Ny ekomlov - økt krav til sikkerhet, tilgang og åpenhet for ekomsektoren

Read the article in english here: New Ecom Act - Increased Requirements for Security, Access, and Transparency in the Telecom Sector

Plikten til å registrere ekomrelatert virksomhet hos Nkom vil bli utvidet til å gjelde både datasentrene og en rekke andre bedrifter. Brønnøysundregistrene har anslått at de ulike registreringspliktene vil påvirke hele 32 500 bedrifter. 

Styrkingen av forbrukerrettigheter vil føre til at mange leverandører må justere operasjonelle rutiner, blant annet for å håndtere nye informasjonskrav mot sluttkunder. Leverandører må også oppdatere brukervilkårene sine og justere rutinene for innhenting av samtykke til cookies i tråd med reglene som følger av GDPR. Det betyr at den særnorske cookie-regelen om implisitt samtykke til cookies via nettleserinnstillingene er ett avsluttet kapittel. 

Bærekraftig konkurranse vil fortsatt være det viktigste tiltaket for å sikre landsdekkende tilbud av gode elektroniske kommunikasjonsnett og -tjenester. Det legges opp til økt offentlig støtte der det ikke er kommersielt grunnlag for utbygging, og utvidet adgang til å pålegge leveringsplikt hvis ikke andre virkemidler er tilstrekkelige. 

Den nye ekomloven gjør at Norge igjen har samme regulering av denne sektoren som resten av EU og EØS-landene ved at den gjennomfører EUs Electronic Communication Code. 

Her er de viktigste endringene i den nye ekomloven:

Den nye ekomloven introduserer den første reguleringen av datasentre, med mål om å sikre robusthet, beredskap og nasjonal sikkerhet for det som nå anerkjennes som sentral og kritisk infrastruktur i vårt digitale samfunn. Regjeringens digitaliseringsstrategi fra 2030 har som mål å legge til rette for datasentre som bidrar til verdiskaping, økt sikkerhet og ivaretakelse av norske interesser, med forsvarlig sikkerhet i fred, krise og krig. De mest kritiske digitale tjenestene skal leveres fra datasentre i Norge eller fra datasentre hos våre nære allierte. 

Bestemmelsene gjelder for datasenteroperatører og inkluderer: 

• Selskaper som tilbyr datasentertjenester mot betaling, enten de eier anlegget eller leier plass i et "co-location"-datasenter. 
• Aktører som driver eller leier datasentre, inkludert til egen virksomhet, dersom det abonnerte effektbehovet overstiger en terskelverdi fastsatt av departementet i forskrift. 

Operatører som administrerer flere mindre datasentre, som samlet overstiger terskelverdien, omfattes også. Definisjonen omfatter også dedikerte datasentre for kryptovalutautvinning. 

Reguleringen av person-til-person-kommunikasjon utvides fra å bare omfatte tradisjonell taletelefoni til også å inkludere såkalte nummeruavhengige person-til-person kommunikasjonstjenester. Dette omfatter blant annet chattetjenester, tale over IP, alle former for e-post og internettilgangstjenester, som for eksempel Messenger og Whatsapp. Den nye loven vil skjerpe sikkerhetskravene for slike tjenester og bidra til likebehandling. Tilbydere av denne typen tjenester vil imidlertid ikke bli pålagt like mange plikter som tilbydere av tradisjonell taletelefoni. De har blant annet ikke en plikt til å registrere seg, og er kun underlagt enkelte av sikkerhetskravene. 

Et overordnet mål med den nye ekomloven er å sikre brukerne i hele landet gode, rimelige, fremtidsrettede elektroniske kommunikasjonstjenester. De viktigste tiltakene for å nå dette målet er å legge til rette for bærekraftig konkurranse, offentlig støtte til utbygging av bredbånd i områder der det ikke er forretningsmessig grunnlag for utbygging i privat regi, og mulighetene for å pålegge tilbyderne leveringsplikt der verken konkurranse eller offentlig støtte er tilstrekkelig. 

Under gjeldende lov er det særlig Telenor som har vært ansett å ha sterk markedsposisjon (SMP). I enkeltmarkeder som terminering av fast og mobil taletelefoni er det flere som har sterk markedsposisjon. Å bli utpekt som SMP innebærer blant annet en plikt til å fremme konkurranse ved å legge til rette for andre leverandører. Nkoms kartlegging i 2023 av konkurransen i bredbåndsmarkedet viser at konkurransen fungerer dårlig i visse områder av landet. Det gir grunn til å tro at leverandører som har sterk markedsstilling i "sine" regioner kan bli pålagt å gi andre leverandører tilgang til bredbåndsinfrastrukturen for å legge til rette for konkurranse i sluttbrukermarkedet. I den nye ekomloven er SMP-pliktene også utvidet til å omfatte tilgang til og bruk av anleggsinfrastruktur (passiv infrastruktur), herunder stolper, master og rør. Den styrkede reguleringen av passiv infrastruktur kan også bidra til å forsterke utviklingen vi har sett de senere årene der ekomoperatører legger til rette for eksterne investorer i mobilmaster og fiber. 

