Forskriften gjelder blant annet for havner og havneanlegg som håndterer mer enn 100 000 tonn gods eller 100 000 passasjerer per år over en femårsperiode. Dette omfatter ikke bare de største havnene, men også en rekke fergeleier, hurtigbåtkaier og andre passasjerknutepunkter i innenrikstransport. Forståelsen av hva som er en havn eller et havneanlegg følger Havne- og farvannsloven. Ikke bare ISPS-havneanlegg omfattes, men også fergesamband i norske fjorder kan falle inn under forskriften.
Kystverket er utpekt som tilsynsmyndighet for havner og havneanlegg etter forskriftens § 1 nr. 16 og 17. Det innebærer ansvar for oppfølging av regelverket i sektoren.
Plikt til å melde seg inn som tilbyder
Virksomheter som omfattes av forskriften har plikt til å melde seg inn som tilbyder av samfunnsviktige tjenester. Innmelding skal skje til både Nasjonal Sikkerhetsmyndighet (NSM) og tilsynsmyndigheten i sektoren (Kystverket), og skal gjennomføres så raskt som mulig. Innmeldingen skjer ved å fylle ut to skjema: ett for virksomheten og ett for tjenesten som leveres. Dersom virksomheten tilbyr flere tjenester, skal det sendes ett skjema per tjeneste.
NSM har etablert en løsning for innmelding og publisert en veiledning om hvordan dette skal gjøres. Formålet er å gi myndighetene oversikt over hvilke virksomheter som er kritiske for samfunnet, og å legge til rette for bedre oppfølging og samordning.
Grunnleggende nivå av digital sikkerhet
Digitalsikkerhetsloven og forskriften skal sikre et grunnleggende nivå av digital sikkerhet i virksomheter med særlig betydning for samfunnet. Regelverket stiller krav til forebygging, håndtering og oppfølging av hendelser i nettverks- og informasjonssystemer som er nødvendige for å levere tjenestene.
For havner og havneanlegg innebærer dette konkrete krav til styring og kontroll. Virksomheten må ha oversikt over egne systemer, gjennomføre risikovurderinger og etablere tiltak som reduserer sårbarheter. Dette gjelder både IT-systemer og operasjonell teknologi som inngår i havnedriften.
Forskriften stiller også krav til organisering av sikkerhetsarbeidet, håndtering av hendelser og oppfølging av leverandører. Ansvar for sikkerhet kan ikke overføres til leverandører, og virksomheten må sikre at også eksterne aktører oppfyller nødvendige krav.
En viktig del av regelverket er varslingsplikt. Hendelser som påvirker leveransen av samfunnsviktige tjenester, som havnetjenester er, skal varsles raskt - også der hendelsen oppstår hos en leverandør.
Manglende innmelding kan få konsekvenser. Virksomheter som omfattes av forskriften, men som ikke melder seg inn, vil stå utenfor myndighetenes oversikt og samtidig ikke oppfylle en lovpålagt plikt. Ved tilsyn kan dette bli vurdert som brudd på regelverket, og følges opp med pålegg, tvangsmulkt eller andre reaksjoner.
Manglende innmelding kan også få praktiske konsekvenser. Uten innmelding og tilhørende oppfølging er det større risiko for at sårbarheter ikke avdekkes, og at hendelser ikke håndteres i tråd med kravene.
Digitalsikkerhetsforskriften må ses i sammenheng med øvrig regelverk for maritim sikring. Kravene til digital sikkerhet kommer i tillegg til ISPS og havnesikringsdirektivet, og forutsetter en mer helhetlig tilnærming til sikring.
For havner og havneanlegg betyr dette at digital sikkerhet må integreres i det eksisterende sikringsarbeidet. Det er ikke lenger tilstrekkelig å håndtere digitale forhold isolert. De må inngå som en del av den samlede vurderingen av risiko, sårbarhet og beredskap.