NOU 2018: 14

IKT-sikkerhet i alle ledd — Organisering og regulering av nasjonal IKT-sikkerhet

Til innholdsfortegnelse

Del 2
Situasjonsbeskrivelse

3 IKT-risikobildet

Dette kapitlet beskriver samfunnets verdier, sårbarheter knyttet til verdiene og trusler som kan ramme verdiene.

3.1 Verdier

Utvalget legger til grunn den samme forståelsen av hva som er grunnleggende samfunnsverdier, som i NOU 2015: 13 Digital sårbarhet – sikkert samfunn:1

Våre grunnleggende samfunnsverdier kommer til utrykk både i nasjonal og i internasjonal rett. Grunnloven og rettssystemet vårt bygger på rettsstatsprinsipper som legalitetsprinsippet, rettssikkerhetshensyn, demokratihensyn og menneskerettigheter, herunder personvern, ytringsfrihet og forsamlingsfrihet.

Disse verdiene gir uttrykk for både hva som er enkeltindividets rettigheter og friheter, og hva som skal til for at de kan realiseres. Verdiene er også «fundamentet for reguleringen av det innbyrdes forholdet mellom statsmaktene ved maktfordelingsprinsippet og forholdet mellom staten og befolkningen».2

Arbeidet med samfunnssikkerhet er en viktig brikke i ivaretakelsen av de grunnleggende samfunnsverdiene. Samfunnssikkerhet handler om3

[s]amfunnets evne til å verne seg mot hendelser som truer grunnleggende verdier og funksjoner og setter liv og helse i fare. Slike hendelser kan være utløst av naturen, være et utslag av tekniske eller menneskelige feil eller bevisste handlinger.

Det overordnede målet med samfunnssikkerheten er altså å ivareta grunnleggende samfunnsverdier. Samlet sett er det en rekke funksjoner i samfunnet som er kritiske for å ivareta disse verdiene.4 Disse funksjonene ivaretas av private og offentlige virksomheter. Svikt i eller bortfall av leveransene til slike virksomheter kan få konsekvenser utover deres egen virksomhet, og med betydelige negative følger for samfunnet. Det er derfor viktig at samfunnskritiske virksomheter sikres godt. Fordi samfunnssikkerhet også er et myndighetsansvar, har myndighetene behov for å ha en viss kontroll og styring med sikkerheten i disse virksomhetene.

Verdiene som trekkes frem i mandatet, må ses i denne konteksten. Der vises det til befolkningens trygghet, samfunnskritisk infrastruktur, nasjonal sikkerhet og økonomisk vekst og utvikling. Disse verdiene griper inn i og er avhengige av hverandre, og må beskyttes for å opprettholde et trygt, fritt og velfungerende samfunn.

3.2 Sårbarheter

Digitalisering er et globalt fenomen. Den digitale utviklingen er avgjørende for verdiskaping og vekst, men fører også til nye sårbarheter og dilemmaer. Stadig flere systemer og enheter kobles sammen, slik at den samfunnsmessige sårbarheten utvides. Dette gjør systemer, infrastrukturer og verdikjeder utsatt for hendelser som kan få negative konsekvenser for enkeltindivider, for den enkelte virksomhet og for samfunnet som helhet.5

Utviklingen der «alt henger sammen med alt», utgjør en strukturell sårbarhet i samfunnet på flere måter. De fleste virksomheter er avhengige av digitale tjenester som er levert av andre, for egen produksjon eller aktivitet. Sårbarheter og feil forplanter seg raskt mellom leddene i verdikjeden og kan få uante konsekvenser. Tjenester, systemer, virksomheter og infrastrukturer arver sårbarheter fra hverandre.

Lysne-utvalget skrev i sin utredning at på grunn av de digitale verdikjedene er det ingen virksomheter som har full oversikt over egne sårbarheter.6 Verdikjedene er sårbare for alle typer hendelser, både de som skyldes bevisste handlinger, og de som skyldes feil eller ulykker. For en enkeltperson kan en feil i ett ledd i verdikjeden føre til bortfall av en viktig digital tjeneste, for eksempel nettbanken. Gjensidige avhengigheter og sårbarheter i digitale verdikjeder kan i ytterste konsekvens påvirke samfunns- og statssikkerheten.

Økende globalisering innebærer sårbarhet overfor uønskede hendelser som har sin opprinnelse utenfor landegrensene og dermed utenfor norsk kontroll. Ekomsektoren er et godt eksempel på dette. I Lysne-utvalgets rapport fremgår det at det er en av de mest kritiske sektorene i et digitalisert samfunn.7 Nkom skriver i sin årlige risikovurdering at forringelse av nasjonal kontroll over kritisk tjenesteproduksjon og et uforutsigbart sikkerhetspolitisk bilde utgjør en økende risiko innen elektronisk kommunikasjon.8

Produksjon av norske elektroniske kommunikasjonsløsninger avhenger i stor grad av fysisk infrastruktur og innsatsfaktorer fra leverandører utenfor Norge. Tilgang til profesjonelle og mer effektive tjenester som gir større forutsigbarhet, stabilitet og bedre finansieringsmodeller, gjør at flere IKT-funksjoner settes ut til en tredjepart, også til lavkostland. Tjenesteutsetting av IKT-tjenester til profesjonelle aktører kan gi bedre sikkerhet og mer stabile og tilgjengelige tjenester, i tillegg til lavere og mer forutsigbare kostnader. Samtidig kan det føre til økt risiko på grunn av redusert kontroll over stadig mer komplekse verdikjeder.

Stadig flere enheter, prosesser og tjenester kobles til internett. Internett har utviklet seg til å bli verdens kanskje viktigste infrastruktur og utgjør ryggraden i den globale flyten av varer, tjenester og informasjon. Fremveksten av tingenes internett og andre teknologitrender kan skape nye sikkerhetsutfordringer. Noen utvalgte trender behandles nærmere i kapittel 4.

Internasjonal cyberpolitikk er fremdeles i støpeskjeen. Det finnes ingen overordnet aktør som styrer infrastrukturen globalt. Det er få mellomstatlige arenaer for å utvikle kjøreregler for statlig oppførsel i det digitale rommet og få internasjonale konvensjoner som spesifikt regulerer det.

Utviklingen av internett og digitale produkter og tjenester foregår i all hovedsak gjennom private selskaper og i forsknings- og utviklingsmiljøer. Viktige beslutninger om utvikling og sikkerhet i det digitale rommet og i digitale produkter og tjenester blir i stor grad fattet av kommersielle aktører med begrenset påvirkning fra myndigheter. Disse aktørene befinner seg i all hovedsak utenfor Norges grenser.

Utformingen av normer, konvensjoner og reguleringer som får direkte betydning for Norge, foregår også i stor grad internasjonalt. Mange store IKT-sikkerhetsutfordringer er grenseoverskridende, og de kan best løses i fellesskap. EUs arbeid med digital sikkerhet påvirker for eksempel direkte Norges evne til å sikre nasjonale nettverk. NIS-direktivet som skal bidra til et felles sikkerhetsnivå i nettverks- og informasjonssystemer i EU, er et godt eksempel på dette, i tillegg til personvernforordningen (General Data Protection Regulation (GDPR)) og Cybersecurity Act.9 NATOs krav om at medlemslandene skal ha robuste sivile elektroniske kommunikasjonsnett, er et annet eksempel på en internasjonal forpliktelse som Norge må forholde seg til.10

Tilgang til IKT-sikkerhetskompetanse fremstår som en av de største utfordringene på IKT-sikkerhetsområdet. En rekke dokumenter peker på dette som en økende utfordring.11 I 2030 vil det ifølge estimatene være et underskudd på 4100 personer med slik kompetanse i det norske samfunnet.12 På globalt nivå er det estimert at det i år 2022 vil være et underskudd på 1 800 000 personer med IKT-sikkerhetskompetanse.13 Manglende kompetanse er en utfordring ikke bare for enkeltindividet, men også for virksomheter og samfunnet. Kompetansesituasjonen påvirker utviklingen av IKT-systemer og programvare, driften av systemene og hvordan lover og forskrifter, råd, veiledere, rutiner og styringssystemer er uformet og fulgt opp. IKT-personell må ha kompetanse til å implementere tilstrekkelig sikkerhet, og det er behov for spesialisert sikkerhetskompetanse, for eksempel innenfor kryptografi. God evne til å avdekke og håndtere uønskede digitale hendelser krever også spesialistkompetanse på flere områder. NSM vurderer det økende gapet mellom tilgjengelighet og behov for sikkerhetskompetanse som en nasjonal sårbarhet.14

Sikkerhetsarbeidet i en virksomhet er et lederansvar. Erfaringer fra tilsyn gjennomført av NSM viser imidlertid at sikkerhetsarbeidet fortsatt i for liten grad inngår som et naturlig ledd i den totale ledelsen av virksomheten. Dette får konsekvenser i form av manglende kunnskap og bevissthet om risiko og egne tiltak, svak organisering, manglende prioriteringer og utilfredsstillende ressurstildeling. Svakheter som er avdekket gjennom tilsyn, lar seg ofte tilbakeføre til ledelsesutfordringer. Det registreres imidlertid økt etterspørsel etter informasjon, råd og veiledning fra ledernivåer.15

3.3 Trusler

Etterretningstjenesten, NSM og PST utgir årlige nasjonale vurderinger som viser hvilke trusler Norge som samfunn står overfor.16 I tillegg bidrar forskningsinstitusjoner og offentlige og private virksomheter til å synliggjøre sikkerhetsutfordringer som både enkeltpersoner og samfunnet for øvrig må forholde seg til. En stor andel av uønskede hendelser er utilsiktet. Feil og utfall i IKT-systemer og -tjenester skjer på grunn av menneskelige feil, programvarefeil, utstyrsfeil, naturhendelser, eller en kombinasjon av disse. Nkom viser blant annet til at Norge i 2016 hadde tre tilfeller av ekstremvær som forårsaket skader på infrastruktur som ga utfall av kraft og elektronisk kommunikasjon.17

Tilsiktede uønskede digitale hendelser er et økende problem. Dette er aktiviteter som kan være krevende å kartlegge, og som i ytterste konsekvens kan utgjøre en alvorlig trussel mot norske interesser og privatpersoner. Målet til angriperne kan være å skade en motpart ved å påvirke, redusere eller ødelegge funksjonaliteten i produksjonssystemer. Det kan også være å stjele privat informasjon fra enkeltpersoner eller skaffe seg informasjon om stats- og forretningshemmeligheter, forskningsresultater eller teknologiske nyvinninger fra kommersielle bedrifter. Man ser også handlinger som retter seg mot grunnleggende verdier og demokratiske funksjoner i samfunnet, for eksempel gjennom desinformasjon og påvirkningskampanjer.

