NOU 2018: 14

IKT-sikkerhet i alle ledd — Organisering og regulering av nasjonal IKT-sikkerhet

Til innholdsfortegnelse

Del 1
Innledning

1 Sammendrag

Liv og helse, demokrati og rettssikkerhet, økonomisk velferd og nasjonens suverenitet er viktige verdier som må beskyttes for å kunne opprettholde et trygt, fritt og velfungerende samfunn. Mange sider ved den teknologiske utviklingen kan styrke og bygge opp under disse verdiene. Teknologi kan for eksempel benyttes til å utvide helsetilbudet, bidra til effektivisering av virksomheter og gi nye måter for enkeltindivider å uttrykke seg på i sosiale medier.

Den teknologiske utviklingen gjør at det norske samfunnet i stadig større grad kobles sammen, og avhengighetene mellom virksomheter og mellom sektorer blir stadig sterkere. Norsk næringsliv og forvaltning har i tillegg stadig tettere bindinger til andre land. IKT-infrastrukturen representerer en stor og fortsatt økende samfunnsmessig verdi. Stadig mer informasjon lagres, transporteres og behandles digitalt, og nye tjenester, prosesser og produkter utvikles fortløpende. Den teknologiske utviklingen skaper nye og endrede risikoer og utfordringer som må håndteres.

Utvalget er gitt i oppdrag å vurdere om dagens regulering av IKT-sikkerhet er hensiktsmessig gitt de samfunnsutfordringene Norge står overfor. Utvalget er også bedt om å vurdere organiseringen av tverrsektorielt ansvar på IKT-sikkerhetsområdet. Ansvar, roller og oppgaver må være hensiktsmessig fordelt mellom etatene.

Utvalget legger tre overordnede prinsipper til grunn for sine anbefalinger. Arbeidet med IKT-sikkerhet må ha en risikobasert tilnærming som innebærer at vesentlig risiko prioriteres. Videre må IKT-sikkerhet balanseres opp mot brukervennlighet, økonomi og grunnleggende menneskerettigheter. En slik balanse innebærer at noe risiko må aksepteres for å oppnå økonomiske og sosiale mål. Til slutt krever arbeidet med IKT-sikkerhet en fleksibilitet i reguleringen og organiseringen slik at man kan tilpasse seg nye trusler, sårbarheter, teknologier og forretningsmodeller.

Nedenfor følger et sammendrag av utvalgets anbefalinger for å styrke den nasjonale IKT-sikkerheten. Utvalget står samlet bak anbefalingene.

1.1 Ny lov om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning

Digitaliseringen av samfunnet gjør at virksomheter står overfor et stadig mer komplekst IKT-risikobilde. For at et digitalt samfunn som Norge skal fungere, er det nødvendig å minimere risikoen for at utilsiktede og tilsiktede hendelser rammer IKT-systemer. Til tross for potensielt betydelige økonomiske, sikkerhetsmessige og omdømmemessige konsekvenser har virksomheter ikke alltid tilstrekkelige insentiver til å beskytte seg mot digitale trusler.

Etter utvalgets vurdering håndteres ikke utfordringene på en hensiktsmessig måte i gjeldende regulering. En rekke lover og forskrifter stiller krav om IKT-sikkerhet. Det stilles imidlertid ikke alltid hensiktsmessige krav om sikring av IKT-systemer som understøtter virksomheters produksjon av varer og tjenester.

Gitt det gjeldende IKT-risikobildet mener utvalget at det må utarbeides en ny lov hvor det stilles krav om forsvarlig IKT-sikkerhet til alle samfunnskritiske virksomheter og offentlig forvaltning. Den nye loven skal også gjennomføre NIS-direktivet i norsk rett. Kravene som følger av loven, må konkretiseres i forskrift og veiledning.

Utvalget mener at det ikke er nødvendig å sanere og harmonisere eksisterende regelverk før vedtakelse av loven. Det er viktigere å sørge for at det i fremtiden blir enhetlig begrepsbruk i lover og forskrifter som stiller krav om IKT-sikkerhet.

Selv om samfunnskritiske virksomheter og offentlig forvaltning har forsvarlig IKT-sikkerhet, gjenstår mange digitale sårbarheter. De fleste virksomheter er avhengige av lange og komplekse digitale verdikjeder. I prinsippet kan alle IKT-systemer bli benyttet som mellomledd i angrep mot andre egentlige mål, for eksempel samfunnskritiske virksomheter. Også tilkoblede produkter kan inngå i angrepsnettverk som kan skade samfunnskritiske funksjoner. Dette er risiko som i liten grad reduseres ved at det stilles krav om forsvarlig IKT-sikkerhet til samfunnskritiske virksomheter og offentlig forvaltning.

