DEBATT:
Datasenterregulering og andre utvidelser i ny ekomlov
Ny ekomlov: Datasenteroperatører blir pålagt registeringsforpliktelser og må sørge for forsvarlig sikkerhet og beredskap i datasentre. Nye regler for cookies og sporingsteknologi, forbrukerrettigheter mv.
Stortinget vedtok 12. november 2024 ny lov om elektronisk kommunikasjon (ekomloven).
Digitaliserings- og forvaltningsminister Karianne Tung innledet ved fremleggelsen av ekomloven at «loven skal sikre, trygge og bygge samfunnet vårt videre både for folk og næringslivet når vi nå skal bygge landet på nytt med digitalisering som verktøy.»
Den gamle ekomloven ble vedtatt i 2003. Da den gamle loven ble vedtatt, hadde kun halvparten av befolkningen i Norge internettilgang, enten med ISDN eller ADSL-linje. Noen vil kanskje huske at vi spilte Tetris og Snake på Nokiatelefonene, og smarttelefoner hadde så vidt sett dagens lys på det norske forbrukermarkedet. Når statsråd Tung nå fremlegger en oppdatert lovgivning, har privatpersoner og virksomheter blitt betydelig mer avhengig av teknologitjenester.
Ekomloven regulerer levering og bruk av nett og tjenester som gjør at vi kan kommunisere med hverandre gjennom internett og mobiltelefon. Samtidig har virkeområde blitt utvidet til å gjelde for datasenteroperatører. Loven skal sikre brukere i hele landet gode, rimelige og fremtidsrettet elektroniske kommunikasjonstjenester og datasentre med forsvarlig sikkerhet.
Datasentrene reguleres for første gang
Datasentre er en viktig del av den digitale infrastrukturen og muliggjør levering av viktige samfunnsfunksjoner og tjenester. Datasentre legger til rette for effektivisering og bruk av innovative digitale tjenester og avansert teknologi i privat og offentlig sektor.
Registeringsplikt
Ekomloven pålegger datasenteroperatører en registreringsplikt. Myndighetene har behov for å få kontroll med og oversikt over datasenternæringen. En registreringsplikt vil bidra til at myndighetene kan føre tilsyn med datasenteroperatørenes etterlevelse av lovens forpliktelser.
Økte sikkerhetskrav
Ekomloven stiller videre økte sikkerhetskrav for datasenteroperatører. Det er viktig at datasentre er motstandsdyktige mot utilsiktede hendelser da mange samfunnskritiske tjenester er avhengige av datasentertjenester. Datasenteroperatører skal sørge for et forsvarlig sikkerhetsnivå ved levering av datasentertjenester og et forsvarlig beredskapsnivå må opprettholdes.
Loven er knapp hva gjelder hvordan datasenteroperatører skal sikre forsvarlig sikkerhet- og beredskapsnivå. Mer detaljerte krav kan bli fastsatt i forskrift.
Når NIS-2 i blir implementert i norsk rett, vil også datasentre være omfattet av sikkerhetsregelverkets virkeområde (trolig gjennom Digitalsikkerhetsloven og digitalsikkerhetsforskriften). I tillegg til anerkjente nasjonale og internasjonale sikkerhetsstandarder, vil digitalsikkerhetsloven og digitalsikkerhetsforskriften gi gode føringer på hvordan datasentervirksomheter tilnærme seg sikkerhetsarbeidet.
Myndighetene kan pålegge gjennom enkeltvedtak at datasenteroperatører skal gjennomføre ytterligere sikkerhetstiltak dersom det er nødvendig for å oppfylle nasjonale behov for sikkerhet og beredskap.
Tillatte bruksbegrensninger
Myndighetene kan også pålegge datasenteroperatører å gjennomføre bruksbegrensninger i datasentertjenester. Dette innebærer at departementet kan be en datasenteroperatør å stoppe driften ved å vise nasjonal sikkerhet eller andre viktige samfunsinteresser som begrunnelse.
Videre må tilbydere eller datasenteroperatører selv gjennomføre bruksbegrensninger dersom det er nødvendig i nødssituasjoner som innebærer alvorlig trusler mot liv eller helse, nasjonal sikkerhet eller offentlig orden eller fare for sabotasje mot datasenter, nett eller tjeneste.
Ekomlovens øvrige reguleringer:
Ekomloven gjelder for mobil- og bredbåndtjenester og andre tradisjonelle elektroniske kommunikasjonstjenester og elektroniske kommunikasjonsnett. Meldingstjenester i internettbaserte applikasjoner eller på sosiale medier dekkes også av enkelte bestemmelser i loven.
Den nye loven skal styrke forbrukerrettigheter, slik at tilbyderes avtalevilkår skal være lettere tilgjengelig og ikke inneholde diskriminerende vilkår. I tillegg skal tilbyder sikre at sluttbrukere med nedsatt funksjonsevne har likeverdig tilgang til elektroniske kommunikasjonstjenester.
Loven regulerer også bruk av informasjonskapsler, cookies, og kravene til samtykke skjerpes slik at kravene til samtykke tilsvarende GDPR-samtykke for at cookies kan lovlig benyttes. Dette betyr at sluttbruker aktivt må ha klikket «ja takk», og har kunnet kunne velge fritt mellom å samtykke til statistiske cookies, funksjonelle cookies og markedsføringscookies. NKOM har videre myndighet til å pålegge tilbyder med sterk markedsstilling ulike forpliktelser, blant annet gi andre tilgang til anleggsinfrastruktur, elektroniske kommunikasjonsnett og -tjenester gjennom inngåelse av avtaler med balanserte vilkår.
