Getting the Deal Through er en Q&A-basert verdensomspennende referanseguide som dekker 150 jurisdiksjoner. Guiden blir benyttet som en informasjonsressurs av mer enn 150 000 bedriftsadvokater, privatpraktiserende advokater, samt ledere i selskaper eller i det offentlige, og gir en oversikt over gjeldende regelverk og vesentlige spørsmål innenfor et gitt rettsområde.
Brækhus har spisskompetanse innenfor offentlige anskaffelser og rådgir klienter innen alle typer anskaffelsesformer, fra enkle anbud til eneleverandøranskaffelser og konkurransepreget dialog – og innen de fleste markeder – fra sikkerhetsanskaffelser hvor konkurransegrunnlaget er delvis unntatt offentlighet og forsvarsanskaffelser til konkurransepreget dialog i helsesektoren og enkle entrepriser.
Forretningshemmelighetsloven og hva den betyr for din virksomhet
Den 1. januar trådte forretningshemmelighetsloven i kraft. Loven vil særlig komme oppstartsvirksomheter og små og mellomstore bedrifter til gode, som ofte mangler kompetansen og ressursene til å forfølge og forsvare sine forretningshemmeligheter.
Den nye loven gjennomfører EU-direktiv 2016/943 i norsk rett og samler reglene om vern av forretningshemmeligheter i én lov. Tidligere var vern av forretningshemmeligheter regulert av markedsføringsloven §§ 28 og 29 og straffeloven §§ 207 og 208.
Alle kjenner til begrepet «forretningshemmeligheter», enten man har lest om det eller signert en taushetserklæring, inngått en avtale som inneholdt en bestemmelse om konfidensialitet, eller kanskje selv skapt noe som klassifiseres som en forretningshemmelighet. Forretningshemmeligheter har ofte stor kommersiell verdi for en fysisk eller juridisk innehaver, som kan lide skade i form av blant at svekket markedsposisjon og konkurranseevne eller bli påført tap dersom innholdet blir kjent eller misbrukt av andre.
Begrepet er ikke uttømmende definert, men en forretningshemmelighet er en type viten som er spesifikk for en bedrift, og som er av betydning for dens virksomhet, eksempelvis, interne priser, markedsføringsplaner, oppskrifter, beskrivelser, modeller, tekniske tegninger, råstoffer eller råstoffsammensetninger, maskiner eller maskindeler eller særlige kombinasjoner av maskiner.
Forretningshemmeligheter omfatter også informasjon som ikke nyter beskyttelse under regler om immaterielle rettigheter, slik som varemerker, design, patenter mm. Slike rettigheter vil for mange bedrifter utgjøre store verdier, og disse vil også nyte vern under den nye loven.
Virkeområde
Den nye loven skal sikre innehavere vern mot urettmessig tilegnelse, bruk og formidling av forretningshemmeligheter. I all hovedsak vil loven videreføre gjeldende rett, men vernet blir også utvidet.
Lovens § 2 inneholder en legaldefinisjon av «forretningshemmeligheter». Definisjonen viderefører langt på vei den tidligere praksisen, og inneholder tre kumulative vilkår. For å klassifiseres som en forretningshemmelighet må en opplysning være hemmelig og ha en kommersiell verdi nettopp fordi den er hemmelig. I tillegg må innehaveren ha truffet rimelige tiltak for å holde opplysningen hemmelig.
At opplysningen må være hemmelig innebærer at det er sentralt hvilken spredning opplysningen har og hvor lett det er for andre å tilegne seg den. Dette gjelder både opplysningen i sin helhet, men også deler av opplysningen.
Når det gjelder vilkåret om at opplysningen må ha kommersiell verdi skal utgangspunktet ikke tas i den kommersielle verdien for innehaveren, men for andre aktører i markedet, eksempelvis for konkurrerende virksomheter.
At innehaveren må ha iverksatt rimelige tiltak for å sikre hemmelighold innebærer at innehaveren har iverksatt tiltak som f.eks. merking av dokumenter og gjenstander som inneholder forretningshemmeligheter, avtalerettslig regulering med avtaleparter/arbeidstakere/oppdragsgivere eller implementering av fysiske og tekniske tilgangskontroller.
Håndhevingsmidler
Loven gjør det enklere for innehaveren av en forretningshemmelighet å håndheve sine rettigheter og innebærer en tydeligere regulering av hvilke sanksjoner, tiltak og andre håndhevingsmidler som kan påberopes ved inngrep. Før forretningshemmelighetsloven hadde innehaveren håndhevingsmidler som dom om forbud mot eksisterende og fremtidige inngrep, idømmelse av vederlag og erstatning samt kjennelse om midlertidig forføyning og eventuelt ileggelse av straff. Disse håndhevingsmidlene består.
