BAKGRUNN (fra departementets EØS-notat, sist oppdatert 7.9.2023)

Sammendrag av innhold

Forordningen omfatter offentlige virksomheter og institusjoner i EUs medlemsland, samt virksomheter og institusjoner i EU, som tilbyr eller forvalter nettverks- eller informasjonssystemer (NIS) som gir eller forvalter offentlige digitale tjenester. Det bemerkes at «nettverks- og informasjonssystemer» er definert (se art. 2 (2)) i et direktiv som ennå ikke er innlemmet i EØS-avtalen (direktiv (EU) 2022/2555 av 14. desember 2022 om tiltak for å sikre et høyt felles nivå for sikkerhet i nett- og informasjonssystemer i hele Unionen og om oppheving av direktiv (EU) 2016/1148) (NIS2-direktivet). Dette anses imidlertid ikke å ha betydning for departementets videre vurdering av forordningsforslaget.

Forordningen pålegger offentlige virksomheter i medlemsstatene å gjennomføre interoperabilitetsvurderinger dersom de skal utvikle nye eller gjøre vesentlige endringer i nettverks- og informasjonssystemer som gir eller forvalter offentlige tjenester i EU. I tillegg pålegges medlemsstatene å dele disse systemene med andre medlemsstater (på forespørsel, eller ved tilgjengeliggjøring på Interoperable Europe Portal).

Forordningen etablerer et Interoperable Europe Board (Rådet for et Interoperabelt Europa) som bla. skal tilrettelegge for strategisk samarbeid og utveksling av informasjon om grenseoverskridende, interoperable systemer som brukes for å tilby offentlige tjenester.

Det skal utpekes en nasjonal kompetent myndighet som vil være ansvarlig for anvendelsen av forordningen i den enkelte medlemsstat.  Videre skal den nasjonale myndigheten utpeke et medlem til Rådet, nevnt ovenfor, bistå øvrige nasjonale myndigheter og koordinere spørsmål i tilknytning til regelverket.

103-forbehold
Gjennomføring av forordningen vil ha ressursmessige konsekvenser av en størrelsesorden som krever Stortingets samtykke. Se punktet Økonomiske og administrative konsekvenser under Vurdering for nærmere informasjon.

Bakgrunn og formål

For å skape sammenhengende, brukervennlige og effektive tjenester til innbyggere og næringsliv, er det behov for å gjenbruke opplysninger på tvers av sektorer og landegrenser. Interoperabilitet handler om å sikre at data kan utveksles problemfritt og digitalt på en måte som kan forstås av alle parter og på tvers av grenser.

Forordningen viderefører og styrker interoperabilitetsinnsatsen i EU, som frem til nå har blitt gjennomført gjennom ulike tidsbegrensede EU-programmer i snart to tiår. European Interoperability Framework (EIF), et rammeverk for digital samhandling, ble for første gang lansert i 2004. Rammeverket fremhever teknologiske, juridiske, organisatoriske og semantiske aspekter ved utvikling av digitale, interoperable offentlige tjenester. Bruk av EIF-modellen er svært utbredt i norsk forvaltning. I forbindelse med en evaluering av rammeverket i 2017, ble det synliggjort en del begrensninger ved den frivillige samarbeidsmetoden ved EIF-modellen: Blant annet blir digitale og interoperable aspekter behandlet for sent i politiske beslutningsprosesser. Forslaget til forordningen antas å kunne føre til en mer harmonisert bruk av rammeverket, og er langt på vei en lovfesting av den eksisterende EIF-modellen.

Formålet er å fremme utviklingen av interoperabel trans-europeisk infrastruktur for digitale, offentlige tjenester, jf. art. 1(1), og å fremme offentlig sektors grenseoverskridende digitale samhandling i EU. Forordningen skal bidra til sikker og effektiv utveksling av data, samt deling av løsninger og erfaringer.

Rapporteringsforpliktelser

Kommisjonen skal overvåke etterlevelse av forordningen og vil publisere resultatene på Interoperable Europe Portal (art. 20 (3)). Trolig vil det bli noe rapportering i den sammenheng. Hvert land må utpeke en nasjonal kompetent myndighet (national competent authority) som må ha tilstrekkelige ressurser til å utføre oppgavene som følger av forordningens art. 17. Når en utnevnelse er gjort, må dette meldes inn til Kommisjonen.

Andre forpliktelser

Etter art. 3 blir offentlige virksomheter pålagt å gjennomføre interoperabilitetsvurderinger ved etablering av nye eller vesentlig endring av eksisterende NIS som brukes for å tilby eller forvalte en offentlig tjeneste elektronisk.

Art. 4 i lovforslaget gir forpliktelser om deling og gjenbruk av interoperabilitetsløsninger.

Innhold

Rettsakten er hjemlet i TFEU art. 172.