I Helhetlig IKT-risikobilde trekker NSM frem at underleverandører og kontraktører i økende grad blir utsatt for målrettede operasjoner.18 I tillegg er også tilfeldige systemer i tiltakende grad utsatt for kompromittering ved at de kan bli utnyttet for videre nettverksoperasjoner mot andre mål. Dette kan i prinsippet være et hvilket som helst IKT-system, som ikke er et mål i seg selv, men som fungerer som mellomledd mellom en angriper og det egentlige målet.

Når det gjelder hvilke metoder som brukes i dag, slår NSM fast at mange digitale angrep innledes med bruk av ulike varianter av skadevare distribuert via e-post. Innhold og utforming fremstår som relevant og legitimt for mottakeren, men lenker og vedlegg inneholder skadelig kode som aktiveres ved at man klikker på lenken eller åpner vedlegget. NSM trekker også frem krypteringsvirus og innsidere som særlig aktuelle trusler.

4 Teknologitrender og sikkerhetsutfordringer

Teknologien utvikler seg i høyt tempo, og nye produkter, tjenester og tekniske løsninger introduseres fortløpende. Utviklingen innebærer at samfunnet er i endring, og at oppgaver og funksjoner som for få år siden var manuelle og analoge, nå digitaliseres i et raskt tempo.

Teknologiutviklingen bidrar til økt sikkerhet. For eksempel kan systemer for førerstøtte og annen ny teknologi i bil redusere risikoen for ulykker og begrense skadeomfanget. Utviklingen introduserer også nye sårbarheter. Det gjør det krevende å vite hvor sårbarhetene er, og om verdiene er tilstrekkelig sikret mot uønskede digitale hendelser.

I dette kapittelet trekkes det frem noen eksempler på teknologitrender som kan føre til nye sikkerhetsutfordringer for samfunnet. Disse trendene er kunstig intelligens og maskinlæring, tingenes internett og 5G.

4.1 Kunstig intelligens og maskinlæring

Maskinlæring er den mest brukte tilnærmingen innen kunstig intelligens.19 Teknikkene har hatt betydelige fremskritt de siste årene og er i alminnelig bruk på flere områder, som internettsøk, navigering, oversettelse, talekommandoer, filtrering av epost og virtuelle assistenter (for eksempel chatbots). Bakgrunnen for denne utviklingen er tilgang til store mengder data, kraftige og rimelige regneressurser, fremskritt i algoritmer og utviklingen av nevrale nett.20

Maskinlæring kan brukes med ondsinnede hensikter. Smarte algoritmer kan skaleres raskt og rimelig og dermed spres bredt. Teknologien har derfor potensial for stor utbredelse. Enkelte oppgaver kan maskiner gjøre mer effektivt og bedre enn mennesker, men det blir vanskelig å ha god oversikt over oppgaver som blir utført av autonome systemer. Dette kan svekke tilliten til oppgaveløsningen. En algoritme kan misbrukes på ulike måter som et ledd i et digitalt angrep.

Ondsinnet bruk av kunstig intelligens kan true innbyggere, organisasjoner og stater på spesielt tre områder:21

For det første kan kunstig intelligens automatisere oppgaver knyttet til digitale angrep. Tidligere arbeidsintensive angrep som utsendelse av epost kan gjøres både mer målrettet og bredere. Angrep kan også utnytte svakheter i systemer for kunstig intelligens, som å bruke bilder som bevisst lurer systemet med en slags optisk illusjon.22

For det andre kan kunstig intelligens automatisere oppgaver knyttet til angrep med droner eller andre fysiske systemer. Autonome systemer utstyrt med våpen krever ikke at mennesker er fysisk til stede. Kunstig intelligens muliggjør også nye typer angrep, for eksempel svermer med tusenvis av mikrodroner.

For det tredje kan kunstig intelligens automatisere oppgaver knyttet til overvåkning (som å analysere masseinnsamlede bilder), overtalelse (som å lage psykologisk målrettet propaganda) og bedrageri (som å manipulere videoer). Desinformasjon og falske nyheter kan utarbeides mer troverdig og spres mer persontilpasset, noe som kan forsterke truslene knyttet til både personvern og sosial manipulering.

Etter hvert som kunstig intelligens blir mer avansert og presis, blir også angrepene mer sofistikerte, og dermed også vanskeligere å forsvare seg mot. En annen utfordring med kunstig intelligens-drevne systemer er at de kan være vanskelige å forstå og dermed kontrollere for mennesker. Systemlogikkens manglende transparens og forståelighet kan svekke menneskers evne til å oppdage systemfeil med sikkerhetsmessige konsekvenser.

For IKT-sikkerheten kan derfor kunstig intelligens utgjøre en trussel, men også innebære en mulighet for sterkere forsvar. For eksempel kan maskinlæring brukes for å oppdage og motarbeide avanserte angrep, som å lete etter tegn til unormal nettverkstrafikk som indikerer at en angriper er inne i systemene. Utviklingen innebærer at eventuelle reguleringer både må kunne beskytte mot kunstig intelligens-drevne angrep og tillate tilsvarende forsvar.

4.2 Tingenes internett

Tingenes internett (Internet of Things (IoT)) viser til en utvikling hvor stadig flere gjenstander som vi omgir oss med i hverdagen, blir koblet til internett. Ved hjelp av små innebygde sensorer og datamaskiner blir tingene dermed i stand til å samle inn data og dele dem med andre enheter over digitale nettverk. Alt fra smartklokker og telefoner til strømmålere, biler og avansert fabrikkutstyr registrerer og prosesserer nå helt nye typer data om omgivelsene. Det kan være eierens fysiske aktivitet, husholdningens strømforbruk, bilens kjøremønster eller maskiners produksjonsprosesser.

Boks 4.1 Tingenes internett

«Ovens are computers that makes things hot; refrigerators are computers that keep things cold. These computers – from home thermostats to chemical plants – are all on-line. The Internet, once a virtual abstraction, can now sense and touch the physical world. Cutting-edge digital attackers can crash your car, your pacemaker and the nation’s power grid.»1

1 Schneier, Bruce (2018) Click Here to Kill Everybody. New York: W.W. Norton and Company.

Drivkreftene bak utviklingen er mindre og billigere sensor- og kommunikasjonsteknologi som kan integreres i tingene. I tillegg er enklere overføring og skylagring av de store datamengdene dette produserer, også en viktig faktor. Dette har åpnet for nye datadrevne forretningsmodeller basert på automatisert analyse av sanntidsdata, optimering og tilbakemelding. Et eksempel er når en smartklokke gir eieren beskjed om at hun bør gå en kort tur for å nå dagens aktivitetsmål. Et annet eksempel er når en bil løpende sender data tilbake til fabrikken, slik at de kan lære og forbedre bilene de lager.

I dag anslås det at det er flere gjenstander koblet til internett enn det er mennesker på jorda.23 Det er også forventet at veksten vil øke vesentlig i årene som kommer. Mye av denne veksten er knyttet til brede trender, som utviklingen av smarte byer, smarte hjem og digitale helsetjenester. Industri- og næringsliv vil fortsatt være viktige drivere, men tingenes internett er i økende grad på vei inn i privatliv og husholdninger.

Tilkoblede produkter uten tilstrekkelig IKT-sikkerhet kan benyttes i angrep mot samfunnsviktige institusjoner eller funksjoner. Slike angrep kan for eksempel skje ved at noen kobler sammen flere millioner ulike tilkoblede produkter (en mobiltelefon, en smart-TV, et nettkamera, et kjøleskap) og lager et gigantisk nettverk av små datamaskiner som kan brukes til å forstyrre eller sette nettsider og tjenester ut av drift (se boks 4.2).

Boks 4.2 Eksempel på botnett som benytter tilkoblede produkter

Mirai er navnet på en skadevare som infiserer en rekke tilkoblede produkter, og som kan bruke disse til å angripe nettsider og nettleverandører. Skadevaren benytter forhåndsdefinerte administrasjonspassord for å få administratortilgang til produktene og dermed ta kontroll over enheten. Mirai-botnettet skal ha bestått av hele 500 000 enheter, blant annet nettkameraer og opptakere. Dette botnettet ble benyttet i 2016 i et stort tjenestenektangrep rettet mot en sentral leverandør av DNS-tjenester. Angrepet fikk konsekvenser for en rekke amerikanske nettjenester, inkludert Twitter, Amazon, Tumblr, Reddit, Spotify, Netflix og flere spillservere. Angrepene fikk ringvirkninger også i Norge.

Tingenes internett bringer risikoen knyttet til usikrede nettverk inn i bedrifter, men også inn i privatliv og husholdninger. Informasjon kan komme på avveie, både gjennom målrettede dataangrep og feil.

Smart teknologi i offentlige rom kan registrere persondata uten at folk vet eller godkjenner det. Personlige produkter, som treningsarmbånd, produserer persondata som kan brukes på måter som eieren ikke er klar over eller kan forvente. Data om brukerens aktivitetsmønster kan havne hos tredjeparter og brukes til markedsføring eller vurdering av forsikringspremier.

Alle tilkoblede enheter kan potensielt hackes, utsettes for datakrasj eller bli utilgjengelige på grunn av nettfeil eller mangel på dekning. Dette kan medføre trusler mot liv og helse. Det har vist seg mulig å overta kontrollen over biler i fart. Den økende bruken av hjemmesensorer og velferdsteknologi, for eksempel i eldreomsorgen, utgjør også en sårbarhetsutfordring.

4.3 5G

Neste generasjons mobilnett kalles 5G.24 Arbeidet med å standardisere teknologien er i gang, og internasjonal godkjenning forventes i 2020.25 5G tilbyr stor dataoverføringshastighet. Særlig innenfor maskin-til-maskin-kommunikasjon får 5G en helt annen kapasitet enn dagens mobilnett har. I tillegg til å gjøre det samme som 4G, bare bedre og raskere, defineres det to typer maskin-til-maskin-kommunikasjon i 5G – massiv og kritisk.

Massiv maskin-til-maskin-kommunikasjon vil tilby stabil dekning for mange enheter samtidig – inntil en million enheter innenfor en kvadratkilometer. Enhetene som kan kobles på, er enkle IoT-enheter som må ha en batterikapasitet på minst ti år. Det betyr at de må være energieffektive, og mulighetene for å implementere avanserte sikkerhetsalgoritmer er små fordi dette er energikrevende. Gitt dagens sikkerhetsprotokoller peker dette seg ut som et område med store sikkerhetsutfordringer.

Kritisk maskin-til-maskin-kommunikasjon er innrettet mot kommunikasjon som krever høy pålitelighet og lav responstid. For eksempel trenger autonome kjøretøyer dette for å operere sikkert. Denne delen av 5G-standarden er også ment å håndtere nødetaters og andre kritiske tjenesters behov.

