Kapittel 11. Nasjonalt varslingssystem for digital infrastruktur

§ 63. Drift av en nasjonal responsfunksjon for alvorlige digitale angrep og nasjonalt varslingssystem for digital infrastruktur

Nasjonal sikkerhetsmyndighet skal drifte en nasjonal responsfunksjon for alvorlige digitale angrep og et nasjonalt varslingssystem for digital infrastruktur. I forbindelse med dette skal informasjon om digitale angrep innhentes, analyseres og deles.

§ 64. Tilknytning til varslingssystemet for digital infrastruktur

Virksomheter kan søke Nasjonal sikkerhetsmyndighet om å bli tilknyttet det nasjonale varslingssystemet for digital infrastruktur. Det skal inngås en avtale mellom Nasjonal sikkerhetsmyndighet og en virksomhet som blir tilknyttet systemet. Avtalen skal alltid regulere

a.
utplassering av sensorer eller andre tekniske løsninger som skal overvåke virksomhetens digitale infrastruktur
b.
hvordan alvorlige digitale angrep skal håndteres
c.
hvordan personopplysninger og opplysninger underlagt lovbestemt taushetsplikt skal behandles.

Nasjonal sikkerhetsmyndighet kan pålegge virksomheter som er underlagt sikkerhetsloven, å knytte seg til det nasjonale varslingssystemet når dette er nødvendig for å oppnå et forsvarlig sikkerhetsnivå og redusere risikoen for sikkerhetstruende virksomhet. Pålegget skal regulere forholdene nevnt i første ledd tredje punktum.

Et pålegg etter andre ledd kan påklages til Forsvarsdepartementet dersom virksomheten er tilknyttet forsvarssektoren, og til Justis- og beredskapsdepartement dersom organet er tilknyttet sivil sektor.

§ 65. Informasjonsbehandling og -deling av informasjon fra varslingssystemet for digital infrastruktur

Når det er innenfor sikkerhetslovens formål, kan Nasjonal sikkerhetsmyndighet dele informasjon innhentet fra varslingssystemet for digital infrastruktur eller gjennom den nasjonale responsfunksjonen, med partene i Felles cyberkoordineringssenter.

I den utstrekning det er nødvendig for å håndtere en konkret hendelse, kan Nasjonal sikkerhetsmyndighet også dele slik informasjon med andre aktører.

Ved fare for alvorlige hendelser skal Nasjonal sikkerhetsmyndighet informere berørte nasjonale og internasjonale aktører om trusler, sårbarheter og mulige tiltak.

§ 66. Virksomhetenes rett til innsyn

Virksomheter som er tilknyttet det digitale varslingssystemet, har rett til innsyn i hvordan tekniske komponenter og programvare som benyttes til å overvåke nettverkstrafikk og redusere sårbarhet, er konfigurert. Disse virksomhetene har også rett til innsyn i hvilke data Nasjonal sikkerhetsmyndighet mottar fra virksomheten gjennom det digitale varslingssystemet, og hvordan disse behandles.