Datasenterveileder

§ 1-1. Formål Lovens formål er å sikre brukerne i hele landet gode, rimelige og fremtidsrettede elektroniske kommunikasjonstjenester med forsvarlig sikkerhet, legge til rette for bærekraftig konkurranse og effektiv bruk av samfunnets ressurser og stimulere til næringsutvikling og innovasjon. Loven skal også gi forsvarlig sikkerhet i datasentre.

Formålet til ekomloven er tatt inn i ekomloven § 1-1. Der fremgår det at forsvarlig sikkerhet i datasentre er en del av lovens formål. For å oppnå dette er det f.eks. krav om at datasenteroperatører skal opprettholde forsvarlig beredskap og prioritere viktige samfunnsaktører ved behov, jf. § 3-7 om datasenter.

Datasenterforskriften § 1-1. Virkeområde

Forskriften gjelder for datasenteroperatører som definert i ekomloven § 1-5 nr. 38.

Ekomloven § 1-5 nr. 38.datasenteroperatør: fysisk eller juridisk person som

1. tilbyr andre tilgang til datasentertjeneste mot vederlag, eller
2. driver datasenter med en abonnert elektrisk effekt over en terskelverdi som fastsettes av departementet i forskrift. Dette inkluderer virksomhetsinterne datasentre, med unntak av forsvarssektoren, politiet og Politiets sikkerhetstjeneste

Ekomloven § 1-2. Saklig virkeområde Loven gjelder virksomhet knyttet til elektronisk kommunikasjon og tilhørende utstyr og datasentre.

Ekomloven § 1-3, andre ledd. Geografiske virkeområde   Kongen kan gi forskrift om lovens anvendelse på Jan Mayen, Bouvetøya, Peter I øy og Dronning Maud Land. Kongen kan i forskrift fastsette de unntaks- og særregler som følger av internasjonale overenskomster som Norge har sluttet seg til, eller som er nødvendige på grunn av de stedlige forhold.

Ekomloven § 1-5. Definisjoner

I denne lov menes med: 36. datasenter: et anlegg, del av anlegg eller gruppe av anlegg som brukes for å innplassere, tilkoble og drifte IT- og nettverksutstyr for datalagring, dataprosessering eller dataoverføring, og relaterte aktiviteter. 37. datasentertjeneste: en tjeneste som legger til rette for innplassering, tilkobling og drift av IT- og nettverksutstyr for datalagring, dataprosessering og dataoverføring. Tjenesten omfatter i tillegg fysisk sikkerhet, strøm og kjøling og kan inkludere andre relaterte tjenester 38. datasenteroperatør: fysisk eller juridisk person som

a.	tilbyr andre tilgang til datasentertjeneste mot vederlag, eller

b.	driver datasenter med en abonnert elektrisk effekt over en terskelverdi som fastsettes av departementet i forskrift. Dette inkluderer virksomhetsinterne datasentre, med unntak av forsvarssektoren, politiet og Politiets sikkerhetstjeneste.

Om datasenter: Datasentre kan være av forskjellig karakter og størrelse. Datasenter kan spenne fra et enkelt datarom til en «hyperscale» datasenterinstallasjon som bruker flere hundre megawatt effekt (MW). Et datasenter kan ha flere datasenteroperatører iht. § 1-5 nr. 38 bokstav a. dersom det er flere virksomheter hvis hovedforretningsmodell er å tilby datasentertjenester mot vederlag i anlegget.

Om datasentertjeneste: Datasentertjenester omfatter tjenester som tilbys med utgangspunkt i et fysisk datasenter. Dette inkluderer tjenester som legger til rette for innplassering, tilkobling og drift av IT- og nettverksutstyr. Andre relaterte tjenester knyttet til det fysiske datasenteret kan inkludere ytterligere tilgangskontroll og sikring, opplistingen er ikke uttømmende. Selve driften av IT og nettverksutstyret for datalagring, dataprosessering og dataoverføring omfattes ikke av definisjonen. Dette medfører at andre digitale tjenester og skytjenester ikke omfattes.

Om datasenteroperatør:

• Datasenteroperatør: § 1-5 nr. 38. Etter bokstav a omfattes aktører som tilbyr andre tilgang til en datasentertjeneste mot vederlag. Dette gjelder uavhengig av om aktøren eier det fysiske datasenteranlegget selv, eller opererer med utgangspunkt i et leieforhold i for eksempel et «co-location»-datasenter.  Når kommersielle datasentre nevnes, betyr dette en aktør som tilbyr andre tilgang til datasentertjeneste mot vederlag

Etter bokstav b omfatter definisjonen også fysiske eller juridiske personer som driver eller leier datasenter, inkludert til egen virksomhet, med en abonnert elektrisk effekt som fastsettes av departementet i forskrift.

Formålet med denne avgrensningen er å sikre at reguleringen treffer de viktigste aktørene som opererer datasenter og datasentertjenester av en slik størrelse og omfang at de antas å ha en betydelig samfunnskritisk betydning, mens mindre aktører ikke omfattes. Eventuelle datasenteroperatører som administrerer og opererer flere mindre datasentre som i sum overstiger terskelverdien for abonnert effekt, vil likevel omfattes. Dette innebærer at det kan være flere pliktsubjekter i ett og samme fysiske datasenteranlegg. For eksempel kan et større «co-location» datasenter ha leietakere som bruker leid areal/tjenester som utgangspunkt til selv å tilby datasentertjenester til andre, og leietakere som installerer og driver datasenter til egen virksomhet med en elektrisk effekt over terskelverdien. Både eieren av «co-location» datasenteret, og de to nevnte leietakerne vil da omfattes av definisjonen av datasenteroperatør. Definisjonen vil også omfatte dedikerte datasentre for kryptovalutautvinning. Datasenter som opereres av forsvarssektoren og politiet, inklusive Politiets sikkerhetstjeneste, er unntatt. Av hensyn til klarhet, nevnes Politiets sikkerhetstjeneste særskilt i unntaket. Loven legger ikke føringer på tolkningen av andre lover der politiet omtales generelt uten at Politiets sikkerhetstjeneste nevnes særskilt.

