Meld. St. 9 (2022–2023)

Nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet— Så åpent som mulig, så sikkert som nødvendig

Til innholdsfortegnelse

3 Virkemidler for å styrke nasjonal kontroll og bygge digital motstandskraft

Staten har en rekke virkemidler for å ivareta nasjonal kontroll og bygge digital motstandskraft. Virkemidlene må vurderes både enkeltvis og i sammenheng, og de vil variere, avhengig av hvor man befinner seg i krisespennet, hvor stor grad av kontroll som er ønskelig i ulike sammenhenger og eventuelle kostnader knyttet til dette. Virkemidler for å ivareta nasjonal kontroll må også vurderes i lys av Norges folkerettslige forpliktelser, herunder frihandelsavtaler med tredjeland. Statlige trusselaktører vil, etter hvert som vi styrker vår evne til å motstå deres virkemidler, tilpasse sin bruk av virkemidler som kan ramme våre nasjonale sikkerhetsinteresser. Våre tiltak må derfor tilpasses og utvikles over tid for å møte utfordringene.

På generelt grunnlag er det viktig å gi tilstrekkelig prioritet til virkemidler som har en forebyggende effekt. Hendelseshåndtering vil ofte være dyrere og mer inngripende enn forebygging. Forebyggingsperspektivet er viktig på alle nivåer i samfunnet, fra enkeltmennesker opp til virksomhets- og myndighetsnivå. PST, politiet og NSM har et særskilt ansvar her. Samtidig må samfunnet ha tilstrekkelige ressurser for å håndtere hendelser når de først har inntruffet.

Boks 3.1 Digitale angrep koster i gjennomsnitt 20 millioner kroner

En global studie fra IBM viser at 83 prosent av verdens bedrifter har opplevd minst ett dataangrep de siste to årene. Kostnaden for et gjennomsnittlig digitalt angrep mot en bedrift har økt med 13 prosent på bare to år. Regningen ligger i snitt på rundt 20 mill. kroner i Norden og 40 mill. kroner globalt.

Da Norsk Hydro i 2019 ble rammet av et omfattende digitalt angrep lammet det selskapet fullstendig, og kostnadene ved angrepet var på 800 mill. kroner. Et annet eksempel er det danske shippingselskapet A.P. Møller-Mærsk. A.P. Møller-Mærsk ble i 2017 rammet av et dataangrep hvor kostnadene den gang ble estimert til mellom 200-300 mill. dollar.

Endrede økonomiske rammer stiller høyere krav til prioriteringer og effektiv ressursutnyttelse. Det innebærer at prioritering av den forebyggende delen av arbeidet blir viktigere og vil gi krevende avveininger mellom ulike hensyn, behov og ønsker. Tiltak som økt nasjonalt eierskap og kontroll gjennom oppkjøp av strategisk viktige bedrifter, naturressurser eller infrastrukturer har for eksempel en direkte kostnad. Behovet for nasjonal kontroll av hensyn til nasjonal sikkerhet kan også medføre kostnader for samfunnet og næringslivet. For eksempel dersom dette medfører økt rapporteringsplikt eller legger begrensninger på privat eierskap, tilgang til internasjonal kapital, næringslivssamarbeid og forholdet til andre stater. Norge har forpliktelser gjennom EØS-avtalen og andre folkerettslige avtaler, som WTO-regelverket og frihandelsavtaler, som må ivaretas dersom man ønsker å innføre eierskapsbegrensninger. Risikoaksept er et annet viktig element, herunder en vurdering av tilstrekkelig nasjonal kontroll og digital sikkerhet. Samfunnets ressursbruk og forholdsmessighet for å oppnå nasjonal kontroll og digital motstandskraft må vurderes opp mot effekt. Det skal i den forbindelse gjennomføres kost-nyttevurderinger. De mange hensynene nevnt her må veies mot hensynet til å ivareta nasjonal sikkerhet og sammen utgjøre et godt beslutningsgrunnlag.

3.1 Regulering må følge samfunnsutviklingen

Regulering er det primære virkemiddelet for å sørge for nasjonal kontroll og er også et kostnadseffektivt virkemiddel. Juridiske virkemidler består som regel av ulike påbud eller forbud, kombinert med en adgang til å kunne gi tillatelser, rettigheter og plikter eller fritak knyttet til disse. Regulering er et sterkt, men ofte nødvendig virkemiddel. Det skaper forutsigbarhet og er en forutsetning for likeverdig behandling i en rettsstat.

3.1.1 Sikkerhetsloven – vårt viktigste verktøy for å ivareta nasjonal sikkerhet

Sikkerhetsloven står i en særstilling for å ivareta nasjonal sikkerhet. Verdier som er av betydning for våre nasjonale sikkerhetsinteresser skal etter sikkerhetsloven utpekes og sikres i tråd med lovens krav. Departementene utpeker grunnleggende nasjonale funksjoner (GNF) og kan fatte vedtak om at virksomheter som er av avgjørende betydning for GNF skal underlegges sikkerhetsloven.1 Denne verdikartleggingen er en kontinuerlig prosess som dekker alle samfunnsområder. Kartleggingsarbeidet er komplekst, og viser blant annet at det er omfattende gjensidige avhengigheter på tvers av samfunnsområdene, og at avhengigheten endres relativt raskt. Det er behov for å oppdatere og forbedre oversikten for at det forebyggende sikkerhetsarbeidet skal bli så målrettet og effektivt som mulig. Dette vil prioriteres for alle samfunnsområder og gjøres i tråd med Justis- og beredskapsdepartementets pådriver- og samordningsrolle innenfor arbeidet med forebyggende nasjonal sikkerhet på sivil side.

Figur 3.1 Satellittbasert kommunikasjon, overvåkning og jordobservasjon er blant de grunnleggende nasjonale funksjonene.

Figur 3.1 Satellittbasert kommunikasjon, overvåkning og jordobservasjon er blant de grunnleggende nasjonale funksjonene.

Foto: Shutterstock

Regjeringen er opptatt av at sikkerhetsloven er tilpasset det til enhver tid gjeldende trussel- og risikobildet, og vil derfor fremme nødvendige forslag til tilpasninger av regelverket. Gjennom revisjoner av sikkerhetsloven styrkes loven som virkemiddel for å ivareta nasjonal sikkerhet. Se punkt 4.2.1 om forslag til endringer i sikkerhetslovens kapittel 10 om eierskapskontroll.

Virksomheter som er underlagt sikkerhetsloven må ha tilstrekkelig kompetanse til å følge opp lovens krav. En felles sikkerhetsforståelse, sikkerhetskultur og grunnsikring av verdiene som er viktige for nasjonal sikkerhet må bygges over tid. Justis- og beredskapsdepartementet har bedt departementene kartlegge egen sikkerhetskompetanse i løpet av 2022 og vil følge opp tilbakemeldingene overfor departementene (se punkt 3.4.1 for nærmere omtale).

