Datasenterforskriften trådte i kraft 1. januar 2025. Allerede 29. januar 2025 foreslo departementet innstramminger. Ifølge høringsnotatet skal Datasenteroperatører blant annet innhente oppdatert informasjon om kunder, rapportere til myndighetene innen korte frister og ha fysisk representant i Norge.
Den 29. januar 2025 sendte Digitaliserings- og forvaltningsdepartementet forslag om endringer i datasenterforskriften på høring. Fristen for å komme med innspill er 28. mars 2025. Formålet med endringene er å forebygge, etterforske, stanse og avverge kriminalitet samt å ivareta nasjonal sikkerhet. Hvis endringene blir vedtatt, får de en rekke praktiske konsekvenser for datasenteroperatører.
Hva går endringene ut på?
Hvis endringene blir vedtatt, skal Datasenteroperatører:
- registrere eierskap. Datasenteroperatører skal oppgi navn på eier av bygningen der datasenteret er lokalisert når operatøren registrerer seg hos Nasjonal kommunikasjonsmyndighet etter datasenterforskriften § 1-3.
- ha oppdatert kundeinformasjon. Datasenteroperatører skal ha oppdatert informasjon om egne kunder navn, kontaktopplysninger og den fysiske plasseringen til utstyr i datasenteret.
- utlevere opplysninger til myndighetene. På forespørsel skal datasenteroperatør utlevere informasjon til Nasjonal kommunikasjonsmyndighet, Nasjonal sikkerhetsmyndighet, Politiets sikkerhetstjeneste og politi/påtalemyndighet. Formålet er å forebygge og avverge lovbrudd.
- sikre kort responstid. Datasenteroperatøren skal etterkomme utleveringspålegg uten ugrunnet opphold og etablere beredskap for å svare på henvendelser utenfor normal arbeidstid i hastesaker.
- ha egnet fysisk representant i Norge. Datasenteroperatørens fysiske representant i Norge skal være til stede i Norge, kunne møte opp fysisk og ha nødvendig fullmakt/kunnskap til å følge opp myndigheter.
Brudd på de nye kravene kan straffes med overtredelsesgebyr.
Hva er bakgrunnen for høringen?
Fra 1. januar 2025 ble virksomheter som tilbyr datasentertjenester underlagt deler av den nye ekomloven. I tillegg til registreringsplikt, skal datasenteroperaører sørge for forsvarlig sikkerhet og beredskap. Datasenterforskriften utdyper og presiserer kravene. I tillegg til å gjennomføre etablere et styringssystem for sikkerhetstiltak skal datasenteroperatører blant annet gjennomføre risiko- og sårbarhetsanalyser (ROS), lage en sikringsplan, varsle om uønskede hendelser, kunne etablere full drift fra Norge (nasjonal autonomi) og være i stand til å prioritere tjenestetilbud. Departementet foreslår å utvide og skjerpe disse kravene.
Hvilke konsekvenser får endringene?
Dersom forslaget blir vedtatt, vil krav om kort responstid og oppdatert kundeinformasjon øke kostnadene ved å drive datasentervirksomhet i Norge. I tillegg øker den regulatoriske og kommersielle risikoen. Opplysningsplikten overfor myndighetene kan blant annet føre til at sikkerhetsmyndighetene griper inn etter sikkerhetsloven for å stanse leveranser til kunder som utgjøre en trussel mot nasjonal sikkerhet.
--
Vi har ett av Norges mest spesialiserte og erfarne team inn elektronisk kommunikasjon og datasentervirksomhet. Ta kontakt med oss hvis du har spørsmål eller trenger hjelp til å håndtere den nye datasenterreguleringen.