Datasenterforskriften § 1-2. Terskelverdi for datasenteroperatør Terskelverdien etter ekomloven § 1-5 nr. 38 bokstav b er 0,5 MW.

Med abonnert elektrisk effekt menes det som tildeles av lovlig elektrisk effekt fra kraftnettet til et datasenter. Tildelingsansvaret ligger under Norges vassdrags- og energidirektorat (NVE), som gir tillatelser til et definert effektforbruk gjennom konsesjoner.

Terskelverdien er absolutt og registreringsplikten inntrer idet et datasenter overstiger denne terskelverdien.

Ekomloven § 3-7, første ledd   Datasenteroperatør har plikt til å registrere seg hos departementet før virksomheten starter opp. Virksomheten kan settes i gang når registreringen er gjennomført.

Selv om det kun er enkelte bestemmelser i ekomloven som gjelder for datasentre – blant annet § 1-1 om lovens formål, § 3-7 om beredskap og prioritering, samt deler av kapittel 14–17 – fremgår det at forsvarlig sikkerhet i datasentre er en del av lovens formål.

Datasenterforskriften § 1-3, første og annet ledd. Registreringsplikt for datasenteroperatører En datasenteroperatør skal registrere seg hos Nasjonal kommunikasjonsmyndighet før virksomheten starter opp. Virksomheten kan settes i gang når registrering er sendt. Registreringen skal inneholde 1. datasenteroperatørs navn 2. norsk organisasjonsnummer eller datasenteroperatørens rettslige status, form og registreringsnummer dersom datasenteroperatøren er registrert i et handelsregister eller et lignende offentlig register i EØS 3. norsk adresse eller adressen til datasenteroperatørens eventuelle hovedforetak i EØS og eventuelt en sekundær filial 4. datasenteroperatørens nettadresse 5. datasentrenes fysiske lokasjon 6. kontaktinformasjonen til en representant for datasenteroperatøren som kan møte opp fysisk med fullmakter og kunnskap til å kunne følge opp henvendelser fra myndighetene 7. en beskrivelse av hvilke tjenester som tilbys 8. informasjon om norske statlige, fylkeskommunale og kommunale myndigheter, organer og virksomheter som er kunder hos datasenteroperatøren 9. anslag over prosentvis andel av kraftforbruket som skal anvendes til utvinning av kryptovaluta 10. opplysninger om størrelsen på abonnert elektrisk effekt 11. forventet oppstart av virksomheten.

Datasenterforskriften § 1-3 presiseres hvilke opplysninger det er datasenteroperatør skal registrere. Dette inkluderer både informasjon om datasenteroperatøren (den juridiske enheten) og datasentrene operatøren drifter eller planlegger å starte opp.

På Nkoms nettsidefor registeringen er det gitt nærmere veiledning om registreringen. Virksomheten må i forbindelse med registreringen gjennom en verifisering for å påvise at representanten som gjennomfører registreringen tilhører virksomheten. Virksomheter som krever at to eller flere representanter signerer på vegne av virksomheten må ta kontakt med Nkom for hjelp i prosessen, da den digitale løsningen foreløpig ikke støtter at flere representanter signerer. 

Dersom virksomheten skal registrere opplysninger som ikke kan registreres gjennom registreringsskjemaet, f.eks. fordi opplysningene ikke kan registreres på en ugradert plattform, må virksomheten ta kontakt med Nkom.

Ekomloven § 3-7, andre og tredje ledd Datasenteroperatør skal tilby og opprettholde datasentertjenester med forsvarlig sikkerhet for brukerne i fred, krise og krig. Datasenteroperatør skal opprettholde forsvarlig beredskap, og viktige samfunnsaktører skal prioriteres ved behov. Departementet kan fatte enkeltvedtak for å sikre at datasenteroperatør gjennomfører tiltak som gir forsvarlig sikkerhet og beredskap. Datasenteroperatør skal dekke kostnadene ved oppfyllelsen av dette. Datasenteroperatør skal systematisk følge opp sikkerhet og beredskap i datasentertjenesten, og skal dokumentere et forsvarlig sikkerhetsnivå. Ved vurderingen av hva som er forsvarlig, vektlegges evnen til å motstå enhver hendelse som medfører eller kan medføre brudd på tilgjengelighet, autentisitet, integritet eller konfidensialitet i datasentertjenester. Det skal blant annet tas hensyn til beste tilgjengelige tekniske løsning, anerkjente standarder, tiltakenes kostnad og nytteverdi, og datasentertjenestens betydning.

Bestemmelsens andre ledd stiller krav til forsvarlig sikkerhet i datasenter og er utformet med utgangspunkt i de samme forpliktelsene som stilles til sikkerhet i elektronisk kommunikasjonsnett og -tjenester, jf. lovforslaget § 3-1. Det vil si at datasenter og tjenester skal være tilgjengelig og at integriteten, autentisiteten og konfidensialiteten skal beskyttes. Det er datasenteroperatørs ansvar at tjenestene som tilbys holder et forsvarlighetsnivå. Andre ledd annet punktum stiller krav til at datasenteroperatør skal opprettholde forsvarlig beredskap i datasenter og tjenester. Kravet til forsvarlig beredskap innebærer blant annet at datasenteroperatør skal treffe alle nødvendige tiltak som er forholdsmessig for å sikre størst mulig tilgjengelighet i tilfelle av force majeure hendelser. Andre ledd tredje punktum gir departementet kompetanse til å treffe enkeltvedtak for å sikre at datasenteroperatør iverksetter nødvendige tiltak for å sikre forsvarlig sikkerhet. Dette kan blant annet gjelde krav om separasjon av kunder eller kundegrupper når dette er nødvendig. Det stilles krav om at eventuelle kostnader ved vedtak etter andre ledd dekkes av datasenteroperatør.