Utvalget har vurdert muligheten for å underlegge alle virksomheter krav om IKT-sikkerhet i lov, ikke bare samfunnskritiske virksomheter og offentlig forvaltning. Krav i lov kan være inngripende og ressurskrevende. Utvalget mangler konkrete holdepunkter for å si hvor stort det gjenstående behovet er for å styrke IKT-sikkerheten i alle norske virksomheter. Dersom behovet er stort, taler det for å stille krav i lov til alle norske virksomheter. Utvalget anbefaler derfor at det nedsettes et eget lovutvalg som skal utrede en lov som stiller krav om IKT-sikkerhet til alle norske virksomheter.

1.2 Krav om IKT-sikkerhet ved anskaffelser

Anskaffelser av IKT-tjenester kan, og vil i mange tilfeller, gi bedre trygghet og mer stabile og tilgjengelige tjenester. Med andre ord kan anskaffelser av IKT-tjenester være et fornuftig IKT-sikkerhetstiltak.

Anskaffelser av slike tjenester er imidlertid ikke risikofritt. Det er utvalgets oppfatning at den største utfordringen med anskaffelser er manglende bevissthet om risikoen. For å kunne iverksette hensiktsmessige sikkerhetstiltak, er det avgjørende at virksomhetene vurderer risikoen ved alle anskaffelser. Virksomheter som blir omfattet av utvalgets forslag til ny lov om IKT-sikkerhet plikter å vurdere slik risiko.

Utvalget mener at det må stilles krav om IKT-sikkerhet ved alle offentlige anskaffelser. Anskaffelsesregelverket bør endres slik at oppdragsgiveren får en slik plikt.

Statens standardavtaler (SSA) brukes av en rekke private virksomheter, i tillegg til offentlig sektor. Utvalget anbefaler at SSAene endres slik at IKT-sikkerhet blir tydeligere ivaretatt.

Det er et stort behov for kompetanse og veiledning om IKT-sikkerhet ved anskaffelser. Utvalget mener det er viktig at den eksisterende veiledningen på anskaffelsesområdet videreutvikles til å inkludere IKT-sikkerhet i større grad. Veiledningen om anskaffelser og SSAer bør samkjøres med annen veiledning om IKT-sikkerhet.

1.3 Etablere et nasjonalt IKT-sikkerhetssenter

Mange virksomheter opplever at råd og veiledning fra myndighetene er for lite koordinert mellom etatene. De er usikre på hvor de skal henvende seg når de har spørsmål om IKT-sikkerhet. Det er også utfordringer med koordinering og informasjonsdeling når uønskede digitale hendelser skal håndteres. Det er mange som etterlyser mer offentlig-privat samarbeid og en styrket innovasjonsevne innenfor IKT-sikkerhet. Det er behov for å samle kompetanse, skape synergier på tvers av sektorer og miljøer og gjøre samarbeidslinjene kortere og mer effektive.

Utvalget mener at etablering av et nasjonalt IKT-sikkerhetssenter er et godt grep for å møte dette behovet. Et senter kan være en pådriver for koordinering og samordning mellom sektorer og mellom offentlige og private aktører. Det kan være et sentralt kontaktpunkt for råd og veiledning til virksomheter, det kan koordinere håndtering av uønskede digitale hendelser og dele informasjon om trusler og sårbarheter.

Et IKT-sikkerhetssenter kan også tillegges oppgaver som ingen etater har ansvar for i dag, for eksempel å motta og offentligjøre informasjon om digitale sårbarheter («Coordinated Vulnerability Disclosure»). Senteret må dessuten stimulere til mer forskning, utvikling og innovasjon.

Et nasjonalt IKT-sikkerhetssenter må ha en tydelig forankring i sivile myndigheter. Behovet for styrket IKT-sikkerhet er først og fremst knyttet opp mot sivile samfunnsfunksjoner og kritisk infrastruktur, både i offentlig og privat regi. Samtidig har forsvarssektoren en sentral rolle knyttet til statssikkerhet, og sivil og militær IKT-infrastruktur blir i økende grad integrert. Godt sivilt – militært samarbeid er derfor en viktig oppgave for senteret. Det er også nødvendig at et slikt senter har et tydelig grensesnitt mot nasjonalt cyberkrimsenter, som er under etablering i Kripos.

Parallelt med utvalgets utredning er det startet et arbeid med å etablere et nasjonalt cybersikkerhetssenter som del av NSM. Utvalget mener at det må ligge et godt beslutningsgrunnlag til grunn før det etableres et nasjonalt IKT-sikkerhetssenter i Norge. Justis- og beredskapsdepartementet, i samarbeid med Forsvarsdepartementet, må sørge for at det gjennomføres en uavhengig behovs- og kostnadsanalyse. En slik analyse må baseres på en bred involvering av potensielle interessenter i privat og offentlig sektor. Behovsanalysen må avklare IKT-sikkerhetssenterets myndighetsforankring og kobling til NSM, og grensedragninger mot det planlagte nasjonale cyberkrimsenteret.

