Min side

Logg inn på DEKSAs søknadsportal E-lisens. Her logger du inn med BankID, MinID, Buypass, Commfides.

For mer informasjon og hjelp til innlogging, les mer på Digitaliseringsdirektoratets hjelpeside.

Henvendelser om sanksjoner skal ikke sendes inn via E-lisens, men per e-post på post@deksa.no

If you are a foreign citizen and have inquiries about export control, please contact DEKSA via e-mail at post@deksa.no.

Logg inn

Skytjenester

Denne veilederen forklarer eksportkontroll av teknologi med særlig fokus på bruk av skytjenester.

Veileder om eksportkontroll og bruk av skytjenester

  • Eksport eller overføring av teknologi reguleres gjennom eksportkontrollforskriften § 3: «Eksport av visse varer, nærmere angitt teknologi, herunder immaterielle ytelser, tekniske datapakker eller produksjonsrettigheter for varer eller visse tjenester krever lisens fra Utenriksdepartementet om ikke annet følger av denne forskrift». DEKSA behandler og utsteder lisenser etter myndighet fra Utenriksdepartementet. 

    Data som lagres på skytjenester omfattes av begrepet «teknologi». Videre må teknologien være av en slik karakter at den kan være av betydning for andre lands utvikling, produksjon eller bruk av produkter til militær bruk. 

    Vilkår for bruk av skytjenester for regulert teknologi (jf. eksportkontrollforskriftens §3) er at teknologieier (eier av IP) enten må oppfylle kravene i NSMs IKT-grunnprinsipper eller ta i bruk ende-til-ende-kryptering for all eksportkontrollert teknologi. 

  • Teknologi som er lastet opp til skytjenester anses ikke som en eksport før noen autoriserer lesetilgang, jf. § 3 i eksportkontrollforskriften. Den som autoriserer lesetilgang anses som eksportør (ikke personer som laster opp eller eier IP). 

    Dette innebærer at kontrollert teknologi som er lagret i skytjenester og gjøres tilgjengelig for en annen person utenfor Norge anses som eksport og er alltid lisenspliktig. All lisenspliktig og autorisert tilgang skal loggføres og arkiveres i skytjenesten og kunne legges frem i etterfølgende revisjon. Administrativt personell ved datasentrene, som kun vil ha teoretisk adgang til teknologi, vil som hovedregel ikke regnes som mottagere/sluttbrukere av lisenspliktig teknologi. 

  • Skytjenester: Digitale tjenester for alt fra dataprosessering og datalagring til programvare, og som leveres over internett. 

    Teknologi: Eksportkontrollforskriften definerer teknologi som informasjon nødvendig for utvikling, produksjon eller funksjon, installasjon, vedlikehold, reparasjon, overhaling samt bruk av et produkt. I denne sammenhengen skal «informasjon» forstås som for eksempel: 

    • Tekniske data, for eksempel planskisser, arbeidstegninger, design og spesifikasjoner, ofte i form av rapporter. 
    • Diagrammer 
    • Modeller 
    • Manualer og instruksjoner 

    Eksport: Med eksport menes i denne sammenheng enhver utførsel fra Norge av teknologi som omfattes av eksportkontrollforskriften, dvs. vareliste I og vareliste II. Krypterte data uten autorisert lesetilgang, regnes som uleselig, og regnes ikke som lisenspliktig etter forskriften. 

    Kryptering: Virkemiddel for vern av informasjon. Ved hjelp av matematiske metoder, skjules informasjonen og omdannes til uleselig kryptotekst. Kun autoriserte personer får utlevert en nøkkel som kan «låse opp», eller dekryptere, kryptoteksten, og gjøre den leselig og anvendelig. 

    Ende til ende-kryptering: Informasjon som krypteres allerede fra avsender, og forblir kryptert i nettskyen, helt til en autorisert mottaker i andre enden låser den opp. 

    Kryptering i ro (Encryption-at-rest): Informasjon er kryptert i det den ligger lagret på disk. Denne type kryptering er ment å beskytte mot eksempelvis uautorisert fysisk tilgang til diskene. 

    Kryptering av data i transitt (Encryption for data-in-transit): Informasjonen er kryptert i det den transporteres mellom forskjellige systemer. Eksempelvis når informasjon transporteres fra en sluttbrukers pc til skyleverandøren sine servere eller internt  mellom skyleverandørens servere. Denne type kryptering er ment å beskytte mot uvedkommende som avlytter kommunikasjonslinjer hvor informasjonen flyter. 

    Teoretisk tilgang: Alle aktører som (også bare i teorien) kan komme i kontakt med lisenspliktig teknologi. Mange typer aktører er knyttet til sky-virksomheten, både på bruker- og driftssiden. Tidligere praksis har vært at alle som kommer, eller kan komme, i kontakt med denne informasjonen, skal føres opp på lisensen. I forbindelse med skytjenester, har dette blitt en uoverskuelig problemstilling fordi såpass mange aktører/funksjoner er involvert på driftssiden. 

  • Skytjenester legger til rette for at nettopp immaterielle ytelser og tekniske datapakker kan plasseres i datasentre i og utenfor Norge, og enkelt gjøres tilgjengelige for brukere uavhengig av hvor de befinner seg. 

    Konfidensialiteten av kryptert data og teknologi handler forenklet sett om hvilke krypteringsalgoritmer som er brukt, nøkkelhåndteringsprosesser som sørger for at kun autoriserte personer blir gitt tilgang til nøkkel brukt for dekryptering, samt miljøet de prosessene operer i. For skyløsninger vil de tekniske og prosessuelle aspektene ved kryptering og nøkkelhåndtering ofte håndteres av skyleverandøren. Dersom autorisasjon og prosessen for nøkkelutdeling ikke er sikker, vil også konfidensialiteten til enhver data og teknologi beskyttet med disse nøklene være kompromittert. 

    Det stilles derfor krav om at skyløsningen skal implementere de tiltak som er beskrevet i siste versjon av NSMs grunnprinsipper for IKT-sikkerhet for å sikre konfidensialitet og dataintegriteten til teknologi som omfattes av eksportkontrollregelverket. 

    Etterlevelse av de nevnte grunnprinsipper innebærer krav til kryptering som sikrer konfidensialitet og dataintegritet til teknologi i transitt og teknolog i ro. Dersom tiltakene som følge av NSMs grunnprinsipper ikke oppfylles, skal data og teknologi lastet opp til skyløsningen være beskyttet med ende-til-ende kryptering. Krypterte data, enten de er i transitt eller ro, er grunnleggende uleselige, og derfor ikke anvendbare for ikke-autoriserte mottakere. Kryptert teknologi er derfor ikke lisenspliktig før teknologien gjøres tilgjengelig (lesbar), jf. § 3 i eksportkontrollforskriften.  

  • Søknad fremmes i E-lisens. Bruk søknadsskjemaet «Søknad om teknologilisens». 

    I søknaden skal du opplyse: 

    • Hvilke type lisenspliktig teknologi, inkludert klassifisering etter vareliste I eller vareliste II, som er lagret i skyen og skal deles; 
    • Hvordan lisenspliktige data er sikret, jf. NSMs grunnprinsipper eller ende-til-ende kryptering; 
    • Fysisk lokasjon til serveren/datasenteret for skytjenesten; 
    • Fysisk lokasjon til aktøren som skal motta lisenspliktig teknologi.