Tredje ledd inneholder krav om systematisk oppfølging av sikkerhet og beredskap, krav til dokumentasjon av sikkerhetsmessige vurderinger, samt presisering av hvilke momenter som skal vektlegges i vurderingen av om sikkerhetsnivået er forsvarlig, men som ikke er uttømmende. Datasenteroperatør skal vurdere kompenserende tiltak dersom den valgte tekniske løsningen som systemet bygger på inneholder kjente svakheter, jf. tredje ledd annet punktum. Kravet skjerpes jo viktigere tjenester datasenteret bærer, men kravet om forholdsmessighet etter forvaltningsloven vil gjelde også på dette området.

Krav til sikkerhet og beredskap utdypes i kapittel 2 i datasenterforskriften.

Ekomloven § 3-8, første, andre, sjette, åttende og niende ledd. Tillatte bruksbegrensninger   Departementet kan, av hensyn til nasjonal sikkerhet eller andre viktige samfunnsinteresser, pålegge tilbyder eller datasenteroperatør å gjennomføre bruksbegrensning i elektroniske kommunikasjonsnett og -tjenester eller datasentertjeneste. Departementet skal notifisere bruksbegrensninger i elektroniske kommunikasjonsnett og -tjenester til EFTAs overvåkningsorgan. Tilbyder og datasenteroperatør skal gjennomføre nødvendige bruksbegrensninger i nødssituasjoner som innebærer alvorlige trusler mot liv eller helse, nasjonal sikkerhet eller offentlig orden, eller fare for sabotasje mot datasenter, nett eller tjeneste. I andre tilfeller enn nevnt i andre, tredje og femte ledd krever gjennomføring av bruksbegrensning tillatelse fra departementet. Bruksbegrensning etter andre ledd skal avbrytes så snart nødssituasjonen er over, og etter tredje og fjerde ledd så snart sluttbruker godtgjør at nødvendig tillatelse foreligger eller ulovlig radio- og terminalutstyr er frakoblet nettet. Departementet kan gi forskrift om bruksbegrensninger og om unntak fra kravet om tillatelse til bruksbegrensninger.

Bestemmelsen regulerer tilbyders adgang til å gjennomføre bruksbegrensninger i elektroniske kommunikasjonsnett og -tjenester og gir departementet kompetanse til å pålegge tilbyder å gjennomføre nødvendige bruksbegrensninger. Formålet med bestemmelsen er å sikre kontinuitet i brukerens elektroniske kommunikasjon og at bruksbegrensningene som foretas er nødvendige og forholdsmessige. Også for datasenteroperatør kan det oppstå et behov for å tillate bruksbegrensning, og bestemmelsen er derfor også gjort gjeldende for datasenteroperatør og datasentertjeneste.

Ekomdirektivet artikkel 12 nr. 1 åpner for at nasjonalstaten kan gi regler om begrensninger i adgangen til å tilby elektroniske kommunikasjonsnett og -tjenester når dette er nødvendig av grunner som følger av traktaten om den europeiske unions virkemåte (TEUV) artikkel 52 nr. 1 (liv eller helse, nasjonal sikkerhet eller offentlig orden). Ekomdirektivet artikkel 40 og 41 gir regler om sikkerhet i nett og tjenester, og artikkel 45 nr. 4 fastslår at statene kan fastsette rimelige begrensinger i teknologibruken blant annet når det er nødvendig for å unngå skadelig interferens og sikre tjenestenes tekniske kvalitet.

Første ledd gir departementet kompetanse til å gi tilbyder og datasenteroperatør pålegg om å gjennomføre bruksbegrensninger. Slike pålegg kan gis av hensyn til nasjonal sikkerhet og andre viktige samfunnsinteresser, og skal være godt begrunnet. Departementet må ta hensyn til at sluttbruker ved bruksbegrensninger vil kunne bli stående uten kommunikasjonstjenester eller datasentertjenester i en mellomperiode. Det er med andre ord en viss terskel for å pålegge bruksbegrensninger. Første ledd legger opp til at departementet skal forta en konkret vurdering i det enkelte tilfellet. Pålegg etter første ledd skal begrunnes, og pålegg om bruksbegrensninger skal notifiseres til EFTAs overvåkningsorgan.

Andre ledd pålegger tilbyder og datasenteroperatør å gjennomføre nødvendige bruksbegrensninger i nødsituasjoner. Når det gjelder de opplistede nødsituasjonene som gir tilbyder eller datasenteroperatør plikt til å innføre bruksbegrensninger, forutsettes det at tilbyder eller datasenteroperatør selv tar stilling til om det foreligger fare for sabotasje mot nett eller tjenester. Når det gjelder alvorlige trusler mot liv eller helse så kan tilbyder eller datasenteroperatør selv ta stilling til dette, eller det kan skje i samarbeid med myndigheter. Tilbyder eller datasenteroperatør kan også ta selvstendig stilling til åpenbare tilfeller av trusler mot nasjonal sikkerhet eller offentlig orden, men det vil i de fleste tilfeller være praktisk for tilbyder eller datasenteroperatør å foreta bruksbegrensninger som skyldes slike forhold i samråd med departementet.

Det følger av sjette ledd at gjennomføring av bruksbegrensning i andre tilfeller enn angitt i andre, tredje og femte ledd, krever tillatelse fra departementet. Bakgrunnen for kravet om tillatelse er konkurransehensyn.

Plikten til å avbryte bruksbegrensningen etter andre ledd så snart nødsituasjonen er over følger av åttende ledd.

I niende ledd innføres hjemmel til å fastsette forskrift om bruksbegrensninger og tillatelse fra departementet.