I 5G er virtualisering av nettverksfunksjoner en viktig bestanddel. Det betyr at slike funksjoner i fremtiden kommer til å kjøre som programvare på standard maskinvare, i motsetning til i dag der hver funksjon har en egen dedikert maskinpark. Følgene av dette er at ekommarkedet i stor grad kommer til å globaliseres, og at få, men store driftssentre verden rundt står for driften av ekominfrastrukturen. Dette vil utfordre måten virksomhetene tenker sikkerhet på, og kreve høy spesialistkompetanse innenfor virtualisering.

Universitetet i Surrey i Storbritannia peker på at mangfoldet av tjenester og applikasjoner i 5G gir sikkerhetsutfordringer.26 Ulike tjenester og applikasjoner vil ha forskjellig sikkerhetsbehov, og en utfordring blir å dele nettverkene i segmenter som kan kjøres uavhengig av hverandre for å ivareta de ulike behovene.

5 Myndighetenes arbeid med IKT-sikkerhet

En rekke offentlige myndigheter har roller og ansvar innenfor IKT-sikkerhet. Noen av de mest sentrale er omtalt nedenfor. I tillegg har private aktører en viktig rolle knyttet til digitaliseringen av Norge, og gjennom dette et stort ansvar for å ivareta IKT-sikkerhet. Private aktører forvalter i stor utstrekning samfunnets kritiske IKT-infrastruktur, for eksempel ekomnettene og styrings- og kontrollsystemer for en rekke andre viktige funksjoner i samfunnet. Flere private virksomheter arbeider også for å fremme IKT-sikkerhet.27 I tillegg til de tverrsektorielle etatene og departementenes oppgaver som er beskrevet under, er det en rekke sektormyndigheter som har ansvar for oppgaver innad i sin sektor. Det kan være tilsyn, råd, veiledning og øvelser. Det er også forventet at de skal ha en viss evne til å håndtere hendelser.

5.1 Statens målsettinger med IKT-sikkerheten

En hovedprioritering for myndighetene er å legge til rette for at både offentlige og private virksomheter skal ta i bruk nye digitale løsninger. En forutsetning for en vellykket digitalisering er at det skjer innenfor rammer hvor også IKT-sikkerheten ivaretas. Statens arbeid med IKT-sikkerhet knyttes derfor gjerne opp mot både samfunnssikkerhet og statssikkerhet.28 Det vil si å beskytte samfunnet mot trusler og sårbarheter som kan ramme liv og helse, samfunnets funksjonalitet, demokrati og rettssikkerhet, økonomiske verdier og nasjonens suverenitet.

I stortingsmeldingen om IKT-sikkerhet fra juni 2017 fremheves det at ingen aktør eller myndighet kan løse IKT-sikkerhetsutfordringene alene.29 Offentlig–privat, sivilt–militært og internasjonalt samarbeid er avgjørende for å lykkes. I tillegg er de overordnede prinsippene for arbeidet med samfunnssikkerhet – ansvar, nærhet, likhet og samvirke – også førende for IKT-sikkerheten.

Myndighetene legger i stortingsmeldingen vekt på fire områder som er av særlig betydning for nasjonal IKT-sikkerhet:

  • forebyggende IKT-sikkerhet

  • avdekke og håndtere digitale angrep

  • IKT-sikkerhetskompetanse

  • kritisk IKT-infrastruktur

Disse fire områdene har vært mer eller mindre uforandret i flere år og er omtalt i stortingsmeldinger, nasjonale strategier og stortingsproposisjoner.30 Regjeringen jobber med en ny nasjonal strategi med handlingsplan for digital sikkerhet som er ventet i begynnelsen av 2019.

5.2 Sentrale departementer og etater

Norge er organisert i tre forvaltningsnivåer: kommunen, fylkeskommunen og staten. Staten er inndelt i flere departementer som har én eller flere statsråder. Statsråden er ansvarlig for at Stortingets beslutninger blir fulgt og implementert innenfor sin sektor. Ansvaret og oppgavene til departementet kan fordeles til andre enheter. Dette kan for eksempel være statseide selskaper, statsforetak, etater eller stiftelser. Enhetene er ulike når det gjelder hvor tett de kan bli politisk styrt, og hvor stor instruksjonsrett statsråden har over dem.

Begrepet etat brukes som en samlebetegnelse på «[…] et landsdekkende myndighetsorgan underlagt et departement. Oppgaven(e) til etatene er å avlaste departementene når det gjelder faglig arbeid og gjennomføring av tiltak».31 Noen etater har ansvar for oppgaver som ikke bare berører én statsråds sektoransvar. Dette kan kalles etater med tverrsektorielt ansvar. Disse etatene er i stor grad avhengige av at andre etater og virksomheter bidrar til måloppnåelsen etaten har ansvaret for. Etater med tverrsektorielt ansvar følger vanlige regler for etatsstyring, rapportering og mål- og resultatstyring i staten, men oppgavene de skal løse, griper over flere sektorer.

Justis- og beredskapsdepartementet har samordningsansvaret for IKT-sikkerhet i sivil sektor. Departementet skal utforme regjeringens politikk for IKT-sikkerhet, herunder etablere nasjonale krav og anbefalinger på IKT-sikkerhetsområdet for både offentlige og private virksomheter.

Forsvarsdepartementet har ansvaret for IKT-sikkerhet i forsvarssektoren. Justis- og beredskapsdepartementet skal involvere Forsvarsdepartementet i saker innenfor sivil IKT-sikkerhet som berører forsvarssektoren. De to departementene skal sammen bidra til at sivil–militære utfordringer og behov sees i sammenheng.

Kommunal- og moderniseringsdepartementet har samordningsansvaret for regjeringens IKT-politikk. Departementet har i tillegg et ansvar for å arbeide med IKT-sikkerhet i statsforvaltningen. Digitaliseringsarbeidet i statsforvaltningen og i offentlig sektor som helhet skal følge opp de føringene som følger av den nasjonale IKT-sikkerhetspolitikken. Departementet skal i samråd med Justis- og beredskapsdepartementet legge til rette for at digitaliseringen i offentlig forvaltning og samfunnet for øvrig skjer på en forsvarlig måte.

Samferdselsdepartementet har ansvar for IKT-sikkerheten knyttet til elektroniske kommunikasjonsnett og -tjenester, herunder internett.

Figur 5.1 Organisasjonskart over sentrale departementer og etater

Figur 5.1 Organisasjonskart over sentrale departementer og etater

Utenriksdepartementet har overordnet ansvar for norsk utenriks- og sikkerhetspolitikk, herunder å koordinere Norges innsats og posisjoner på internasjonale arenaer hvor globale utfordringer i det digitale rommet diskuteres. Justis- og beredskapsdepartementet skal sammen med Utenriksdepartementet bidra til at internasjonalt arbeid på IKT-sikkerhetsområdet blir håndtert godt på tvers av departementsområder i sivil sektor.

Organiseringen av tverrsektorielle oppgaver innen IKT-sikkerhet i Norge er fordelt mellom flere etater. Sentrale virksomheter er NSM, Difi, Nkom, DSB og Datatilsynet.

Nasjonal sikkerhetsmyndighet (NSM) er et direktorat for forebyggende sikkerhet. Det er administrativt underlagt Forsvarsdepartementet, men rapporterer med en faglig ansvarslinje til Justis- og beredskapsdepartementet i sivile saker. Direktoratets ansvar og oppgaver følger av «Instruks for sjef NSM», gitt 5. desember 2014 av Forsvarsdepartementet i samråd med Justis- og beredskapsdepartementet, og av iverksettingsbrevet for langtidsplanen for forsvarssektoren.

NSM fyller rollen som nasjonal sikkerhetsmyndighet i henhold til sikkerhetsloven (1998).32 Dette omfatter blant annet å gi informasjon, råd og veiledning til og føre tilsyn med IKT-sikkerheten i virksomheter underlagt loven, og gjennomføre inntrengningstesting av og godkjenne sikkerhetsgraderte IKT-systemer. Oppgavene blir utvidet som følge av den nye loven om nasjonal sikkerhet.33 Direktoratet driver også den frivillige sertifiseringsordningen for IKT-sikkerhet i produkter og systemer (SERTIT).

NSM er nasjonalt fagmiljø for IKT-sikkerhet til støtte for Forsvarsdepartementets og Justis- og beredskapsdepartementets ansvar på IKT-sikkerhetsområdet. Som del av dette ansvaret skal NSM blant annet etablere og vedlikeholde et nasjonalt IKT-risikobilde og foreslå tiltak og følge opp med informasjon og rådgivning.

De drifter det nasjonale varslingssystemet for digital infrastruktur (VDI) og koordinerer den nasjonale håndteringen av alvorlige IKT-angrep mot viktige samfunnsfunksjoner (NSM NorCERT).34 Sjef NSM skal ved behov iverksette nødvendige beredskapsmessige tiltak innenfor gitte fullmakter, herunder i Nasjonalt beredskapssystem.35 NSM leder arbeidet i Felles cyberkoordineringssenter, hvor også Etterretningstjenesten, Politiets sikkerhetstjeneste og Kripos inngår (se punkt 5.4).

NSM fører årlig tilsyn med om lag 50 virksomheter i sivil og militær sektor etter sikkerhetsloven. De fører systemrettet tilsyn understøttet av fagrevisjoner. Tilsynet blir gjennomført med gjennomgang av dokumentasjon, intervjuer og stedlige kontroller.

I iverksettingsbrevet for 2017 fremgår det at NSM skal samarbeide med andre aktører, blant annet gjennom å etablere en arena for erfaringsoverføring knyttet til råd og veiledning sammen med Difi. Videre skal NSM sammen med DSB og relevante sektortilsyn utrede og etablere en arena for informasjonsutveksling og kompetanseoverføring for de ulike sektorenes tilsynsmyndigheter. NSMs iverksettingsbrev har en annen form og struktur enn tildelingsbrevene til de øvrige tverrsektorielle etatene.

I mars 2018 uttalte Forsvarsdepartementet at NSM NorCERTs funksjon og rolle skal tydeliggjøres, og at navnet skal endres til «Nasjonalt cybersikkerhetssenter». Dette for å styrke samarbeidet mellom offentlige og private nasjonale aktører som arbeider med IKT-sikkerhet. NSM har senere utarbeidet et konseptnotat hvor senterets formål utvides til også å omfatte rådgivning og tilgjengeliggjøring av tekniske tjenester. Senteret er nærmere omtalt i kapittel 17.