Forordningen fastsetter et harmonisert sett av sentrale regler som skal bidra til det indre markedets funksjon. Dette omfatter blant annet:

• Opprettelsen av en styringskomité/styre (Interoperable Europe Board/ Rådet for et Interoperabelt Europa)
• Innføring av en obligatorisk interoperabilitetsvurdering ved oppretting eller endring av et nettverks- eller informasjonssystem, jf. art. 3
• Sikre at EUs politiske forslag er interoperable, digitaliseringsklare/-vennlige og fremmer synergier
• Opprettelsen av portalen for et interoperabelt Europa (Interoperable Europe Portal)
• Styrke innovasjons- og støttetiltak, bl.a. regulatoriske sandkasser og GovTech-samarbeid

Merk at det er offentliggjort kompromisstekster siden det opprinnelige forslaget ble kunngjort. Omtalen nedenfor gjelder primært det opprinnelige forslaget, og vil bli justert med endelige endringer når forslaget er vedtatt i EU.

Kapittel 1: Alminnelige bestemmelser (art. 1-4)

Kapittel 1 fastsetter forordningens formål, virkeområde og sentrale definisjoner. Kapittelet oppstiller to generelle forpliktelser til offentlige myndigheter: Det skal foretas interoperabilitetsvurderinger, og man skal støtte deling av interoperable løsninger i offentlig sektor. Artikkel 3 slår fast at interoperabilitetsvurderinger skal gjennomføres ved utvikling av nye eller ved vesentlig revidering av eksisterende løsninger. Artikkelen angir hvilke beskrivelser en slik interoperabilitetsvurdering som minimum skal inneholde. Artikkel 4 pålegger offentlige virksomheter en plikt til å dele interoperable løsninger med andre offentlige virksomheter. Det er enkelte unntak fra delingsplikten, herunder hvis løsningen er for prosesser som faller utenfor lovpålagte oppgaver, hvor det er intellektuelle rettigheter som tilhører tredjemann, eller når systemene er begrenset mht. bl.a. nasjonal sikkerhet og kritisk infrastruktur. Deling kan foregå på forskjellige måter, herunder ved å dele løsningen gjennom interoperabilitetsportalen.

Kapittel 2: interoperabilitetsløsninger (art. 5-8)

Kapittel 2 etablerer og regulerer portalen for et Interoperabelt Europa og vedlikehold av interoperabilitetsløsningene. Artikkel 7 fastsetter at styringskomitéen/styret skal anbefale grenseoverskridende interoperabilitetsløsninger og at disse skal tilgjengeliggjøres på portalen for et interoperabelt Europa. Artikkel 8 etablerer portalen og regulerer dens funksjoner. Kommisjonen er ansvarlig for å etablere portalen.  

Kapittel 3: tiltak til støtte for et Interoperabelt Europa (art. 9-14)

Kapittel 3 inneholder en rekke innovasjons- og støttetiltak. Artikkel 11 og 12 regulerer etablering og deltakelse i regulatoriske sandkasser. Artikkel 13 etablerer treningstiltak for økt kunnskap om interoperabilitetsløsninger, samt erfaringsdeling. Artikkel 14 fastsetter en mekanisme for peer reviews («fagfellevurderinger») for å støtte implementeringen av interoperabilitetsløsninger og gjennomføring av interoperabilitetsvurderinger.  

Kapittel 4: styring av grenseoverskridende interoperabilitet (art. 15-18)

Kapittel 4 etablerer Rådet for et interoperabelt Europa, et fellesskap for et interoperabelt Europa (Interoperable Europe Community), og angir at det skal være nasjonale kompetente myndigheter (national competent authorities) som er ansvarlige for gjennomføringen. Rådet har en rekke sentrale oppgaver i arbeidet med et interoperabelt Europa, herunder vedta retningslinjer, være forslagsstiller til Kommisjonen og utvikle rammeverket for interoperabilitet. Dersom rettsakten anses relevant og akseptabel for Norge, vil det derfor være viktig at også norsk koordinator deltar i rådet. I opprinnelig Kommisjonsforslag var det lagt opp til at EØS EFTA-land bare kunne delta som observatører, men dette er fjernet i siste kompromisstekst. Artikkel 18 gjelder kun EU-institusjoner, og er derfor ikke relevant for EØS-avtalen.

Kapittel 5: planlegging og overvåkning av et Interoperabelt Europa (art. 19-20)

Kapittel 5 angir reglene for å utarbeide en årlig agenda for et interoperabelt Europa, samt regler for overvåkning og evaluering. I henhold til artikkel 19 skal styringskomitéen/styret ved hjelp av bl.a. fellesskapet for et interoperabelt Europa vedta en årlig strategisk agenda for å planlegge og koordinere prioriteringer for utvikling av grenseoverskridende interoperabilitetsløsninger. Artikkel 20 slår fast at Kommisjonen skal overvåke fremgangen på området som forordningen regulerer, og publisere resultatet på portalen. En slik rapport skal utarbeides senest tre år etter forordningens ikrafttredelse, og deretter hvert fjerde år. Rapporten skal vurdere behovet for å etablere obligatoriske interoperabilitetsløsninger.