Boks 3.2 Endringer i politiloven og politiregisterloven

Justis- og beredskapsdepartementet har i Prop. 31 L (2022–2023) foreslått endringer i politiloven og politiregisterloven om PSTs etterretningsoppdrag og bruk av åpent tilgjengelig informasjon. I proposisjonen foreslås det at PST skal utarbeide analyser og etterretningsvurderinger om forhold i Norge som kan true nasjonale sikkerhetsinteresser. I tillegg foreslås det at PST kan behandle åpent tilgjengelig informasjon dersom det antas å være nødvendig for utarbeidelse av analyser og etterretningsvurderinger, selv om den enkelte opplysning isolert sett ikke er nødvendig. Forslagene vil bidra til at PST i større grad kan vurdere sannsynlig fremtidig trusselutvikling i Norge og hvilke trusselaktører vi vil stå overfor i Norge i fremtiden, og vil være et viktig tiltak for å ivareta nasjonal sikkerhet.

3.1.2 Praktisering av eksisterende regelverk

Regjeringen mener at flere eksisterende regelverk på ulike samfunnsområder kan bidra til å ivareta nasjonal kontroll, også utover sikkerhetsloven.2 Enkelte regelverk har ikke hensynet til nasjonal sikkerhet som vurderingskriterium i dag, mens andre regelverk allerede har bestemmelser som ivaretar sikkerhetsperspektivet. Regjeringen mener at det er et handlingsrom for å ivareta nasjonal sikkerhet i eksisterende regelverk på ulike samfunnsområder, og at handlingsrommet bør utnyttes bedre.

Praktisering av ulike regelverk kan ikke ses isolert, men må ses på tvers av samfunnsområder. Ulike tillatelsesordninger og forvaltningsperspektiv kan skape blindsoner, noe som kan utnyttes av fremmede stater på bekostning av nasjonale sikkerhetsinteresser. Vår evne til å verne om nasjonal sikkerhet er derfor avhengig av at den enkelte sektor og myndighetene i fellesskap er bevisst trusselbildet, egne verdier og avhengigheter, innenfor og på tvers av samfunnsområder. Samvirkeprinsippet er her viktig. I tillegg er Justis- og beredskapsdepartementet og Forsvarsdepartementet viktige som pådrivere for samordning mellom sivil og militær side.

Regjeringen vil gjennomgå relevant eksisterende lovverk for å påse at hensyn til nasjonal sikkerhet inngår som vurderingskriterium der det er aktuelt.

Med tanke på strategisk viktige verdier, bedrifter, eiendom, infrastruktur, naturressurser og teknologi er relevante regelverk som kan vurderes nærmere blant annet konsesjonslovgivning, plan- og bygningsloven, vannfallsrettighetsloven, energiloven, og havne- og farvannsloven. Dette innebærer ikke at hensyn til nasjonal sikkerhet alltid vil veie tyngst, men at det som et minimum skal vurderes. Hensikten er å stille krav til dem som forvalter lovverket og dem som skal etterleve det for å forebygge at uønskede aktører får innsikt, kontroll og innflytelse over verdier som er av betydning for nasjonal sikkerhet. Det er hensiktsmessig å gjøre eventuelle justeringer i relevant regelverk som del av annen lovgjennomgåelse. Lovverkene må også ses i sammenheng, for å unngå unødvendig dobbeltregulering.

3.1.3 Eksportkontroll

Eksportkontrolloven3 og tilhørende forskrift4 gjelder eksport av nærmere angitte varer, teknologi, herunder immaterielle ytelser, tekniske datapakker eller produksjonsrettigheter for varer, samt visse tjenester. Formålet er å sikre at eksport som kan brukes til militære formål eller til masseødeleggelsesvåpen ikke bidrar til konvensjonell, militær kapasitetsbygging i land av bekymring, og sikre at eksporten er i samsvar med norske utenriks- og sikkerhetspolitiske interesser.

Kontrollen med eksport av strategiske varer og teknologi øker i kompleksitet i takt med den sikkerhetspolitiske utviklingen og endringer i trusselbildet mot norske interesser. Land vi ikke har sikkerhetssamarbeid med etterspør strategiske varer, teknologi, tjenester og kunnskap fra Norge for å styrke sin militære evne. Dette omfatter både konvensjonell militær kapasitetsbygging og programmer for masseødeleggelsesvåpen, men også utstyr som kan benyttes til etterretningsvirksomhet eller kartlegging av kritisk infrastruktur i Norge. Norske teknologimiljøer utsettes for stadige forsøk på omgåelser av eksportkontrollregelverket.

Regjeringen vil klargjøre og styrke eksportkontrollregelverket og tydeliggjøre praktiseringen av kontroll av kunnskapsoverføring i og fra Norge. Dette innebærer å tydeliggjøre hva som er en eksportkontrollregulert kunnskapsoverføring og å innta en bestemmelse om lisensplikt for kunnskapsoverføring i eksportkontrollforskriften.

Utenriksdepartementet gjennomførte våren 2022 en alminnelig høring av forslag til endringer i eksportkontrollforskriften. Utenriksdepartementet er i prosess med å vurdere høringsinnspillene og vil følge opp forskriftsarbeidet videre i 2023.

3.1.4 Forslag om ny lov om digital sikkerhet

Regjeringen vurderer å fremme et forslag til lov om digital sikkerhet. Sentralt i dette er å ansvarliggjøre virksomheter og sikre gjennomføring av nasjonale råd og anbefalinger.

Regjeringen legger opp til at lovforslaget skal gjelde for tilbydere av samfunnsviktige tjenester innenfor samfunnsområdene energi, transport, helse, vannforsyning, banktjenester, finansmarkedsinfrastruktur og digital infrastruktur. I tillegg gjelde for tilbydere av digitale tjenester, nærmere bestemt tilbydere av skytjenester, digitale markedsplasser og digitale søkemotorer. En nærmere presisering av hva som skal til for at en virksomhet er å anse som en samfunnsviktig tjeneste vil fremkomme i forskrift. Loven vil forplikte virksomheter til å gjennomføre sikkerhetstiltak og varsle om alvorlige digitale hendelser. Dette gjelder for enkelte samfunnsområder som har en særlig viktig rolle for å opprettholde kritisk samfunnsmessig og økonomisk aktivitet. Det vil ved videreutvikling av loven særlig ses på utvidelse av virkeområde, og hvordan sikre at nasjonale råd og anbefalinger blir fulgt opp av virksomheter i større utstrekning. Loven vil legge til rette for innføring av EUs NIS-direktiv.5

Boks 3.3 Et langsiktig strategisk arbeid

Norske myndigheter har jobbet strategisk med digital sikkerhet over lang tid gjennom større utredninger, stortingsmeldinger, strategier og tiltaksutvikling. Norge fikk som det andre landet i verden en nasjonal strategi for digital sikkerhet allerede i 2003. I 2019 ble Norge det første landet som utga en fjerde strategi. Internasjonalt anses Norge å være et modent land på området og for mange en attraktiv samarbeidspartner. Denne stortingsmeldingen bygger videre på et langsiktig arbeid hvor styrket råd og veiledning og behov for ytterligere regulering er identifisert som viktige områder.