Direktoratet for forvaltning og IKT (Difi) skal modernisere og omstille offentlig sektor. Difi er underlagt Kommunal- og moderniseringsdepartementet og Nærings- og fiskeridepartementet i fellesskap på fagområdene ledelse, organisering, offentlige anskaffelser og digitalisering. Difi har siden 2013 vært statsforvaltningens kompetansemiljø og fagorgan for informasjonssikkerhet. De skal bidra i utformingen av nasjonale strategier og handlingsplaner, legge til rette for å realisere disse og arbeide for en helhetlig tilnærming til informasjonssikkerhet i forvaltningen. De bidrar særskilt til at alle statlige virksomheter har styring og kontroll med informasjonssikkerheten.

Difi har siden 2014 vært utpekt av Kommunal- og moderniseringsdepartementet til å gi råd og veiledning i henhold til eforvaltningsforskriften § 15.36 Det omfatter å gi råd og veiledning om styring og kontroll med informasjonssikkerhet til statlige virksomheter og kommuner.

Difi gir veiledning til hele offentlig sektor om blant annet internkontroll, planlegging og gjennomføring av IKT-øvelser, kompetanse- og kulturutvikling innen informasjonssikkerhet og veiledning i risikovurdering av elektronisk kommunikasjon. De arrangerer også Nettverk for informasjonssikkerhet, som deler erfaringer innen arbeid med informasjonssikkerhet på tvers av offentlige virksomheter.

Difi forvalter kravspesifikasjonen for PKI (Public Key Infrastructure) i offentlig sektor.37 Den skal brukes ved anskaffelser av PKI-baserte e-ID-løsninger i staten. Difi forvalter også rammeverket for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor. De forvalter dessuten noen fellesløsninger for forvaltningen, blant annet ID-porten som felles innloggingsløsning for offentlig sektor. Difi jobber med IKT-sikkerhet i alle fellesløsningene som de tilbyr forvaltningen.

Difi har også ansvaret for Statens standardavtaler (SSA). De utformer krav om informasjonssikkerhet i disse og veileder i bruk av avtalene. Blant annet veileder Difi offentlig sektor i kjøp av skytjenester, og de har utredet muligheten for å tilby en markedsplass for skytjenester for hele offentlig sektor.38 De fører også tilsyn med universell utforming av IKT.

Difis tildelingsbrev skisserer fire hovedprioriteringer for 2018. En av disse er å «styrke arbeidet med informasjonssikkerhet». De blir bedt spesifikt om å samarbeide med fagmyndigheter som NSM, Nkom og Datatilsynet for å sørge for felles forståelse av utfordringene i forvaltningen, og se til at tiltakene overfor forvaltningen er koordinerte, risikobaserte og kostnadseffektive. I tillegg skal Difi delta i utformingen av en ny handlingsplan for informasjonssikkerhet i statsforvaltningen.

Nasjonal kommunikasjonsmyndighet (Nkom) er underlagt Samferdselsdepartementet, og skal bidra til å sikre brukerne i hele landet gode, rimelige og fremtidsrettede elektroniske kommunikasjonstjenester. De har et særskilt ansvar knyttet til sikkerhet og beredskap i ekomnett og -tjenester. EkomCERT ble etablert hos Nkom 1. juli 2017.

Nkom skal utarbeide krav om sikkerhet og robusthet og forvalte tilskuddsmidler til sikkerhet og beredskap, samt veilede om dette. De har også ansvar for å innhente, sammenstille og analysere informasjon om hendelser, og de veileder i sikkerhetsarbeid og person- og kommunikasjonsvern. Nkom, Norsk senter for informasjonssikring (NorSIS) og NSM samarbeider blant annet om nettstedet nettvett.no. Nkom deltar i øvingsvirksomhet og har et tett samarbeid med DSB.

Nkom fører risikobaserte tilsyn etter en rekke lover.39 Tilsyn velges ut basert på en risiko- og sårbarhetsanalyse, og det åpnes tilsyn der det er størst risiko for avvik.

Nkom fører tilsyn med at tilbyderne oppfyller sine forpliktelser i regelverket. Tilsynet skal bidra til at ekomnettene er best mulig sikret og kan stå imot både digitale hendelser og belastninger fra for eksempel ekstremvær.

I tildelingsbrevet til Nkom i 2018 ber Samferdselsdepartementet om at de skal «videreutvikle samarbeidet med NSM innen forebyggende arbeid med informasjonssikkerhet». Utover dette er omtalen av IKT-sikkerhet i tildelingsbrevet knyttet til sikkerhet i kommunikasjonsnettet og videreutvikling av etatens evne til hendelseshåndtering.

Direktoratet for samfunnssikkerhet og beredskap(DSB) er underlagt Justis- og beredskapsdepartementet og skal ha oversikt over risiko og sårbarhet i samfunnet. IKT-sikkerhet inngår i flere av DSBs analyser og utredninger. DSB har en koordineringsrolle innenfor samfunnssikkerhet og beredskap.40 Det skal legge grunnlaget for et godt og helhetlig forebyggende arbeid og gode beredskapsforberedelser innenfor offentlig forvaltning og samfunnskritisk virksomhet. Direktoratet har en samordningsrolle på etatsnivå på vegne av Justis- og beredskapsdepartementet. De skal også være en pådriver for å forebygge ulykker, kriser og andre uønskede hendelser, herunder sørge for god beredskap og effektiv ulykkes- og krisehåndtering.

DSB fører tilsyn med departementenes samfunnssikkerhets- og beredskapsarbeid. IKT-sikkerhet har inngått i enkelte av tilsynene. Direktoratet arrangerer også store nasjonale øvelser som inkluderer IKT-sikkerhetshendelser. De eier og forvalter Nødnett, etter en virksomhetsoverdragelse av Direktoratet for nødkommunikasjon våren 2017.

DSBs tildelingsbrev for 2018 er mer detaljert enn de andre, og to krav angår IKT-sikkerhet. DSB skal «bistå JD i vurderinger av behov for en felles arena for IKT-sikkerhet på lokalt og regionalt nivå» og «bistå JD i vurderinger av kommunenes og fylkesmannens rolle i responsmiljøene og i nasjonalt rammeverk for digital hendelseshåndtering».

Datatilsynet er et uavhengig forvaltningsorgan som administrativt er underlagt Kommunal- og moderniseringsdepartementet. Datatilsynet er både tilsyn og ombud, og kan ikke instrueres av forvaltningen. Datatilsynet skal føre kontroll med at personvernregelverket etterleves, og medvirke til at enkeltpersoner ikke blir krenket gjennom bruk av opplysninger som kan knyttes til dem.

Datatilsynet forvalter personopplysningsloven, som blant annet stiller krav om IKT-sikkerhet.41 De fører normalt tilsyn med 50–70 private og offentlige virksomheter hvert år. De gir veiledning innenfor sine områder til forvaltningen, bedrifter og privatpersoner. Tildelingsbrevet er på et overordnet nivå. Det er ingen pålegg om samarbeid eller beskrivelser av oppdrag innenfor IKT-sikkerhet.

5.3 Lokalt og regionalt nivå

Kommunene har et generelt og grunnleggende ansvar for å ivareta befolkningens sikkerhet og trygghet innenfor sitt geografiske område. Gjennom sivilbeskyttelsesloven er kommunene blant annet pålagt et ansvar for å gjennomføre en helhetlig risiko- og sårbarhetsanalyse, herunder kartlegge, systematisere og vurdere sannsynligheten for uønskede hendelser som kan inntreffe i kommunen, og hvordan disse kan påvirke kommunen.42 Kommunene har også plikt til å være forberedt på å håndtere uønskede hendelser, og skal med utgangspunkt i den helhetlige risiko- og sårbarhetsanalysen utarbeide en overordnet beredskapsplan. Den skal samordne og integrere øvrige beredskapsplaner i kommunen.43

Det kommunale folkestyret innebærer at den enkelte kommunen har et selvstendig ansvar for digitaliseringstiltak og IKT-sikkerhet i egen kommune. Dette har ført til at mange kommuner har ulike digitale løsninger og ulik kompetanse om IKT-sikkerhet. Statsforvaltningen har ingen generell instruksjonsmyndighet overfor kommunene, og den kan bare gripe styrende inn overfor kommunene med grunnlag i lov eller budsjett vedtatt av Stortinget.44

Rundt 300 kommuner, fylkeskommuner og interkommunale selskaper er medlem av foreningen Kommunal Informasjonssikkerhet (KINS). Foreningen ble stiftet i 2003 med formål om å øke informasjonssikkerheten i kommuner og fylkeskommuner. Foreningen arrangerer seminarer og konferanser for medlemmene.

KS er kommunesektorens interesse- og arbeidsgiverorganisasjon i Norge. Alle landets kommuner og fylkeskommuner er medlemmer i KS, i tillegg til mer enn 500 bedrifter. KS har vedtatt en digitaliseringsstrategi som blant annet omhandler informasjonssikkerhet, personvern og dokumentasjonsforvaltning. Gjennom dette mandatet jobber KS for å bedre kommunenes rammevilkår og mulighet for å oppå målene i digitaliseringsstrategien.45

Fylkesmannen er statens representant i fylket og har ansvar for å følge opp vedtak, mål og retningslinjer fra Stortinget og regjeringen. Embetene utfører ulike forvaltningsoppgaver på vegne av flere departementer.46 De er dessuten et viktig bindeledd mellom kommunene og sentrale myndigheter. Fylkesmannen har ansvar for å samordne, holde oversikt over og informere om samfunnssikkerhet og beredskap i fylket.47 Det innebærer blant annet en plikt til å ha oversikt over risiko og sårbarhet i fylket, noe som inkluderer IKT-sikkerhet. I tillegg skal fylkesmannen ha oversikt over og samordne myndighetenes krav og forventninger til kommunenes samfunnssikkerhets- og beredskapsarbeid. Fylkesmannen fører også tilsyn med dette arbeidet samt oppfølging av sivilbestkyttelsesloven og rapporterer til DSB på området. Dette omfatter også kommunenes arbeid med IKT-sikkerhet som en del av samfunnssikkerheten.

5.4 Nasjonale samordningsarenaer

Myndigheter med ansvar innenfor IKT-sikkerhet samarbeider i det daglige. I tillegg er det samarbeid mellom myndigheter og private aktører. Slikt samarbeid har gjerne oppstått fordi partene har en egeninteresse i det, og det kan være regulert gjennom avtaler inngått mellom dem. Samarbeidet kan omfatte alt fra langsiktig kompetansebygging til informasjonsutveksling knyttet til konkrete saker.

Det er etablert flere tverrsektorielle samordningsarenaer hvor IKT-sikkerhet er hovedtemaet eller inngår blant flere temaer.