1.4 Tydelig regulering og ansvar for tilkoblede produkter og tjenester

Antallet produkter og tjenester som er koblet til internett er stort og i sterk økning. Manglende IKT-sikkerhet i slike produkter og tjenester kan utgjøre en trussel for forbrukere, virksomheter og samfunnssikkerheten.

Ansvaret for IKT-sikkerhet på dette området bør i større grad flyttes fra forbrukeren til produsentene og leverandørene. For å oppnå dette, bør det blant annet stilles krav om innebygd sikkerhet («Security by design») i tilkoblede produkter og tjenester.

Norge må videreføre sitt internasjonale samarbeid, særlig opp mot EU. Fordi mange tilkoblede produkter og tjenester brukes på tvers av landegrenser, er det viktig å ha et harmonisert regelverk internasjonalt. På denne bakgrunn mener utvalget at det er bedre å bidra til et oppdatert regelverk på EU-nivå enn at Norge unilateralt endrer regelverket på feltet.

Utvalget mener videre at det må være et tett samarbeid mellom tilsynsmyndigheter som Datatilsynet, Forbrukertilsynet, DSB og Nkom når det gjelder tilkoblede produkter og tjenester. Myndighetene må gi bedre råd og veiledning til importører, forhandlere og norske produsenter på dette området. Utarbeidelse av råd og veiledning må gjøres i samarbeid med bransjeaktørene. Målsettingen bør være å forebygge at produkter uten tilfredsstillende IKT-sikkerhet lanseres på det norske markedet, og å håndtere avdekkede sikkerhetshull på en god måte.

Myndighetene må også sørge for at produkter uten tilstrekkelig IKT-sikkerhet kan oppdages, varsles om og tilbakekalles. Forbrukerne må kunne heve kjøp av produkter og tjenester som ikke har tilstrekkelig IKT-sikkerhet.

Utvalget mener at myndighetsansvaret for IKT-sikkerheten i tilkoblede produkter og tjenester må tydeliggjøres. Det er viktig at DSB som produktsikkerhetsmyndighet holder seg oppdatert på utviklingen, og utvalget mener DSB bør få en tydelig rolle når det gjelder varsling, rapportering, tilbakekalling og håndtering i forbindelse med manglende IKT-sikkerhet i tilkoblede produkter og tjenester.

1.5 Tydeligere styring og bedre koordinering av nasjonal IKT-sikkerhet

IKT-sikkerhet griper inn i alle sektorer og virksomheter i samfunnet. Denne kompleksiteten utfordrer styringen og samordningen av nasjonal IKT-sikkerhet.

Det foreligger ingen enkel oppskrift på hvordan myndighetene best mulig skal organisere seg for å møte disse utfordringene. Utvalgets informasjonsinnhenting har ikke avdekket noe åpenbart behov for å gjøre større endringer i ansvar, roller eller oppgaver til etatene. Det er imidlertid viktig at ansvarsforholdene er tydelig definert der det er tilgrensende områder, og at det er et godt og koordinert samarbeid på tvers av sektorer og etater.

Utvalget mener at Justis- og beredskapsdepartementet i større grad må være en synlig aktør som tar initiativ, løser opp i uklarheter, definerer mål, koordinerer og samordner arbeidet med nasjonal IKT-sikkerhet. Det er et politikkområde som bør løftes systematisk inn i styringsprosesser og i samfunnsdebatten. Etablering av et nasjonalt IKT-sikkerhetssenter og en ny lov om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning vil styrke departementets evne til å utøve et tydeligere lederskap for nasjonal IKT-sikkerhet.

Justis- og beredskapsdepartementet må ha en mer samordnet styring av underliggende etater når det gjelder IKT-sikkerhetsoppgaver. Utvalget mener også at Justis- og beredskapsdepartementet må være en tydelig pådriver for å samordne departementenes styringssignaler om IKT-sikkerhet.

Justis- og beredskapsdepartementet må tilrettelegge for at tilsyn på IKT-sikkerhetsområdet koordineres bedre, og at tilsyn med teknisk IKT-sikkerhet gis økt oppmerksomhet. Utvalget mener at samarbeidet som har funnet sted mellom en rekke etater og departementer innen HMS-tilsyn, er et godt eksempel på hvordan IKT-sikkerhetstilsyn kan koordineres.

