremkommer av ordlyden i forslagets § 22. Første ledd i bestemmelsen knytter seg til tilsynsmyndighetens adgang til å fastsette frister og i hvilken form opplysninger etter digitalsikkerhetsloven § 14 skal gis. Andre ledd i bestemmelsen regulerer en plikt til å tilgjengeliggjøre nødvendig dokumentasjon og informasjon for tilsynsmyndigheten. Bestemmelsen synes dermed å mangle en direkte regulering av hva opplysningsplikten innebærer, slik bestemmelsens overskrift og omtalen i høringsnotatet opprinnelig gir anvisning på. Samtidig er selve opplysningsplikten allerede regulert i digitalsikkerhetsloven § 14. Selv om man kan finne informasjon om hva som ligger i opplysningsplikten ved å gå til digitalsikkerhetsloven § 14, ber vi departementet likevel vurdere om man i § 22 første ledd kan innta en kort formulering som gir anvisning på at innholdet i opplysningsplikten fremkommer av digitalsikkerhetsloven § 14. Etter vårt syn vil dette skape betydelig klarhet i hva opplysningsplikten innebærer. 12. Om økonomiske og administrative konsekvenser Dersom Statens jernbanetilsyn får utvidet sitt tilsynsansvar til å omfatte tilsyn med digitalsikkerhetsloven og digitalsikkerhetsforskriften, vil dette medføre så vel økonomiske som administrative konsekvenser. Per i dag har vi tilsynsledere som leder tilsyn på jernbane innen fagområdene sikkerhet, sikring og nasjonal beredskap. Tilsynsprosessen hos oss involverer også personell med jernbanefaglig og juridisk kompetanse. Imidlertid har ikke Statens jernbanetilsyn per i dag personell som har tilstrekkelig kompetanse innen digital sikkerhet, og et utvidet tilsynsansvar vil fordre kompetanseheving og ev. rekruttering av personell med rett kompetanse. I tillegg til behovet for rekruttering og opplæring som er direkte knyttet til digital sikkerhet, vil et utvidet tilsynsansvar også naturlig resultere i en økning i tilsynsoppgaver. Det vil også måtte vurderes et tilleggsbehov for å anskaffe og drifte ekstra utstyr for mottak, håndtering og lagring av eventuell gradert informasjon. 13. Behov for en sentral faglig kompetanse- og samarbeidsarena for tilsyn med digital sikkerhet Ved utøvelsen av tilsynsansvaret etter digitalsikkerhetsforskriften, vil Statens jernbanetilsyn kunne ha behov for å utveksle informasjon i et faglig miljø for å sikre en helhetlig og samordnet tverrsektoriell tilnærming. Et slikt miljø, som holder tritt med den dynamiske utviklingen på fagfeltet, kan ikke oppnås med enkeltressurser i hver av tilsynsmyndighetene alene. Enkeltressursene i tilsynsmyndighetene vil ha behov for å dra veksler på kunnskap og erfaringer fra andre med tilsvarende IKT-sikkerhetskompetanse. I tillegg er enkelte tilbydere av samfunnsviktig tjeneste underlagt flere tilsynsmyndigheter, noe som kan føre til ulike tilbakemeldinger hvis tilsynsmyndighetene ikke har lik kompetanse, erfaring og praksis. Av disse grunner anser vi det som sentralt å bemerke at det vil være viktig å få etablert et solid faglig miljø og/ eller en sentral ressurspool med kompetanse innen digital sikkerhet som kan benyttes som ressurser for tilsynsmyndighetene. I dag fremstår NSM som den sentrale ressursen for dette, og de burde muligens av den grunn få en sentral rolle i å bidra til økt kompetanse og for å sikre en samordnet tverrsektoriell tilnærming til tilsyn med digital sikkerhet. Det etablerte forumet SIG IKT-tilsyn, organisert av NSM, er et forum der Statens jernbanetilsyn deltar. Dersom dette formaliseres med mandat og retningslinjer for samarbeidet, kan det være egnet til å ivareta behovet for kompetanse – og samarbeidsutveksling. Likevel mener vi at forumet alene neppe vil være tilstrekkelig til å dekke kompetansebehovet som vi kommer til ha, dersom Statens jernbanetilsyn blir utpekt som tilsynsmyndighet. Justis- og beredskapsdepartementet Til høringen Til toppen <div class="page-survey" data-page-survey="133" data-page-survey-api="/api/survey/SubmitPageSurveyAnswer" data-text-hidden-title="Tilbakemeldingsskjema" data-text-question="Fant du det du lette etter?"
