Næringsliv

Ny sikkerhetslov prioriteres ikke

På tide å bryte stillheten.

Hanne Pernille Guldbrandsen og Bjørn Ofstad. Foto: Deloitte.

Hanne Pernille Guldbrandsen og Bjørn Ofstad. Foto: Deloitte.

Artikkel av: Odd Steinar Parr / Hanne Pernille Guldbrandsen og Bjørn Ofstad, Deloitte Legal
7. januar 2019 - 13.55

I motsetning til GDPR-feberen vi har sett det siste året, med seminarer overalt, har det vært stille rundt den nye sikkerhetsloven. I et nyhetsbilde fylt av ord som cyber security, hackerangrep og cyberterror er dette overraskende.

Kravet om styringssystem for sikkerhet som gjelder allerede fra nyttår, kan med andre ord komme brått på mange aktører.

Ny sikkerhetslov trer i kraft 1. januar 2019.

Utvidet område

Hovedvirkeområdet vil fortsatt være offentlig forvaltning, men i takt med dagens endrede risiko- og trusselbilde, utvides lovens virkeområde til også å regulere tjenester og infrastruktur av samfunnskritisk betydning.

Hvilke virksomheter treffer dette?

Begrepet grunnleggende nasjonale funksjoner innføres i loven og defineres som «..tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser».

Fortsatt er det fokus på offentlig forvaltning, men dersom et departement fatter vedtak om at loven helt eller delvis skal gjelde innenfor deres ansvarsområde, vil loven også gjelde for virksomheter som er innenfor dette departementets ansvarsområde og behandler sikkerhetsgradert informasjon.

Eller slike virksomheter som råder over informasjon, informasjonssystemer, objekter eller infrastruktur som har avgjørende betydning for «grunnleggende nasjonale funksjoner».

Finans, energi

Det er derfor svært sannsynlig at ny sikkerhetslov vil gjøres gjeldende for flere virksomheter i privat sektor, for eksempel de som tilbyr betalingstjenester, strøm- og energitjenester og offshoretjenester. Det avgjørende er om tjenesten anses å være av samfunnskritisk betydning.

Det er som antydet over sparsomt med informasjon hva gjelder lovens virkeområde. Dette er uheldig da det gjøre det utfordrende for virksomheter å forstå om deres virksomhet vil omfattes – og hvordan de skal forberede seg.

For virksomheter som vil omfattes av den nye sikkerhetsloven, stilles det krav til et forsvarlig sikkerhetsnivå som skal oppnås gjennom en kombinasjon av menneskelige, elektroniske, fysiske og organisatoriske tiltak. Dette er tiltak som fordrer en helhetlig og tverrfaglig tilnærming, ikke ulikt det arbeidet som mange virksomheter nå har gjort for å sikre etterlevelse av personvernforordningen (GDPR).