Kapittel 6: avsluttende bestemmelser (art. 21-22)

Artikkel 21 handler om kostnader knyttet til forordningen. Artikkel 22 slår fast at forordningen kommer til anvendelse tre måneder etter at den trer i kraft. Forordningen er ennå ikke vedtatt i EU.

Sakkyndige instansers merknader

Foreløpig EØS-posisjonsnotat skal behandles i spesialutvalget for kommunikasjoner. Merknader fra departementene vil innarbeides i notatet.

Vurdering

Gjeldende norsk lovgivning
Det er ingen nasjonal lovgivning som regulerer tilsvarende krav til interoperabilitet for nettverks- og informasjonssystemer og samhandling på tvers av landegrensene. 

På europeisk nivå har man imidlertid jobbet fram et felles rammeverk for interoperabilitet, samhandlingsevne, på tvers av landegrenser som heter European Interoperability Framework (EIF). Norge undertegnet Tallinn-erklæringen (6. oktober 2017) sammen med EU og andre EFTA-land: Erklæringen forplikter Norge til å implementere EIF gjennom egne nasjonale rammeverk. Første versjon av dette nasjonale rammeverket, National Interoperability Framework (NIF), ble utarbeidet som et Skate-tiltak i 2018. Rammeverket har i dag navnet «Rammeverk for digital samhandling.»

For øvrig er forordningsforslaget også i tråd med Digitaliseringsstrategien 2019-2025: Interoperabilitet vil kunne legge til rette for sammenhengende tjenester og gjøre det lettere å gjenbruke løsninger.

Rettslige konsekvenser
Departementet legger til grunn at rettsakten ikke vil få noen rettslige konsekvenser for private personer og private virksomheters rettigheter eller plikter.

Det foreligger imidlertid en rekke plikter for offentlige virksomheter, hvor det ikke er tilsvarende reguleringer i dag. Dette vil spesielt være relevant mtp. anskaffelser og utvikling av nye IKT-løsninger som er omfattet av forslaget art. 3. Dette kan også føre til endrede regler ved offentlige anskaffelser av nye IKT-systemer. Artikkel 4 pålegger  offentlige myndigheter å dele "interoperability solutions that support the public services that it delivers or manages electronically". Dette kan potensielt sett medføre en stor forpliktelse for norske offentlige virksomheter. I tillegg kan bestemmelsen medføre at det er en mindre grad av insentiv for å utvikle nye løsninger, selv om art. 4 (5) legger opp til at det kan legges inn klausuler om kostnadsdeling for videreutviklingen av interoperabilitetsløsningen.

Rettsakten har på dette stadiet ingen bestemmelser som tilsier at det er noen form for direkte myndighetsoverføring i form av at EUs organer få vedtaks- eller sanksjonsmyndighet. Rådet for et interoperabelt Europa vil imidlertid få en vesentlig mulighet til å legge rammene for fremtidige gjennomføringsrettsakter, retningslinjer og rammeverk – dette vil også kunne legge rammene for hvordan Norge må håndtere interoperabilitetsvurderingene fremover.

Økonomiske og administrative konsekvenser

• Ressursmessige konsekvenser hos virksomheten som utpekes som kompetent myndighet (competent authority). Foreløpig anser departementet Digdir som en aktuell virksomhet for dette ansvaret, da de allerede deltar i ekspertgruppen.
• Ressursbehov i forbindelse med gjennomføring av lovpålagte interoperabilitetsvurderinger (interoperability assessments). Ansvaret for vurderingene vil ligge hos den enkelte virksomhet.
• Kostnader ved utvikling av grenseoverskridende, interoperable løsninger.
• Effektivisering i offentlig sektor og potensielt bedre internasjonale konkurransemuligheter for norske virksomheter.
• Kommisjonen antar at forordningen samlet sett vil medføre positive økonomiske konsekvenser på samfunns- og næringsnivå.
• Gjenbruk av kildekode og/eller løsninger utviklet i andre land kan medføre besparelser i utviklingsarbeidet av nye løsninger i Norge.
• Art. 21 i forslaget slår fast at EUs budsjett skal dekke utvikling og vedlikehold av Interoperable Europe portal, utvikling, vedlikehold og promotering av Interoperable Europe-løsninger og Interoperable Europe-støttetiltak.

