Lovdata – lese-visning

Alle dokumenter › Forskrifter

Forskrift om datasenter

Departement
Digitaliserings- og forvaltningsdepartementet

Vis endringshistorikk · Abonner (Atom)

Forskrift om datasenter

Kapittel 1. Innledende bestemmelser og krav til registrering

§ 1-1. Virkeområde

Forskriften gjelder for datasenteroperatører som definert i ekomloven § 1-5 nr. 38.

§ 1-2. Terskelverdi for datasenteroperatør

§ 1-3. Registreringsplikt for datasenteroperatører

En datasenteroperatør skal registrere seg hos Nasjonal kommunikasjonsmyndighet før virksomheten starter opp. Virksomheten kan settes i gang når registrering er sendt.
Registreringen skal inneholde
  1. datasenteroperatørs navn
  2. norsk organisasjonsnummer eller datasenteroperatørens rettslige status, form og registreringsnummer dersom datasenteroperatøren er registrert i et handelsregister eller et lignende offentlig register i EØS
  3. norsk adresse eller adressen til datasenteroperatørens eventuelle hovedforetak i EØS og eventuelt en sekundær filial
  4. datasenteroperatørens nettadresse
  5. datasentrenes fysiske lokasjon
  6. kontaktinformasjonen til en representant for datasenteroperatøren som kan møte opp fysisk med fullmakter og kunnskap til å kunne følge opp henvendelser fra myndighetene
  7. en beskrivelse av hvilke tjenester som tilbys
  8. informasjon om norske statlige, fylkeskommunale og kommunale myndigheter, organer og virksomheter som er kunder hos datasenteroperatøren
  9. anslag over prosentvis andel av kraftforbruket som skal anvendes til utvinning av kryptovaluta
  10. opplysninger om størrelsen på abonnert elektrisk effekt
  11. forventet oppstart av virksomheten.
Nasjonal kommunikasjonsmyndighet kan fastsette standardskjema som skal nyttes ved registreringen, og nærmere krav til selve registreringen. Endringer i registrerte opplysninger, herunder om opphør av virksomheten og sletting i registeret, skal snarest mulig og senest to uker etter endringen meldes til Nasjonal kommunikasjonsmyndighet.
Nasjonal kommunikasjonsmyndighet kan pålegge datasenteroperatører som faller under terskelverdien, men som er av særlig viktighet, å registrere seg. Nasjonal kommunikasjonsmyndighet kan ved enkeltvedtak gi unntak fra registreringsplikten i tilfeller der registrering er unødvendig for å oppfylle formålet med registreringen.

Kapittel 2. Sikkerhet og beredskap

§ 2-1. Krav til sikkerhetsstyring

En datasenteroperatør skal etablere og vedlikeholde et styringssystem for sikkerhet som beskriver virksomhetens sikkerhetsarbeid. Systemet skal sikre at virksomheten oppfyller krav gitt i eller med hjemmel i lov.
Virksomhetens leder skal jevnlig foreta en gjennomgang av virksomhetens styringssystem for sikkerhet. Styringssystemet skal gjøres kjent for virksomhetens ansatte og underleverandører i den grad det er hensiktsmessig for å oppfylle krav gitt i eller med hjemmel i lov.
Datasenteroperatørens styringssystem for sikkerhet skal dokumenteres.
Datasenteroperatøren skal jevnlig kontrollere og revidere planverk og dokumentasjon knyttet til virksomhetens sikkerhetsstyring for å sikre at krav fastsatt i eller med hjemmel i lov er oppfylt.

§ 2-2. Krav om risiko- og sårbarhetsvurdering

En datasenteroperatør skal utarbeide og vedlikeholde risiko- og sårbarhetsvurderinger for å ivareta forsvarlig sikkerhet i datasenteret. Risiko- og sårbarhetsvurderingene skal være at et slikt omfang av virksomheten kan identifisere organisatoriske, fysiske, logiske og menneskelige sikkerhetstiltak.
Ved endringer som kan påvirke sikkerheten skal datasenteroperatøren vurdere hvilken risiko endringene medfører.
Datasenteroperatørens risiko- og sårbarhetsvurderinger skal dokumenteres.