NSM har en sentral rolle som Justis- og beredskapsdepartementets fagmiljø innenfor IKT-sikkerhet på sivil side. De understøtter også Forsvarsdepartementet i deres ansvar på IKT-sikkerhetsområdet i forsvarssektoren. Utvalget mener at Justis- og beredskapsdepartementet og Forsvarsdepartementet må gjennomgå modellen for styring av NSM for å sikre at IKT-sikkerhet i sivil sektor blir bedre ivaretatt, samtidig som koblingen mellom sivil sektor og forsvarssektoren beholdes.

2 Mandat, sammensetning og arbeidsmåte

Mandatet for utvalgets arbeid fremgår av dette kapittelet, sammen med utvalgets mandatsforståelse. Det gis en beskrivelse av utvalgssammensetningen og hvordan det har arbeidet. Til slutt gis en kort beskrivelse av strukturen og innholdet i utredningen.

2.1 Mandat

Digitalisering er en avgjørende faktor for økonomisk vekst og sysselsetting. Den driver innovasjon, og bidrar til effektivisering av næringslivet og offentlig sektor. Digitalisering har ført til nye forretningsmodeller og nye næringsveier, samtidig som gamle, analoge løsninger fases ut. Den økte digitaliseringen av samfunnet har samtidig medført at samfunnets risikobilde har endret seg. Ingen virksomheter, sektorer eller nasjoner kan i dag kontrollere sin digitale sårbarhet alene.

Behovet for forsvarlig IKT-sikkerhet i samfunnet har økt i takt med digitaliseringen. Et viktig aspekt er befolkningens trygghet, som inkluderer både kriminalitetsbekjempelse og beskyttelse av personvernet. Et annet aspekt er det teknologiske, der spesielt funksjonaliteten til samfunnskritiske infrastrukturer og tjenester står i fokus. Et tredje aspekt er at forsvarlig IKT-sikkerhet generelt i samfunnet vil bidra til et mer robust samfunn og dermed ha positive virkninger for nasjonal sikkerhet. Et fjerde aspekt er digitaliseringens betydning for økonomisk vekst og utvikling. For å høste gevinster av digitaliseringen er det viktig at virksomheter, offentlig forvaltning, og samfunnet som helhet har tillit til at de digitale tjenestene fungerer som forutsatt, er tilgjengelig når de trengs der de trengs og har et forsvarlig sikkerhetsnivå.

I NOU 2015: 13 Digital sårbarhet – sikkert samfunn ble våre digitale sårbarheter kartlagt. Som ledd i oppfølgingen av rapporten, mener regjeringen det er behov for å utrede rettslig regulering på IKT-sikkerhetsområdet og organisering av tverrsektorielt ansvar. Det vises også til Meld. St. 10 (2016–2017) om samfunnssikkerhet og Meld. St. 38 (2016–2017) om IKT-sikkerhet for ytterligere beskrivelser av utfordringer og regjeringens politikk på IKT-sikkerhetsområdet.

Problemstilling 1 – er dagens regulering hensiktsmessig for å oppnå forsvarlig nasjonal IKT-sikkerhet?

Norske virksomheter må forholde seg til flere ulike regelverk innenfor IKT-sikkerhet. Regelverkene har til dels ulike formål, og benytter ofte ulike begrep og metoder. Utvalget skal:

  • kartlegge relevant sektorspesifikt og tverrsektorielt regelverk om IKT-sikkerhet

  • vurdere hvorvidt det eksisterende regelverket er hensiktsmessig innrettet, og om dette ivaretar de nye digitale samfunnsutfordringene

  • vurdere om det er behov for harmonisering av eksisterende regelverk

  • vurdere om det er behov for tverrsektoriell IKT-sikkerhetslovgivning utover det som følger av gjeldende rett

Problemstilling 2 – har vi en hensiktsmessig fordeling og organisering av tverrsektorielt ansvar på etatsnivå innen nasjonal IKT-sikkerhet?

Digitaliseringen har medført større grad av avhengighet og sammenknytning mellom offentlig og privat, sivilt og militært og mellom ulike samfunnssektorer. Trussel- og sårbarhetsbildet endrer seg raskt samtidig som vi får et stadig mer komplekst samfunn. Dette skaper flere utfordringer for myndighetene, blant annet når det gjelder kompetanse og ressurser. Utvalget skal:

  • vurdere om ansvar, roller og oppgaver er hensiktsmessig fordelt og organisert mellom etater med tverrsektorielt ansvar på IKT-sikkerhetsområdet

  • vurdere hvordan det best kan legges til rette for samspill og samarbeid mellom etater med tverrsektorielt ansvar og relevante sektormyndigheter

  • se på muligheter for koordinering, samarbeid og synergieffekter mellom offentlig og privat sektor slik at nasjonal IKT-sikkerhet ivaretas og styrkes

  • med utgangspunkt i at Norge skal gjennomføre NIS-direktivet, vurdere en hensiktsmessig fordeling av de oppgaver som følger av direktivet

Utvalget skal ikke se på organiseringen på departementsnivå, men kan komme med forslag om fag- og ansvarsområder som bør sees i sammenheng også på dette nivået.