Regjeringen vil fortløpende vurdere regulering for å sikre forsvarlig digital sikkerhet hos virksomheter som understøtter viktige funksjoner i samfunnet. Blant annet vil EUs reviderte NIS-direktiv kunne ha betydning for hvordan lov om digital sikkerhet videreutvikles. Andre relevante EU-regelverk er Cybersecurity Act som omhandler European Union Agency for Cybersecurity (ENISA) sitt mandat og et felleseuropeisk rammeverk for frivillig sertifisering av IT-produkter, tjenester og prosesser. Denne forordningen jobbes det med å få inkorporert i EØS-avtalen. EU har også nylig lansert lovforslaget Cyber Resilience Act med minstekrav til digital sikkerhet i produkter og tjenester. Et lovforslag om digital operasjonell motstandsdyktighet for finanssektoren, Digital Operational Resilience Act, er også til behandling i EU. Målet med forslaget er å sikre at alle deltakere i det finansielle systemet har de nødvendige tiltakene på plass for å redusere faren for digitale angrep og andre uønskede hendelser. Forslaget bygger på NIS-direktivet og vil ha forrang foran NIS-direktivets regler der det er aktuelt når det er trådt i kraft. Det foreslåtte regelverket vurderes å være EØS-relevant.

Boks 3.4 EUs forslag til revidert NIS-direktiv

EU vedtok i november 2022 et nytt direktiv, NIS2. Direktivets virkeområde er utvidet sammenliknet med NIS-direktivet ved å legge til nye samfunnsområder. Enheter som regelverket vil gjelde for vil bli klassifisert ut fra deres betydning og delt i kategorier som henholdsvis grunnleggende og viktige, og underlagt forskjellige tilsynsregimer. Det nye direktivet styrker også sikkerhetskravene til virksomhetene med en minimumsliste over grunntiltak som må anvendes, og gir mer presise bestemmelser for varsling av hendelser. I tillegg adresseres sikkerheten i forsyningskjeder og leverandørforhold. Medlemslandene i EU gis en frist på 21 måneder til å innføre direktivet nasjonalt, da oppheves samtidig gjeldende NIS-direktiv.

3.2 Nasjonalt eierskap for å sikre nasjonal kontroll

På enkelte områder bidrar nasjonalt eierskap til å sikre nasjonal kontroll. Det gjelder for eksempel innenfor energi- og naturressurser, viktig infrastruktur og strategisk viktige deler av norsk næringsliv. Nasjonalt eierskap omfatter statlig, fylkeskommunalt og kommunalt eierskap, samt privat norsk eierskap. Blant annet på grunn av komplekse verdikjeder og eierstrukturer, innebærer ikke nasjonalt eierskap nødvendigvis nasjonal kontroll.

Med «statlig eierskap» menes statens direkte eierskap i selskaper. Siden 2002 har det i hver stortingsperiode blitt lagt frem en eierskapsmelding for Stortinget om statens samlede direkte eierskap i selskaper. I eierskapsmeldingen redegjøres det for hvorfor staten eier direkte i selskaper, hva staten eier og hvordan staten utøver sitt eierskap. I gjeldende eierskapsmelding6 er samfunnssikkerhet og beredskap en av begrunnelsene for når statlig eierskap kan være et hensiktsmessig tiltak. Av eierskapsmeldingen fremgår følgende:

«Regulering er det primære virkemiddelet for å ivareta hensyn knyttet til nasjonal sikkerhet, samfunnssikkerhet og beredskap. Eksempler på slik regulering er næringsberedskapsloven, kraftberedskapsforskriften, sikkerhetsloven og ekomloven. Statlige overføringer til produsenter, kontraktsinngåelser med private aktører eller andre former for samarbeid med næringslivsaktører administrert og forvaltet gjennom respektive sektordepartement er eksempler på andre virkemidler.
Staten kan i særskilte tilfeller vurdere det som nødvendig å unngå at uønskede interesser kan få tilgang til informasjon, innflytelse på eller kontroll over selskaper som har betydning for nasjonal sikkerhet, samfunnssikkerhet eller beredskap, noe som blant annet kan gjøres ved å underlegge selskapene sikkerhetsloven eller eie en gitt andel i enkelte selskaper.».
«Statlig eierskap begrunnet med samfunnssikkerhet og beredskap tilsier normalt en statlig eierandel på mer enn halvparten. Det bidrar til å hindre at uønskede interesser får aksjemajoritet og dermed innsikt og innflytelse gjennom styreposisjon.».

Boks 3.5 Statlig eierskap som virkemiddel for samfunnssikkerhet og beredskap

Hensyn til samfunnssikkerhet og beredskap har vært en begrunnelse for statlig eierskap over tid. Staten drev egenproduksjon av forsvarsmateriell gjennom Kongsberg Våpenfabrikk, Horten Verft og Raufoss Ammunisjonsfabrikker. Disse virksomhetene ble opprettet på 1800-tallet og var underlagt Forsvaret, og ble i 1947 skilt ut som egne selskaper. Selskapene gikk etter hvert også inn i annen industriproduksjon. Staten har videreført eierskapet til ammunisjonsvirksomheten gjennom Nammo, og til produksjon av annet militært materiell gjennom Kongsberg Gruppen.

Offentlig eierskap (statlig, fylkeskommunalt eller kommunalt eierskap) kan gi det offentlige store inntekter, legge til rette for en ønsket samfunnsutvikling og demokratisk kontroll. Samtidig kan offentlig eierskap være ressurskrevende, ha økonomiske kostnader, kreve betydelig oppfølging og være politisk sensitivt. Nasjonal kontroll kan oppnås ved ulike virkemidler og er ikke nødvendigvis det samme som offentlig eierskap. Å ha kontroll kan også dreie seg om å forebygge at uønskede aktører får kontroll, eventuelt disponerer eiendom, ressurser eller infrastruktur som kan gi dem innsikt, innflytelse eller reduserer vårt eget politiske eller økonomiske handlingsrom. Dette kan også oppnås gjennom private norske eierskap i selskaper, eiendom eller andre aktiva.

Kontroll med hvem som er reelle eiere av for eksempel infrastruktur, naturressurser eller eiendom av betydning for nasjonal sikkerhet er viktig. Regjeringen ønsker bedre oversikt over dette. Det vil gi innsikt i om eierskapet kan være en utfordring for nasjonal sikkerhet. Informasjon om utenlandsk eierskap blir registrert av en rekke institusjoner, både norske og internasjonale, men informasjonen blir i dag i liten grad systematisert. Dette krever derfor et utstrakt samarbeid nasjonalt og internasjonalt. Behovet for oversikt over strategisk viktige områder er nærmere omtalt i kapittel 4.

3.3 Samarbeid nasjonalt og internasjonalt

Samarbeid og informasjonsdeling på tvers av samfunnsområder, tjenester, myndighetsområder, offentlig-privat og over landegrenser er avgjørende i arbeidet med nasjonal sikkerhet. For eksempel sitter ulike private og offentlige aktører med mye relevant informasjon som kan bidra til økt innsikt og felles forståelse av utfordringsbildet. Det bidrar til bedre beslutningsgrunnlag og tilpasset bruk av virkemidler og gjør oss i bedre stand til å beskytte verdier med betydning for nasjonal sikkerhet både i fred, krise og væpnet konflikt. Økt kunnskap og involvering av alle nivåer i samfunnet må være en integrert del for å møte trussel- og risikobildet. Gjennom å styrke den enkeltes sikkerhet bidrar vi til å styrke vår kollektive sikkerhet.