Nettverk for nasjonal IKT-sikkerhet skal sikre at strategiske spørsmål knyttet til nasjonal IKT-sikkerhet og internasjonalt samarbeid relatert til dette, blir diskutert og koordinert mellom departementene. Nettverket er en arena for Justis- og beredskapsdepartementets samordningsansvar for IKT-sikkerhet i sivil sektor, for Forsvarsdepartementet i sivile–militære spørsmål knyttet til IKT-sikkerhet, og for Utenriksdepartementet i deres koordinerende rolle for norske posisjoner i internasjonal cyberpolitikk. Alle departementer skal være representert i nettverket som ledes av Justis- og beredskapsdepartementet.

Regjeringen etablerte i 2018 Forum for nasjonal IKT-sikkerhet. Det skal sikre at strategiske spørsmål knyttet til digitale sikkerhetsutfordringer og internasjonalt samarbeid blir diskutert mellom private aktører og myndighetene. Forumet består av representanter fra myndigheter, næringslivet, interesse- og bransjeorganisasjoner og akademia. På samme måte som Nettverk for nasjonal IKT-sikkerhet skal forumet være et verktøy for Justis- og beredskapsdepartementet, Forsvarsdepartementet og Utenriksdepartementet i deres særlige samordnings- og koordineringsansvar for IKT-sikkerhet. I tillegg skal det være et verktøy for Nærings- og fiskeridepartementet som tilrettelegger for politikk og rammevilkår for næringslivet. Forumet skal benyttes som referansegruppe for nasjonale strategier og handlingsplaner.

Sentralt totalforsvarsforum er et eksempel på en sektorovergripende arena for forsvars-, sikkerhets- og beredskapsspørsmål hvor IKT-sikkerhet også kan være et tema. Forumet består som sivilt–militært samarbeidsorgan av representanter fra Forsvaret og en rekke sivile etater med ansvar innenfor totalforsvar og samfunnssikkerhet. Det skal bidra til at det er god gjensidig støtte og samarbeid mellom Forsvaret og det sivile samfunnet i hele krisespekteret fra fred til sikkerhetspolitisk krise og krig. Sjefen for Forsvarets operative hovedkvarter og direktøren for DSB veksler på å lede forumet.

Ved de mest alvorlige IKT-angrepene, hvor trusselaktøren kan være, eller ha tilknytning til, en fremmed stat, vil det på nasjonalt nivå være en egen koordinering mellom NSM, Etterretningstjenesten, PST og Kripos. Denne koordineringen skjer i Felles cyberkoordineringssenter hvor de fire etatene er til stede med eget personell under ledelse av NSM.

På oppdrag fra Justis- og beredskapsdepartementet opprettet NSM våren 2018 en samhandlingsarena for styrket IKT-tilsyn. Formålet med arenaen er blant annet å bidra til enhetlige tilsyn med mest mulig felles tilsynsmetodikk, kompetanseheving og kunnskapsoverføring mellom tilsynsmyndighetene. Arenaen vil i første omgang omfatte de sektortilsynene som blir utpekt av departementene til å føre tilsyn etter den nye sikkerhetsloven.48

I Meld. St. 38 (2016–2017) IKT-sikkerhet fremkommer det at NSM skal etablere en arena for erfaringsoverføring, slik at offentlige og private virksomheter i større grad skal få koordinert, tilrettelagt og hensiktsmessig rådgivning og veiledning på IKT-sikkerhetsområdet. Arenaen er etablert med deltagere fra Difi, Datatilsynet og NSM. De møtes fire ganger i året og rapporterer til sine departementer en gang i året.

Difi har tatt initiativ til å etablere et faglig nettverk for statlige veiledningsaktører innenfor styring og kontroll, inkludert IKT-sikkerhet. Datatilsynet, Arbeidstilsynet, DSB, Direktoratet for økonomistyring, Direktoratet for e-helse og NSM er med i nettverket. Formålet er å bidra til mer helhetlig styring og kontroll i de virksomhetene aktørene veileder.

I tillegg til sektorovergripende fora og arenaer finnes en rekke sektorspesifikke arenaer for sikkerhet og beredskapsarbeid som i hovedsak er innrettet mot IKT-sikkerhet eller hvor IKT-sikkerhet inkluderes i en bredere ramme. Eksempler på slike fora er Ekomsikkerhetsforum, som ledes av Nkom, og Luftfartens sikkerhetsråd, som ledes av Luftfartstilsynet.

5.5 Internasjonalt samarbeid

Regjeringen lanserte i 2017 en internasjonal cyberstrategi hvor Norges styrende prinsipper og strategiske prioriteringer innenfor internasjonal cyberpolitikk ble presentert. Om styrende prinsipper står det blant annet at «Norge arbeider for et digitalt rom som fremmer innovasjon og internasjonal handel, som bidrar til internasjonal stabilitet og sikkerhet, og som ivaretar demokratiske verdier og universelle menneskerettigheter. Det gjør vi i samarbeid med andre stater og internasjonale organisasjoner, men også med partnere fra ikke-statlige aktører som akademia og forskningsmiljø, næringslivet og sivilsamfunnet».49

For å trygge nasjonale interesser deltar Norge i utformingen av NATOs politikk innenfor IKT-sikkerhet med tanke på forebygging og hendelseshåndtering. Norge og NATO har en samarbeidsavtale om beskyttelse mot digitale trusler som sikrer informasjonsdeling mellom partene. Også innenfor de enkelte samfunnssektorer foregår det internasjonal koordinering av regelverksutvikling av betydning for IKT-sikkerhet.

EUs arbeid med politikk for IKT-sikkerhet har stor betydning også for Norge gjennom EØS-tilknytningen. Norge deltar på en rekke arenaer i EU og i Europarådet. Norge er med i ENISA (European Network and Information Security Agency) og bidrar på flere områder for å videreutvikle evnen til å forebygge, oppdage, varsle og håndtere alvorlige IKT-sikkerhetshendelser på tvers av landegrensene i EU/EØS-området.

Internasjonalt samarbeid om IKT-sikkerhet foregår også i andre internasjonale fora – for eksempel i mellomstatlige organisasjoner som OECD og FN, i regionale konstellasjoner som mellom nordiske land og bilateralt med enkeltland. Næringslivet og akademia har også et selvstendig og utstrakt internasjonalt samarbeid innenfor fagfeltet.

6 Regulering av IKT-sikkerhet

I dette kapittelet gis det en oversikt over eksisterende regelverk på IKT-sikkerhetsområdet. I tillegg beskrives ny lovregulering som legger rammer for utvalgets arbeid.

6.1 Eksisterende regelverk

Utvalget har kartlagt at det er omtrent 150 lover og forskrifter som potensielt angår IKT-sikkerhet på nasjonalt plan. Kun et mindretall av disse stiller eksplisitte IKT-sikkerhetskrav. En sammenstilling av utvalgets kartlegging fremgår av vedlegg 1. Kartleggingen viser stor variasjon når det gjelder i hvilken grad lovene og forskriftene stiller krav om IKT-sikkerhet. Enkelte lover og forskrifter – for eksempel sikkerhetsloven og IKT-forskriften for finanssektoren – har omfattende og eksplisitte bestemmelser om IKT-sikkerhet.50 Andre lover og forskrifter inneholder generelle krav om sikring – for eksempel krav om internkontroll, produktsikkerhet og taushetsplikt – som indirekte regulerer IKT-sikkerhet.

Det er få eksempler på tverrsektorielle lover som inneholder krav om IKT-sikkerhet. Disse er primært sikkerhetsloven, personopplysningsloven, lov om elektroniske tillitstjenester og forvaltningsloven.51 Disse stiller på ulik måte krav om IKT-sikkerhet.

De fleste sektorer har regelverk som inneholder krav om IKT-sikkerhet, men det er stor variasjon mellom de sektorvise lovene og forskriftene (se boks 6.1). Utgangspunktet for de fleste av dagens lover og forskrifter som stiller krav om IKT-sikkerhet, har vært et behov for sikring av informasjon, og da primært informasjonens konfidensialitet. Mange lover og forskrifter bygger på kravene til sikring av informasjon (informasjonssikkerhet) fra den gamle personopplysningsloven med tilhørende forskrift.52 Disse kravene kommer til anvendelse kun ved behandling av personopplysninger.

Boks 6.1 Eksempler på regelverk i sektorer

I helsesektoren er det en rekke regelverk som stiller krav om informasjonssikkerhet, men det stilles i liten grad krav om beskyttelse av systemer og tjenester utover det som kreves for å sikre visse typer informasjon. NAV-loven stiller kun krav om generell beredskap i etaten og utarbeidelse av en plan for blant annet driftssikkerhet.1 Drikkevannsforskriften, som ble revidert i 2016, har derimot fått en bestemmelse om sikkerhet, hvor det også stilles krav om sikring av styringssystemer mot uautorisert tilgang og bruk.2

Finanssektoren har sin egen IKT-forskrift. Den inneholder blant annet krav om planlegging og organisering, risikoanalyse, utvikling og anskaffelse, systemvedlikehold, drift, avviks- og endringshåndtering, driftsavbrudd, kriseberedskap, utkontraktering og dokumentasjon.

Innenfor ekomsektoren er IKT-sikkerhet regulert i flere ulike regelverk. Mye av detaljstyringen gjøres gjennom veiledning, tilsyn og enkeltvedtak fattet av Nkom.

For veitransportsektoren er det få formelle krav om IKT-sikkerhet, men virksomhetene blir gjennom nasjonal transportplan oppfordret til å sørge for IKT-sikkerhet.

To ytterliggående eksempler på variasjonen i tilnærming til regulering av IKT-sikkerhet er regelverkene for henholdsvis petroleumssektoren og kraftsektoren. Kravene om IKT-sikkerhet i disse regelverket er ulikt utformet.

På den ene side har olje- og gassindustrien et funksjonsbasert regelverk innenfor helse, miljø og sikkerhet. Petroleumsloven stiller krav om sikkerhet og forsvarlig petroleumsvirksomhet, men regelverket har lagt til grunn at selskapene selv vurderer risiko, setter akseptkriterier og beslutter relevante tiltak.3 Dette gjøres gjennom risiko- og beredskapsanalyser i de enkelte selskapene. Næringen har selv utarbeidet spesifikke retningslinjer for IKT-sikkerhet i prosesskontroll-, sikkerhets- og støttesystemer som legges til grunn for arbeidet basert på ISO 27000-serien.

På den andre siden stiller NVEs revidert forskrift for beredskap i kraftforsyningen relativt omfattende krav om sikring av alle digitale informasjonssystemer hos virksomheter som er underlagt forskriften.4 Den digitale grunnsikringen innebærer at virksomheter plikter å sikre digitale informasjonssystemer slik at konfidensialitet, integritet og tilgjengelighet ivaretas. Grunnsikringen skal være i henhold til anerkjente standarder og normer, deriblant å identifisere og dokumentere, sikre og oppdage, håndtere og gjenopprette. I tillegg er det krav om risiko- og sårbarhetsanalyse og sikkerhetskrav ved tjenesteutsetting i forskriften.