Problemstilling 3 – hvilke regulatoriske og organisatoriske grep bør gjøres for å styrke nasjonal IKT-sikkerhet?

Hvis utvalget konkluderer med at det er behov for endringer for problemstilling 1 eller 2, skal utvalget foreslå konkrete rettslige og organisatoriske tiltak.

Utvalget står fritt til å foreslå rettslige og organisatoriske tiltak som kan forbedre arbeidet med og styrke nasjonal IKT-sikkerhet. Forslagene kan innebære mindre endringer i oppgaveporteføljer og harmonisering av eksisterende regelverk, sammenslåing av etater, opprettelse av nye etater og utarbeidelse av nytt regelverk. Utvalget må vurdere hvilke virkemidler som vil få best effekt.

Generelt om utvalgets arbeid

Utvalget skal innhente innspill fra, og ha dialog med, berørte aktører både i privat og offentlig sektor og andre med interesse for arbeidet. Utvalget skal i sitt arbeid se til andre sammenlignbare land for hvordan nasjonal IKT-sikkerhet ivaretas gjennom rettslig regulering og fordeling av tverrsektorielt ansvar mellom myndigheter på etatsnivå.

Det skal etableres en referansegruppe med deltakelse fra Justis- og beredskapsdepartementet, Forsvarsdepartementet, Kommunal- og moderniseringsdepartementet, Samferdselsdepartementet, Nærings- og fiskeridepartementet og Statsministerens kontor.

Utredningen skal være avgrenset mot bestemmelser, organisering og myndighet som følger av sikkerhetsloven og forslag til ny sikkerhetslov (Prop. 153 L (2016–2017) Lov om nasjonal sikkerhet).

Utvalget må se hen til EUs NIS-direktiv og Norges arbeid med gjennomføring av direktivet. Utvalget skal legge til grunn at Norge kommer til å gjennomføre direktivet slik det er utformet. Det innebærer at alle forpliktelser som følger av direktivet skal gjelde for Norge. Justis- og beredskapsdepartementet skal orientere utvalget om utviklingen i arbeidet med gjennomføring av direktivet i Norge. Utvalget må også se hen til gjeldende personvernregelverk, samt EUs nye regelverk om personvern (GDPR), inkludert Norges arbeid med gjennomføring av dette.

Utvalget skal utforme eventuelle lovforslag i samsvar med anbefalingene fra Justis- og beredskapsdepartementet i veilederen «Lovteknikk og lovforberedelse». Utvalget skal fremme forslag til endringer i andre lover og forskrifter som er en følge av utvalgets øvrige forslag. Det må vurderes hva som bør reguleres i lov og hva som eventuelt bør reguleres i forskrift eller retningslinjer.

Utredningen skal gjennomføres i samsvar med kravene i utredningsinstruksen, fastsatt ved kongelig resolusjon 19. februar 2016.

Dersom det er behov for avklaringer av eller å gjøre mindre endringer i mandatet så skal utvalget ta dette opp med Justis- og beredskapsdepartementet som kan beslutte disse.

Utvalget skal levere sin utredning i form av en NOU innen 1. desember 2018.

2.2 Utvalgets mandatforståelse

Det er utarbeidet et omfattende kunnskapsgrunnlag på IKT-sikkerhetsområdet de siste årene, blant annet knyttet til digitale sårbarheter og hvilke trusler vi står overfor. Utvalget har tatt utgangspunkt i dette kunnskapsgrunnlaget i sitt arbeid. I tillegg har utvalget innhentet egne data spesielt knyttet til organisering og regulering. Se punkt 2.3 om utvalgets arbeid.

2.2.1 Begrepet IKT-sikkerhet

Begrepet IKT-sikkerhet har ikke en entydig definisjon. Det har grenseflater mot, eller oppfattes som synonymt med, informasjonssikkerhet, cybersikkerhet og digital sikkerhet. Innholdet i disse varierer og glir i noen grad over i hverandre. I noen dokumenter benyttes begrepene helt eller delvis synonymt, i andre tillegges de ulikt innhold. Innholdet i begrepet IKT-sikkerhet har endret seg noe over tid. Tradisjonelt har beskyttelse av nettverk og systemer vært vektlagt. I dag omfatter begrepet i større grad informasjonen som behandles i systemene og nettverkene samt tjenestene som systemene leverer.