3.3.1 Samarbeidet mellom etterretnings- og sikkerhetstjenestene

Utstrakt samarbeid og informasjonsutveksling mellom etterretnings- og sikkerhetstjenestene våre er grunnleggende for å ivareta nasjonal sikkerhet. Informasjon om og forståelse av trussel- og risikobildet er avgjørende for at ulike aktører kan identifisere egne sårbarheter og ivareta egen sikkerhet. En forutsetning for dette er hensiktsmessige rammer og verktøy, spesielt for håndtering og formidling av høygradert informasjon.

For å bidra til økt informasjonsutveksling og koordinering mellom E-tjenesten og PST i arbeidet med konkrete saker ble samarbeidet ytterligere styrket sommeren 2021, gjennom etableringen av Felles etterretnings- og kontraterrorsenter. I november 2022 besluttet regjeringen å opprette et nasjonalt etterretnings- og sikkerhetssenter (NESS). I NESS skal PST, E-tjenesten, NSM og (det øvrige) politiet samarbeide for å styrke vår nasjonale evne til å oppdage og forstå sammensatte trusler – og våre egne sårbarheter – samt for å sikre god beslutningsstøtte til myndighetene. Samarbeidet bygger videre på det forsterkede samarbeidet mellom PST og politiet etablert i februar i år, for å utvikle et nasjonalt situasjonsbilde knyttet til sammensatt virkemiddelbruk. Tiltaket understreker regjeringens prioritering av arbeidet mot sammensatte trusler.

Felles cyberkoordineringssenter (FCKS) er et permanent, samlokalisert fagmiljø bestående av representanter fra NSM, E-tjenesten, PST og Kripos. Arbeidet til FCKS bidrar til å øke den nasjonale evnen til å motstå alvorlige digitale angrep og vedlikeholde et helhetlig trussel- og risikobilde for det digitale rom. I tillegg bidrar de med viktig strategisk analyseproduksjon, som grunnlag for beslutninger på myndighetsnivå.

Boks 3.6 Etterretnings- og sikkerhetstjenestene

Politiets sikkerhetstjeneste (PST) er Norges nasjonale innenlands etterretnings- og sikkerhetstjeneste, underlagt Justis- og beredskapsdepartementet. PST har som oppgave å forebygge og etterforske alvorlig kriminalitet mot nasjonens sikkerhet. Som ledd i dette skal tjenesten identifisere og vurdere trusler knyttet til etterretning, sabotasje, spredning av masseødeleggelsesvåpen, terror og ekstremisme. Vurderingene skal bidra i utformingen av politikk og støtte politiske beslutningsprosesser.

Etterretningstjenesten (E-tjenesten) er Norges utenlands etterretningstjeneste. Tjenesten er en del av Forsvaret, men arbeidet omfatter både sivile og militære problemstillinger. E-tjenestens hovedoppgaver er å varsle om ytre trusler mot Norge og prioriterte norske interesser, støtte Forsvaret og forsvarsallianser Norge deltar i og understøtte politiske beslutningsprosesser med informasjon av spesiell interesse for norsk utenriks-, sikkerhets- og forsvarspolitikk.

Nasjonal sikkerhetsmyndighet (NSM) er nasjonal fagmyndighet for forebyggende sikkerhet etter sikkerhetsloven. NSM gir blant annet råd om beskyttelsen av og fører tilsyn med sikring av skjermingsverdig informasjon, informasjonssystemer, objekter og infrastruktur. Videre er NSM nasjonalt fagmiljø for digital sikkerhet og har et ansvar på nasjonalt nivå for å oppdage, varsle og koordinere håndtering av alvorlige digitale angrep.

Figur 3.2 PST er Norges nasjonale innenlands etterretnings- og sikkerhetstjeneste.

Figur 3.2 PST er Norges nasjonale innenlands etterretnings- og sikkerhetstjeneste.

Foto: Justis- og beredskapsdepartementet

3.3.2 Nasjonalt cybersikkerhetssenter i NSM (NCSC)

NSM har gjennom NCSC etablert en arena for nasjonalt og internasjonalt samarbeid innen deteksjon, håndtering, analyse og rådgivning knyttet til digital sikkerhet. Senteret omfatter partnere fra næringsliv, akademia, forsvar og offentlig sektor som bidrar aktivt inn i et gjensidig samarbeid for et mer robust digitalt Norge. I dag deltar om lag 50 virksomheter, og stadig flere kommer til. Partnerprogrammet skal styrkes, både for å åpne for flere partnere, og for å legge til rette for mer informasjonsdeling.

Med flere partnere øker behovet for å dele partnernettverket inn i målgrupper. Dette er viktig for å bygge tillit og dele informasjon internt i nettverket, og for å nå ut med bedre tilpasset informasjon til den enkelte virksomhet på en mer effektiv måte. NCSC er viktig i NSMs arbeid med råd og veiledning, deteksjon og hendelseshåndtering (se punkt 3.5 og 3.6).

For å styrke arbeidet med forskning, innovasjon og kompetanse innenfor digital sikkerhet, følger Norge opp EUs forordning om opprettelse av et nettverk av nasjonale koordineringssentre for digital sikkerhet. I den forbindelse skal det etableres et senter som skal bygge opp og samordne den nasjonale delen av det europeiske kompetansefellesskapet innenfor digital sikkerhet og generelt stimulere til forskning, innovasjon og kompetanseutvikling nasjonalt. En viktig oppgave for senteret vil være å fremme og gi veiledning til søkere i de europeiske investeringsprogrammene DIGITAL og Horisont Europa innenfor cybersikkerhetsrelaterte utlysninger. Senteret forutsettes også å kunne tildele EU-midler og nasjonal medfinansiering til tredjeparter. DIGITAL og Horisont Europa er investerings- og forskningsprogrammer i EU som Norge allerede deltar i.

Justis- og beredskapsdepartementet arbeider for at NSM og Norges forskningsråd etablerer Norges nasjonale koordineringssenter for digital sikkerhet. Senteret skal samarbeide med øvrige miljøer i Norge innenfor digital sikkerhet.

Figur 3.3 Nasjonalt cybersikkerhetssenter i NSM.

Figur 3.3 Nasjonalt cybersikkerhetssenter i NSM.

Foto: NSM

3.3.3 Internasjonalt samarbeid

I en internasjonal økonomi og et digitalisert samfunn, hvor avhengigheter, virkemiddelbruk og trusselaktører ikke forholder seg til landegrenser, er det viktig med internasjonalt samarbeid for å oppnå nasjonal kontroll. Det omfatter blant annet å arbeide for ansvarlig statlig oppførsel i det digitale rom og søke å benytte eksisterende kanaler, som EUs screeningmekanisme, for tilgang til informasjon om sikkerhetstruende økonomisk aktivitet.

