Presidenten
[17:31:10 ]: Etter ønske fra justiskomiteen vil presidenten
ordne debatten slik: 3 minutter til hver partigruppe og 3 minutter
til medlemmer av regjeringen.
Videre vil det
– innenfor den fordelte taletid – bli gitt anledning til inntil
fem replikker med svar etter innlegg fra medlemmer av regjeringen.
De som måtte tegne seg på talerlisten utover den fordelte taletid,
får også en taletid på inntil 3 minutter.
Ingvild Wetrhus Thorsvik (V) [17:31:41 ] (ordfører for sakene):
Loven bygger på NIS-direktivet, som har som formål å forbedre det
indre markedets funksjon gjennom å stille sikkerhetskrav til nettverks-
og informasjonssystemer som er nødvendige for å opprettholde leveransen
av samfunnsviktige tjenester. Digitale systemer er sentrale for
alle samfunnsfunksjoner. Digital sikkerhet er derfor helt avgjørende
for å ivareta velferdssamfunnet, viktige samfunnsfunksjoner og nasjonale
interesser.
Den sikkerhetspolitiske
situasjonen i verden er i endring, noe som påvirker det nasjonale
trusselbildet og skaper sikkerhetsmessige utfordringer.
NIS-direktivet
av 6. juli 2016 ble først besluttet tatt inn i EØS-avtalen 3. februar
2023. NIS2-direktivet ble vedtatt i EU 14. desember 2022. Innen
24. oktober 2024 skal medlemsstatene ha gjennomført direktivet i
nasjonal rett. Fra dette tidspunktet oppheves gjeldende NIS-direktiv.
Dersom NIS2-direktivet blir en del av EØS-avtalen, vil dette medføre
behov for lovendringer og endringer i tilhørende forskrifter. Det
vil også bli behov for å kartlegge relevant sektorspesifikt regelverk
og vurdere eventuelle behov for endringer eller tilpasninger som
følge av NIS2-direktivet.
Bakgrunnen for
NIS2-direktivet er erkjennelsen av at selv om NIS-direktivet har
vært en viktig start på reguleringen av sikkerhet i EU, har implementeringen
avdekket flere mangler som forhindrer direktivet fra effektivt å
adressere aktuelle og framtidige utfordringer innenfor digital sikkerhet.
Det har bl.a. vært en fragmentert tilnærming i de ulike EU-landene
til kravene i direktivet, noe som har medført økte kostnader for
virksomheter som tilbyr tjenester på tvers av landegrenser. Det har
også vært ulik praksis i utpekingen av virksomheter som er omfattet
av NIS-direktivet.
I NIS2-direktivet
ønsker Kommisjonen å redusere fragmenteringen og øke harmoniseringen
gjennom mer effektivt samarbeid mellom kompetente myndigheter fra
hver medlemsstat, gjennom underleggelse av flere sektorer og gjennom
sanksjoner som kan brukes til effektiv håndheving.
– President,
kan jeg gå videre på mitt innlegg med nye tre minutter?
Presidenten
[17:33:46 ]: Vær så god – i hvert fall det siste minuttet.
Ingvild Wetrhus Thorsvik (V) [17:33:49 ] : Ok, men da kan jeg
vente.
Presidenten
[17:33:52 ]: Skal representanten Wetrhus Thorsvik ta opp det
mindretallsforslaget Venstre er med på?
Ingvild Wetrhus Thorsvik (V) [17:33:54 ] : Ja, men jeg har
et eget innlegg.
Presidenten
[17:33:57 ]: Da skal vi vente med å ta opp det forslaget.
Odd Harald Hovland (A) [17:34:14 ] : I det sikkerheitspolitiske
landskapet me no ser, er det liten tvil om at det er eit betydeleg
behov for auka fokus på sikkerheit og beredskap, også ved bruk av
IT og IT-basert samfunnskritisk infrastruktur. Den skjerpa sikkerheitspolitiske
situasjonen, med eit spesielt blikk på Russland og Kina, går framleis
mot ei forverring.