§ 2-3. Krav til grunnsikring og skadebegrensningstiltak

En datasenteroperatør skal utarbeide, iverksette og vedlikeholde grunnsikringstiltak for å ivareta forsvarlig sikkerhet i datasenteret. Grunnsikringstiltak innebærer en kombinasjon av barrierer, deteksjons-, verifikasjons- og reaksjonstiltak.
Datasenteroperatøren skal planlegge skadebegrensningstiltak som kan iverksettes i situasjoner som ikke kan håndteres fullt ut med grunnsikringstiltakene.
Datasenteroperatøren skal ha en plan for å gjenopprette et forsvarlig sikkerhetsnivå.
Tiltak som nevnt i første og andre ledd, samt planer som nevnt i tredje ledd, skal dokumenteres.

§ 2-4. Krav til sikringsplaner

En datasenteroperatør skal utarbeide, iverksette og vedlikeholde planer for sikring av informasjon, informasjonssystemer og styringssystemer. Slike sikringsplaner innebærer som et minimum at datasenteroperatøren utarbeider og iverksetter prosedyrer for tildeling av rettigheter, tilgangskontroll, endring, sletting, logging, redundans, sikkerhetskopiering, vedlikehold og testing for å ivareta tilgjengelighet, autentisitet, integritet og konfidensialitet.
Datasenteroperatørens sikringsplaner skal dokumenteres.

§ 2-5. Krav om beredskapsplanlegging og -øvelser

En datasenteroperatør skal utarbeide og vedlikeholde beredskapsplaner for å ivareta forsvarlig sikkerhet i datasenteret.
Datasenteroperatørens beredskapsplaner skal dokumenteres.
Datasenteroperatøren skal jevnlig gjennomføre beredskapsøvelser med det innhold og omfang som er nødvendig for å vedlikeholde og utvikle virksomhetens kompetanse og evne til å håndtere uønskede hendelser.
Plan for gjennomføring av beredskapsøvelser skal dokumenteres.
Datasenteroperatøren skal på forespørsel delta i beredskapsøvelser arrangert av departementet eller Nasjonal kommunikasjonsmyndighet.

§ 2-6. Adgang til å pålegge sikkerhetsrevisjon

Nasjonal kommunikasjonsmyndighet kan pålegge en datasenteroperatør å foreta en sikkerhetsrevisjon av hele eller deler av virksomheten, når opplysninger som er innhentet eller tilsyn som er gjennomført, ikke er tilstrekkelig til å besvare nødvendige spørsmål om virksomhetens sikkerhet. Nasjonal kommunikasjonsmyndighet kan stille krav til sikkerhetsrevisjonen. Revisjonen skal foretas av en uavhengig, kvalifisert tredjepart, og resultatet av revisjonen skal sendes Nasjonal kommunikasjonsmyndighet. Datasenteroperatøren skal dekke alle kostnadene ved revisjonen.

§ 2-7. Plikt til å følge opp at andre oppfyller sikkerhetskravene

En datasenteroperatør skal følge opp at leverandører, entreprenører og andre som utfører arbeid for eller på vegne av operatøren, etterlever sikkerhetskrav fastsatt i eller med hjemmel i lov.

§ 2-8. Plikt til å varsle om uønskede hendelser

En datasenteroperatør skal uten ugrunnet opphold varsle Nasjonal kommunikasjonsmyndighet om hendelser som har medført vesentlige brudd på datasenteret eller datasentertjenestenes tilgjengelighet, autentisitet, integritet eller konfidensialitet.
Varselet skal minst opplyse om hendelsens årsak, konsekvensene for datasenteret og datasentertjenestene, innvirkningen på økonomiske og samfunnsmessige aktiviteter, antallet berørte kunder og det geografiske omfanget i den grad opplysningene er kjent. Det skal også opplyses om tiltakene for å stoppe og utbedre skadene, og hvor lenge tjenestene har vært eller vil være påvirket av hendelsen.
Ved konkrete og betydelige trusler med fare for brudd på autentisitet, integritet eller konfidensialitet skal datasenteroperatør varsle kundene om mulige vernetiltak eller avhjelpende tiltak som kunden kan sette i verk. Vil det det være hensiktsmessig, skal datasenteroperatør også informere om selve trusselen.
En datasenteroperatør skal varsle kundene om planlagt arbeid som kan få konsekvenser for datasentertjenestene som tilbys.
Nasjonal kommunikasjonsmyndighet kan gi forskrift om nærmere prosedyrer for varsling.

§ 2-9. Adgang til å pålegge datasentrene å ha nasjonal autonomi

Nasjonal kommunikasjonsmyndighet kan i en krise- og beredskapssituasjon pålegge datasenteroperatørene å drifte og vedlikeholde tjenestetilbudet med personell og tekniske løsninger i Norge.