Nytt ved forretningshemmelighetsloven er at domstolene kan gi inngriper pålegg om tiltak som vil avbøte virkningene av gjennomført inngrep, samt vanskeliggjøre fremtidige inngrep. Dette kan eksempelvis være tilbakekalling, endring eller ødeleggelse av varer, dokumenter og gjenstander som inneholder forretningshemmeligheten, samt forbud mot å gjenta handlingen som utgjorde inngrepet. Domstolene kan også forby gjennomføring av en planlagt handling, dersom det er særlig grunn til å frykte at handlingen vil utgjøre et inngrep etter loven.
Forretningshemmelighetsloven tar også hensyn til at en uvitende inngriper kan ha innrettet seg etter krenkelsen i god tro. Loven oppstiller derfor en foreldelsesfrist på tre år for både krav på vederlag og erstatning for inngrep, men også for de øvrige håndhevingsmidlene som innehaveren kan gjøre gjeldende. Fristen løper fra det tidspunktet innehaveren fikk eller burde ha skaffet seg nødvendig kunnskap om inngrepet eller inngriperen.
Praktiske tips
Forretningshemmelighetsloven vil gi større muligheter til å håndheve krenkelser av forretningshemmeligheter, men stiller også krav til årvåkenhet da slike håndhevelsesmuligheter vil kunne prekluderes som følge av foreldelse. Enhver innehaver bør derfor få kontroll på deres forretningshemmeligheter ved å:
Identifisere hva som er forretningshemmeligheter.
Kartlegge hvem som har tilgang til forretningshemmeligheter.
Vurdere om tilgangen til forretningshemmeligheter bør begrenses.
Sikre tiltak for å beskytte mot urettmessig tilgang til forretningshemmeligheter.
Kommunisere til ansatte, underleverandører, kunder eller andre som tar del av forretningshemmeligheter at man anser opplysningene som en forretningshemmelighet og som sin eiendom.
Forplikte mottakere til å bevare taushet om forretningshemmeligheter.
Brækhus – din samarbeidspartner
Gjennom mer enn 90 år har våre teknologiadvokater rådgitt kunder om hvordan de kan sikre og utnytte sine rettigheter. I dag er teknologisk kompetanse blitt avgjørende for mange bedrifters suksess, og vi vil gjerne være din støttespiller og sparringspartner på reisen mot digitalisering.
Vi vet at digitalisering innebærer et enormt mulighetsintervall for effektivisering, automatisering og verdiskaping; samtidig må man kunne navigere det regulatoriske farvannet for blant annet sikring, kjøp, salg, markedsføring og utnyttelse av data, opplysninger eller andre rettigheter.
Vi bistår blant annet med:
Arbeidstakeroppfinnelser
Crawling og scraping
Databasevern
Etablering og beskyttelse av immaterielle rettigheter
Forskning- og utviklingsavtaler
Franchise-, agent- og forhandleravtaler
IT-kontrakter og andre teknologiavtaler
Konkurranse- og markedsføringsspørsmål
Opphavsrett
Overdragelse og lisensiering av immaterielle rettigheter
Teknologitransaksjoner (inkl. overtakelsestilbud, oppkjøp, fisjoner og fusjoner)
Tvisteløsning i forbindelse med inngrep, brudd på god markedsføringsskikk, etterligning av produkter og piratkopiering
Underleverandøravtaler, partneravtaler og teaming-avtaler
1. januar 2021 rykker Audun Kleppestø, Line Juuhl og Alexander Mollan opp i Brækhus. Kleppestø til partner, Juuhl til assosiert partner og Mollan til senioradvokat. – Fantastisk for kundene og for Brækhus, sier managing partner Frank C. Aase.
– 2020 har vært et annerledes år for mange. Det er motiverende at det går så bra med Brækhus tross utfordringene forårsaket av Covid-19. Vi er takknemlig for å arbeide med både nye og eksisterende kunder, og med mange spennende saker. Vi gleder oss til å ta fatt på nye oppgaver og utfordringer i nye roller, og ser frem til videre godt samarbeid med kundene, sier Audun Kleppestø.
