Tilbyders sikkerhets- og beredskapsplikter
Regelverket for elektronisk kommunikasjon pålegger en rekke krav til sikkerhet og beredskap for tilbyder av elektroniske nett og tjenester i Norge. I tillegg kan Nkom fatte vedtak som stiller krav til sikkerhet og beredskap.
Forsvarlig sikkerhet
Det følger av ekomloven § 2-10 at tilbydere skal tilby ekomnett og -tjenester med forsvarlig sikkerhet for brukere i fred, krise og krig, og opprettholde nødvendig beredskap. Det betyr at nett og tjenester skal være tilgjengelige, og at integritet og konfidensialitet skal beskyttes. Krav om forsvarlig sikkerhet gjelder også i situasjoner der nettene utsettes for ekstraordinære påkjenninger.
Det er tilbyders ansvar å sørge for at nett og tjenester holder et forsvarlig sikkerhetsnivå. Forsvarlighetsbegrepet er en rettslig standard der innholdet endrer seg i tråd med utviklingen i markedet, teknologien og samfunnet for øvrig. Hva som anses som forsvarlig vil fremkomme gjennom markedspraksis, tilgjengelig teknologi og internasjonale krav. Forsvarlighetsbegrepet omfatter både den fysiske sikkerheten og logisk sikkerhet/cybersikkerhet.
Tilbyder skal selv dekke kostnadene som følger av å opprettholde et forsvarlig sikkerhetsnivå. Myndigheten kan gjennom vedtak eller forskrift presisere hva som faller inn under begrepet forsvarlig sikkerhet.
Myndigheten kan også fatte enkeltvedtak, gi forskrift eller inngå avtale om at tilbyder skal gjennomføre ytterligere tiltak for å oppfylle nasjonale behov for sikkerhet, beredskap og funksjonalitet. Slike tiltak går utover det som faller inn under begrepet forsvarlig sikkerhet. Tilbyders merkostnader knyttet til slike ytterligere tiltak kompenseres av staten.
Klassifisering og sikring av anlegg i ekomnettene
Klassifiseringsforskriften har som hensikt å sikre viktig nettutstyr i anlegg mot uønsket ytre fysisk påvirkning. Forskriften retter seg mot tilbyder av elektroniske kommunikasjonsnett (nettilbyder).
Nettilbyder skal klassifisere alle anlegg ut fra hvor viktig deres eget nettutstyr i anleggene er for å drifte ekomnett og -tjenester. Anleggene klassifiseres i klassene A, B, C og D.
Sentralt i klassifiseringsforskriften er bestemmelsen som krever at nettilbyder gjennomfører en helhetlig risiko- og sårbarhetsvurdering knyttet til sine anlegg, og sørger for at anlegg i de ulike klassene er forsvarlig sikret i samsvar med denne vurderingen.
Sikringstiltakene skal minst oppfylle nærmere definerte krav knyttet til:
- skallsikring
- tilgangskontroll
- innbruddsalarm
- brannsikring
- EMP/HPM-våpen
- hjelpeteknisk utstyr
- lokalisering og samlokalisering
Nettilbydere som har anlegg i klasse A, B eller C plikter å rapportere en oversikt over disse anleggene til Nkom. Nkom har utarbeidet egen veiledning for klassifiseringsforskriften og skjema/mal for rapportering.
Beredskapsplaner og deltakelse i øvelser
I henhold til ekomforskriften § 8-2 skal tilbydere utarbeide og vedlikeholde beredskapsplaner som skal sikre:
- tilfredsstillende tjenestetilbud
- egne beredskapsoppgaver
- prioritering av brukere med ansvar for liv og helse
Det forutsettes at det ligger dokumenterte risiko- og sårbarhetsvurderinger til grunn for disse beredskapsplanene.
Det fremkommer også av ekomforskriften § 8-2 at tilbyder på forespørsel skal delta på beredskapsøvelser arrangert av myndigheten.
Varsling
Tilbyder skal uten ugrunnet opphold varsle Nkom om hendelser som vesentlig kan redusere eller har redusert tilgjengeligheten til ekomtjenester. Varsling kan også iverksettes ved andre avvik som avdekker alvorlige sårbarheter i tjenester eller infrastruktur.
Etter en hendelse kan Nkom innhente hendelsesrapporter fra tilbyderne for å undersøke hendelsen nærmere.
Nkom har utarbeidet prosedyrer for varsling og hendelsesrapportering. For nærmere informasjon om varsling se her.
Minstekrav til reservestrømkapasitet i mobilnett
Nkom har fattet vedtak som stiller minstekrav til reservestrømkapasitet i mobilnettene til Telenor, Telia og Ice.
I dekningsområder som omfatter tettsteder med mer enn 20 000 innbyggere skal reservestrømkapasiteten være minst to timer. I dekningsområdene utenfor disse tettstedene skal reservestrømkapasiteten være risikobasert og i snitt minst fire timer, men likevel ikke mindre enn to timer.
Det finnes enkelte unntak fra disse kravene ved uforholdsmessige høye kostnader.
Vedtaket gjennomføres i perioden 2014-2022. Tilbyder skal rapportere om utviklingen til Nkom.
Prioritering av tjenestetilbud
I gjenopprettingsfasen etter utfall plikter tilbyder i henhold til ekomforskriften § 8-4 å prioritere hensynet til sluttbrukere med ansvar for liv og helse, foran kommersielle hensyn. Sluttbrukere med ansvar for liv og helse betyr i utgangspunktet nødetatene, men også sykehus, legevakt og andre akuttmedisinske instanser kan være aktuelle.
Myndigheten kan i særlige tilfeller pålegge tilbyder å prioritere andre viktige samfunnsaktører i gjenopprettingsfasen. Det kan være aktuelt i situasjoner hvor offentlige interesser tilsier en annen rekkefølge i gjenopprettingen.
Prioritet i mobilnett
Forskrift om prioritet i mobilnett pålegger tilbyder som selger mobiltelefoniabonnement å tilby prioritetsabonnement. En abonnent som har prioritet vil ha større sikkerhet for å komme gjennom enn andre abonnenter når det er høy belastning eller problemer i mobilnettene.
Det er kun brukere med særlig samfunnsviktige oppgaver som kan få prioritetsabonnement.
Nærmere informasjon om prioritet i mobilnett.
Planer for konkursvern
I henhold til konkursbestemmelsen i ekomloven § 2-11 skal tilbyder legge planer for konkursvern som sikrer fortsatt tjenestelevering til egne kunder i minimum to uker i tilfelle konkurs, åpning av gjeldsforhandling eller som følge av betalingsinnstilling.
Ekomforskriften § 8-6 setter krav til minimumsinnhold i planene for konkursvern.
Sikkerhetsloven
Noen tilbydere av elektronisk kommunikasjon er underlagt lov om nasjonal sikkerhet, sikkerhetsloven
Disse tilbyderne er utpekt av Kommunal- og distriktsdepartementet (KDD).
Sikkerhetsloven skal forebygge, avdekke og motvirke sikkerhetstruende virksomhet.
Nasjonal sikkerhetsmyndighet har det overordnede sektorovergripende tilsynsansvaret for loven, mens Nkom har ansvaret for å føre tilsyn med tilbyderne underlagt sikkerhetsloven innenfor ekomsektoren.