Erfaringer fra våre allierte, NATO, FN og EU kan gi nyttig innsikt om beste praksis på tvers av nasjonale grenser og bidra til å tilpasse nasjonale regelverk for å ha en felles tilnærming der det er hensiktsmessig. I lys av Finlands og Sveriges NATO-søknader vil det være særlig relevant å søke fellesnordiske løsninger der det er mulig, gitt våre liknende styresett, verdisyn og trussel- og risikobilde. Ved at Norge tar en tydelig rolle internasjonalt og kan vise til nasjonale tiltak og prioriteringer, vil Norge også kunne oppfattes som en forutsigbar og pålitelig alliert og partner, noe som er viktig for vår posisjon i internasjonalt samarbeid.

For Norge er en hovedprioritet i det internasjonale arbeidet å jobbe for en styrket etterlevelse av gjeldende folkerett blant FNs medlemsstater. Norge offentliggjorde i 2021 sine nasjonale posisjoner på utvalgte folkerettslige problemstillinger i det digitale rom for å bidra til en styrket felles forståelse av hvordan folkeretten kommer til anvendelse. Tjenester og produkter vi benytter er ofte helt eller delvis produsert og utviklet i andre deler av verden. Dette krever et samarbeid om internasjonale standarder som ivaretar sikkerhetsperspektivet.

Regjeringen vil at Norge skal jobbe for et tett, forpliktende og forutsigbart internasjonalt samarbeid om nasjonal sikkerhet og motarbeide sammensatte trusler sammen med allierte, partnere, NATO, FN og EU.

Regjeringen vil at Norge skal delta aktivt internasjonalt for en styrket etterlevelse av gjeldende folkerett. Norge skal bidra i arbeidet med utarbeidelse av internasjonale frivillige normer og standarder innenfor det digitale rom. Regjeringen vil også styrke samarbeidet med internasjonale partnere for å fremme et åpent, sikkert, stabilt og fredelig digitalt rom.

3.4 Kompetanse og bevisstgjøring

3.4.1 Sikkerhetsfaglig kompetanse i samfunnet

Kompetanse om trusler, sårbarheter og effektive tiltak er en forutsetning for å kunne beskytte verdier mot uønskede hendelser. Manglende kompetanse om risiko og kjennskap til egne verdier og sårbarheter bidrar til dårligere sikkerhetsstyring og en svakere sammenheng mellom faktisk risikobilde og tiltak som reduserer risiko. Det er flere eksempler på at kombinasjonen av mangelfull verdiforståelse og åpenhetskultur har ført til at informasjon om eksempelvis eiendom og infrastruktur som er av betydning for nasjonal sikkerhet har ligget åpent tilgjengelig på internett. Dette kan være risiko- og sårbarhetsanalyser eller oversikt over samfunnskritisk infrastruktur. Virksomheter og offentlige organer som forvalter verdier av betydning for nasjonal sikkerhet må vurdere hensynet til nasjonal sikkerhet i tilstrekkelig grad når slik informasjon gjøres tilgjengelig.

Tekniske sikkerhetstiltak alene vil ikke stoppe potensielle trusselaktører. Det er derfor nødvendig å bygge en god sikkerhetskultur i hele samfunnet. Dette forutsetter at alle – privatpersoner, virksomheter og myndigheter – er bevisst sikkerhetsutfordringene og har nødvendig basiskunnskap om mottiltak som er relevante for dem. Dette øker robusthet, men også bevissthet og forståelse for sikkerhet hos den enkelte. Det er særlig viktig å styrke verdiforståelsen og kompetansen om trusler, sårbarheter og effektive sikkerhetstiltak blant toppledere og beslutningstakere. God sikkerhetskultur kommer til uttrykk gjennom virksomhetens totale sikkerhetsatferd.

Norsk senter for informasjonssikring (NorSIS) gjennomfører på vegne av norske myndigheter Nasjonal sikkerhetsmåned hvert år i oktober. Dette er et eksempel på et bevisstgjøringstiltak som når bredt ut i samfunnet. Målet med kampanjen er å styrke virksomheters og den enkelte innbyggers kompetanse om digital sikkerhet. Et annet eksempel er den nasjonale øvelsesportalen, ovelse.no, som gir norske virksomheter et gratis øvingstilbud om digital sikkerhet.

Figur 3.4 Plattformen ovelse.no er myndighetenes øvingsportal som skal bidra til at alle virksomheter i Norge får et gratis øvingstilbud innen digital sikkerhet. Skjermdump: ovelse.no

Figur 3.4 Plattformen ovelse.no er myndighetenes øvingsportal som skal bidra til at alle virksomheter i Norge får et gratis øvingstilbud innen digital sikkerhet. Skjermdump: ovelse.no

Boks 3.7 Kritisk medieforståelse

Kritisk medieforståelse er viktig for befolkningens motstandskraft. Dette er et høyt prioritert område for Medietilsynet, som annethvert år gjennomfører en undersøkelse om kritisk medieforståelse i befolkningen. Kartleggingen omfatter blant annet eksponering for og håndtering av desinformasjon og falske nyheter, kunnskap om forskjeller på redaksjonelt og kommersielt innhold, personvern, kildekunnskap og tillit til medier. Medietilsynet iverksetter tiltak og råd for at befolkningen skal være godt rustet til å navigere og forstå mediene. Tenk, som er skoleavdelingen til faktasjekktjenesten Faktisk.no, utvikler undervisningsopplegg om kritisk mediebruk og kildebevissthet til bruk i skolen.

For å legge til rette for god oppfølging av sikkerhetsloven, har Justis- og beredskapsdepartementet bedt departementene kartlegge lederstillinger som har roller og ansvar knyttet til departementenes grunnleggende nasjonale funksjoner. Disse lederne har behov for sikkerhetsklarering og sikkerhetsfaglig kompetanse innen sikkerhetsstyring, risikovurdering, verdivurdering og grunnleggende digital sikkerhet.

Justis- og beredskapsdepartementet har også anbefalt at alle departementer, i samsvar med sikkerhetsloven, kartlegger hvilke lederstillinger i underliggende virksomheter som krever sikkerhetsklarering og sikkerhetsfaglig kompetanse. Resultatet skal oversendes Justis- og beredskapsdepartementet innen utgangen av 2022. Departementet vil deretter vurdere behovet for ytterligere kompetansetiltak i offentlige virksomheter for å ivareta våre nasjonale sikkerhetsinteresser.

Boks 3.8 Nasjonal strategi for digital sikkerhetskompetanse

Nasjonal strategi for digital sikkerhetskompetanse fra 2019 legger til rette for en langsiktig oppbygging av kompetanse, herunder den nasjonale kapasiteten innen forskning, utvikling, utdanning og bevisstgjøringstiltak rettet mot befolkningen og virksomheter. Strategien er utarbeidet av Justis- og beredskapsdepartementet i samarbeid med Kunnskapsdepartementet.

Boks 3.9 Nasjonal folkeopplysningskampanje

NorSIS vil på oppdrag fra Justis- og beredskapsdepartementet, jf. Prop. 78 S (2021–2022), gjennomføre en nasjonal folkeopplysningskampanje om digital sikkerhet. Formålet med kampanjen er å øke sikkerhetsbevisstheten og kompetansen bredt i befolkningen. Kampanjen vil bli gjennomført i samarbeid med relevante aktører som NSM og politiet. Kampanjen er direkte rettet mot befolkningen og små- og mellomstore bedrifter, og vil ha et formspråk og budskap som er lett å forstå. Et av temaene som vil bli løftet frem er tiltak som kan bidra til økt digital sikkerhet blant befolkningen, slik som totrinnspålogging på ulike tjenester. For å nå ut bredt er det planlagt at kampanjen i stor grad vil foregå i sosiale medier. Kampanjen vil ha oppstart i desember 2022, og fortsette utover i 2023.