Kleppestø startet som assosiert partner i Brækhus i 2019, og har tidligere erfaring fra stilling som senioradvokat i SANDS og advokat i Haavind. Han er spesialist innen insolvens og restrukturering, forsikringsrett og finansiering. Han arbeider også mye med selskapsrettslige problemstillinger, inkludert styreansvarssaker, og med generell kontraktsrettslig rådgivning.
Juuhl startet også i Brækhus i 2019, som senioradvokat. Hun kom til Brækhus fra Andersen & Bache-Wiig. Juuhl har spisskompetanse innenfor arveplanlegging, arveoppgjør og generasjonsskifter, med lang erfaring fra utlandet og internasjonale arveskifter. Hun har særlig kompetanse med gjennomføring av arveskifter og rådgivning i saker tilknyttet Norge – Spania.
Mollan har vært i Brækhus siden 2015 og gått gradene fra fullmektig til senioradvokat. Han er spesialisert innen teknologi- og IT og arbeider med kommersielle IT-kontrakter, cybersikkerhet, lisensiering og skytjenester, og i forbindelse med store IT-prosjekter og anskaffelser. Han har også i en periode vært utleid til Capgemini.
Alexander Mollan, Line Juuhl og Audun Kleppestø rykker opp i Brækhus
Audun, Line og Alexander er meget dyktige advokater og har i sin tid i Brækhus skapt svært gode resultater for kundene. Alle tre har dyp og bred kompetanse og forretningsforståelse, og de evner å skape tillit i sine kunderelasjoner. Opprykkene er en viktig annerkjennelse av deres erfaring og kompetanse, og merverdien de skaper for våre kunder. Utviklingen i Brækhus er i fremmarsj og vi er heldige å ha tre så faglige sterke og kommersielle advokater med på laget
Overføring av personopplysninger i kjølvannet av Schrems II
Den 16. juli 2020 avsa EU-domstolen dom i den såkalte Schrems II-saken, hvor domstolen ugyldiggjorde Privacy Shield som grunnlag for overføring av personopplysninger. Domstolen presiserte også de plikter behandlingsansvarlige og databehandlere har til å vurdere bruken av EUs standardkontrakter og andre overføringsgrunnlag.
Før overføring til land utenfor EU/EØS (såkalte «tredjeland») må mottakeren ha gitt «nødvendige garantier» og de registrerte må kunne håndheve rettigheter og benytte effektive rettsmidler, jf. personvernforordningen artikkel 46 (2). Dette kan sikres ved å blant annet benytte et overføringsgrunnlag, eksempelvis EUs standardkontrakter eller bindende virksomhetsregler for overføring innad i et konsern.
Frem til EU-domstolens avgjørelse var det også mulig å overføre personopplysninger fra EU/EØS til USA på grunnlag av EU-U.S Privacy Shield («Privacy Shield»), en sertifiseringsordning hvor amerikanske selskaper kunne sertifiseres for å motta personopplysninger fra et EU/EØS-land.
I Schrems II kom EU-domstolen til at Privacy Shield ikke tilfredsstilte kravene etter det EU-rettslige proporsjonalitetsprinsippet. Avgjørende for domstolen var at amerikanske overvåkningsprogrammer ikke er begrenset til det som strengt tatt er nødvendig. Det ble også lagt vekt på at europeiske borgere ikke har tilstrekkelig mulighet til å få overprøvd beslutningene om overvåkning.
EU-domstolen fant at EUs standardkontrakter fortsatt er et gyldig overføringsgrunnlag, forutsatt at opplysningene kan gis et beskyttelsesnivå i mottakerlandet som i hovedsak tilsvarer det som garanteres i EU/EØS gjennom personvernforordningen. Domstolen presiserte at plikten til å vurdere mottakerlandets beskyttelsesnivå ikke er begrenset til EUs standardkontrakter, men gjelder for alle overføringsgrunnlag.
Den som overfører personvernopplysninger må sjekke, vurdere og evt. iverksette tiltak
I lys av dommen må den som allerede overfører eller vurderer å overføre personopplysninger til tredjeland kartlegge hvilket overføringsgrunnlag som benyttes eller skal benyttes. Hvis ikke dette er klart for eksisterende overføringer bør eksisterende databehandleravtaler eller overføringsavtaler gjennomgås umiddelbart.
Hvis det er avtalt at Privacy Shield skal benyttes for overføring til USA må man uten ugrunnet opphold ta kontakt med mottakeren og få på plass en avtale om å benytte et annet overføringsgrunnlag.
