IKT-sikkerhetsutvalget

Utvalg som leverte sin utredning 3. desember 2018.

Utvalget hadde som mandat å se på regelverk og organisering innenfor IKT-sikkerhet. Utvalget anbefaler blant annet at det etableres en ny lov om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning.

Utvalgets utredning

Utvalgets medlemmer

  • Skattedirektør Hans Christian Holte, Oslo (leder)
  • Direktør - Cybersikkerhet Terje Wold, Tromsø
  • Administrerende direktør Håkon Grimstad, Trondheim
  • Head of Information Security Lillian Røstad, Nesodden
  • Direktør internett og nye medier Torgeir A. Waterhouse, Oslo
  • Forskningsleder Marie Moe, Trondheim
  • Professor Lee A. Bygrave, Oslo
  • Lagdommer Therese Steen, Oslo

Mandat

Digitalisering er en avgjørende faktor for økonomisk vekst og sysselsetting. Den driver innovasjon, og bidrar til effektivisering av næringslivet og offentlig sektor. Digitalisering har ført til nye forretningsmodeller og nye næringsveier, samtidig som gamle, analoge løsninger fases ut. Den økte digitaliseringen av samfunnet har samtidig medført at samfunnets risikobilde har endret seg. Ingen virksomheter, sektorer eller nasjoner kan i dag kontrollere sin digitale sårbarhet alene.

Behovet for forsvarlig IKT-sikkerhet i samfunnet har økt i takt med digitaliseringen. Et viktig aspekt er befolkningens trygghet, som  inkluderer både kriminalitetsbekjempelse og beskyttelse av personvernet. Et annet aspekt er det teknologiske, der spesielt funksjonaliteten til samfunnskritiske infrastrukturer og tjenester står i fokus. Et tredje aspekt er at forsvarlig IKT-sikkerhet generelt i samfunnet vil bidra til et mer  robust samfunn og dermed ha positive virkninger for nasjonal sikkerhet. Et fjerde aspekt er digitaliseringens betydning for økonomisk vekst og utvikling. For å høste gevinster av digitaliseringen er det viktig at virksomheter, offentlig forvaltning, og samfunnet som helhet har tillit til at de digitale tjenestene fungerer som forutsatt, er tilgjengelig når de trengs der de trengs og har et forsvarlig sikkerhetsnivå.

I NOU 2015: 13 Digital sårbarhet – sikkert samfunn ble våre digitale sårbarheter kartlagt. Som ledd i oppfølgingen av rapporten, mener regjeringen det er behov for å utrede rettslig regulering på IKT- sikkerhetsområdet og organisering av tverrsektorielt ansvar. Det vises også til Meld. St. 10 (2016–2017) om samfunnssikkerhet og Meld. St. 38 (2016–2017) om IKT-sikkerhet for ytterligere beskrivelser av utfordringer og regjeringens politikk på IKT-sikkerhetsområdet.

Problemstilling 1 – er dagens regulering hensiktsmessig for å oppnå forsvarlig nasjonal IKT-sikkerhet?

Norske virksomheter må forholde seg til flere ulike regelverk innenfor IKT-sikkerhet. Regelverkene har til dels ulike formål, og benytter ofte ulike begrep og metoder. Utvalget skal:

  • kartlegge relevant sektorspesifikt og tverrsektorielt regelverk om IKT-sikkerhet
  • vurdere hvorvidt det eksisterende regelverket er hensiktsmessig innrettet, og om dette ivaretar de nye digitale samfunnsutfordringene
  • vurdere om det er behov for harmonisering av eksisterende regelverk
  • vurdere om det er behov for tverrsektoriell IKT- sikkerhetslovgivning utover det som følger av gjeldende rett.

Problemstilling 2 – har vi en hensiktsmessig fordeling og organisering av tverrsektorielt ansvar på etatsnivå innen nasjonal IKT-sikkerhet?

Digitaliseringen har medført større grad av avhengighet og sammenknytning mellom offentlig og privat, sivilt og militært og mellom ulike samfunnssektorer. Trussel- og sårbarhetsbildet endrer seg raskt samtidig som vi får et stadig mer komplekst samfunn. Dette skaper flere utfordringer for myndighetene, blant annet når det gjelder kompetanse og ressurser. Utvalget skal:

  • vurdere om ansvar, roller og oppgaver er hensiktsmessig fordelt og organisert mellom etater med tverrsektorielt ansvar på IKT- sikkerhetsområdet
  • vurdere hvordan det best kan legges til rette for samspill og samarbeid mellom etater med tverrsektorielt ansvar og relevante sektormyndigheter
  • se på muligheter for koordinering, samarbeid og synergieffekter mellom offentlig og privat sektor slik at nasjonal IKT-sikkerhet ivaretas og styrkes
  • med utgangspunkt i at Norge skal gjennomføre NIS-direktivet, vurdere en hensiktsmessig fordeling av de oppgaver som følger av direktivet.