Ekomloven § 3-9. Krav om politiattest Tilbyder av elektroniske kommunikasjonsnett og -tjenester og datasenteroperatør kan kreve at personer fremlegger uttømmende og utvidet politiattest, jf. politiregisterloven § 41. Politiattest kan kreves for den som har fått tilbud om eller er innstilt til en stilling, og som skal ha tilgang til elektroniske kommunikasjonsnett, tilhørende fasiliteter, datasentre, utstyr, systemer eller informasjon som er av vesentlig betydning for sikkerheten i nett eller tjenester, er taushetsbelagt, eller som av annen grunn er av særlig sensitiv karakter. Slik politiattest kan også kreves for ansatte hos leverandører. Politiattesten skal ikke være eldre enn 90 dager ved fremvisning. Det kreves ikke politiattest for personer som innehar gyldig sikkerhetsklarering eller adgangsklarering etter sikkerhetsloven. Departementet kan gi forskrift om fremleggelse av politiattest, herunder om hvilke lovbrudd politiattesten skal vise.

Bestemmelsen er ny og er basert på nasjonale behov. Første ledd gir tilbyder av elektronisk kommunikasjonsnett- og tjenester og datasenteroperatør mulighet til å stille krav om uttømmende og utvidet politiattest. Hva som skal anses som uttømmende og utvidet politiattest følger av politiregisterloven § 41. Muligheten for innhenting og fremlegges av politiattest gjelder ved nyansettelser. Kravet om politiattest kan ikke gis tilbakevirkende kraft og således ikke kreves fremlagt av personer som allerede er ansatt. Imidlertid er det mulig å kreve politiattest av allerede ansatt personell dersom vedkommende får nye eller endrede oppgaver som medfører et berettiget behov for politiattest.

Datasenterforskriften § 2-1. Krav til sikkerhetsstyring En datasenteroperatør skal etablere og vedlikeholde et styringssystem for sikkerhet som beskriver virksomhetens sikkerhetsarbeid. Systemet skal sikre at virksomheten oppfyller krav gitt i eller med hjemmel i lov. Virksomhetens leder skal jevnlig foreta en gjennomgang av virksomhetens styringssystem for sikkerhet. Styringssystemet skal gjøres kjent for virksomhetens ansatte og underleverandører i den grad det er hensiktsmessig for å oppfylle krav gitt i eller med hjemmel i lov. Datasenteroperatørens styringssystem for sikkerhet skal dokumenteres. Datasenteroperatøren skal jevnlig kontrollere og revidere planverk og dokumentasjon knyttet til virksomhetens sikkerhetsstyring for å sikre at krav fastsatt i eller med hjemmel i lov er oppfylt.

Kravet til sikkerhetsstyring er i likhet med forsvarlig sikkerhet et funksjonelt krav. Det at kravet er funksjonelt betyr at det bevist ikke stilles klare detaljkrav til sikkerhet, dette er for at kravene til sikkerhet skal kunne følge den teknologiske utviklingen og samtidig være førende innenfor kravet om forsvarlig sikkerhet.

Kravet om sikkerhetsstyring utdyper lovens krav om systematisk oppfølging av sikkerhet i datasenter, og innebærer at virksomheten skal ha et dokumentert styringssystem. Styringssystemet må etableres for den konkrete virksomheten, det er ikke tilstrekkelig at f.eks. et moderselskap har etablert et sikkerhetssystem.

Med sikkerhetsstyring menes et styringssystem for sikkerhet. Et slikt styringssystem for sikkerhet innebærer systematiske aktiviteter med betydning for forebyggende sikkerhetsarbeid, og omfatter planlegging, etablering, gjennomføring og forbedring av det forebyggende sikkerhetsarbeidet. Dette er nødvendig for å oppnå og opprettholde forsvarlig sikkerhet i nett og tjenester. Styringssystemet kan f.eks. etableres med grunnlag i anerkjente standarder for styring som ISO 9000-serien og ISO 27000-serien. Forutsetningen er at styringssystemet dekker hele det forebyggende sikkerhetsarbeidet.

Et styringssystem for sikkerhet innebærer systematiske aktiviteter med betydning for det forebyggende sikkerhetsarbeidet, og omfatter temaer som planlegging, etablering, gjennomføring og forbedring, hendelseshåndtering og revisjon. Det er dermed nødvending og ha alle disse forskjellige komponentene på plass for å oppnå og opprettholde et forsvarlig sikkerhetsnivå, basert på den risiko virksomheten er eksponert for. Departementet har i forarbeidene til det tilsvarende kravet i ekomforskriften presisert at følgende elementer vil utgjøre minstekrav i vurderingen av om forsvarlig sikkerhet og sikkerhetsstyring foreligger:

• Ledelsesforankring
• Verdivurdering
• Risikovurdering
• Tiltak og handlingsplaner for å beskytte verdier
• Beredskapsplanlegging og øvelser
• Revisjon
• Overholdelse av oppfølgingsplikten
• Informasjonssikkerhet
• Dokumentasjon

Et styringssystem for sikkerhet bidrar til å beskytte virksomhetens viktige verdier, videre vil det føre til en kontinuerlig forbedring og utvikling i arbeidet med forebyggende sikkerhet, gitt den risikoen virksomheten er villig til å ta. Et styringssystem handler om hvordan virksomheten arbeider med sikkerhet, i tillegg til å beskrive hvordan virksomheten styrer og utfører tiltak og aktivitetene sine.

Forebyggende sikkerhetsarbeid starter med en verdivurdering der virksomheten kartlegger sine verdier. En slik verdivurdering er en forutsetning for riktig prioritering av ressurser virksomheten har til rådighet for sikkerhet, og for å kunne gjennomføre effektive sikringstiltak. Verdivurderinger må dokumenteres, jf. kravet i bestemmelsens tredje ledd. Tilsvarende krav til gjennomføring av verdivurdering er gitt i sikkerhetsloven og virksomhetsikkerhetsforskriften kapittel 3. Det følger av bestemmelsens første ledd annet punktum at systemet skal sikre at virksomheten oppfyller krav gitt i eller med hjemmel i lov. Her siktes det til krav gitt i ekomloven eller andre relevante lover f.eks. personopplysningsloven når det gjelder sikring av personopplysninger, samt til forskriftshjemmelen i ekomloven § 3-8.