Uavhengig av om man allerede overfører personopplysninger utenfor EU/EØS eller vurderer å gjøre det, må man vurdere om mottakerlandets beskyttelsesnivå faktisk er tilsvarende som i EU/EØS. Den som mottar opplysningene utenfor EU/EØS kan være underlagt lovgivning som er i strid med og går foran forpliktelsene etter overføringsgrunnlaget, eksempelvis ved å gi myndighetene i tredjeland uforholdsmessig stor adgang til dataene.
Det kan også være andre omstendigheter som reduserer beskyttelsesnivået, eksempelvis at de registrertes rettigheter ikke vil kunne ivaretas i praksis. Det europeiske Personvernrådet (EDPB) kom den 10. november med en veileder for hvordan man skal vurdere overvåkingslover i et mottakerland og hvilken betydning slike lover kan ha for personopplysningenes beskyttelsesnivå.
Dersom man finner at beskyttelsesnivået ikke vil være tilsvarende som i EU/EØS, må man iverksette «ytterligere tiltak» som sikrer et tilsvarende beskyttelsesnivå. EUs personvernråd (EDPB) publiserte den 11. november en veileder med eksempler på slike tiltak. Hvilke ytterligere tiltak som kan og bør iverksettes må vurderes konkret og nedfelles skriftlig. Det kan være kontraktuelle, tekniske eller organisatoriske tiltak. Hvis man ikke klarer å gjennomføre denne vurderingen selv bør man vurdere å innhente ekstern bistand eller avstå fra overføringen.
Overføring av personopplysninger i kjølvannet av Schrems II
Den 16. juli avsa EU-domstolen en prinsipielt viktig dom i den såkalte Schrems II-saken. Dommen har stor betydning for overføring av personopplysninger til land utenfor EU/EØS. La advokat Alexander Mollan navigere deg gjennom dommen og dens betydning for nettopp din organisasjon. Programleder Ida Brabrand. Produsert av Øystein Weibell/Kanonlyd.
Du har hørt om begrepene compliance, CSR og ESG, men vet du hva de betyr og ikke minst hva de innebærer? Enhver organisasjon må drive med compliance, mens CSR og ESG på tidspunktet for denne episoden av Lovlytt er frivillige øvelser som benyttes for å ta samfunnsansvar, skaffe et konkurransefortrinn, gjennomføre produkt- eller tjenesteevalueringer samt kartlegge risiko og risikoreduserende tiltak. La advokat Alexander Mollan navigere deg gjennom begrepene og deres betydning for nettopp din organisasjon. Programleder Eivind Arntsen. Produsert av Øystein Weibell/Kanonlyd.
Alexander Mollan har skrevet en artikkel om de nye endringene i regelverket for spillreklame på TV og internett i juli-utgaven av tidsskriftet Gambling.Re.
Ganmbling.Re er en månedlig publikasjon som utforsker juridiske problemstillinger som påvirker nettbaserte spilloperatører og deres samarbeidspartnere. Tidsskriftet behandler blant annet temaer som lisensiering, mobilspill, offshore virksomhet, gambling, betalingsformidling, svindel, kryptovaluta, nettbasert poker, sosial spilling, reklame, sportsbetting, eSports, fantasisport (DFS) og hvitvasking.
Brækhus har inngående kunnskap om det regulatoriske landskapet for spillvirksomhet i Norge og på europeisk nivå, samt de regulatoriske forhold, beslutningsprosesser og tekniske og operasjonelle forhold som er av betydning for våre klienter.
EU-kommisjonen har godkjent Japan som et tredjeland med tilstrekkelig beskyttelsesnivå for overføringer av personopplysninger
Den 23. januar besluttet EU-kommisjonen at Japan skal anses for å inneha et tilstrekkelig beskyttelsesnivå for overføring av personopplysninger. Japan er dermed et godkjent tredjeland for overføring av personopplysninger fra land i EU/EØS.
For å kunne overføre personopplysninger til land utenfor EU/EØS må man benytte seg av en overføringsmekanisme. En av disse mekanismene er en beslutning fra EU-kommisjonen som tillater overføringen på grunnlag av at mottakerlandet anses å inneha et tilstrekkelig beskyttelsesnivå for de registrertes personopplysninger.
EU-kommisjonens beslutning om at Japan anses å inneha et tilstrekkelig beskyttelsesnivå innebærer at personopplysninger kan overføres til og fra Japan på samme måte som overføring mellom land innenfor EU/EØS. For slike overføringer vil det ikke lenger være behov for å benytte Standard personvernbestemmelser vedtatt av EU-kommisjonen, innhente godkjennelse fra Datatilsynet eller sikre at det foreligger en annen overføringsmekanisme.