3.4.2 Tilstrekkelig nasjonal spesialistkompetanse

Undersøkelser av tilbud og etterspørsel viser et behov for flere utdannede innen digital sikkerhet. De siste årene er det iverksatt en rekke tiltak for å redusere kompetansegapet. Flere tiltak er å anse som langsiktige. For eksempel har den fulle effekten av nye studieplasser i IKT-relaterte fag enda ikke kommet i form av uteksaminerte kandidater.

Regjeringen vil kartlegge kompetansesituasjonen innenfor digital sikkerhet og vurdere tiltak basert på arbeidslivets behov.

Innenfor enkelte områder av betydning for nasjonal sikkerhet er det behov for personell med spesialistkompetanse på doktorgradsnivå. Personellet må kunne drive forskning og utvikling på områder der de behandler informasjon som kan få avgjørende skadefølger for nasjonal sikkerhet om informasjonen blir kjent for uvedkommende.

Et tilstrekkelig antall uteksaminerte kandidater på masternivå er en forutsetning for å sikre flere forskerutdannende og andre høyt kompetente med sikkerhetsklarering til fagområdene digital sikkerhet og kryptologi. Innenfor gruppen «naturvitenskapelige fag, håndverksfag og tekniske fag» var over 90 prosent av studentene norske i 2021. Andelen utenlandske studenter på studieprogrammer innenfor digital sikkerhet varierer mellom studieprogrammene, men lå samlet på bare fem prosent i 2021.7 Å øke antall studieplasser innenfor digital sikkerhet og andre IKT-fag vil derfor kunne være et bidrag til å øke andelen forskere og andre høyt kompetente som vil kunne få sikkerhetsklarering.

Eventuelle endringer i studiekapasiteten vurderes i forbindelse med de årlige statsbudsjettene. Regjeringen forventer samtidig at universiteter og høyskoler selv vurderer omfanget av digital sikkerhet i sine studieporteføljer og fastsetter det i henhold til arbeidslivets behov og de studiesøkendes ønsker, slik de skal gjøre for alle sine utdanninger, herunder også for doktorgradsutdanningene.8

Rekruttering av doktorgradskandidater som kan sikkerhetsklareres er en utfordring innenfor ulike teknologiområder allerede i dag. De siste ti årene har godt over 60 prosent av dem som avlegger doktorgrad innenfor teknologi ved et norsk lærested utenlandsk statsborgerskap.9 Andelen med utenlandsk statsborgerskap som søker rekrutteringsstillinger innen matematikk, naturvitenskap og teknologi var nær 90 prosent i perioden 2016-2018.10 Dette er en utvikling som må tas på alvor.

Regjeringen vil videreføre øremerkede midler til nærings-ph.d.- og offentlig sektor-ph.d.-ordningene i Forskningsrådet rettet mot digital sikkerhet og kryptologi. Midlene er tilgjengelige for alle kvalifiserte søkere som har sikkerhetsklarering.

Boks 3.10 Balanse mellom en fortsatt åpen og internasjonalt orientert kunnskapssektor og økende vektlegging av sikkerhetspolitiske hensyn

Økt internasjonalisering har i lang tid vært et mål for norsk høyere utdannings- og forskningspolitikk og et viktig virkemiddel for økt kvalitet og relevans i norsk utdanning og forskning. God tilrettelegging av langsiktig samarbeid med sterke fagmiljøer i andre land er avgjørende for videreutviklingen av Norge som kunnskapsnasjon og for norske bidrag til løsninger på de utfordringene vi som samfunn står overfor. Dette omfatter også land vi ikke har et sikkerhetspolitisk samarbeid med.

I Norge, som i andre likesinnede land og i EU, OECD osv., diskuteres det i dag hvordan man kan tilrettelegge for en god balanse mellom en fortsatt åpen og internasjonalt orientert kunnskapssektor og økende vektlegging av sikkerhetspolitiske hensyn. I tråd med dette er «ansvarlighet» innført som et grunnleggende prinsipp i gjeldende strategi for høyere utdannings- og forskningssamarbeid med prioriterte land utenfor EU.1

Det er iverksatt flere tiltak for å tilrettelegge for samarbeid innen høyere utdanning og forskning på prioriterte områder samtidig som nasjonale interesser ivaretas. Dette omfatter et fast rundebord for akademisk samarbeid med Kina, som koordineres av Kunnskapsdepartementet, og «Møteplass Kina», som organiseres av Forskningsrådet og Direktoratet for høyere utdanning og kompetanse. Rundebordet retter seg mot strategisk ledelse, mens målgruppen for «Møteplass Kina» er de som jobber mer operativt med høyere utdannings- og forskningssamarbeid ved norske universiteter, høyskoler og forskningsinstitutter. I tillegg foregår det et arbeid med å utvikle nasjonale retningslinjer for ansvarlig internasjonalt samarbeid, som vil foreligge i løpet av første halvår 2023.

1 Panoramastrategien (2021–2027) regjeringen.no.

Å rekruttere kandidater som kan sikkerhetsklareres til doktorgradsutdanning i digital sikkerhet og kryptologi vil også kreve målrettet innsats fra universiteter og høyskoler. Som omtalt over, forventer regjeringen at utdanningsinstitusjonene fastsetter omfanget på doktorgradsutdanningene i henhold til arbeidslivets behov og de studiesøkendes ønsker. Ved ansettelser i rekrutteringsstillinger hvor arbeidstakeren vil komme i situasjoner som krever enten sikkerhetsklarering, adgangsklarering eller autorisasjon skal universiteter og høyskoler sørge for at den som tilsettes, får de nødvendige klareringer, slik sikkerhetsloven krever.

De fleste stipendiater i teknologiske fag vil ikke ha behov for sikkerhetsklarering i løpet av sin doktorgradsutdanning, men de kan komme til å trenge sikkerhetsklarering i den jobben de går til etter avlagt doktorgrad. På enkelte fagområder av betydning for nasjonal sikkerhet vil det derfor være ønskelig å sikre at det utdannes et tilstrekkelig antall doktorer som har mulighet til å bli sikkerhetsklarert etter utdanning. Med dagens regelverk for sikkerhetsklarering og ansettelser i statlige stillinger, er det uklart hvordan universiteter og høyskoler kan regulere inntaket av stipendiater for å oppfylle ønsket om å utdanne doktorer som kan sikkerhetsklareres. Samtidig er det uklart hvor stort behov arbeidslivet har for doktorer som kan sikkerhetsklareres. Før regjeringen går i gang med å vurdere regelverket, bør behovet kartlegges.

Regjeringen vil utrede arbeidslivets behov for doktorgradskompetanse til stillinger hvor det kreves sikkerhetsklarering.