IKT-sikkerhet forstås i denne utredningen som beskyttelse av IKT-systemene, samvirket mellom systemene, tjenestene som leveres av systemene, eller informasjon som behandles i systemene. Sikkerhetsmålene for IKT-sikkerhet er

  • tilgjengelighet, dvs. at IKT-systemene, informasjonen som behandles i systemene, og tjenestene tilknyttet systemene er tilgjengelig der og når det trengs for brukerne

  • integritet, dvs. at IKT-systemene, informasjonen som behandles i systemene, og tjenestene tilknyttet systemene ikke endres utilsiktet eller uautorisert

  • konfidensialitet, dvs. at IKT-systemene, informasjonen som behandles i systemene, og tjenestene tilknyttet systemene kun er tilgjengelige for dem som rettmessig skal ha tilgang

Den enkelte virksomhet vil vekte sikkerhetsmålene ulikt ut fra hvilket formål den har eller skal understøtte, og hvilke krav og hvilket risikobilde den må forholde seg til. Basert på disse målene og vektingen av dem vil beskyttelsen omfatte teknologiske, menneskelige og organisatoriske barrierer, som skal motvirke uønskede digitale hendelser, evne til å oppdage slike hendelser og påfølgende reaksjon for å gjenopprette en sikker tilstand for IKT-systemene.

2.2.2 Forsvarlig nasjonal IKT-sikkerhet

Forsvarlig nasjonal IKT-sikkerhet er en overordnet målsetting i mandatet. Utvalget legger til grunn at bruken av ordet nasjonal innebærer IKT-sikkerhet som har betydning for samfunnet som helhet.

Med ordet forsvarlig forstår utvalget at det skal være et minimumsnivå på sikkerheten. Hva som må til for å oppnå et minimumsnivå, er imidlertid ikke entydig. Utvalget legger til grunn at forsvarlig IKT-sikkerhet kommer godt til uttrykk i NSMs grunnprinsipper for IKT-sikkerhet.1 Disse bygger på anerkjente standarder og rammeverk i Norge og internasjonalt, og beskriver hva en virksomhet bør gjøre for å sikre sine IKT-systemer. En virksomhet som etterlever disse prinsippene, vil ha forsvarlig IKT-sikkerhet. Hovedpunktene i prinsippene er:2

  1. Identifisere og kartlegge – gjør risikovurdering

  2. Beskytte – sikre verdiene dine

  3. Opprettholde og oppdage – vær bevisst

  4. Håndtere og gjenopprette – lær av utfordringene dine

Hvert grunnprinsipp har underliggende teknologiske og organisatoriske sikringstiltak som beskriver hva som bør gjøres.

2.2.3 Regulering

Første del av mandatet omfatter å vurdere om dagens regulering er hensiktsmessig for å oppnå forsvarlig nasjonal IKT-sikkerhet.

Utgangspunktet for utvalget er at en regulering anses å stille krav om IKT-sikkerhet hvis den inneholder bestemmelser om beskyttelse av IKT-systemene, tjenestene som leveres av systemene, eller informasjon som behandles i systemene.

Med begrepet tverrsektorielt regelverk forstås regelverk som stiller krav til offentlige og/eller private virksomheter i to eller flere samfunnssektorer. Utvalget har lagt til grunn at begrepet regelverk omfatter lov, forskrift og instrukser, mens begrepet regulering også omfatter soft law (standarder, bransjepraksis og veiledere). Eksempler her er NSMs grunnprinsipper, Difis og Datatilsynets veiledere om informasjonssikkerhet, og Normen i helsesektoren.3

2.2.4 Organisering

Andre del av mandatet innebærer å vurdere om Norge har en hensiktsmessig fordeling og organisering av tverrsektorielt ansvar på etatsnivå innen nasjonal IKT-sikkerhet.

Utvalget legger til grunn at etater med tverrsektorielt ansvar har oppgaver som berører mer enn én statsråds sektoransvar, og har særlig vurdert følgende etater med tverrsektorielt ansvar på IKT-sikkerhetsområdet:

  • Nasjonal sikkerhetsmyndighet (NSM)

  • Direktoratet for samfunnssikkerhet og beredskap (DSB)

  • Direktoratet for forvaltning og IKT (Difi)

  • Nasjonal kommunikasjonsmyndighet (Nkom)

  • Datatilsynet

NSM, DSB og Difi er de som tydeligst har tverrsektorielt ansvar.