Gjennom systematisk arbeid vil ledelsen i virksomheten få jevnlige orienteringer om sikkerhetstilstanden, og slikt sett har ledelsen en evne til å ta avgjørelser basert på et mer informert grunnlag. Sikkerhetsstyring bidrar dermed til proaktivt fremfor reaktiv styring. Det setter virksomheten i stand til å forebygge hendelser, i stedet for å måtte reagere etter at en uønsket hendelse har funnet sted.

Etter bestemmelsens annet ledd første punktum skal virksomhetens leder jevnlig foreta en gjennomgang av virksomhetens styringssystem for sikkerhet. Forebyggende sikkerhetsarbeid skal gjennomgås av virksomhetens leder. Denne skal gjøre prioriteringer og avsette nødvendige ressurser til arbeidet med den forebyggende sikkerheten. Som en del av forankringen hos virksomhetens leder må det utarbeides sikkerhetsmål, gjerne en sikkerhetsstrategi, og et styringsdokument. Leders evaluering bør formaliseres som et møte og dokumenteres skriftlig. Lignende krav til ledelsesforankring er gitt i virksomhetsikkerhetsforskriften § 10 og finnes gjennomgående i standarden NS-EN ISO 9001:2015. Arbeidet med sikkerhet er en kontinuerlig prosess, jf. at virksomhetens leder jevnlig skal gjennomgå sikkerhetsstyringen. Dette innebærer bl.a. at lederen minst én gang årlig må gjennomgå sikkerhetsmål, sikkerhetsstrategi, organisering og vurderinger. Lederen skal kontrollere at disse er i samsvar med virksomhetens behov og eventuelt oppdatere dokumentene. Gjennomgangen bør utføres etter rutinebeskrivelse.

Risiko- og sårbarhetsvurdering (ROS) er en sentral del i virksomhetens sikkerhetsstyring og inngår derfor følgelig i arbeidet med risikostyring. Her er målet å styre virksomhetens sikkerhetsarbeid for å oppnå et forsvarlig sikkerhetsnivå med utgangspunkt i den risikoen virksomheten eksponeres for. ROS-analysen har oppgaven å kartlegge og vurdere risikoen knyttet til virksomhetens drift på et overordnet nivå, oppnå god risikoforståelse og gi et underlag for valg av tiltak som må på plass for at risikoen til virksomheten skal være på et akseptabelt nivå. En ROS skal derfor kunne identifisere uønskede hendelser som kan inntreffe, sannsynligheten for at hendelsen kan inntreffe, vurdering av risiko og sårbarheter knyttet til hendelsen og utarbeide tiltak basert på ROS. Forståelse av risiko er viktig for at virksomheten skal kunne utforme en god ROS.

Virksomheten kan ikke velge å la være å utarbeide og vedlikeholde ROS, jf. ordlyden skal. ROS skal utarbeides og vedlikeholdes for den konkrete virksomheten, det er således ikke tilstrekkelig å vise til at moderkonsernet eller et søsterselskap har etablert slike.

En ROS analyse vil først kartlegge hvilke verdier som må sikres. Den bør inneholde en trusselvurdering som ser på hvilke trusselaktører som kan være interessert i virksomhetens verdier og hvilke potensielle angrepsvektorer slike trusselaktører benytter. Videre må det vurderes om verdiene er sårbare for truslene som identifiseres. Resultatet av ROS-analysen som blir utviklet må vurderes opp mot et toleransenivå for sikkerhet. Altså, hvor stor risiko en skal ta ved ulike scenarioer. Risikoen må ligge innenfor forsvarlighetskravet i loven. Dersom risikonivået er høyere enn fastlagt nivå for akseptabel risiko, skal det iverksettes tiltak for å redusere risikoen. Det er virksomhetens leder som avgjør toleransenivået for sikkerhet. I operasjonaliseringen av kravet til forsvarlig sikkerhet legges god ledelsesforankring til grunn som et av flere minstekrav i vurderingen av forsvarlig sikkerhet.

Det følger av første ledd annet punktum at ROS skal være av et slikt omfang at tilbyder kan identifisere organisatoriske, fysiske, logiske og menneskelige sikkerhetstiltak. Med ordlyden av et slikt omfang menes at ROS både skal omfatte tilstrekkelig kvantitative og kvalitative vurderinger.

Eksempler på organisatoriske tiltak kan være prosedyrer, sikkerhetsstrategier, rutiner og opplæring m.m. Fysiske sikkerhetstiltak skal hindre eller forsinke uønsket adgang til verdier, slike tiltak kan være tidsforsinkende barrierer som gjerder, porter, dører, adgangskontroll m.m. Logiske sikkerhetstiltak kan være konfigurering av elektroniske systemer, kryptering og tilgangsstyring basert på tjenstlige behov, ved bruk av passord, autentisering, tilgangsnivå og brukerroller. Videre er gode logg systemer svært viktige for blant annet logging av personell får et godt oversiktsbilde av hvem som bruker og har tilgang til systemer, også nettverksbasert logging for oversikt av autorisert og uautorisert bruk, drift og endringer av systemer m.m. Eksempler på menneskelige sikkerhetstiltak er kompetanse, kultur, taushetserklæringer, fullmakt og klarering.

Etter bestemmelsens annet ledd skal tilbyder ved endringer som kan påvirke sikkerheten vurdere hvilken risiko endringene medfører. Bestemmelsen angir ikke størrelse eller karakter på endringen, bare at det må påvirke sikkerhetsarbeidet. I så fall må tilbyder vurdere hvilken risiko endringene medfører.