1 NAV-loven (lov 16. juni 2006 nr. 20 om arbeids- og velferdsforvaltningen).

2 Drikkevannsforskriften. Forskrift 22. desember 2016 nr. 1868 om vannforsyning og drikkevann.

3 Petroleumsloven (lov 29. november 1996 nr. 72 om petroleumsvirksomhet).

4 Endring i beredskapsforskriften. Forskrift 1. november 2018 nr. 1641 om endring i forskrift om forebyggende sikkerhet og beredskap i energiforsyningen.

I tillegg til nasjonale lover og forskrifter er det også en mengde internasjonale avtaler, lover og standarder som regulerer IKT-sikkerhet, som norske virksomheter i ulik grad er forpliktet til å følge, eller som kan legge føringer for regelverk i Norge. Eksempler er NIS-direktivet og GDPR, samt sektorspesifikke regelverk som EUs energimarkedsdirektiv og EUs direktiv om banktjenester.

Virksomheter benytter ofte andre kilder enn lov og forskrift for å finne beskrivelser av krav og nivå på IKT-sikkerhet, herunder ulike standarder, veiledere, anbefalinger og retningslinjer. I utvalgets informasjonsinnhenting trakk en rekke virksomheter frem at de har interne rutiner som bygger på ISO 27000-serien. Flere viste til at de også benytter offentlige myndigheters veiledningsmateriell, blant annet fra Datatilsynet, Difi, NorSIS og NSM. Flere virksomheter trekker dessuten frem bransjenormer, for eksempel Norm for informasjonssikkerhet i helsesektoren.

IKT-sikkerhet kan også være regulert gjennom anskaffelsesregulering. Mange virksomheter, også de som ikke er forpliktet til å følge det offentlige anskaffelsesregelverket, benytter seg av SSAer (se punkt 12.1). De inneholder i liten grad krav om sikkerhet utover sikring av informasjon.

I utvalgets informasjonsinnhenting fremgår det at mange begreper kan innbefatte krav om IKT-sikkerhet. Ulike begreper brukes for å beskrive det samme, og det samme begrepet brukes til å beskrive ulike krav. For eksempel er begrepet informasjonssikkerhet definert på forskjellige måter i regelverkene. Figur 6.1 viser de mest brukte meningsbærende ordene i et utdrag av lover og forskrifter som omhandler IKT-sikkerhet.

Tilbakemeldingene fra respondentene i utvalgets informasjonsinnhenting ga uttrykk for at regelverkene oppleves som vanskelige å etterleve. I tillegg er det flere offentlige organer og tilsynsmyndigheter som gir råd og veiledning eller fører tilsyn med IKT-sikkerheten. For en virksomhet som faller inn under flere regelverk, skaper dette utfordringer med etterlevelsen.53

Figur 6.1 Ordsky over de mest brukte meningsbærende ordene i bestemmelser som omhandler IKT-sikkerhet i et utdrag av lover og forskrifter

Figur 6.1 Ordsky over de mest brukte meningsbærende ordene i bestemmelser som omhandler IKT-sikkerhet i et utdrag av lover og forskrifter

6.2 Ny lovregulering

Implementeringen av en ny personopplysningslov og en ny sikkerhetslov samt gjennomføringen av NIS-direktivet legger rammer for utvalgets vurderinger av dagens regulering på IKT-sikkerhetsområdet. I tillegg arbeider EU med ny regulering for sikkerhetssertifisering av IKT-produkter og -tjenester. Nedenfor følger en kort redegjørelse om regelverkene. Se nærmere beskrivelse av disse i vedlegg 1 og 2.

Ny personopplysningslov

Den nye personopplysningsloven trådte i kraft 20. juli 2018. Formålet med loven er å sikre behandlingen av personopplysninger. Nivået på sikkerhetskravene er stort sett de samme som i den tidligere personopplysningsloven. Det nye er at det nå er spesifikke krav om tekniske og organisatoriske løsninger, krav om innebygd personopplysningsvern og krav til utforming av informasjonssystemer og -arkitektur. Det stilles mer detaljerte sikkerhetskrav til databehandleren som behandler personopplysninger på vegne av den behandlingsansvarlige.

Ny sikkerhetslov

Den nye sikkerhetsloven skal tre i kraft 1. januar 2019 med et bredere virkeområde enn dagens lov. For å opprettholde grunnleggende nasjonale funksjoner stiller loven krav om sikring av skjermingsverdig informasjon, informasjonssystem, objekt og infrastruktur. Loven regulerer også departementers, nasjonale og sektorvise sikkerhetsmyndigheters ansvar og roller og til dels forholdet mellom de ulike myndighetene. Med hjemmel i loven utarbeides det forskrifter om myndighetenes ansvar, virksomhetenes ansvar og klarering av leverandører og personell. Utover at loven fortsatt vil gjelde for forvaltningen, er det foreløpig ikke fastsatt nøyaktig hvilket nedslagsfelt loven vil få, da hvert enkelt departement er gitt kompetanse til å fastsette dette nærmere. Loven kommer til å gjelde et relativt sett lite antall private virksomheter.

Den nye sikkerhetsloven fastslår at det fortsatt er behov for et sentralt og tverrsektorielt element som kan se alt arbeidet med forebyggende nasjonal sikkerhet i sammenheng, men at sektorene også hver for seg besitter unik kompetanse som må utnyttes så godt som mulig. Med den nye sikkerhetsloven søkes det å balansere ansvarsprinsippet og samvirkeprinsippet. At ansvarsprinsippet på denne måten lovfestes, innebærer stor grad av sektorautonomi, men også stor grad av ansvarliggjøring av hver enkelt sektor. Sentrale myndigheter, her med NSM som utøvende organ, blir tillagt en rekke samordnings- og koordineringsoppgaver, for eksempel å legge til rette for informasjonsdeling og å utarbeide tilsynsmetodikk.

Gjennomføring av NIS-direktivet

EUs direktiv om sikkerhet i nettverk og informasjonssystemer (NIS-direktivet) trådte i kraft i EU i august 2016. Det er foreløpig uklart om, eller når, direktivet blir bindende for Norge gjennom EØS-avtalen. Imidlertid følger det av utvalgets mandat at det skal legge til grunn at NIS-direktivet skal gjennomføres i norsk rett. Det vil utvide omfanget av den tverrsektorielle reguleringen av IKT-sikkerhet. Mange av virksomhetene som omfattes av sikkerhetsloven, vil også omfattes av NIS-direktivet, men direktivet omfatter flere private virksomheter enn sikkerhetsloven.

I NIS-direktivet stilles det krav om en risikobasert tilnærming til IKT-sikkerhet og varsling av alvorlige hendelser. Det stilles også krav til nasjonale myndigheter om etablering av ett eller flere miljøer for å håndtere digitale hendelser, en eller flere nasjonale kompetente myndigheter og ett nasjonalt kontaktpunkt.

Justis- og beredskapsdepartementet har utarbeidet et forslag til høringsnotat med utkast til lov som gjennomfører direktivet i Norge. Slik utvalget forstår høringsnotatet, er man i departementet åpne for å kunne foreslå denne loven uavhengig av den videre EØS-prosessen.54

EU Cybersecurity Act

EU arbeider med en ny forordning om sikkerhetssertifisering av IKT-produkter og -tjenester. Bakgrunnen for dette er blant annet at trusselbildet og økningen av IKT-kriminalitet har fremtvunget ulike nasjonale sertifiseringsordninger. Dette har igjen medført fragmenterte og lite hensiktsmessige ordninger mellom medlemslandene.

Formålet med forordningen er å sikre et velfungerende indre marked med et høyt nivå av IKT-sikkerhet, motstandsdyktighet og tillit i EU. En felles regulering for EU kan også redusere sertifiseringskostnadene. Initiativet gir virksomheter som er omfattet av NIS-direktivet et verktøy for å påvise etterlevelse overfor hele EU. Forslaget etablerer et rammeverk for utarbeidelse av spesifikke europeiske sertifiseringsordninger for IKT-produkter og -tjenester. En sertifiseringsordning for cybersikkerhet vil i henhold til forslaget attestere at IKT-produktene og -tjenestene som er sertifisert i overensstemmelse med ordningen, oppfyller fastsatte sikkerhetskrav.

Forslaget til ny forordning innebærer også at EUs European Network and Information Security Agency (ENISA) skal få et permanent og styrket mandat. ENISAs navn foreslås endret til EUs cybersikkerhetsbyrå (EU Cybersecurity Agency).

Det foreslås ulike sertifiseringsordninger for ulike kategorier av produkter og tjenester: kritiske- og høyrisikoapplikasjoner (for eksempel biler), mye brukte digitale tjenester, nettverk og systemer (for eksempel rutere til e-post), og masseproduserte tilkoblede produkter som utgjør tingenes internett (for eksempel nettkameraer). Det skal være frivillig å benytte seg av sertifiseringsregelverket.

7 Virkemidler i staten

Offentlige myndigheter kan bruke en rekke virkemidler for å bidra til å løse et samfunnsproblem.55 Statens styringsvirkemidler iverksettes for å påvirke adferden til privatpersoner, bedrifter eller organisasjoner. Det finnes mange ulike inndelinger av virkemiddelbruk, men det er vanlig å skille mellom juridiske, økonomiske, pedagogiske og organisatoriske styringsvirkemidler (se boks 7.1).56

Boks 7.1 Virkemidler i staten

Juridiske virkemidler er lover, forskrifter, konsesjoner, instrukser og vedtak. Tilsyn og klagebehandling blir noen ganger omtalt som egne styringsvirkemidler, men disse kan best forstås som kontrollmekanismer som skal sørge for at lover og forskrifter blir iverksatt og anvendt på en korrekt måte.1

Økonomiske virkemidler omfatter blant annet overføringer over statsbudsjettet, pålegg og bøtelegging, subsidier og konkurranseeksponering.2 Økonomiske insentiver kan påvirke mottakerens atferd i en bestemt retning, gjennom muligheten til å oppnå økonomiske gevinster.

Pedagogiske virkemidler brukes gjerne som en samlebetegnelse for ulike skriftlige publikasjoner som rundskriv, retningslinjer og veiledere. De er ikke i seg selv juridisk bindende, men tar som oftest utgangspunkt i lover og forskrifter og har som mål å medvirke til at disse blir fulgt. De gir tolkninger og anbefalinger knyttet til lovanvendelse i saksbehandling og praksis i utforming av tjenester. Kunnskapsdatabaser, kompetanseutviklingstiltak, holdningskampanjer, muntlig rådgivning og andre tiltak som kan være til hjelp for mottakeren ved oppgaveløsning, betegnes også som pedagogiske virkemidler.

