Datasenteroperatørers sikkerhets- og beredskapsplikter
Fra 1. januar 2025 har datasentre en rekke sikkerhets- og beredskapsplikter som må oppfylles. Les mer om hvilke sikkerhets- og beredskapsplikter som følger av ny ekomlov her.
Forsvarlig sikkerhet og beredskap som overordnet krav
Det overordnede kravet til datasenteroperatører som fremgår av den nye ekomloven er forsvarlig sikkerhet og beredskap i leveransen av datasentertjenester i fred, krise og krig. I dette ligger blant annet at arbeidet med sikkerhet og beredskap skal være risikobasert.
For å oppnå dette vil det bli stilt krav i datasenterforskriften på ulike områder som det fremgår av tabellen:
| Krav | Beskrivelse | § |
| Sikkerhetsstyring- og revisjon | Etablering og vedlikehold av styringssystem som dokumenterer datasenteroperatørens arbeid med sikkerhet | 2-1 |
| Risiko- og sårbarhetsvurdering | Utarbeidelse og vedlikehold av risiko- og sårbarhetsvurderinger. Vurderingene skal være av et slikt omfang at virksomheten kan identifisere organisatoriske, fysiske, logiske og menneskelige sikkerhetstiltak. | 2-2 |
| Grunnsikring | En datasenteroperatør skal utarbeide, iverksette og vedlikeholde grunnsikringstiltak for å ivareta forsvarlig sikkerhet i datasenteret. Grunnsikringstiltak innebærer en kombinasjon av barrierer, deteksjons-, verifikasjons- og reaksjonstiltak. | 2-3 |
| Sikringsplaner | En datasenteroperatør skal utarbeide, iverksette og vedlikeholde planer for sikring av informasjon, informasjonssystemer og styringssystemer. Slike sikringsplaner innebærer som et minimum at datasenteroperatøren utarbeider og iverksetter prosedyrer for tildeling av rettigheter, tilgangskontroll, endring, sletting, logging, redundans, sikkerhetskopiering, vedlikehold og testing for å ivareta tilgjengelighet, autentisitet, integritet og konfidensialitet. Datasenteroperatørens sikringsplaner skal dokumenteres. | 2-4 |
| Beredskapsplanlegging- og øvelser | En datasenteroperatør skal utarbeide og vedlikeholde beredskapsplaner for å ivareta forsvarlig sikkerhet i datasenteret. Datasenteroperatørens beredskapsplaner skal dokumenteres. Datasenteroperatøren skal jevnlig gjennomføre beredskapsøvelser med det innhold og omfang som er nødvendig for å vedlikeholde og utvikle virksomhetens kompetanse og evne til å håndtere uønskede hendelser. Plan for gjennomføring av beredskapsøvelser skal dokumenteres. Datasenteroperatøren skal på forespørsel delta i beredskapsøvelser arrangert av departementet eller Nasjonal kommunikasjonsmyndighet. | 2-5 |
| Varslingsplikt til Nkom | En datasenteroperatør skal uten ugrunnet opphold varsle Nasjonal kommunikasjonsmyndighet om hendelser som har medført vesentlige brudd på datasenteret eller datasentertjenestenes tilgjengelighet, autentisitet, integritet eller konfidensialitet. | 2-8 |
Tabellen er ikke en uttømmende liste, men en samling av noen sentrale krav i datasenterforskriften. Se datasenterforskriften for den fullstendige listen.
Et funksjonelt regelverk
Regelverket er funksjonelt, som betyr at det ikke stilles detaljkrav til sikkerhet. Ved vurderingen av hva som er forsvarlig vektlegges evnen til å motstå enhver hendelse som medfører eller kan medføre brudd på tilgjengelighet, autentisitet, integritet eller konfidensialitet i datasentertjenester. Det skal blant annet tas hensyn til beste tilgjengelige tekniske løsning, anerkjente standarder, tiltakenes kostnad og nytteverdi, og datasentertjenestens betydning. Det stilles også krav om forsvarlig beredskap. Det innebærer eksempelvis å sørge for å ha reservedelslager samt oversikt over sine avhengigheter for å kunne opprettholde forsvarlig sikkerhet i fred, krise og krig. Departementet kan fatte enkeltvedtak for å sørge for at datasenteroperatør gjennomfører tiltak som gir forsvarlig sikkerhet og beredskap. Datasenteroperatører som understøtter kritiske samfunnsfunksjoner kan følgelig blir vurdert strengere enn datasenteroperatører som ikke gjør det.
Enkelte datasenteroperatører kan også bli underlagt sikkerhetsloven i kraft av de understøtter den grunnleggende nasjonale funksjonen «evne til å ivareta datalagrings- og prosesseringskapasitet i Norge». I slike tilfeller vil datasenteroperatøren få et vedtak om at de er utpekt for underleggelse av sikkerhetsloven. Dette innebærer økte krav til sikkerhet ut over det som pålegges i den nye ekomloven og tilhørende forskrifter.
Krav om politiattest
Krav om politiattest kan være et viktig sikkerhetstiltak for personer som skal ha tilgang til elektroniske kommunikasjonsnett, tilhørende fasiliteter, datasenter, utstyr, systemer eller informasjon, med vesentlig betydning for sikkerheten i nett og tjenester eller som av en annen grunn er av særlig sensitiv karakter. Det kan også kreves fremlagt politiattest for personell hos tilbyderes eller datasenteroperatørs leverandør.
Med vesentlig betydning menes at det som skal vernes må være av særlig viktighet for offentlig elektroniske kommunikasjonstjenester, jf. blant annet klassifiseringsforskrifta § 4. Dette kan for eksempel være nettutstyr som er kritisk for samtrafikk med elektroniske kommunikasjonsnett i eller utenfor landet eller sensitiv informasjon som for eksempel kundelister, trafikkdata og lignende. Krav om politiattest vil bare være hensiktsmessig for særlige grupper av ansatte etter en konkret vurdering.
Denne vurderingen vil bero på en risikovurdering om hva som kan føre til betydelige skadevirkninger. Virksomheten må foreta en konkret vurdering av muligheten for å utnytte tilgang til informasjon og eller infrastruktur etc. i skadeøyemed og skadeomfanget dette vil kunne medføre. Begrepet «tilgang» innbefatter både logisk og fysisk tilgang. Politiattest kan søkes om her.