Det har vore
nødvendig å kome med ei rekkje kraftfulle satsingar for å møte det
endra situasjonsbildet. Allereie våren 2022 føreslo regjeringa å
styrkje den sivile beredskapen med ein halv milliard kroner. Vidare fremja
regjeringa stortingsmeldinga om nasjonal kontroll og digital motstandskraft,
med fleire sentrale tiltak, for å styrkje den digitale beredskapen.
No kjem altså lov om digital sikkerhet, den første lova om digital
sikkerheit i Noreg. Lova skal forplikte verksemder som har ei særleg
viktig rolle i å halde oppe kritisk samfunnsmessig og økonomisk
aktivitet, til å overhalde digitale sikkerheitskrav og varsle om
alvorlege digitale hendingar. Vidare skal lova sikre planar for
handtering av uønskte hendingar. Lova vert eit viktig verktøy for
å halde ved lag tilstrekkeleg motstandskraft i IT-basert infrastruktur
og IT-prosessar.
Det er viktig
at alle verksemder set digital sikkerheit på dagsordenen, sørgjer
for at nasjonale anbefalingar vert følgde opp i eiga verksemd, og
varslar om alvorlege hendingar. I tillegg til sjølve lova etablerer
regjeringa ein nasjonal portal for digital sikkerheit for å gjere
nasjonale råd og rettleiingar betre tilgjengelege, og dessutan eit støtteverktøy
for norske verksemder for å forenkle arbeidet med å følgje opp nasjonale
råd. Arbeidet med å kartleggje verdiar, både innanfor og utanfor
sikkerheitslova, vert intensivert for å sikre betre oversikt over den
nasjonale sikkerheitstilstanden. Regjeringa jobbar òg med ei ny
ekomlov med skjerpa sikkerheitskrav, bl.a. sikkerheitskrav til datasenter
og ei registreringsplikt for datasenteraktørar. Det må òg nemnast
at ein jobbar med å etablere ei nasjonal skyteneste.
I dette digitale
sikkerheitsdomenet er det naturleg og heilt nødvendig å nemne NSM,
Nasjonalt tryggingsorgan, som er den øvste tenesta i Noreg for å
avdekkje, varsle og koordinere handteringa av alvorlege digitale angrep.
NSM er styrkt med fleire stillingar for å vere betre rusta til å
koordinere hendingshandtering av særleg alvorlege angrep og yte
bistand til norske verksemder i særskilde tilfelle. Det er òg gjeve
midlar til å auke talet på verksemder som er tilkopla varslingssystemet
for digital infrastruktur, og analysekapasiteten til NMS til å handtere
større informasjonsmengder.
Summert opp vil
den nye lova og summen av andre tiltak styrkje Noreg med tanke på
kritisk IT-basert infrastruktur og IT-prosessar.
Når det gjeld
forslaget frå Høgre og Venstre, viser me i Arbeidarpartiet og Senterpartiet
til at regjeringa er i gang med å greie ut gjennomføringa av NIS2.
Dette vert vurdert i samanheng med CER-direktivet, og regjeringa vurderer
det som svært viktig å sjå desse to tinga i samanheng. Me meiner
at forslaget frå Høgre og Venstre ikkje vil bringe oss raskare til
målet, og vil difor ikkje støtte det.
Statsråd Emilie Mehl [17:37:27 ] : Dagen i dag er en merkedag.
Stortinget behandler Norges første lov om digital sikkerhet. Det
er en lov som skal bidra til å styrke den digitale sikkerheten i
virksomheter som har en særlig betydning for samfunnet, rett og
slett legge til rette for mer og bedre sikkerhet. Jeg er glad for
at justiskomiteen støtter lovforslaget og innlemmelse av NIS1, tilhørende
gjennomføringsrettsakt og cybersikkerhetsforordningen i EØS-avtalen.