Organisatoriske virkemidler knytter seg til måter å strukturere og organisere staten på. Staten kan velge mellom en rekke ulike tiltak eller virkemidler som påvirker organiseringen av staten, som igjen kan endre for eksempel måloppnåelse og grad av politisk styring på et område. Det kan være selskapsdannelser, fusjonering, endring av tilknytningsform eller organisasjonstype, eierstyring, sentralisering/desentralisering og for eksempel inngåelse av avtaler.

1 Direktoratet for forvaltning og IKT (2015) Statlig styring av kommunene. 2015:19.

2 Direktoratet for økonomistyring (2018) Veileder i samfunnsøkonomiske analyser.

Det er kombinasjonen av virkemidler som skaper og setter rammene for påvirkningen og måloppnåelsen innen et politikkområde. Utvalgets mandat handler om juridiske og organisatoriske virkemidler. I det følgende presenteres disse to virkemidlene nærmere.

7.1 Juridiske virkemidler

Juridiske virkemidler er som regel utformet i form av ulike påbud eller forbud, kombinert med en adgang til å kunne gi tillatelser, rettigheter og plikter eller fritak knyttet til disse.

Den overordnede målsettingen for lover og forskrifter er at budskapet skal nå frem til brukerne på en presis og normativ måte, og med minst mulig omkostninger i form av tid og arbeidsinnsats både for forvaltningen og for den enkelte.57 Lov og forskrift skal ha språklig klarhet, god meningsmessig sammenheng i reglene og en regelsystematikk det er lett å finne frem i og forholde seg til. Det legges også vekt på at reguleringen må ha lovforankret legitimitet og utøve ansvarlighet på en demokratisk måte. Reguleringen må være tilstrekkelig rettferdig og åpne for demokratisk innflytelse. I tillegg må reguleringen være tuftet på tilstrekkelig kompetanse i form av kunnskap, dyktighet og erfaring. Et siste moment er at reguleringen skal være effektiv.58

En oppgave bør ikke forsøkes løst gjennom rettslig regulering uten at det på forhånd er vurdert om den ønskede effekten kan oppnås bedre eller enklere ved bruk av andre virkemidler.59 Hjemmel i lov er imidlertid nødvendig for tiltak som innebærer inngrep i private forhold (legalitetsprinsippet) der det ikke foreligger andre kompetansegrunnlag.

Pedagogiske virkemidler for påvirkning av handlinger og atferd har grenseflater mot juridiske virkemidler, for eksempel der myndighetene anbefaler eller legger til rette for bruk av internasjonale standarder, bransjestandarder og liknende.

Både nasjonalt og internasjonalt har det de siste par tiårene vært en utvikling av reguleringsregimer der rettsregler i større grad har vært rettet mot styring og formål og i mindre grad mot spesifiserte (tekniske) løsninger eller metoder. Rettsregler rettet mot styring og formål kalles ofte funksjonsbaserte regelverk.60 Funksjonskrav kan også formuleres som generelle krav rettet mot prosess og ikke resultat, slik det for eksempel er i tilknytning til internkontroll og systematisk HMS-arbeid i virksomheter. Årsaken til økt bruk av funksjonskrav er flere:

  • Lover og forskrifter er ikke tilstrekkelig dynamiske til å følge utviklingen av de beste løsningene innen forskjellige fagområder.

  • Virksomhetene får handlefrihet og kan utnytte lokal og situasjonsspesifikk kunnskap til å finne egnede løsninger innenfor rammene av lover og forskrifter.

  • Funksjonsbaserte regelverk ansvarliggjør i større grad virksomhetene for egen drift og de konkrete løsningene de velger.

  • Funksjonsbaserte regelverk kan i større grad bidra til at man unngår kreativ etterlevelse, at hensikten med reglene oppnås, og at virksomhetene også kan strekke seg lenger enn til fastsatte minimumskrav.

Funksjonskrav er ofte utformet som rettslige standarder der innholdet i bestemmelsene utledes av normer utenfor de tradisjonelle juridiske rettskildene, og er knyttet til hva som er ansett som god faglig praksis på området. Det er valgt ulike løsninger i ulike sektorer for hvor konkret disse standardene angis.

I Norge har funksjonskrav i særlig grad vært utviklet innenfor petroleumssektoren, men det er også utbredt innenfor andre reguleringsområder. Hovedtilnærmingen har vært at lover og forskrifter angir overordnede formål som skal ivaretas, med henvisninger til anerkjente normer eller minimumskrav som kan benyttes. Det gis imidlertid anledning til å velge andre løsninger, men virksomheten pålegges da i ulik grad å dokumentere at disse tilfredsstiller de overordnede kravene.

Utvikling og bruk av funksjonsbaserte rettsregler innebærer en rekke avveiinger og dilemmaer. De generelle begrunnelsene – ansvarliggjøring, handlefrihet, fleksibilitet og endringstilpasning – må avveies mot generelle rettssikkerhetshensyn, som klarhet, tydelighet og forutberegnelighet. Funksjonsbaserte regelverk setter også større krav til at virksomhetene har kompetanse og evne til å vurdere hva som ligger innenfor regelverkets krav, og hva som er myndighetenes forventninger.

Fordi regelverket er mer dynamisk, må også virksomhetene kontinuerlig oppdatere seg på hva som er innenfor og utenfor forsvarlig praksis. Blir regelverket for generelt eller vagt, kan det gi stor variasjon i etterlevelsen og håndhevingen. Dersom målgruppens evne og kompetanse på det regulerte feltet varierer mye, vil avveiingen mellom praktiske oppskrifter og funksjonsbaserte rettsregler være særlig utfordrende. Viktige faktorer i denne sammenhengen vil være de regulerte virksomhetenes ressurser, kapasitet, motivasjon og behov (eksempelvis knyttet til tempo i teknologisk utviklingstakt).

Avveiinger må også ses i lys av myndighetenes evne og kapasitet til kontinuerlig å vurdere om etterlevelsesmønstre reflekterer kravene til tilstrekkelige og forsvarlige løsninger. Reguleringsmyndigheten må tilby tilstrekkelig veiledning i regelverksforståelse, for eksempel gjennom standardfastsetting, veiledere, implementeringsstøtte og forsvarlighetsnivåer.

Virkemidlene for å sikre etterlevelse trenger ikke nødvendigvis å være regulert i lov. Både i Norge og internasjonalt forskes det mye på hva som gir god etterlevelse. Tradisjonelt har oppfatningen vært at det vesentligste for å sikre etterlevelsen er bruk av makt gjennom kontroll og sanksjoner. Dette omtales som harde virkemidler. Tenkningen har vært i retning av at «anledning gjør tyv», og at det mest effektive for å sikre etterlevelse er virkemidler og tiltak som øker frykten for å bli oppdaget hvis man gjør noe ulovlig.61 Nyere forskning peker imidlertid i retning av at det ikke er så enkelt. For det første har såkalte myke virkemidler, av typen veiledning og god service, større betydning enn tidligere antatt.62 For det andre kan harde virkemidler som brukes feil, ha en ødeleggende effekt på viljen til å følge reglene.63

Ved bruk av juridiske virkemidler kan det også oppstå en etterlevelsesillusjon.64 Det betegner en situasjon hvor overholdelsen av reglene i lover og forskrifter helt eller delvis er tilsynelatende. Det kan for eksempel skje ved at reglene etterleves i form snarere enn i innhold. Det skapes et inntrykk av å etterleve regler, men det tas ingen grep for at reglene faktisk etterleves. For eksempel er det dokumentert at dokumentasjonskravene i den gamle personopplysningsloven og personopplysningsforskriften fører til at kommunene gir inntrykk av å være mer lojale og kompetente regelbruker enn hva de i realiteten er.65 For å avhjelpe etterlevelsesillusjon er det nødvendig med aktivt tilsyn og oppfølgning av de som er underlagt kravene. Kompetanseheving og sertifiseringsordninger kan være andre tiltak for å minimere illusjonen om etterlevelse.

7.2 Organisatoriske virkemidler

Hvilken type organisasjon som er egnet til å utvikle og gjennomføre politikk, avhenger av en rekke forhold. NAV-reformen er et eksempel på hvordan man kan søke å få til endring gjennom å lage en helt ny organisasjonsstruktur. Endring av en eller flere organisasjoner for å oppnå bestemte mål i politikken skjer hele tiden.

Det er imidlertid ikke uproblematisk å bruke organisering som virkemiddel for å nå bestemte mål, for eksempel omorganisering, organisasjonsendring og endring av tilknytningsform. For det første kan kostnadene ved en organisasjonsendring være store, og det må vurderes hvordan kostnadene står seg i forhold til gevinstene. For det andre kan ulike forhold gjøre at effektene av en organisasjonsendring uteblir eller blir annerledes enn det som var tiltenkt.

Organisering er like fullt viktig. Hvem som skal utføre hvilke oppgaver i organisasjonen, kan være bestemt gjennom formelle roller eller posisjoner, for eksempel et personvernombud eller plasseringen av ansvaret for IKT-sikkerhet i eller utenfor ledergruppen. Hvilke underenheter oppgaver og roller er knyttet til, og hvilken større enhet de inngår i, kan påvirke hvordan oppgaven løses. På den måten vil organisering både muliggjøre og vanskeliggjøre bestemte typer handlinger. Jo bedre organisasjonen er tilpasset de problemene den skal løse, jo mer effektiv vil den være som instrument for å få gjennomført politikken på en god måte.66

I organisasjoner er det etablerte regler og normer for hvordan ulike typer problemer skal løses. Etablerte organisasjonsformer kan også være til hinder for endring og nytenkning. Organisasjonsendring kan bidra til å endre disse etablerte normene og reglene. Samtidig opphører ikke etablerte normer og regler automatisk ved organisasjonsendringer, og det kan bremse effekten av endringen som var ønsket. Fusjonering av organisasjoner kan bidra til at problemer som bør sees i sammenheng, i større grad gjør det, men større enheter kan også føre til mindre fleksibilitet og nytenkning. Flere mindre enheter som har til dels overlappende oppgaver, kan «konkurrere» og bidra til mer fleksibilitet og nytenkning.67

Endringer i en organisasjons tilknytningsform kan også være et organisatorisk virkemiddel. For eksempel er tilknytningsformen bestemmende for hvor tett en enhet kan styres, og hvilket styringsprinsipp som er gjeldende. Ordinære forvaltningsorganer styres for eksempel direkte av statsråden, mens et særlovsforetak er eierstyrt. Det har betydning for hvordan staten kan benytte seg av enhetene, og endringer i tilknytningsform kan være et verktøy for å endre dette.