Boks 3.11 Offentlig-privat samarbeid om sikkerhetstesting og undersøkelser av kritiske systemer

Norge må ha kompetanse og kapasitet til å verifisere og validere utstyr og systemer som integreres i systemer som er kritiske for samfunnets evne til å fungere. Over flere år har NTNU, i tett samarbeid med kraftbransjen, jobbet med å bygge opp en slik kapasitet som kan brukes til sikkerhetstesting og undersøkelser av maskinvare og integrerte systemer. Statkraft, Statnett, Eidsiva, KraftCERT, NVE, NSM og Energi Norge har vært pådrivere for det offentlig-private samarbeidsinitiativet. Sammen med partnere gjør NTNU nå en investering på ca. 15 mill. kroner for å etablere et laboratoriemiljø for å møte dette behovet. Investeringen gjøres i tilknytning til Norwegian Cyber Range.

3.5 Råd og veiledning – brukeren i fokus

En størst mulig felles forståelse for sikkerhet, trussel- og risikobildet i samfunnet, fra privatpersoner til bedrifter og offentlig virksomheter, er viktig for nasjonal sikkerhet og nasjonal kontroll. Som en del av dette inngår informasjon om trussel- og risikobildet, hvorfor nasjonal sikkerhet er viktig, hvilke virkemidler myndighetene har til rådighet, hvilke krav som stilles til ulike offentlige og private aktører og hvordan det treffer den enkelte. Summen av enkelttiltak bidrar til en større motstandsdyktighet i samfunnet overfor uønskede hendelser.

3.5.1 Etablering av nasjonal portal og støtteverktøy for digital sikkerhet

Regjeringen vil lansere en nasjonal portal for digital sikkerhet og et støtteverktøy til alle norske virksomheter for å tilgjengeliggjøre nasjonale råd og anbefalinger i tråd med Prop. 78 S (2021–2022).

Råd og veiledning om digital sikkerhet er ofte lite kjent og blir i begrenset grad systematisk fulgt opp og prioritert av virksomhetene. Portalen skal være en felles inngangsport for ulike brukergrupper, men utformet slik at alle får ensartede råd tilpasset sin brukergruppe. Dette skal ikke kreve forutgående kunnskap om roller og ansvar innenfor området. Arbeidet med å utvikle portalen startet opp høsten 2022 med planlagt lansering i løpet av 2023. Innholdet i portalen skal utarbeides av sentrale aktører med roller og ansvar knyttet til digital sikkerhet. NSM leder arbeidet, og skal etablere, forvalte og drifte portalen.

Økt sikkerhet i den enkelte virksomhet er viktige bidrag til samfunnets kollektive sikkerhet. For å bidra til et mer systematisk arbeid med digital sikkerhet, vil NSM tilby et støtteverktøy til alle norske virksomheter gjennom den nasjonale portalen. Verktøyet vil gjøre det lettere for virksomheter å evaluere egen sikkerhetstilstand og bidra til at nasjonale råd blir bedre kjent og i større grad blir implementert av virksomheter.

Boks 3.12 Nasjonale råd og anbefalinger om digital sikkerhet følges i for liten grad

Justis- og beredskapsdepartementet og Forsvarsdepartementet gjennomførte i 2021 en spørreundersøkelse blant norske virksomheter om den nasjonale strategien for digital sikkerhet og kjennskap til nasjonale råd og anbefalinger om digital sikkerhet. Resultatene viser at de virksomheter som kjenner til de nasjonale anbefalingene i strategien og NSMs grunnprinsipper benytter disse i stor grad i sin virksomhet. Dette gjelder både offentlig og privat sektor, uavhengig av virksomhetens størrelse. Et fåtall av virksomhetene har fulgt opp samtlige anbefalinger. Hovedårsaken opplyses å være manglende tid, men også at virksomhetene er usikre på hvordan de skal gå frem.

3.5.2 Kraftsamling av statlige veiledningsressurser

Flere statlige myndigheter gir råd og veiledning om digital sikkerhet, og myndighetenes arbeid på området kan for omverdenen fremstå fragmentert og lite koordinert.11 Portalen og støtteverktøyet beskrevet i punkt 3.5.1 vil bidra til bedre samordning og tilgjengeliggjøring av råd og veiledning. Regjeringen vil vurdere ytterligere tiltak for å forsterke samordningen på myndighetsnivå og gjøre det enklere for sluttbrukeren.

Regjeringen vil kartlegge brukerbehov og erfaringer med dagens organisering av veiledning innen digital sikkerhet. Dette for å vurdere oppgaver, ansvar og organisering, og om en kraftsamling av veiledningsmiljøer vil kunne gi effektiviseringsgevinster.

3.5.3 En sikker digital nettverksarkitektur («Zero Trust»)

I løpet av det siste tiåret har arbeidet med en sikker nettverksarkitektur i økende grad tatt utgangspunkt i at man ikke kan ha større tillit til maskiner og tjenester i virksomhetens interne nettverk enn man har til vilkårlige maskiner og tjenester på det åpne internett. En følge av dette er at digitale identiteter, autentisering og tilgangsstyring har blitt sentrale virkemidler for å etablere en sikker nettverksarkitektur. Denne tilnærmingen har fått betegnelsen «Zero Trust»-arkitektur.

Regjeringen vil sørge for at norske anbefalinger om sikker nettverksarkitektur oppdateres i takt med utviklingen av internasjonale standarder på området.

3.6 Nasjonal deteksjonsevne og hendelseshåndtering

3.6.1 Nasjonal hendelseshåndtering

En stor del av truslene mot Norge skjer i det digitale rom. NSM har over tid erfart en kraftig økning av digitale angrep. Ifølge NCSC er dette en trend som forventes å fortsette i tiden fremover. De digitale angrepene mot Stortinget i 2020 og 2021 var angrep på vårt demokrati og viser alvorlighetsgraden i det digitale risikobildet. Norge gikk for første gang til det skritt å foreta en offentlig attribusjon til en annen stat. Det ble kunngjort at Russland sto bak. Året etter ble det offentliggjort at det andre datainnbruddet mot Stortinget ble gjennomført fra Kina.

For å bidra til å møte utfordringsbildet er NSM styrket med 15 mill. kroner i 2022, jf. Innst. 270 S (2021–2022) til Prop. 78 S (2021–2022). Bevilgningen innebærer en utvidelse av antall stillinger i NCSC og skal forbedre evnen til koordinering, analyse og håndtering av hendelser og praktisk bistand til rammede virksomheter.

Boks 3.13 Oljefondet opplever cyberangrep hver dag – digitale angrep er fondets største bekymring

Norges Bank Investment Management har den daglige oppgaven med å forvalte Statens pensjonsfond utland («Oljefondet») og gjør en stor innsats for å redusere sannsynligheten og konsekvensene av digitale hendelser mot egen virksomhet. De erfarer at antall angrep øker og at angriperne stadig benytter mer avanserte metoder og virkemidler. Dermed har cybersikkerhet blitt en av de største bekymringene for fondets sjef.