Utvalget skal ikke se på organiseringen på departementsnivå, men kan komme med forslag om fag- og ansvarsområder som bør sees i sammenheng også på dette nivået.

Problemstilling 3 – hvilke regulatoriske og organisatoriske grep bør gjøres for å styrke nasjonal IKT-sikkerhet?

Hvis utvalget konkluderer med at det er behov for endringer for problemstilling 1 eller 2, skal utvalget foreslå konkrete rettslige og organisatoriske tiltak.

Utvalget står fritt til å foreslå rettslige og organisatoriske tiltak som kan forbedre arbeidet med og styrke nasjonal IKT-sikkerhet. Forslagene kan innebære mindre endringer i oppgaveporteføljer og harmonisering av eksisterende regelverk, sammenslåing av etater, opprettelse av nye etater og utarbeidelse av nytt regelverk. Utvalget må vurdere hvilke virkemidler som vil få best effekt.

Generelt om utvalgets arbeid

Utvalget skal innhente innspill fra, og ha dialog med, berørte aktører både i privat og offentlig sektor og andre med interesse for arbeidet. Utvalget skal i sitt arbeid se til andre sammenlignbare land for hvordan nasjonal IKT- sikkerhet ivaretas gjennom rettslig regulering og fordeling av tverrsektorielt ansvar mellom myndigheter på etatsnivå.

Det skal etableres en referansegruppe med deltakelse fra Justis- og beredskapsdepartementet, Forsvarsdepartementet, Kommunal- og moderniseringsdepartementet, Samferdselsdepartementet, Nærings- og fiskeridepartementet og Statsministerens kontor.

Utredningen skal være avgrenset mot bestemmelser, organisering og myndighet som følger av sikkerhetsloven og forslag til ny sikkerhetslov (Prop. 153 L (2016 – 2017) Lov om nasjonal sikkerhet).

Utvalget må se hen til EUs NIS-direktiv og Norges arbeid med gjennomføring av direktivet. Utvalget skal legge til grunn at Norge kommer til å gjennomføre direktivet slik det er utformet. Det innebærer at alle forpliktelser som følger av direktivet skal gjelde for Norge. Justis- og beredskapsdepartementet skal orientere utvalget om utviklingen i arbeidet med gjennomføring av direktivet i Norge. Utvalget må også se hen til gjeldende personvernregelverk, samt EUs nye regelverk om personvern (GDPR), inkludert Norges arbeid med gjennomføring av dette.

Utvalget skal utforme eventuelle lovforslag i samsvar med anbefalingene fra Justis- og beredskapsdepartementet i veilederen «Lovteknikk og lovforberedelse». Utvalget skal fremme forslag til endringer i andre lover og forskrifter som er en følge av utvalgets øvrige forslag. Det må vurderes hva som bør reguleres i lov og hva som eventuelt bør reguleres i forskrift eller retningslinjer.

Utredningen skal gjennomføres i samsvar med kravene i utredningsinstruksen, fastsatt ved kongelig resolusjon 19. februar 2016.

Dersom det er behov for avklaringer av eller å gjøre mindre endringer i mandatet så skal utvalget ta dette opp med Justis- og beredskapsdepartementet som kan beslutte disse.

Utvalget skal levere sin utredning i form av en NOU innen 1. desember 2018.

Om IKT-sikkerhetsutvalget

Opprettet: 2017

Opphørt: 2018

Type: Utvalg

Hovedpunkt i mandatet/ Arbeidsområde:

Utvalget skal vurdere hvorvidt det eksisterende regelverket på IKT-sikkerhetsområdet er godt nok, og om dette ivaretar de nye digitale samfunnsutfordringene. Utvalget skal også vurdere organisatoriske spørsmål og andre virkemidler enn de rent rettslige for å styrke IKT-sikkerheten. Utvalget skal eventuelt også foreslå konkrete rettslige og organisatoriske endringer på IKT-sikkerhetsområdet. – Utredningen er et ledd i oppfølgingen av Meld. St. 38 (2016–2017) om IKT-sikkerhet. Det overordnede målet for utredningen er å styrke den nasjonale IKT-sikkerheten.

Full mandattekst IKT-sikkerhetsutvalg