Den sikkerhetspolitiske
situasjonen i Europa er i endring. Krigen i Ukraina har vist oss
hvordan det digitale rom brukes parallelt og som et supplement til
konvensjonell krigføring. Derfor har det vært viktig for Arbeiderpartiet
og Senterpartiet i regjering å ta grep, både gjennom bevilgninger
og gjennom lovendringer, for vi har vært nødt til å styrke Norges
beredskap den siste tiden. Jeg er glad for at et stort flertall
i Stortinget har støttet opp om flere av de grepene, som f.eks.
i Prop. 78 S for 2021–2022.
Jeg viser også
til stortingsmeldingen om nasjonal kontroll og digital motstandskraft,
hvor retning for arbeidet med digital sikkerhet ble pekt ut videre.
Det er mot dette bakteppet at regjeringen har fremmet forslag til
lov om digital sikkerhet, sammen med andre tiltak, som gjør at man
kommer videre knyttet til disse utfordringene.
Digitale systemer
er i dag sentrale for alle samfunnsfunksjoner, og hvis de feiler,
vil det føre til store konsekvenser for samfunnet på ulike måter.
Digital sikkerhet er avgjørende for å ivareta velferdssamfunnet,
for å holde viktige samfunnsfunksjoner oppe og for å ivareta nasjonale
interesser. Loven stiller krav om digital sikkerhet og varsling
dersom virksomhetene som omfattes, blir utsatt for alvorlige digitale
hendelser.
Lovforslaget
retter seg mot virksomheter som leverer digitale tjenester og samfunnsviktige
tjenester innenfor sektorene energi, transport, helse, vannforsyning,
bank, finansmarkedsinfrastruktur og digital infrastruktur. Gjennom
krav til digital sikkerhet og varsling ved digitale hendelser vil
loven bidra til at virksomhetene blir bedre rustet til å stå imot
angrep mot de digitale systemene de er avhengig av, og samfunnets
totale motstandskraft vil øke. Gjennom identifisering av virksomheter
vil loven også gi myndighetene en bedre oversikt over hvem som leverer
samfunnsviktige tjenester, og virkemidler til å sikre etterlevelse
gjennom tilsyn.
Stortinget vedtar
i dag et godt rammeverk, men også dette rammeverket vil være i utvikling
framover. Den teknologiske utviklingen går veldig fort, samtidig
som den sikkerhetspolitiske situasjonen fortsatt er i endring og
framtiden er usikker. Derfor er det viktig at Norge sørger for å
ha reguleringer, og gjerne i samarbeid med andre land.
Presidenten
[17:40:23 ]: Det blir replikkordskifte.
Sveinung Stensland (H) [17:40:39 ] : Jeg er enig med statsråden.
Dette er en merkedag, og dette er et godt lovforslag, som heldigvis
blir vedtatt enstemmig. Som statsråden er inne på i sitt innlegg,
vil det være behov for stadige oppdateringer. Sånn er dette.
Statsråden legger
selvfølgelig mye vekt på sikkerheten, for dette handler om digital
sikkerhet, men det er også en annen side ved dette, og det er de
som driver med dette som virksomhet. Det er viktig, også for norske utviklere,
at vi er på samme nivå som Europa når det gjelder reguleringen.
Det at vi står inne i dette forslaget sammen med Venstre, er et
uttrykk for en utålmodighet.
Nå vil ikke regjeringspartiene
stemme for forslaget, fordi det ikke vil gå noe fortere selv om
vi vedtar det, men kan statsråden fortelle litt om hvor raskt vi
vil få dette inkorporert, sånn at vi tilfredsstiller kravene i NIS2-direktivet,
også i norsk forskrift og lov?
Statsråd Emilie Mehl [17:41:34 ] : Jeg kan ikke tidfeste det,
men vi jobber allerede med den saken. Det er noe Nasjonal sikkerhetsmyndighet
samarbeider med Direktoratet for samfunnssikkerhet og beredskap
om, og vi vil komme tilbake når det er klart.