Et annet spørsmål er hvorvidt spredning av ansvar på flere versus samling av oppgaver i én organisasjon gir best grunnlag for politisk styring. Flere virksomheter gjør at politisk ledelse har flere å spille på. Samtidig vil samling av ansvaret gjøre det lettere med enhetlig styring. For store virksomheter vil det da være viktig med sterk sentral styring, slik at det blir en klar og tydelig styringslinje fra politisk ledelse og ut til de utøvende leddene i virksomheten. Erfaringsmessig kan det imidlertid ofte oppstå et informasjonsgap mellom en stor tung etat og en relativt liten departementsavdeling.68

Fotnoter

1.

NOU 2015: 13 Digital sårbarhet – sikkert samfunn, kapittel 3.

2.

Ibid.

3.

Meld. St. 10 (2016–2017) Risiko i et trygt samfunn.

4.

Direktoratet for samfunnssikkerhet og beredskap (2016) Samfunnets kritiske funksjoner. Se mer informasjon i boks 15.1.

5.

Nasjonal sikkerhetsmyndighet (2018) Risiko 2018.

6.

NOU 2015: 13 Digital sårbarhet – sikkert samfunn.

7.

Ibid.

8.

Nasjonal kommunikasjonsmyndighet (2017) EkomROS 2017.

9.

NIS-direktivet og Cybersecurity Act er omtalt i vedlegg 2.

10.

NATO Commitment to enhance resilience, erklæring fra NATO-toppmøtet 8.-9. juli 2016.

11.

Meld. St. 10 (2016–2017) Risiko i et trygt samfunn, Meld. St. 38 (2016–2017) IKT-sikkerhet. Et felles ansvar, NOU 2015: 13 Digital sårbarhet – sikkert samfunn NIFU (2017). IKT-sikkerhetskompetanse i arbeidslivet – behov og tilbud. I tillegg utvalgets informasjonsinnhenting.

12.

NIFU (2017) IKT-sikkerhetskompetanse i arbeidslivet – behov og tilbud.

13.

Frost, & Sullivan. (2017) Global Information Security Workforce Study.

14.

Nasjonal sikkerhetsmyndighet (2018) Risiko 2018, s. 10.

15.

Ibid.

16.

Etterretningstjenesten (2018) Fokus 2018, Nasjonal sikkerhetsmyndighet (2018) Risiko 2018 og Politiets sikkerhetstjeneste (2018) Trusselvurdering 2018.

17.

Nasjonal kommunikasjonsmyndighet (2017) EkomROS 2017.

18.

Nasjonal sikkerhetsmyndighet (2016) Helhetlig IKT-risikobilde 2016.

19.

Kunstig intelligens er drevet frem av et ønske om å gjøre maskiner i stand til å løse både fysiske og kognitive oppgaver som tidligere var forbeholdt mennesker, og oppgaver som mennesker ikke er i stand til å løse eller utføre.

20.

Nevrale nett er i denne sammenheng en datadrevet tilnærming til maskinlæring som er inspirert av strukturen og funksjonen til biologiske nevrale nettverk i hjernen. Nevrale nett kan lære noe vi ikke visste fra før, eller noe som ikke er mulig for mennesker å lære. Denne tilnærmingen driver kunstig intelligens fremover nå. Se mer om nevrale nett i Teknologirådet (2018) Kunstig intelligens – muligheter, utfordringer og en plan for Norge.

21.

Future of Humanity Institute et al. (2018) The Malicious Use of Artificial Intelligence: Forecasting, Prevention, and Mitigation. Februar 2018.

22.

OpenAI (2017) Attacking Machine Learning with Adversarial Examples.

23.

Gartner (2017) Gartner Says 8.4 Billion Connected «things» Will be in use in 2017.

24.

Se nærmere Bentstuen, Ole Ingar; Farsund, Bodil Hvesser; Øverlier, Lasse; Køien, Geir (2017). Sikkerhetsutfordringer i fremtidens EKOM-tjenester. FFI-rapport 17/17047.

25.

Telenor (2018) Hva er 5G?

26.

University of Surrey (2017) 5G Whitepaper: 5G Security Overview.

27.

Se for eksempel NOU 2015: 13 Digital sårbarhet – sikkert samfunn. Kap. 8.

28.

Meld. St. 10 (2016–2017) Risiko i et trygt samfunn, Prop. 151 S (2015–2016) Kampkraft og bærekraft, Meld. St. 38 (2016–2017) IKT-sikkerhet. Et felles ansvar.

29.

Meld. St. 38 (2016–2017) IKT-sikkerhet. Et felles ansvar.

30.

Blant annet Fornyings-, administrasjon- og kirkedepartementet (2012) Nasjonal strategi for informasjonssikkerhet med handlingsplan, Meld. St. 27 (2015–2016) Digital agenda for Norge, Prop. 151 S (2015–2016) Kampkraft og bærekraft, Meld. St. 10 (2016–2017) Risiko i et trygt samfunn.

31.

Kommunal- og moderniseringsdepartementet (2015). Hva er statsforvaltningen?

32.

Sikkerhetsloven (1998) (lov 20. mars 1998 nr. 10 om forebyggende sikkerhetstjeneste).

33.

Prop. 153 L (2016–2017) Lov om nasjonal sikkerhet (sikkerhetsloven).

34.

VDI er et nasjonalt sensorsystem for deteksjon og verifikasjon av angrep mot kritisk IKT-infrastruktur. Sensorene er plassert på internettforbindelsen til en rekke offentlige og private virksomheter. Systemet er et offentlig–privat samarbeid hvor den enkelte virksomheten bekoster sin egen sensor.

35.

For beskrivelse av Nasjonalt beredskapssystem, se Forsvarsdepartementet og Justis- og beredskapsdepartementet (2018) Støtte og samarbeid.

36.

Eforvaltningsforskriften. Forskrift 25. juni 2004 nr. 988 om elektronisk kommunikasjon med og i forvaltningen.

37.

PKI – Public Key Infrastructure i offentlig sektor er en overordnet, funksjonell kravspesifikasjon for anskaffelse av tjenester som bruker eID/e-signatur til bruk i elektronisk kommunikasjon mellom offentlige virksomheter og med innbyggere/næringsliv.

38.

Direktoratet for forvaltning og IKT (2018) Innkjøpsordning/markedsplass for skytjenester 2018: 6.

39.

Lov om elektroniske tillitstjenester (lov 15. juni 2018 nr. 44 om gjennomføring av EUs forordning om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked). Ekomloven (lov 4. juni 2003 nr. 83 om elektronisk kommunikasjon). Postloven (lov 4. september 2015 nr. 91 om posttjenester).

40.

Justis- og beredskapsdepartementet (2017) Instruks for departementenes arbeid med samfunnssikkerhet 1. september 2017.

41.

Personopplysningsloven (lov 15. juni 2018 nr. 38 om behandling av personopplysninger).

42.

Sivilbeskyttelsesloven (lov 25. juni 2010 nr. 45 om kommunal beredskapsplikt, sivile beskyttelsestiltak og Sivilforsvaret).

43.

NOU 2015: 13 Digital sårbarhet – sikkert samfunn.

44.

Direktoratet for forvaltning og IKT (2015) Statens styring av kommunene. 2015: 19.

45.

KS (2017) Digitaliseringsstrategi for kommuner og fylkeskommuner 2017–2020.

46.

Kommunal- og moderniseringsdepartementet (2018) Virksomhets- og økonomiinstruks for Fylkesmannen av 13.09.2018.

47.

I henhold til instruks for fylkesmannens og Sysselmannen på Svalbards arbeid med samfunnssikkerhet, beredskap og krisehåndtering fastsatt i kgl.res. 19. juni 2015.

48.

Sikkerhetsloven (lov 1. juni 2018 nr. 24 om nasjonal sikkerhet).

49.

Utenriksdepartementet (2017) Internasjonal cyberstrategi for Norge.

50.

IKT-forskriften. Forskrift 21. mai 2003 nr. 603 om bruk av informasjons- og kommunikasjonsteknologi i banker mv.

51.

Forvaltningsloven (lov av 10. februar 1967 om behandlingsmåten i forvaltningssaker).

52.

Personopplysningsloven (2000) (lov 14. april 2000 nr. 31 om behandling av personopplysninger).

53.

Dette samsvarer med funnene i Furuseth, Helge Rager (2013) Etterlevelse av regelverk for informasjonssikkerhet, Masteroppgave ved Avdeling for forvaltningsinformatikk, UiO, Våren 2013.

54.

Høringsnotatet er pr. 20. november 2018 ikke sendt på høring.

55.

Se blant annet Direktoratet for økonomistyring (2018) Veileder i samfunnsøkonomiske analyser og Direktoratet for forvaltning og IKT (2015) Statlig styring av kommunene.2015:19.

56.

Se for eksempel Hood, C.C. og Margetts, H.Z. (2007) The Tools of Government in the Digital Age. New York. Palgrace Macmillian.

57.

NOU 1992: 32 Bedre struktur i lovverket. Lovstrukturutvalgets delutredning II s. 19–20.

58.

Baldwin, R., Cave, M. og Lodge, M. (2012) Understanding Regulation, Oxford: Oxford University Press, s. 26–27.

59.

Justis- og beredskapsdepartementet (2000) Lovteknikk og lovforberedelse, s. 13.

60.

Begrepet funksjonsbasert regelverk har ikke helt entydig innhold. I St.meld. nr. 17 (2002–2003) Om statlige tilsyn legges det vekt på at funksjonsbaserte regelverk i større grad retter seg mot mål og resultater og i mindre grad mot bestemte metoder eller løsninger. I NOU 2015: 13 Digital sårbarhet – sikkert samfunn s. 293–295 ble funksjonsbasert regelverk diskutert, teksten er basert på denne diskusjonen.

61.

Holte, Hans Christian (2017) Harde og myke virkemidler. Ukeavisen Ledelse 10. februar 2017.

62.

Andreoni, J., Erard, B., & Feinstein, J. (1998) Tax Compliance. Journal of Economic Literature, 36(2), 818–860.

63.

Feld, L.P. and Frey, B.S. (2007) Tax Compliance as the Result of a Psychological Tax Contract: The Role of Incentives and Responsive Regulation. Law and Policy, 29, 102–120.

64.

Teori om etterlevelsesillusjon er drøftet i Tranvik, Tommy (2012) Kommunal regeletterlevelse. Illusjoner og realiteter på personvernområdet. Tidsskrift for samfunnsforskning, nr. 2, s. 131–156. Denne teksten er basert på den artikkelen.

65.

Ibid.

66.

Direktoratet for forvaltning og IKT (2016) Nytt veg- og jernbanedirektorat 2016:3.

67.

Ibid.

68.

Ibid.

Til forsiden