EU-kommisjonens beslutning kommer i kjølvannet av EUs strategi om fri flyt av data som nedfelt i EUs «Commission’s Communication on Exchanging and Protecting Personal Data in a Globalised World». Beslutningen må også ses i sammenheng med frihandelsavtalen mellom EU og Japan som trådte i kraft den 1. februar 2019. I forbindelse med beslutningen uttalte EU-kommissær Věra Jourová at
“This adequacy decision creates the world’s largest area of safe data flows.Europeans’ data will benefit from high privacy standards when their data is transferred to Japan.Our companies will also benefit from a privileged access to a 127 million consumers’ market.Investing in privacy pays off; this arrangement will serve as an example for future partnerships in this key area and help setting global standards.”
I tillegg til Japan har EU-kommisjonen på tidspunktet for denne nyheten godkjent følgende land:
Andorra
Argentina
Canada
Færøyene
Guernsey
Israel
Isle of Man
Jersey
New Zealand
Sveits
Uruguay
Overføring på andre grunnlag
Utover EU-kommisjonens beslutninger om tilstrekkelig beskyttelsesnivå for overføring av personopplysninger utenfor EU/EØS kan man benytte seg av følgende mekanismer:
Bindende virksomhetsregler for et konsern eller gruppe av foretak
Godkjente atferdsnormer eller sertifiseringsmekanismer (per i dag finnes ingen slike godkjente mekanismer)
Standard personvernbestemmelser vedtatt av Europakommisjon (Standard Contractual Clauses)
EU-USA Privacy Shield (kun for overføring til USA)
Brækhus – Din rådgiver innenfor personvern
Våre advokater er bevisste på at personopplysninger utgjør et risikomoment for virksomheter. Dels foreligger den alminnelige juridiske risikoen i at feil håndtering av personopplysninger kan medføre overtredelse av lovpålagte krav. Det er også en kommersiell risiko forbundet med slik håndtering, idet virksomheter vil kunne risikere tap av anseelse og rykte. Stadig flere virksomheter blir oppmerksomme på ansvaret og risikoen slike opplysninger innebærer.
Vi vet at personopplysninger også utgjør en mulighet. Med den teknologiske utviklingen vi står overfor i dagens samfunn kan personopplysninger utgjøre en betydelig aktiva for den innovative virksomhet som står rustet til å benytte regelverket for Big Data, skytjenester og pseudonymiserte opplysninger.
Vi står klare til å bistå med rådgivning innen hele spektret av personvern, fra innsamling av personopplysninger, gjennom lagring og kategorisering, til lovlig utveksling, herunder verdsettelse og kommersialisering, transaksjoner, regulatoriske problemstillinger og compliance, samt tvisteløsning.
IKT-sikkerhetsutvalgets utredning og forslag om gjennomføring av NIS-direktivet er sendt på høring
Justis- og beredskapsdepartementet har sendt utredning fra IKT-sikkerhetsutvalget og utkast til lov som gjennomfører EUs direktiv om sikkerhet i nettverk og informasjonssystemer (NIS-direktivet) i norsk rett på høring.
Ny lov om sikkerhet i nettverk og informasjonssystemer – hva blir nytt og hvordan vil loven påvirke norske virksomheter?
Departementet har foreslått en ny sektorovergripende lov om sikkerhet i nettverk og informasjonssystemer som skal gjennomføre NIS-direktivet i norsk rett.
Lovforslaget vil medføre en rekke krav til norske myndigheter, samt forpliktelser til virksomheter som har en særlig viktig rolle i opprettholdelsen av et funksjonelt indre marked. Dette vil inkludere et bredt spekter av virksomheter som leverer tjenester innenfor blant annet helse, samferdsel, energi, finans og bank. Bare i den norske helsesektoren er det 17.000 virksomheter som vil falle inn under lovforslagets definisjon av tilbydere av helsetjenester.
Videre vil tilbydere av digital infrastruktur som IXP, DNS og TLD kunne være omfattet av lovforslaget, samt digitale tilbydere som leverer skytjenester, nettbaserte markedsplasser som Zalando, Komplett, Finn og Appstore etc., eller nettbaserte søkningsmotorer og søketjenester som Google, Bing og Yahoo.