Etter bestemmelsens tredje ledd skal tilbyders risiko- og sårbarhetsvurderinger dokumenteres fortløpende. Kravet til dokumentasjon innebærer et krav til skriftlighet. Dokumentene skal oppbevares hos virksomheten.

Datasenterforskriften § 2-3. Krav til grunnsikring og skadebegrensningstiltak En datasenteroperatør skal utarbeide, iverksette og vedlikeholde grunnsikringstiltak for å ivareta forsvarlig sikkerhet i datasenteret. Grunnsikringstiltak innebærer en kombinasjon av barrierer, deteksjons-, verifikasjons- og reaksjonstiltak. Datasenteroperatøren skal planlegge skadebegrensningstiltak som kan iverksettes i situasjoner som ikke kan håndteres fullt ut med grunnsikringstiltakene. Datasenteroperatøren skal ha en plan for å gjenopprette et forsvarlig sikkerhetsnivå. Tiltak som nevnt i første og andre ledd, samt planer som nevnt i tredje ledd, skal dokumenteres.

Etter første ledd skal datasenteroperatør utarbeide, iverksette og vedlikeholde grunnsikringstiltak for å ivareta forsvarlig sikkerhet. Virksomheten kan ikke velge å la være å utarbeide, iverksette og vedlikeholde grunnsikringstiltak, jf. ordlyden skal.

Grunnsikring innebærer at sikkerhetstiltakene rundt verdiene i bygget eller på eiendommen er på plass og er i daglig drift, slik at tiltakene vil kunne håndtere en trussel som kan oppstå uten forvarsel. Dette gjelder både tilsiktede og utilsiktede hendelser. Grunnsikring omfatter tiltak innenfor fysisk- og elektronisk sikring, samt menneskelige og organisatoriske tiltak som kan håndtere mulige trussel scenarioer som kan oppstå. Grunnsikring må være til stede permanent, men det må i tillegg være planlagt ulike beredskapstiltak som kan forsterke sikringen ved behov.

Grunnsikringstiltak skal være med å bidra til et forsvarlig sikkerhetsnivå for virksomheter ved normaltilstand. Tiltak innenfor grunnsikring består blant annet av:

• Fysiske, elektroniske, menneskelige eller organisatoriske barriere
• Systemer som skal oppdage og varsle om aktiviteter eller hendelser
• Systemer og rutiner for å avklare aktiviteter og hendelser og bakgrunnen for dem
• Oppfølgning av uønskede aktiviteter og uønskede hendelser
• En kombinasjon av tiltakene ovenfor

En slik kombinasjon av barrierer, deteksjons-, verifikasjons og reaksjonstiltak må planlegges, gjennomføres og vedlikeholdes. Grunnsikringen er de etablerte, verifiserte og dokumenterte samlede sikkerhetstiltakene som skal beskytte virksomhetens verdier. Tiltakene som implementeres skal stå i sammenheng med virksomhetens risikovurdering. Virksomheten er pliktig til å utarbeide og vedlikeholde grunnsikringstiltak. Det betyr at tiltakene, basert på risikovurderingene, blir revidert jevnlig, og skal derfor til enhver tid gjenspeile et «best practice» nivå.

Kravene til grunnsikringstiltak vil måtte tolkes strengere der det er tale om å tjenesteutsette deler av virksomhetens drift til leverandører/produsenter som ikke er hjemmehørende i Norge. I tillegg til å vurdere tjenesteleverandør, bør datasenteroperatøren vurdere vertslandet der leverandøren har tilhold og hvor tjenesten tilbys fra. Nasjonale forhold kan påvirke en leverandørs mulighet til å levere tjenester, eksempelvis gjennom kvaliteten på nasjonal infrastruktur eller nasjonal lovgivning som gir rett til innsyn i data lagret i vertslandet. Risikoen knyttet til vertslandet kan dermed gi avgjørende føringer på behovet for kompenserende sikringstiltak og hvilke tjenestedatasenteroperatører som bør vurderes. Landvurderingen bør inngå som en del av den totale risikovurderingen ved tjenesteutsettingen. Kravene til tiltak vil måtte tilpasses trusselen det enkelte land utgjør eller vil kunne utgjøre i utstyrets levetid.

Tredje ledd innebærer krav til at datasenteroperatør skal ha en plan for gjenoppretting for å sikre forsvarlig sikkerhet og hindre unødig nedetid.

Datasenteroperatør skal planlegge skadebegrensende tiltak som kan iverksettes i situasjoner som ikke fullt ut kan håndteres med grunnsikringstiltakene. Dette kan for eksempel være tiltak for å oppnå redundans. Det stilles krav til at datasenteroperatør skal ha en plan for gjenoppretting for å sikre forsvarlig sikkerhet og hindre unødig nedetid.

Etter bestemmelsens fjerde ledd skal datasenteroperatør tiltaksplaner dokumenteres. Kravet til dokumentasjon innebærer et krav til skriftlighet. Dokumentasjonen skal oppbevares hos virksomheten.

Datasenterforskriften § 2-4. Krav til sikringsplaner En datasenteroperatør skal utarbeide, iverksette og vedlikeholde planer for sikring av informasjon, informasjonssystemer og styringssystemer. Slike sikringsplaner innebærer som et minimum at datasenteroperatøren utarbeider og iverksetter prosedyrer for tildeling av rettigheter, tilgangskontroll, endring, sletting, logging, redundans, sikkerhetskopiering, vedlikehold og testing for å ivareta tilgjengelighet, autentisitet, integritet og konfidensialitet. Datasenteroperatørens sikringsplaner skal dokumenteres.