Konsekvenser for enkeltpersoner, næringslivet, eller andre

• Forenkling av grenseoverskridende aktiviteter kan lette byrden på innbyggere, næringsliv og forvaltningen.
• Forordningen vil kunne bidra til enklere tilgang til offentlige tjenester på tvers av landegrenser.

EØS-relevans
Det bemerkes at forslaget ikke var merket som EØS-relevant, siden det også gjelder for organer i EU. Når bestemmelsene i forslaget langt på vei gjelder offentlige virksomheter mer generelt, så kan forslaget likevel være å anse som EØS-relevant. Forordningen er vedtatt med hjemmel i TFEU art. 172 – kapittelet om Transeuropeiske nett – i likhet med ISA2-programmet. TFEU art. 170 viser særskilt til art. 26 (om det indre marked) og art. 174 (om tiltak for å styrke den økonomiske, sosiale og territoriale utjevning). Dette kan isolert sett tale for at forordningen materielt sett er EØS-relevant.

EØS EFTA-landene har frem til nå bidratt til interoperabilitet mellom offentlige digitale tjenester og samarbeidet tett med EU, blant annet gjennom ISA2-programmet (Island og Norge) og i dag Digital Europe-programmet (Island, Liechtenstein og Norge), for å bygge grenseoverskridende infrastruktur for digitale tjenester. Interoperabiliteten til offentlige tjenester anses som viktig for det digitale indre markedet; forordningsforslaget initiativet bygger også på forordning (EU) 2018/1724 om om opprettelse av en felles digital portal for å gi tilgang til opplysninger, prosedyrer og støtte- og problemløsingstjenester, og om endring av forordning (EU) nr. 1024/2012 , anvendelsen av 'once-only technical system' og det juridiske rammeverket rundt 'Digital Identity'. ISA2 var en del av EU-programmet CEF Digital, og varte til 2020. ISA2 hadde som formål å støtte utviklingen av digitale løsninger for å effektivisere og modernisere den offentlige sektoren i Europa. Dette skulle gjøres gjennom å utvikle løsninger som gjorde at offentlige myndigheter kunne understøtte interoperable, grensekryssende tjenester. Norge deltar allerede i det det felleseuropeiske rammeverket for interoperabilitet (EIF). EIF var et eget arkitekturområde under ISA2. Siden forslaget til ny forordning langt på vei er en lovfesting av dette rammeverket, vil det kunne tale for at rettsakten kan være EØS-relevant. En lovfesting av et tilsvarende rammeverk vil derfor kunne bety større forpliktelser for medlemslandene som kan førre til større grad av faktisk gjennomføring.

Videre, med hensyn til relevans, er det i fortalen til forordningsforslaget, premiss 1, en konkret henvisning til funksjonen av det indre markedet:

(…) “Public sector interoperability has an important impact on the right to free movement of goods and services laid down in the Treaties, as burdensome administrative procedures can create significant obstacles, especially for small and medium-sized enterprises (‘SMEs’).”

Det indre marked er det sentrale virkeområdet for EØS-avtalen, og denne henvisningen kan tale for at forordningen derfor er EØS-relevant, dersom man finner at formålet ikke er på siden av det EØS-avtalen er ment å regulere.

Forslaget viser til flere rettsakter som allerede er ansett som EØS-relevante av Norge (ikke alle er innlemmet i EØS-avtalen eller gjennomført nasjonalt), og henger derfor materielt sett sammen med disse:

• Direktiv (EU) 2022/2555 om NIS 2
• Direktiv (EU) 2019/1024 om åpne data
• Forordning (EU) 2022/868 datastyringsforordningen
• Direktiv 2014/24/EU om offentlige anskaffelser
• Rådsdirektiv 2008/114/EC om kritisk EU-infrastruktur
• Forordning (EU) No 1025/2012 om standarder
• Forordning (EU) 2016/679 om personvern)

Foreløpig vurdering
Basert på ovenstående er departementets foreløpige konklusjon at innholdet i forslaget materielt sett kan anses som EØS-relevant. Departementet vil  derfor vurdere forslaget nærmere, følge prosessen i EU og avklare relevans og hvorvidt rettsakten er akseptabel når endelig forordning foreligger. Det vil også avklares om det kan være behov for tilpasningstekster.

Innholder informasjon unntatt offentlighet, jf. offl. § 15

Status

Utkast til forordningen ble lagt frem av Kommisjonen 18. november 2022. Forordningsforslaget er nå til behandling i Europaparlamentet (ITRE-komiteen) og i Rådet (Telecom-arbeidsgruppen). Siste offentlige kompromisstekst er av 24. mai 2023.

EFTA-sekratariatet sendte Commission proposal form til EØS EFTA-landene den 6. januar 2023.

Digitaliseringsdirektoratet deltar på vegne av Norge (som observatør) i en ekspertgruppe nedsatt av Kommisjonen i 2020 (Expert Group on Interoperability of European Public Services).