Regjeringens nye digitaliseringsstrategi frem mot 2030 tar til orde for økt offentlig støtte i områder hvor det ikke er kommersielt grunnlag for utbygging, for å realisere målet om at alle husstander og virksomheter i hele landet skal ha tilgang til høyhastighetsbredbånd og god mobildekning. Ambisjonene økes også ved at nedlastingshastigheten skal økes fra 100 megabit per sekund i 2025 til minst 1 gigabit per sekund innen utgangen av 2030. For å skape grunnlag for god konkurranse og valgfrihet vil regjeringen videreføre målet om minst tre fullverdige mobilnett som kan konkurrere i både bedrifts- og privatmarkedet. Konkurransen fremmes blant annet ved at de som mottar støtte plikter å imøtekomme henvendelser fra andre tjenesteleverandører om tilgang til infrastrukturen.  

I den nye ekomloven er målsetningen om landsdekkende tilgang fulgt opp med en utvidet hjemmel til å inngå avtale med eller pålegge tilbydere leveringsplikt. Leveringsplikt har vært en sentral del av ekompolitikken i mange år, men har frem til nå kun omfattet telefonitjenester. Den nye ekomloven utvider leveringsplikten til også å omfatte "funksjonell internettilgang", som i praksis vil si fast eller mobilt bredbånd, i områder med fast helårlig bosetting eller helårlig eller sesongbasert næringsvirksomhet. Det avgjørende er at brukere gis tilgang til bredbånd med tilstrekkelig hastighet for å sikre et fastsatt minimumssett av tjenester, som for eksempel bruk av e-post, offentlige digitale tjenester og sosiale medier. 

Hjemmelen til å pålegge leveringsplikt er fortsatt ment å være en "siste utvei", og er først og fremst aktuell dersom det ikke foreligger et kommersielt tilbud og andre mindre inngripende virkemidler ikke er tilstrekkelig for å sikre tilgang til bredbånd, for eksempel bredbåndstøtteordningen. Operatørene må i utgangspunktet dekke kostnadene ved å oppfylle leveringsplikten selv, og kan bare få dekket kostnadene dersom operatøren kan bevise at leveringsplikten utgjør en urimelig økonomisk byrde. 

Den nye loven introduserer skjerpede krav til bruk av informasjonskapsler (cookies), og tar med dette endelig livet av den særnorske "cookie-regelen" om samtykke gitt via nettleserinnstillinger. I henhold til den nye ekomloven må samtykke til cookies nå oppfylle kravene til samtykke i personvernforordningen (GDPR). Dette innebærer blant annet at samtykke: 

• må gis aktivt av brukeren, 
• må være spesifikt, slik at det er klart hvilket formål det samtykkes til, 
• ikke kan gis gjennom forhåndsutfylte ruter eller opt-out-løsninger slik mange har i dag, og 
• må også kunne trekkes tilbake like lett som det er gitt. 

Et annet vilkår for at samtykket er gyldig er at det er "informert", altså at den besøkende får informasjon om hva det samtykkes til. Bestemmelsen i ekomloven sier at det "blant annet" skal informeres om hvilke opplysninger som behandles, formålet med behandlingen og hvem som behandler opplysningene. Loven er altså ikke uttømmende, og det kan tenkes at det etter forholdene er andre aspekter ved cookien som det må informeres om for at samtykket skal anses å være "informert". 

I likhet med tidligere praksis vil det gjelde unntak for cookies som er "strengt nødvendig" for å levere tjenesten. Det vil med andre ord være få eller ingen cookies utover de rent funksjonelle, som faller utenfor samtykkekravet. Eiere av nettsteder vil derfor ikke høres med at for eksempel analyse- eller statistikk-cookies kan settes uten samtykke, selv om disse kan oppleves som "strengt nødvendig" fra et markedsperspektiv. 

Den nye loven introduserer nye regler og presiseringer som skal styrke forbrukerrettighetene. Flere bestemmelser beskytter ikke bare forbrukere, men også mikroforetak, små foretak og ideelle organisasjoner. I motsetning til forbrukere kan disse aktørene imidlertid samtykke til å fraskrive seg sine rettigheter. 

Her er noen av de viktigste endringene: 

• Forbud mot diskriminerende vilkår og krav. 
• Sluttbrukere har rett på et kortfattet sammendrag av de viktigste aspektene i avtalen. Sammendraget skal være "lett forståelig". 
• Sluttbrukere har rett til å bytte tilbyder av internettilgangstjenester effektivt og sømløst, med maksimalt én virkedags avbrudd. 
• Tilbydere må varsle forbrukeren før forbruksgrenser nås og når tjenester inkludert i prisplanen er brukt opp. 
• Sluttbrukere har rett til gratis tilgang til e-posttjenester eller videresending av e-post i opptil tre måneder etter avtalen avsluttes.