Virksomheter som faller inn under loven vil bli pålagt to nye forpliktelser, herunder krav om risikostyring og en plikt til å gjennomføre IKT-sikkerhetstiltak som står i et rimelig forhold til den risikoen virksomheten står ovenfor, samt en plikt til å varsle myndighetene om alvorlige IKT-sikkerhetshendelser. Som en del av IKT-sikkerhetstiltakene skal virksomheter iverksette tiltak for å forebygge, avdekke og redusere virkningen av hendelser i nettverk og informasjonssystemer, med henblikk på opprettholdelse av deres tjenesteleveranser.
Hva gjelder varslingskravene tilsvarer ikke disse kravene til avviksmelding etter personvernforordningen art. 33, og virksomheter som er underlagt plikten bør derfor gjennomgå sine rutiner på dette området for å påse overholdelse av lovforslaget når det blir implementert.
Lovforslaget vil kunne få anvendelse på de områder som ikke har noen regler om IKT-sikkerhet i dag, samt fjerne tvil der sektorspesifikke sikkerhetsregler er uklare på om loven inkluderer IKT-sikkerhetskrav.
Videre vil lovforslaget også kunne tenkes å påvirke tilbydere som faller utenfor lovens virkeområde, eksempelvis ved at det blir stilt krav om overholdelse av lovforslagets plikter av tilbyderens kunder eller en potensiell oppdragsgiver i forbindelse med en anskaffelse.
NIS-direktivet er foreløpig ikke tatt inn i EØS-avtalen, og er derfor ikke bindende for norske myndigheter og bedrifter enda. Til tross for dette, legger departementet til grunn at det etter hvert vil bli innlemmet. EØS-landene har startet prosessen med å vurdere NIS-direktivets relevans, men ettersom EØS-prosessen ofte kan ta lang tid, har departementet vurdert å foreslå lovbestemmelser tilsvarende de som fremkommer av direktivet uavhengig av EØS-prosessen.
Det kan dermed være lurt for virksomheter som blir berørt av lovforslaget å allerede nå begynne å tenke på innrettelse etter bestemmelsene i direktivet.
Lovens virkeområde
Lovforslaget skiller mellom to type virksomheter som skal falle inn under lovens virkeområde. Den enkelte virksomhet må selv foreta en vurdering av hvorvidt de ut fra de nevnte bestemmelser og kriterier faller inn under virkeområdet til lovforslaget, og dermed er pålagt å gjennomføre IKT-sikkerhetstiltak og varsle om alvorlige IKT-sikkerhetshendelser.
Tilbydere av kritiske tjenester
Den første typen er tilbydere som nevnt i lovforslagets §4 første ledd nr. 1:
«virksomhet som leverer en tjeneste som er viktig for opprettholdelsen av kritiske samfunnsmessige- eller økonomiske aktiviteter, som er avhengig av nettverk og informasjonssystemer for å kunne levere tjenesten, og der en hendelse vil kunne få betydelig forstyrrende effekt på tjenesteleveransen.»
For å falle inn under bestemmelsen må tre krav være oppfylt.
Tilbyderen må for det første levere en kritisk samfunnsmessig eller økonomisk aktivitet. Hva som skal anses for å utgjøre kritiske samfunnsmessige eller økonomiske aktiviteter må vurderes konkret, men typiske eksempler er som tidligere nevnt virksomheter i følgende samfunnssektorer:
Bank
Digital infrastruktur (IXP, DNS og TLD)
Drikkevannsforsyning og -distribusjon
Energi (elektrisitet, olje og gass)
Finansmarkedsinfrastruktur
Helse
Samferdselstjenester (luft, jernbane, sjø og vei)
Telekommunikasjonsselskaper eller ISPer er unntatt fra regelverket, til tross for deres samfunnsmessige betydning.
For det andre må tilbyderens tjeneste være avhengig av nettverk og informasjonssystemer. Dette kravet vil nesten alltid være oppfylt idet dagens samfunn i utstrakt grad benytter seg av nettverk og informasjonssystemer.
Til sist må en hendelse i nettverk og informasjonssystemet kunne få betydelig forstyrrende effekt på tilbyderens leveranse av tjenesten. Begrepet «betydelig forstyrrende effekt» må vurderes konkret. Ved vurderingen av effektens betydning oppstiller lovforslaget §4 første ledd nr. 6 en ikke uttømmende liste med momenter som skal vurderes:
Antall brukere som baserer seg på tjenesten
Andre vedlegg II-sektorers avhengighet av tjenesten
Omfanget og varigheten av hendelsers mulige virkning på økonomiske og samfunnsmessige aktiviteter og samfunnssikkerhet
Virksomhetens markedsandel
Geografisk område som kan rammes av hendelsen
Viktigheten av virksomhetens bidrag til leveranse av tjenesten, med tanke på alternative tjenestetilbydere
Tilbydere av digitale tjenester
Den andre typen virksomhet som vil bli omfattet av lovforslaget er tilbydere av digitale tjenester, og loven vil her gjelde for tilbydere av skytjenester, nettbaserte markedsplasser og nettbaserte søkningsmotorer og søketjenester, jf. lovforslagets §4 første ledd nr. 7 til nr. 9.