Nkom er i utgangspunktet en sektormyndighet, men det elektroniske kommunikasjonsnettet (ekomnett) er en integrert del av den nasjonale IKT-infrastrukturen. For de fleste virksomheter er ekomnett og -tjenester også en integrert del av egne IKT-systemer. I et slikt perspektiv er Nkoms ansvarsområde tverrsektorielt, noe som også kommer til uttrykk i det utstrakte samarbeidet etaten har på sikkerhetsområdet med blant andre NSM og DSB.

Datatilsynets oppgaver og kompetansefelt er tverrsektorielt i og med at personvernlovgivningen er allmenn og griper inn i alle sektorer. Datatilsynet skiller seg likevel fra de andre ved at det er et mer uavhengig organ som ikke instrueres av et departement. I vår tid er personvern uløselig knyttet til IKT-sikkerhet, og Datatilsynet er derfor en sentral aktør på dette området.

2.2.5 Øvrige avgrensninger

Det følger av mandatet at utredningen er avgrenset mot eksisterende sikkerhetslov og forslaget til ny sikkerhetslov. Med det mener utvalget at det ikke skal foreslås endringer i denne loven. Grensesnitt mellom sikkerhetsloven og regelverk på IKT-sikkerhetsområdet utenfor sikkerhetsloven er imidlertid beskrevet.

Utvalget har ikke vurdert organisering i politietaten eller Forsvaret. Følgende grensesnitt er i noen grad behandlet:

  • mellom sivil sektor og forsvarssektor, herunder den gjensidige avhengigheten

  • mellom politiet og relevante aktører når det gjelder IKT-kriminalitet

  • mellom kommunalt og statlig nivå knyttet til IKT-sikkerhet

2.3 Sammensetning og utvalgets arbeid

Utvalget har hatt åtte medlemmer:

  • leder: skattedirektør Hans Christian Holte, Oslo

  • direktør for cybersikkerhet Terje Wold, Tromsø

  • administrerende direktør Håkon Grimstad, Trondheim

  • Head of Cyber Security Advisory Lillian Røstad, Nesodden

  • direktør internett og nye medier Torgeir A. Waterhouse, Oslo

  • forskningsleder Marie Moe, Trondheim

  • professor Lee A. Bygrave, Oslo

  • lagdommer Therese Steen, Oslo

Utvalget har vært støttet av et sekretariat. Sekretariatslederfunksjonen har vært delt mellom Roger Kolbotn og Sveinung Torgersen fra Justis- og beredskapsdepartementet. I tillegg har sekretariatet bestått av Christian Frederik Mathiessen og Ola Hermansen fra Justis- og beredskapsdepartementet, Anniken Grønli Foss fra Difi, Harald Fardal fra DSB, og Klaus Søreide og Anders Bjønnes fra NSM. Sekretariatsmedlemmene har hatt ulike prosentstillinger.

Utvalget har avholdt 13 møter fra oktober 2017 til november 2018. Enkelte møter har hatt to dagers varighet. I samme periode har det vært gjennomført to møter med referansegruppen, der utvalgsleder og sekretariatsleder har deltatt.

Utvalgets arbeid er basert på ulike metoder og datagrunnlag. Det har vært gjennomført samtaler med en rekke virksomheter der formålet har vært å få belyst de største utfordringene og de viktigste tiltakene knyttet til organisering og regulering av nasjonal IKT-sikkerhet. I tillegg har enkelte fagpersoner og forskere holdt innlegg om ulike temaer på området. Hos Felles cyberkoordineringssenter fikk utvalget og sekretariatet en oppdatert og sikkerhetsgradert vurdering fra Etterretningstjenesten, PST, NSM og Kripos om de viktigste truslene og sårbarhetene vi som samfunn står overfor når det gjelder IKT-sikkerhet.

Representanter fra sekretariatet har deltatt på utenlandsreiser til Storbritannia, Sverige og Danmark. I tillegg har sekretariatet fått relevante reiserapporter fra Estland og Nederland. Hensikten med utlandsbesøkene har vært å få bedre kjennskap til hvordan andre land arbeider med nasjonal IKT-sikkerhet. Utover dette har informasjon om andre lands organisering og regulering blitt skaffet til veie gjennom de respektive landenes offisielle nettsider og strategidokumenter.

Sekretariatet hadde innledningsvis i arbeidet egne møter med Difi, DSB, NSM, Datatilsynet og Nkom. Hensikten var å møte saksbehandlere og fagpersoner i virksomhetene som jobber med tverrsektorielle oppgaver innen IKT-sikkerhet, og få høre om deres oppgaver og syn på nasjonale utfordringer. I tillegg ønsket sekretariatet å gjennomføre samtalene som en forundersøkelse, slik at den øvrige informasjonsinnhentingen ble mer spisset.

