Strengere krav og økt tilsyn for datasenternæringen

Forslaget til ny ekomlov ble fremmet i statsråd den 12. april og signaliserer økt tilsyn og større myndighetsinvolvering i datasenternæringen. Dette reflekterer samfunnets økte avhengighet til datasentertjenester og et stadig skjerpet trusselbilde. Reglene vil primært ramme leverandører i datasenternæringen, men kundesiden vil potensielt også påvirkes.

Hva kommer?

Lovforslaget inneholder følgende krav til datasenternæringen:

• Datasenteroperatører har plikt til å registrere seg hos departementet før virksomheten starter opp.

• Datasenteroperatører skal tilby og opprettholde datasentertjenester med forsvarlig sikkerhet.

• Datasenteroperatører skal opprettholde forsvarlig beredskap.­­

• Datasenteroperatører kan pålegges å gjennomføre nødvendige bruksbegrensninger i nødsituasjoner.

• Myndighetene gis vid hjemmel for å presisere og håndheve krav til sikkerhet.

Videre er det foreslått at myndighetene gis vide vedtakshjemler til å blant annet:

• ved enkeltvedtak fastsette tiltak for å sikre forsvarlig sikkerhet ovenfor datasenteroperatører,
• ved forskrift fastsette nærmere krav til forsvarlig sikkerhet og beredskap, finansiering, nasjonal autonomi, sikkerhetsrevisjon og registreringsplikt, herunder om registreringsmåte, hvilken informasjon som skal registreres og terskelverdi for registreringsplikten,
• ved forskrift stille krav om nasjonal sikkerhet og kriminalitetsbekjempelse i datasenter, herunder fastsette krav om at operatøren skal ha en tilgjengelig representant med nødvendig kunnskap om senteret, krav om separasjon av kunder eller kundegrupper, krav om at datasenteroperatør skal føre oppdaterte lister over egne kunder og deres plassering i datasenteret, og krav om at politiet og EOS-tjenestene på nærmere vilkår gis rask tilgang til informasjonen.

Ved vurderingen av hva som medfører et "forsvarlig sikkerhetsnivå", skal det særlig vektlegges datasenteroperatørens evne "til å motstå enhver hendelse". Lovforslaget fokuserer følgelig på tiltak for avverging og hindring av cyberhendelser. I et moderne trusselmiljø hvor trusselaktørers kapabiliteter blir stadig mer sofistikert, oppfatter vi at datasenteroperatørens evne til å identifisere og respondere på hendelser for å begrense skadeomfang og sikre driftskontinuitet burde tillegges tilsvarende vekt.

Hvem rammes?

Lovforslaget gjelder for "datasenteroperatører". Definisjonen omfatter tradisjonelle, kommersielle tilbydere av datasentertjenester, samt for eksempel aktører som driver virksomhetsinterne datasentre av en viss størrelse (med en elektrisk effekt over en bestemt terskelverdi som fastsettes av departementet). Virksomhetsinterne datasentre for kryptovalutautvinning omfattes også.

En datasentertjeneste er definert som en "tjeneste som legger til rette for innplassering, tilkobling og drift av IT- og nettverksutstyr for datalagring, dataprosessering og dataoverføring. Tjenesten omfatter i tillegg fysisk sikkerhet, strøm og kjøling, og kan inkludere andre relaterte tjenester", jf. § 1-5 nr. 37 i forslaget.

Definisjonen av datasentertjenester ble kritisert for å være uklar i høringsrunden. Departementet har imidlertid i lovforslaget presisert at definisjonen gjenspeiler målsettingen om at reguleringen skal bidra til å ivareta og styrke sikkerheten i datasentre på bred basis. Definisjonen har videre, ifølge departementet, blitt tilpasset for å reflektere hvilke tjenester de fleste datasentre i Norge leverer.

Den foreslåtte definisjonen skal, ifølge proposisjonen, ligge nært opp mot definisjonen av datasentertjeneste etter EU direktivet NIS2. Begrepsbruken framstår imidlertid ikke harmonisert. Herunder vil in-house datasentertjenester, som ikke er omfattet av definisjonene i NIS2, faller innenfor definisjonene i lovforslaget.

Det følger videre av proposisjonen at forslagets virkeområde avgrenses mot skytjenester og datasentertjenester som produseres i datasenteret. Omfanget av disse avgrensningene framstår imidlertid som uklar for oss. Skytjenesteleverandører som drifter egne datasenter i Norge synes å falle innenfor ordlydens virkeområde, men departementets uttalelser i lovforslaget reiser spørsmål om dette har vært tilsiktet.

Hva er bakgrunnen for lovforslaget?

Datasenter anerkjennes, sammen med kommunikasjonsnett, som grunnmuren i vår nasjonale digitale infrastruktur. Dette tilsier at det bør stilles krav til sikkerhet og beredskap i datasentre på lik linje med ekominfrastruktur.

Departementet peker videre på myndighetenes behov for å få oversikt over datasentrene i Norge, inkludert kryptoutvinnere.

Proposisjonen fremhever også ønsket om å muliggjøre etterlevelse for datasenteroperatører gjennom hjemmel for innhenting av politiattest, dialog og veiledning fra myndighetene, mv.

Hva skjer videre?

Selv om lovgiver ikke har vedtatt rettede krav mot datasenternæringen før nå, er næringen som sådan godt kjent med etterlevelse av sikkerhetskrav. Datasenternæringen er underlagt GDPR, hvor det stilles generelle krav til sikkerhet. Kunder av datasentertjenester har også presset fram sikkerhetskrav til datasenteroperatører på avtalemessig grunnlag. På denne måten er særlig de etablerte aktørene i datasenternæringen vant til å etterleve sikkerhetskrav i sektorlovgivning, eksempelvis de som følger av finansregulatoriske krav til utkontraktering.

Slik vi ser det, vil sikkerhetskravene etter den nye ekomloven antakeligvis ikke medføre behov for omfattende omstilling i datasenternæringen på kort sikt. Etablerte leverandører som er vant til å levere på avtalefestede sikkerhetskrav vil antakelig være godt forberedt på å etterleve de nye reglene.

Det er imidlertid vanskelig å forutse utviklingen på lengre sikt.

Lovforslaget gir myndighetene vide hjemler for å bygge ut regelverket, og for å håndheve regelverket mot enkeltaktører. I utgangspunktet ønsker vi detaljreguleringer av generelle forsvarlighetsnormer til sikkerhet velkommen. Næringen og kunder av datasentertjenester er tjent med at det utvikles nasjonale sikkerhetsnormer og standarder. Dette har potensial til å styrke sikkerheten i den norske datasenternæringen. Det vil også kunne forenkle kunders kravstilling til sikkerhet ved avtaleinngåelse med datasenteroperatører.

Departementet skal videre ved forskrift kunne gi politiet og EOS-tjenestene hjemmel til kreve "rask tilgang" til informasjon om "kunder og deres plassering i datasenteret". Forslaget ble ikke behandlet i høringsrunden.

Utstrakt bruk av viritualiseringsteknologi og distribuerte datasenterressurser er vanlig i moderne datasentre. Det er uklart om lovgiver sett hen til de praktiske utfordringer slik teknologi vil kunne ha for f. eks. adskillelse av data på kundenivå.

Lovforslaget er gjenstand for komitebehandling hos Transport- og Kommunikasjonskomiteen med frist for avgivelse av innstilling den 22. oktober 2024. Foreløpig dato for behandling i Stortinget er 5. november 2024. Ikrafttredelse er dermed å forvente innen relativt kort tid.

Se Prop. 93 LS (2023-2024) for nærmere detaljer om forslag til ny ekomlov.