Styringssystem for sikkerhet handler om de systematiske aktivitetene som er nødvendige for å oppnå og opprettholde et forsvarlig sikkerhetsnivå for virksomheten og verdiene virksomheten disponerer. Sikkerhetsstyring omfatter alle aktiviteter med betydning for virksomhetens sikkerhetsarbeid og skal gjennomføres på en planlagt og systematisk måte i form av et sikkerhetsstyringssystem som omfatter planlegging, gjennomføring, kontrollering og forbedring av sikkerhetsarbeidet. Uten et styringssystem for sikkerhet undergraves virksomhetens evne til å gjennomføre og kontrollere sikkerhetsarbeidet på en planlagt og systematisk måte.  

I henhold til første ledd skal datasenteroperatør utarbeide, iverksette og vedlikeholde konkrete planer for sikring av informasjon, informasjonssystemer og styringssystemer. Datasenteroperatør kan ikke velge å la være å utarbeide, iverksette og vedlikeholde sikringsplaner, jf. ordlyden skal. Planer for sikring skal utarbeides og vedlikeholdes for den konkrete virksomheten, det er således ikke tilstrekkelig å vise til at moderkonsernet eller et søsterselskap har utarbeidet slike.

Forskriften stiller krav til prosedyrer for tilgangsstyring som er metoder for å tildele, endre, slette og føre kontroll med autorisasjon for tilgang til IT-ressurser. Slik tilgangsstyring bør være basert på tjenstlig behov. Og kan i praksis skje gjennom bruk av eksempelvis passord, autentisering, tilgangsnivå og brukerroller. Utvikling, testing og opplæring bør separeres for å redusere risiko for uautorisert tilgang eller uønskede endringer. Videre er det viktig med gode rutiner for opprettelse og vedlikehold av brukere. Logging av autorisert og uautorisert bruk for drifts- og sikkerhetsformål (klientbasert logging) og nettverksbasert logging for å kunne oppdage datainnbrudd og virus vil vøre tiltak som innebærer å etterkontrollere informasjonssystemet. Sikring av informasjons- og styringssystemer innebærer krav til redundans for sentrale elementer i informasjons- og styringssystemer for å ivareta forsvarlig sikkerhet. Sikkerhetskopiering må anses for å være nødvendig for å sikre at ikke viktig informasjon går tapt. I denne sammenheng vises det til at sikkerhetskopiering også er i henhold til god bransjepraksis, jf. ISO 27001. Prosedyrer for vedlikehold og testing vil kunne gi grunnlag for å vurdere effektiviteten av sikkerhetstiltakene.

Hensikten med sikringsplaner er og sikre vedvarende tilgjengelighet, autentisitet, integritet og konfidensialitet i informasjons, informasjonssystemer og styringssystemer, som ligger til grunn for datasenteroperatørens tjenester. Merk ordlyden i lovteksten (ekomloven § 3-7, tredje ledd); datasenteroperatør skal systematisk følge opp sikkerhet og beredskap i datasentertjenester, og skal dokumentere et forsvarlig sikkerhetsnivå. Ved vurderingen av hva som er forsvarlig, vektlegges evnen til å motstå enhver hendelse som medfører eller kan medføre brudd på tilgjengelighet, autentisitet, integritet eller konfidensialitet i datasentertjenester.

Tilgjengelighet innebærer at tjenester er tilgjengelige. Autentisitet betyr at kommunikasjon og data er opprinnelig og ekte. Integritet innebærer at kommunikasjon og data ikke blir endret utilsiktet eller av uvedkommende for å sikre fullstendighet, nøyaktighet og gyldighet. Med konfidensialitet menes at kommunikasjon og data ikke blir kjent for uvedkommende, men kun at den autoriserte får tilgang.

Etter bestemmelsens annet ledd skal datasenteroperatørs planer for sikring dokumenteres. Kravet til dokumentasjon innebærer et krav til skriftlighet. Dokumentasjonen skal oppbevares hos virksomheten.

Datasenterforskriften § 2-5. Krav om beredskapsplanlegging og -øvelser En datasenteroperatør skal utarbeide og vedlikeholde beredskapsplaner for å ivareta forsvarlig sikkerhet i datasenteret. Datasenteroperatørens beredskapsplaner skal dokumenteres. Datasenteroperatøren skal jevnlig gjennomføre beredskapsøvelser med det innhold og omfang som er nødvendig for å vedlikeholde og utvikle virksomhetens kompetanse og evne til å håndtere uønskede hendelser. Plan for gjennomføring av beredskapsøvelser skal dokumenteres. Datasenteroperatøren skal på forespørsel delta i beredskapsøvelser arrangert av departementet eller Nasjonal kommunikasjonsmyndighet.

§ 2-5 krav om beredskapsplanlegging og -øvelser vektlegger virksomhetens evne for effektiv hendelseshåndtering og rask gjenoppretting av drift. Beredskapsplanene skal ha klare beskrivelser av hvordan virksomheten skal håndtere ulike typer uønskede hendelser. Eksempler på slike hendelser kan være teknisk svikt, brann, strømbrudd, sikkerhetsbrudd, dataangrep, ekstremvær, innsidere m.m. I tråd med virksomhetens styringssystemer, krav til sikkerhetsstyring og ROS vurderinger, skal virksomhetens beredskapsplaner være godt dokumenterte og tilpasset virksomhetens risiko og -sårbarhetsbilde.  

Videre vektlegger § 2-5 at beredskapsplaner og gjennomføring av beredskapsøvelser skal dokumenteres skriftlig. Det vises til at dokumentasjonen spesifikt innebærer et krav til skriftlighet for å sikre notoritet. Det fremgår av tredje ledd at datasenteroperatør jevnlig skal gjennomføre beredskapsøvelser med det innhold og omfang som er nødvendig for å vedlikeholde og utvikle virksomhetens kompetanse og evne til å håndtere uønskede hendelser. Gjennom en slik pågående aktivitet vil virksomheten ha et oppdatert beredskapsplanverk som konkret er tilpasset virksomheten. Videre at virksomheten skal delta i beredskapsøvelser arrangert av myndigheten.