Utvalget ba om skriftlige innspill fra 186 virksomheter i offentlig og privat sektor. Virksomhetene ble identifisert gjennom en interessentanalyse, og de representerer departementer, direktorater og statlige etater, ulike virksomheter i det private næringslivet, fagforeninger, interesseorganisasjoner, utvalgte kommuner og fylkeskommuner og relevante ikke-statlige organisasjoner. Det var åpne spørsmål uten svaralternativer, og respondentene ble bedt om å begrunne svarene. Spørsmålene var særlig knyttet til utfordringer med dagens regulering og myndighetenes organisering av arbeidet med nasjonal IKT-sikkerhet, og hvilke tiltak som kan iverksettes for å styrke IKT-sikkerheten i samfunnet. Undersøkelsen ble utført i perioden fra januar til mars 2018, og det kom svar fra ca. 90 virksomheter.

Det er noen utfordringer med å behandle data fra et spørreskjema med åpne spørsmål. Det kan være krevende å formulere spørsmål som er tilstrekkelig åpne og nøytrale, og det kan være vanskelig å svare tilfredsstillende på komplekse spørsmål i en skriftlig tilbakemelding. Kvaliteten på svarene som utvalget fikk varierte også noe. Spørsmålene ble sendt til virksomhetene, og det kan være litt tilfeldig hvem som har svart. Enkelte ganger har det vært sikkerhetslederen, andre ganger IT-ansvarlig, juridisk direktør eller andre. Utvalget kan ikke se bort fra målefeil, avhengig av hvem som har svart. Det kan også tenkes at utvalget i enkelte tilfeller ville fått et annet svar hvis en annen person i samme virksomheten hadde svart på samme spørsmål. Dette kan svekke reliabiliteten noe. På noen spørsmål kan det se ut som manglende kompetanse og kunnskap preger svarene. Det er allikevel ikke grunn til å tro at undersøkelsen har systematiske målefeil, og samlet sett gir svarene et rimelig bilde av hvordan sentrale virksomheter ser på utfordringer og mulige tiltak.

Utvalget har gjennomgått eksisterende lover, forskrifter og instrukser basert på tekstsøk i Lovdata. Ved å bruke ulike søkeord har utvalget kartlagt og gjennomgått relevante lover, forskrifter og instrukser. Utvalget har vurdert relevansen av disse opp mot eksisterende litteratur på området samt tilbakemeldingene om relevant regelverk fra virksomheter som har svart på utvalgets spørreskjema.

Utvalget arrangerte en workshop blant Norsk informasjonssikkerhetsforums (ISF) medlemmer. På møtet deltok 75 personer fra 55 virksomheter, i hovedsak fra det private. Deltakerne var personer som har særlig interesse av eller kunnskap om IKT-sikkerhet i sine virksomheter, og det var relevant for utvalget å få informasjon om deres syn på nasjonal IKT-sikkerhet. Deltakerne ble bedt om å diskutere de største utfordringene med dagens organisering og regulering av IKT-sikkerhet og relevante tiltak.

Som en del av utredningen har Oslo Economics gjennomført en samfunnsøkonomisk analyse med grunnlag i utvalgets anbefalinger (se digitalt vedlegg). Analysen ble utført parallelt med at utvalget utarbeidet sine anbefalinger. Teknologirådet har i tillegg bidratt til teksten om teknologitrender og sikkerhetsutfordringer i kapittel 4.

I tillegg har utvalget og sekretariatet gjennomført dokumentstudier av evalueringer og forskningsrapporter, stortingsdokumenter, NOU-er, tildelings- og iverksettingsbrev, årsrapporter og annen relevant litteratur. Se vedlegg 4 for nærmere beskrivelse av datagrunnlaget.

2.4 Struktur og innhold

Utredningen er delt inn i seks deler. I del I inngår sammendraget, mandatet og utvalgets mandatforståelse. I del II beskrives noen grunnleggende utviklingstrekk i samfunnet som har betydning for organisering og regulering innenfor IKT-sikkerhet. Utfordringsbildet knyttet til organisering og regulering innenfor IKT-sikkerhet er drøftet i del III etterfulgt av utvalgets tiltak og anbefalinger i del IV. Økonomiske og administrative konsekvenser knyttet til utvalgets anbefalinger beskrives i del V. Til slutt følger utredningens vedlegg.

Fotnoter

1.

Nasjonal sikkerhetsmyndighet (2017) NSMs grunnprinsipper for IKT-sikkerhet.

2.

Hovedpunktene i grunnprinsippene samsvarer med hovedpunktene i veiledningen til NIS-direktivet som det britiske cybersikkerhetssenteret har utarbeidet, National Cyber Security Center (2018) NIS Guidance Collection.

3.

Normen i helsesektoren er et omforent sett av krav til informasjonssikkerhet basert på regelverket.

Til forsiden