Skytjenester (cloud computing service) er digitale tjenester som tilgjengeliggjør en skalerbar og fleksibel samling av delbare databehandlingsressurser. Departementet har poengtert viktigheten av at alle skytjenester innenfor EØS-området overholder EU-rettslige krav til personvern og informasjonssikkerhet, både hva gjelder norske virksomheter som benytter skytjenester innenfor EØS-området samt etablering av internasjonale datasentre i Norge.
En nettbasert markedsplass er en digital tjeneste som tilrettelegger for forbrukere og næringsdrivende ved å inngå nettbaserte salgs- eller tjenesteavtaler med næringsdrivende, enten direkte på nettstedet til den nettbaserte markedsplassen eller på nettstedet til en næringsdrivende som benytter datatjenester som tilgjengeliggjøres av den nettbaserte markedsplassen.
En nettbasert søkemotor (online search engine) er etter lovforslagets §4 nr. 8 definert som en
«digital tjeneste som gjør det mulig for brukere å foreta søk på i prinsippet alle nettsteder eller nettsteder på et bestemt språk, på grunnlag av en forespørsel om et hvilket som helst emne i form av et nøkkelord, en setning eller andre inndata, og som viser lenker hvor det er mulig å finne informasjon om det forespurte innholdet».
Begrepet «tilbydere av digitale tjenester» er ikke ment å omfatte tilbydere av digitale tjenester som er mikrovirksomheter eller små virksomheter.
Bakgrunn
I kjølvannet av GDPRs implementering i norsk rett leverte IKT-sikkerhetsutvalget den 3. desember 2018 en utredning til Justis- og beredskapsdepartementet vedrørende gjennomføringen av NIS-direktivet og vurdering av behov for rettslig og organisatorisk regulering av IKT- sikkerhet i Norge.
Utredningen inneholder fem hovedanbefalinger, herunder:
En ny lov om IKT-sikkerhet for samfunnskritiske virksomhet og offentlig forvaltning.
Krav om IKT-sikkerhet ved alle offentlige anskaffelser.
Opprettelsen av et Nasjonalt IKT- sikkerhetssenter.
Tydeligere regulering av og ansvar for tilkoblede produkter og tjenester.
Krav om tydeligere lederskap for nasjonal IKT-sikkerhet fra Justis- og beredskapsdepartementet.
Hva er NIS-direktivet?
NIS-direktivet er det første EU-direktivet som regulerer cybersikkerhet i Europa. Direktivet har som formål å styrke IKT-sikkerheten i EU, og er en av flere tiltak for å nå målene i EUs strategi for cybersikkerhet, «an Open, Safe and Secure cyberspace».
Direktivet ble vedtatt av EU-parlamentet den 6. juli 2016 og trådte i kraft i august i fjor. Direktivet er et minimumsdirektiv og setter dermed minimumskrav til medlemsstatene både når det gjelder direktivets virkeområde og krav til sikkerhet. Dette medfører at medlemsstatene kan velge å innføre strengere regler enn det som fremgår av direktivet. Departementet foreslår imidlertid at den nye loven skal tilsvare kravene i direktivet.
NIS-direktivet og gjeldende rett
Det er ingen tverrsektorielle eller sektorspesifikke lover i Norge som fullt ut tilsvarer kravene som følger av NIS-direktivet. Direktivet har flere fellestrekk med lov om nasjonal sikkerhet (sikkerhetsloven), men de to rettsaktene har et noe ulikt formål med sikringen.
Den nye sikkerhetsloven som trådte i kraft den 1. januar 2019 har som formål å ivareta nasjonale sikkerhetsinteresser ved å sikre grunnleggende nasjonale funksjoner, og handler først og fremst om sikring av informasjon, objekter og infrastruktur samt beskyttelse mot tilsiktede handlinger.
Personvernlovgivningen har også en side mot sikkerhet, og informasjonssystemer som skal sikres etter lovforslaget kan også tenkes å inneholde personopplysninger og dermed være underlagt gjeldende personvernlovgivning.
