Datasenterbransjen består av aktører som tilbyr infrastruktur og tjenester på flere nivåer, fra utleiere av lokaler til de aktører som håndterer og leverer «alt» en virksomhet måtte ønske. Noen større virksomheter besitter eller leier datasentre for intern bruk. Under gjeldende regelverk stilles det få eller ingen særskilte krav til sikkerhet i datasentre. Imidlertid kan noen tjenester og informasjonssystemer som innplasseres være underlagt og regulert av lovverk. Med tanke på at operatørene av datasentre i tillegg til fysisk sikring har ansvaret for leveranse av grunnleggende infrastrukturtjenester som strøm, kjøling og bredbånd, er dette å anse som svært sårbart.

I den nasjonale datasenterstrategien foreslås det at «datasenter blir vurderte for relevant og formålstenleg regulering i ekomregelverket, for å følge opp den samla risikoen og sårbarheita hos ein datasenteraktør, som samlar og driftar aktivitet frå fleire ulike verksemder». Regjeringa vil at datasenter blir vurdert for regulering i ekomlovverket og andre relevante lovverk for å ivareta digital sikkerhet og nasjonale sikkerhetsinteresser.

I gjeldende strategi er det ønskelig at Norge gjennom EØS-avtalen blir en del av EUs indre marked, også for datasentertjenester. Dette er et argument for at bransjen underlegges et sektorlovverk, da EUs ulike strategidokumenter stiller klare krav til datasenteraktørene.

Lovregulering av datasenter må komme på plass. Reguleringen bør blant annet omfatte krav til sikkerhet, krav til oversikt og vurdering av verdier plassert i datasenter og krav til flytting av ulike typer data og tjenester fra virksomheten til datasenter og imellom datasentre.

Dersom datasentre leverer funksjoner som er avgjørende for nasjonal sikkerhet, så skal disse underlegges sikkerhetsloven og gis et forsvarlig sikkerhetsnivå. Her må departementene og virksomheter i større grad være bevisst, verdivurdere og eventuelt utpeke datasentre som skjermingsverdige.

Flere aktører i bransjen tilbyr leie av infrastruktur som kan leveres fra nasjonale og internasjonale skyplattformer eller som dedikert infrastruktur. Dersom utstyret/tjenestene benyttes til kriminell eller terrorlignende aktiviteter, er det svært utfordrende å spore da det ikke er noe registreringskrav av hvem som leier og hva det eventuelt skal benyttes til. Det er heller ingen krav til eller registrering av eierne til datasentre utover det som kreves som byggherre.

En slik situasjon skaper utfordringer ved hendelseshåndtering og etterforskning. Den nye datasenterstrategien nevner at tiltak nå blir diskutert på EU-nivå, og at det er viktig at Norge deltar i dette arbeidet.

Det bør vurderes å pålegge en registreringsplikt for datasenteraktører.