Datasenterforskriften § 2-6. Adgang til å pålegge sikkerhetsrevisjon Nasjonal kommunikasjonsmyndighet kan pålegge en datasenteroperatør å foreta en sikkerhetsrevisjon av hele eller deler av virksomheten, når opplysninger som er innhentet eller tilsyn som er gjennomført, ikke er tilstrekkelig til å besvare nødvendige spørsmål om virksomhetens sikkerhet. Nasjonal kommunikasjonsmyndighet kan stille krav til sikkerhetsrevisjonen. Revisjonen skal foretas av en uavhengig, kvalifisert tredjepart, og resultatet av revisjonen skal sendes Nasjonal kommunikasjonsmyndighet. Datasenteroperatøren skal dekke alle kostnadene ved revisjonen.

Nkom kan med hjemmel i datasenterforskriften § 2-6 i særlige tilfeller pålegge datasenteroperatør å foreta en sikkerhetsrevisjon av hele eller deler av virksomheten. En sikkerhetsrevisjon vil kunne være aktuelt der myndigheten allerede har innhentet opplysninger eller gjennomført stedlig tilsyn, men hvor dette ikke har vært tilstrekkelig for å fullstendig besvare nødvendige spørsmål om virksomhetens sikkerhet. Ordlyden "særlige tilfeller" er valgt for å poengtere at sikkerhetsrevisjon ikke skal ilegges regelmessig eller erstatte myndighetens eget tilsyn.

Sikkerhetsrevisjonen kan bli pålagt for hele eller deler av virksomheten, f.eks. for deler av virksomheten som trenger ytterligere granskning eller som er spesielt sårbare. Et eksempel på dette kan være behov for å teste sikkerheten til internettilgang til viktige fasiliteter.

Paragrafens tredje punktum presiserer at revisjonen skal foretas av en uavhengig, kvalifisert tredjepart, og resultatet av revisjonen skal sendes Nkom. Med uavhengig, kvalifisert tredjepart, legger departementet opp til det utførende revisjonsfirmaet ikke på noen måte er nært forbundet med datasenteroperatøren. Virksomheter med sertifisering innen revisjon vil fylle vilkåret om kvalifisert, men også andre kan være kvalifisert, eksempelvis en offentlig myndighet. Det forutsettes at revisjonsrapporten sendes Nkom så snart den foreligger.

Datasenteroperatøren skal dekke alle kostnadene ved en revisjon. Dette omfatter både direkte og indirekte kostnader.

Datasenterforskriften § 2-7. Plikt til å følge opp at andre oppfyller sikkerhetskravene En datasenteroperatør skal følge opp at leverandører, entreprenører og andre som utfører arbeid for eller på vegne av operatøren, etterlever sikkerhetskrav fastsatt i eller med hjemmel i lov.

Bestemmelsen pålegger datasenteroperatør å følge opp at leverandører, entreprenører og andre kontraktører som utfører arbeid på virksomheten vegne, herunder leverandører, entreprenører og andre kontraktører, etterlever sikkerhetskrav fastsatt i eller med hjemmel i lov. Dette gjelder også ved tjenesteutsetting utenfor Norge. Dette gjelder også kontraktører og underleverandører som driver sin virksomhet i Norge og som leverer tjenester til virksomheten.

Datasenteroperatøren har således en plikt til å følge opp sikkerhet gjennom hele verdikjeden når det settes arbeid ut på oppdrag.

Datasenterforskriften § 2-8. Plikt til å varsle om uønskede hendelser En datasenteroperatør skal uten ugrunnet opphold varsle Nasjonal kommunikasjonsmyndighet om hendelser som har medført vesentlige brudd på datasenteret eller datasentertjenestenes tilgjengelighet, autentisitet, integritet eller konfidensialitet. Varselet skal minst opplyse om hendelsens årsak, konsekvensene for datasenteret og datasentertjenestene, innvirkningen på økonomiske og samfunnsmessige aktiviteter, antallet berørte kunder og det geografiske omfanget i den grad opplysningene er kjent. Det skal også opplyses om tiltakene for å stoppe og utbedre skadene, og hvor lenge tjenestene har vært eller vil være påvirket av hendelsen. Ved konkrete og betydelige trusler med fare for brudd på autentisitet, integritet eller konfidensialitet skal datasenteroperatør varsle kundene om mulige vernetiltak eller avhjelpende tiltak som kunden kan sette i verk. Vil det det være hensiktsmessig, skal datasenteroperatør også informere om selve trusselen. En datasenteroperatør skal varsle kundene om planlagt arbeid som kan få konsekvenser for datasentertjenestene som tilbys. Nasjonal kommunikasjonsmyndighet kan gi forskrift om nærmere prosedyrer for varsling.

Datasenteroperatøren plikter å varsle Nkom uten ugrunnet opphold om hendelser som har medført vesentlig brudd på datasenteret eller datasentertjenestens tilgjengelighet, autentisitet, integritet eller konfidensialitet.

Datasenteroperatør må sende oppdatert varsel dersom det skjer vesentlige endringer underveis i hendelsen, og når hendelsen er normalisert.

Ved konkrete og betydelige trusler med fare for brudd på autentisitet, integritet eller konfidensialitet skal datasenteroperatør varsle kundene om mulige vernetiltak eller avhjelpende tiltak som kunden kan iverksette. Dersom det er hensiktsmessig, skal datasenteroperatøren også informere om selve trusselen.

Virksomheten skal varsle kundene om planlagt arbeid som kan få konsekvenser for datasentertjenestene som tilbys.

Varsling for datasenteroperatør er videre beskrevet på Nkom sine hjemmesider for datasenteroperatørers varslingsplikt. Varsling av hendelser til Nkom skjer via epost ekomvarsling@nkom.no. Det er også mulig å varsle på Nkom beredskapsvakt på telefon 22 33 17 00. Det skal varsles i henhold til mal for hendelsesrapport, beskrevet gjennom Nkoms varslingskanal.