Sektorvise responsmiljøer er et viktig tiltak for å sikre deling av informasjon og støtte til håndtering av digitale angrep. De fleste sektorer har etablert slike miljøer eller inngått ulike former for samarbeid om dette. Responsmiljøene er bindeleddet mellom NSM og de enkelte virksomhetene i ulike sektorer. På oppdrag fra Justis- og beredskapsdepartementet er det gjennomført en ekstern evaluering av ordningen med sektorvise responsmiljøer. Det overordnede inntrykket er at samarbeidet mellom de ulike aktørene fungerer godt, at det er god utveksling av informasjon, metoder, erfaringer og kompetanse på tvers av miljøene, og at ordningen med sektorvise responsmiljøer har gitt et mer samlet sikkerhetshetsmiljø i Norge. En hovedkonklusjon er at den nasjonale innsatsen bør kraftsamles for å sikre grunnleggende nasjonale funksjoner. I tillegg bør forebyggende digital sikkerhet i større grad inkluderes i den nasjonale modellen for hendelseshåndtering og balanseres mot operativt arbeid. Gitt kompetansemangelen innenfor digital sikkerhet er det også viktig at den nasjonale modellen for hendelseshåndtering er bærekraftig over tid.

Regjeringen vil videreutvikle det nasjonale rammeverket for håndtering av digitale hendelser. Dette for å sikre en bærekraftig hendelseshåndteringsmodell i tråd med samfunnets behov.

Boks 3.14 Team Norway

På oppdrag fra Justis- og beredskapsdepartementet og Forsvarsdepartementet, koordinerer NSM og Cyberforsvaret norsk deltagelse i den internasjonale cyberøvelsen Locked Shields. Hensikten med norsk deltagelse er å trene responsmiljøer på tvers av sivil og militær sektor i hendelseshåndtering. NSM og Cyberforsvaret har gjennom etableringen av «Team Norway» fulgt opp strategien om utstrakt offentlig-privat og sivil-militært samarbeid for å møte digitale trusler.

Figur 3.5 Norge har deltatt flere ganger i den internasjonale øvelsen Locked Shields.

Figur 3.5 Norge har deltatt flere ganger i den internasjonale øvelsen Locked Shields.

Foto: NATO CCDCOE, Ardi Hallismaa

3.6.2 Digital motstandskraft i kommunesektoren

Uønskede digitale hendelser i kommuner kan få store konsekvenser for tjenestene til innbyggerne, og medføre store kostnader for kommunene og det norske samfunnet. Selv om digital sikkerhet i kommunene håndteres innenfor den bredere samfunnssikkerheten, gjør et hybrid trusselbilde det nødvendig å arbeide for bedre digital motstandskraft også ut fra et nasjonalt sikkerhetsperspektiv. I en presset økonomisk situasjon vil det også for kommunene være krevende å gjøre nødvendige prioriteringer og skaffe kompetanse innen digital sikkerhet.

I februar 2022 deltok over 200 kommuner i et møte med justis- og beredskapsministeren og kommunal- og distriktsministeren. Formålet var å øke oppmerksomheten om digital sikkerhet i kommunesektoren, orientere om et endret trussel- og risikobilde og komme i dialog med kommunene om hvor staten kan bidra slik at de står bedre rustet til å forebygge og håndtere uønskede digitale hendelser. Som en oppfølging av kommunearrangementet ønsker regjeringen at kommunene får et permanent responsmiljø som dekker kommunenes behov.

Regjeringen vil bidra til forebygging av uønskede digitale hendelser i kommunesektoren og vil utpeke et sektorvis responsmiljø som kan dekke kommunenes behov.

Boks 3.15 Østre Toten kommune utsatt for løsepengevirus

Østre Toten kommune ble 9. januar 2021 utsatt for et krypteringsvirus med krav om løsepenger som satte store deler av kommunens nettverk tilbake til manuell styring i lang tid. Aktøren hadde stjålet betydelige mengder data. Kommunens operative evne ble sterkt redusert da de fleste av kommunens digitale tjenester var nede. Situasjonen ble ytterligere forverret den 29. mars, da deler av de stjålne dataene ble publisert på det mørke nettet. Kommunen måtte håndtere sensitive personopplysninger på avveie, og informere og støtte personer som ble rammet. Hendelsen medførte i praksis at alarmsystem på sykehjem ble erstattet med bjeller, låsesystemet på kommunens bygninger ikke fungerte, og at helsestasjonens journaler var utilgjengelige. Hendelsen har kostet kommunen rundt 34 mill. kroner.

3.6.3 Etablere neste generasjons nasjonale deteksjonsevne

For nasjonal digital sikkerhet er såkalte «avanserte vedvarende trusler» den dimensjonerende trusselen. Aktørene bak vurderes ofte å være statlige aktører som over tid jobber systematisk med å opprette tilganger til relevante systemer.

Varslingssystem for digital infrastruktur (VDI) fungerer som en «digital innbruddsalarm» for å oppdage angrep. VDI er et nettverk av sensorer som utplasseres hos utvalgte offentlige og private virksomheter som har kritisk infrastruktur. Sensorene gjør det mulig for NSM å oppdage og verifisere digitale angrep.

For å øke effekten av systemet, vil både antallet virksomheter som deltar i VDI-samarbeidet og analysekapasiteten for å håndtere større informasjonsmengder øke. NSM er styrket med 30,3 mill. kroner til dette tiltaket, jf. Innst. 270 S (2021–2022) til Prop. 78 S (2021–2022). Neste generasjons VDI utvides med flere ulike komponenter som er designet til å fungere sammen og vil totalt sett være mer effektivt enn i dag. Utvidelsen er også et viktig bidrag for å se helheten og arbeidet med et nasjonalt situasjonsbilde i det digitale domenet.

Regjeringen har en ambisjon om å videreutvikle nasjonal deteksjonsevne. Utviklingen på dette område vil imidlertid kreve en langsiktig satsning, som også inkluderer infrastruktur. Sentralt i dette er videreutviklingen av VDI og eventuelle krav til VDI-sensorer for viktige leverandører som understøtter sentrale funksjoner i samfunnet. Det vil vurderes økt analysekapasitet og teknisk kapasitet i NSM for å avdekke sikkerhetstruende hendelser.

Fotnoter

1.

Grunnleggende nasjonale funksjoner er definert i sikkerhetsloven som «tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser».

2.

Enkelte relevante regelverk vil omtales i kap. 4.

3.

Lov om kontroll med eksport av strategiske varer, tjenester og teknologi mv.

4.

Forskrift om eksport av forsvarsmateriell, flerbruksvarer, teknologi og tjenester.

5.

Europaparlaments- og rådsdirektiv (EU) 2016/1148 av 6. juli 2016 om tiltak for et høyt felles sikkerhetsnivå i nettverks- og informasjonssystemer i EU.

6.

Meld. St. 6 (2022–2023) Et grønnere og mer aktivt eierskap – Statens direkte eierskap i selskaper.

7.

Statistikk om høyere utdanning fra Direktoratet for høyere utdanning og kompetanse.

8.

Innst. 425 S (2020–2021) og Meld. St. 19 (2020–2021) Styring av statlige universiteter og høyskoler.

9.

SSB 2022. Artikkel: Rekordmange utenlandske statsborgere blant de nye doktorene i 2021.

10.

NIFU 2019. Attraktive akademiske karrierer? Søking, rekruttering og mobilitet i UH-sektoren. Rapport 2019:10.

11.

NOU 2018: 14 IKT-sikkerhet i alle ledd.

Til forsiden