§ 2-10. Adgang til å pålegge prioritering av tjenestetilbud

Har datasentertjenestene stanset eller på andre måter vært utsatt for forstyrrelser, kan Nasjonal kommunikasjonsmyndighet, når det er nødvendig for å sikre offentlige interesser, pålegge datasenteroperatørene å prioritere viktige samfunnsaktører når normal drift skal gjenopprettes.

Kapittel 3. Tilsyn, klage m.m.

§ 3-1. Tilsyn

Nasjonal kommunikasjonsmyndighet fører tilsyn med at kravene i forskriften blir oppfylt, og kan blant annet innhente opplysninger og gjennomføre sanksjoner etter ekomloven kapittel 15.

§ 3-2. Overtredelsesgebyr

Nasjonal kommunikasjonsmyndighet kan pålegge et foretak overtredelsesgebyr dersom foretaket eller noen som handler på vegne av foretaket, forsettlig eller uaktsomt
  1. overtrer kravene i § 1-3 (Registreringsplikt for datasenteroperatører), § 2-1 (Krav til sikkerhetsstyring), § 2-2 (Krav om risiko- og sårbarhetsvurderinger), § 2-3 (Krav til grunnsikring og skadebegrensningstiltak), § 2-4 (Krav til sikringsplaner), § 2-5 (Krav om beredskapsplanlegging og -øvelser), § 2-7 (Plikt til å følge opp at andre oppfyller sikkerhetskravene) og § 2-8 (Plikt til å varsle om uønskede hendelser).
  2. overtrer enkeltvedtak fastsatt med hjemmel i § 2-6 (Adgang til å pålegge sikkerhetsrevisjon) § 2-9 (Adgang til å pålegge datasentrene å ha nasjonal autonomi) og § 2-10 (Adgang til å pålegge prioritering av tjenestetilbud).

§ 3-3. Utmåling av overtredelsesgebyr

Ved utmålingen av overtredelsesgebyr skal det legges særlig vekt på overtredelsens grovhet, overtredelsens varighet, utvist skyld og foretakets omsetning.
I vurdering av overtredelsens grovhet skal det særlig tas hensyn til
  1. overtredelsens art
  2. foretakets gevinst
  3. overtredelsens faktiske innvirkning på markedet
  4. størrelsen på det berørte markedet
  5. om overtrederen har hatt en ledende eller passiv rolle i overtredelsen.
Andre momenter som kan påvirke utmålingen av overtredelsesgebyret er blant annet
  1. om avtaler eller tiltak er gjennomført
  2. om foretaket ved interne føringer, opplæring, kontroll eller andre tiltak kunne ha forebygget overtredelsen
  3. økonomien til det konsern foretaket er en del av
  4. om foretaket har bistått departementet eller Nasjonal kommunikasjonsmyndighet i forbindelse med klarleggingen av overtredelsen.
Departementet og Nasjonal kommunikasjonsmyndighet kan ilegge overtredelsesgebyr på inntil 5 prosent av foretakets omsetning dersom foretaket eller noen som handler på vegne av foretaket, begår overtredelser etter ekomloven § 15-12. Omsetning er foretakets samlede salgsinntekt for siste regnskapsår.
Departementet og Nasjonal kommunikasjonsmyndighet kan ilegge overtredelsesgebyr på inntil 30 rettsgebyrer for fysiske personer ved forsettlige eller uaktsomme overtredelser etter ekomloven § 15-12.

§ 3-4. Klageinstans

Klage over enkeltvedtak fattet av Nasjonal kommunikasjonsmyndighet etter denne forskriften, avgjøres av departementet, jf. ekomloven § 16-7.

§ 3-5. Dispensasjon

Nasjonal kommunikasjonsmyndighet kan i særlige tilfeller eller når anvendelse virker urimelig, gjøre unntak fra §§ 1-3, 2-1, 2-2, 2-3, 2-4, 2-5 og 2-7. Nasjonal kommunikasjonsmyndighet kan sette vilkår for dispensasjonen.

Kapittel 4. Avsluttende bestemmelser

§ 4-1. Ikrafttredelse

Forskriften trer i kraft 1. januar 2025.

§ 4-2. Overgangsbestemmelse for registreringsplikten

Følgende overgangsordning skal gjelde:
  • Datasenteroperatør, som ved lovens ikrafttredelse tilbyr datasentertjeneste eller driver datasenter, skal oppfylle registreringsplikten i § 1-3 senest 1. juli 2025.