Nasjonal kommunikasjonsmyndighet (Nkom) og Nasjonal sikkerhetsmyndighet (NSM) ser et økende behov for informasjon om sikkerheten ved kjøp av datasentertjenester i Norge. Nå kommer myndighetene med felles råd for å bistå offentlige og private virksomheter i kjøpsprosessen.  

– Virksomheter som vurderer å sette ut datasenterdriften eksternt, må kunne stille høye krav til leverandører og gjøre grundige sikkerhetsvurderinger for å beskytte sine egne IT-systemer, sier direktør i Nkom, John-Eivind Velure.  

Kritisk infrastruktur 

Datasentre er en viktig del av den digitale infrastrukturen i Norge. Å ha kontroll over datasentrenes lokalisering, drift og sikkerhet er avgjørende for å beskytte sensitive eller samfunnskritiske data og tjenester.  

– Vi er helt avhengige av sikre og trygge datasentertjenester når vi skal bygge og trygge landet med digitalisering som verktøy. Veilederen som Nkom og NSM har lansert er et viktig bidrag til dette, og for at ulike aktører skal kunne sette riktige krav i sine anskaffelser, sier digitaliserings- og forvaltningsminister, Karianne O. Tung.

Digitaliserings- og forvaltningsminister, Karianne O. Tung.


Registreringsplikt for datasenteroperatører i ny ekomlov 
Ny lov om elektronisk kommunikasjon (ekomloven) trer i kraft 1. januar 2025, og vil innføre registreringsplikt for datasenteroperatører i Norge. Loven vil også stille krav om opplysninger og forsvarlig sikkerhet i datasentre. Nkom blir ansvarlig tilsynsmyndighet for å følge opp sikkerheten i datasenternæringen. Nasjonal sikkerhetsmyndighet (NSM) er tilsynsmyndighet og fagmyndighet innen forebyggende sikkerhet i henhold til sikkerhetsloven. .
 

Forsvarlig drift og sikkerhet 

Rapporten fra Nkom og NSM gir en innføring i sikkerhet ved fysiske datasenteranskaffelser, og dekker temaer som sikkerhetsstyring, risikovurdering og sårbarheter i leveransekjeden.  
 
- Stadig flere kritiske samfunnsfunksjoner og -verdier legges over på digital infrastruktur. Det gjør datasentre til en sentral leverandør for norske virksomheter. God kunnskap ved kjøp av datasentertjenester og tydelige krav til sikkerheten i sentrene og hele leverandørkjeden er av stor betydningen for sikkerheten i samfunnet, sier avdelingsdirektør Martin Albert-Hoff, som leder Nasjonalt cybersikkerhetssenter (NCSC) i NSM. 

De nye anbefalingene gir også en overordnet forståelse av driftsprosesser og vurderingskriterier, som virksomheter bør ta stilling til før avtalen inngås. 

– Et godt råd er å undersøke om datasenteroperatøren er godt rustet for å sikre forsvarlig drift. Redundant strømforsyning, kjøling, kontinuerlig overvåkning og vedlikehold er viktig for å beskytte datasentre mot ulike trusler, som brann, strømbrudd, digitale angrep eller naturkatastrofer, sier Velure.  

Direktør i Nkom, John-Eivind Velure

Sentrale råd i rapporten 

Sikkerhetsvurderinger: Virksomheter må kartlegge sine egne verdier og behov, og gjennomføre grundige risiko- og sikkerhetsvurderinger når de kjøper eller reforhandler datasentertjenester. 

Kvalitetskontroll: Virksomheter bør undersøke om datasenteroperatøren har gode systemer for sikkerhet og kvalitet, som for eksempel redundant strømforsyning, kjølesystemer, kontinuerlig overvåking og vedlikehold. 

 Still tydelige krav: Virksomheter må inkludere datasenteroperatørene underveis i arbeidet. Still tydelige krav til operatørene og følg opp over tid. Benytt gjerne rapporten som hjelpemiddel i prosessen.