Sveinung Stensland (H) [17:41:53 ] : Representanten Hovland
var veldig tydelig på at det ikke ville bety noe om vi vedtok det
forslaget, men har en ikke satt noen tidsramme for dette viktige
arbeidet? I høringene, og i alle fall i vårt arbeid med diverse
interessenter i saken, har en vært veldig opptatt av at denne loven,
idet vi vedtar den, faktisk ikke er helt «up to date» fordi NIS2-direktivet
er så viktig for det videre arbeidet. Én ting er det sikkerhetsmessige,
men det gjelder også kommersielt, for dem som driver kommersielt
innenfor feltet.
Statsråd Emilie Mehl [17:42:27 ] : Jeg kan ikke være konkret
på det nå, men jeg vet at det er en del virksomheter i Norge som
allerede forholder seg til NIS2-direktivet, siden de leverer tjenester
til EU-medlemsland, som vil være omfattet fra oktober 2024. Det
er viktig for regjeringen at vi har framdrift i det arbeidet. Vi
må komme tilbake til den konkrete tidslinjen.
Presidenten
[17:42:47 ]: Replikkordskiftet er omme.
De talere som
heretter får ordet, har også en taletid på inntil 3 minutter.
Ingvild Wetrhus Thorsvik (V) [17:43:02 ] : Beklager at jeg
forsøkte å forhandle til meg mer taletid i forrige innlegg.
Det råder liten
tvil om at det er et betydelig behov for økt fokus på sikkerhet
og beredskap, også ved bruk av IT og IT-basert samfunnskritisk infrastruktur.
Den skjerpede sikkerhetspolitiske situasjonen, spesielt med henblikk
på Russland og Kina, går fortsatt mot en forverring. I NSMs rapport
om digital sikkerhet av i år pekes det på at beredskapen for å håndtere
omfattende cyberangrep mot Norge har store mangler. Evnen til å oppdage
digitale angrep i Norge er for dårlig, og det mangler en helhetlig
styring og koordinering av IT-sikkerhet på tvers av statlige etater.
Et av hovedformålene
med NIS2-direktivet er – som jeg nevnte i mitt forrige innlegg –
å rette opp i flere mangler i NIS-direktivet som forhindrer det
fra effektivt å adressere aktuelle og framtidige utfordringer innenfor digital
sikkerhet. DNV peker i sitt innspill på at mange norske virksomheter
opererer i EU og derfor allerede nå må forberede seg på krav for
å etterleve NIS2-direktivet og særdirektivet, som ble vedtatt samtidig
med NIS2 og dekker et bredere spekter av trusler enn digitale angrep. For
norske selskaper som opererer internasjonalt, vil det derfor være
viktig at digitalsikkerhetsloven så langt som mulig harmoniseres
og tilrettelegger for senere tilpasninger av forventede krav etter
både NIS2 og særdirektivet. Departementet uttrykker seg positivt
til NIS2-direktivet, og deres foreløpige vurdering er at direktivet vil
være EØS-relevant og akseptabelt for Norges del.
Regjeringen kan
jo vedta nasjonalt regelverk i tråd med EU-regelverk, selv om det
foreløpig ikke er fattet vedtak av EØS-komiteen. Venstre mener at
NIS-direktivet og NIS2-direktivet er et slikt tilfelle, gitt at
NIS2-direktivet ble vedtatt allerede før NIS-direktivet ble tatt inn
i EØS-avtalen, og i og med at regjeringen er positive til de endringene
som ligger i NIS2-direktivet. Vi mener derfor det er hensiktsmessig
å vurdere hvilke tilpasninger som kan gjøres allerede nå for å tilfredsstille
kravene i NIS2-direktivet, uavhengig av prosessen med å ta NIS2-direktivet
inn i EØS-avtalen.
Jeg tar dermed
opp forslaget Venstre står bak i saken.
Presidenten
[17:45:24 ]: Representanten Ingvild Wetrhus Thorsvik har tatt
opp det forslaget hun refererte til.
Flere har ikke
bedt om ordet til sakene nr. 17 og 18.
Votering, se torsdag 7. desember