NIS-direktivet har som formål å oppnå et høyt felles nivå for sikkerhet i nett- og informasjonssystemer i EU for å forbedre virkemåten til det indre markedet, og har ingen begrensninger for hvilke handlinger som omfattes.
I tillegg er det ulikheter mellom rettsaktene når det gjelder hvilket sikkerhetsnivå som kreves i virksomheten, varsling av hendelser, tilsynsregime og prosessen for å angi virkeområde.
Myndighetskrav
Direktivet inneholder som nevnt bestemmelser som pålegger medlemstatene å gjennomføre en rekke tiltak for å styrke nasjonal kapasitet og internasjonalt samarbeid innenfor IKT-sikkerhet. Flere av disse kravene er krav til myndighetene selv, herunder krav om utarbeidelse av en nasjonal strategi for IKT-sikkerhet og etablering av en nasjonal enhet for håndtering av digitale sikkerhetshendelser.
Videre krever direktivet at medlemstatene skal peke ut minst én nasjonal myndighet som skal overvåke gjennomføringen av direktivet i landet og sørge for deltagelse i de to internasjonale samarbeidsgruppene som er etablert under direktivet. Etter alle solemerker vil denne oppgaven tilfalle Nasjonal kommunikasjonsmyndighet (Nkom).
Disse kravene krever ikke lovregulering, men vil bli fulgt opp av departementet parallelt med prosessen til den nye foreslåtte loven.
Krav til tilbydere av kritiske og digitale tjenester
Direktivet stiller minstekrav til private og offentlige virksomheter som er tilbydere av kritiske samfunnsmessige og økonomiske tjenenster og tilbydere av enkelte digitale tjenester. Kravene skal bidra til å styrke forebyggende sikkerhet og styrke beredskapen til å håndtere hendelser. Ved vurderingen av hva som er et passende sikkerhetsnivå skal virksomheten se hen til den teknologiske utviklingen og ta hensyn til følgende elementer:
Sikkerheten i systemer og utstyr/anlegg
Hendelseshåndtering
Styring av opprettholdelse av tjenesteleveransen
Overvåking, revisjon og testing
Anerkjente internasjonale standarder
Tilbydere som nevnt ovenfor må etter direktivets bestemmelser gjennomføre hensiktsmessige og forholdsmessige sikkerhetstiltak, og myndighetene skal føre tilsyn med tilbydernes etterlevelse av direktivet. Det vil stilles mindre strenge krav til tilbydere av digitale tjenester enn tilbydere av kritiske viktige samfunnsmessige og økonomiske tjenester.
Tilbydere vil også ha en plikt til å varsle den utpekte overvåkingsmyndigheten ved uønskede hendelser med betydelig innvirkning på tjenesteleveransen. Kravene er omtrent like for tilbydere av kritiske viktige samfunnsmessige og økonomiske tjenester og tilbydere av digitale tjenester. Ved vurderingen av om innvirkningen er betydelig skal det legges vekt på
Antall brukere som påvirkes av hendelsen
Hendelsens varighet
Størrelsen på det geografiske området som berøres av hendelsen
For tilbydere av digitale tjenester skal man i tillegg se hen til omfanget av funksjonalitetssvikten i tjenesten og omfanget av innvirkningen på økonomisk og samfunnsmessig aktivitet som følge av den uønskede hendelsen.
Det er ventet en forskrift med nærmere fastsettelse av de innholdsmessige kravene til sikkerhetskrav og varsling.
Mangelfull etterlevelse kan føre til administrative sanksjoner.
Hva nå?
Departementet har bedt om innspill til høringen med frist den 22. mars.
Regjeringen har ikke tatt endelig stilling til om NIS-direktivet skal gjennomføres i norsk rett, men departementet ønsker at høringsrunden belyser hvilke konsekvenser en gjennomføring av direktivet vil få for norske virksomheter. Til tross for at NIS-direktivet foreløpig ikke er inntatt i EØS-avtalen, legger departementet til grunn at det etter hvert vil bli innlemmet.
Departementet har uttalt at de ønsker at høringsinstansene skal vurdere utkastet til NIS-direktivet og utredningen hver for seg, idet Norge må være forberedt på å oppfylle direktivets minimumsforpliktelser uavhengig av utredningens anbefalinger.
Høringen gir anledning til å påvirke gjennomføringen av NIS-direktivet og Brækhus står klar til å bistå virksomheter som ønsker å inngi høringssvar.
