Del 3
Nasjonal strategi for sikker og robust ekominfrastruktur

12 Sikkerhet og beredskap for den digitale grunnmuren

Forstørr bilde

Den digitale grunnmuren i Norge har god dekning, med høy tilgjengelighet og høy kvalitet i nordisk, europeisk og global sammenheng. Stadig flere tjenester, som håndterer stadig større verdier i samfunnet, digitaliseres, blant annet styringssystemer for industri, landbruk og havbruk, hjemmekontorløsninger og dokumentsystemer, selvkjørende kjøretøy og karttjenester, butikk- og betalingstjenester, underholdningstilbud og helse- og omsorgstjenester, herunder velferdsteknologi. Forsvaret er i økende grad avhengig av sivil digital infrastruktur for å kunne løse sine oppgaver.

I Meld. St. 10 (2016–2017) Risiko i et trygt samfunn og Innst. 326 S (2016–2017), er det presentert 14 tverrsektorielle samfunnsfunksjoner som er kritiske for samfunnssikkerheten. For hver av samfunnsfunksjonene er det utpekt et hovedansvarlig departement, som skal sikre nødvendig koordinering og samordning.

Kommunal- og moderniseringsdepartementet er hovedansvarlig departement for de to kritiske samfunnsfunksjonene satellittbasert kommunikasjon1 og elektroniske kommunikasjonsnett og -tjenester.

Direktoratet for samfunnsikkerhet og beredskap har kategorisert ekomnett og -tjenester som en kritisk samfunnsfunksjon som understøtter samfunnets funksjonalitet, jf. figur 12.2.2

Forstørr bilde

Kilde: Direktoratet for samfunnssikkerhet og beredskap

I fremtiden vil den digitale grunnmuren bli enda viktigere for det norske samfunnet, og bære stadig flere viktige og kritiske tjenester, som nød- og beredskapskommunikasjon over kommersielle mobilnett. Når så kritiske tjenester skal leveres over mobilnettene, vil utfall som fører til at de digitale tjenestene blir utilgjengelige, kunne få enda mer omfattende konsekvenser for samfunnet. Det er viktig at sikkerhetstiltakene i den digitale grunnmuren følger utviklingen og tilpasses verdiene som bæres av den, som figur 12.3 illustrerer. Tilbyderne er opptatt av å ha høy oppetid, og myndighetene stiller strenge krav til sikkerhet.

Forstørr bilde

Sikkerhet i den digitale grunnmuren omhandler tilgjengelighet, integritet og konfidensialitet, og eksempler på sikkerhetstiltak kan være driftsrutiner, tilgangskontroll, kryptering, flere føringsveier, redundante systemer, fysisk og logisk sikring, programvareoppgraderinger og reservestrøm.

De private teleselskapene har ansvar for å levere ekomnett og -tjenester med forsvarlig sikkerhet, regulert gjennom krav i ekomloven og sikkerhetsloven med forskrifter. Selskapene investerer over 10 milliarder kroner årlig i norske ekomnett og -tjenester. Regjeringen bidrar med tilskuddsmidler til sikkerhet og beredskap som går ut over det tilbyderne selv kan pålegges å dekke kostnadene for. Sikkerhetskrav som stilles i anskaffelsesprosesser er også et viktig verktøy for å øke den digitale sikkerheten til spesielt viktige tjenester.

Sikkerhetstiltak vil redusere sannsynligheten for utfall, men risiko for utfall elimineres aldri helt. Derfor er det også viktig å fokusere på beredskapstiltak som kan iverksettes ved behov. Slike tiltak kan for eksempel være transportable basestasjoner, som etablerer midlertidig dekning, og tilgjengelig feilrettingskapasitet, som raskt kan rykke ut ved lokale utfall.

12.1 Høy oppetid er viktig for digitaliseringen i samfunnet

Ekomnettene i Norge har god dekning og høy kvalitet i nordisk, europeisk og global sammenheng. Sammen med de øvrige nordiske landene og Nederland ligger Norge øverst på den europeiske digitaliseringsindeksen DESI.3 Norge og Danmark vurderes som aller best i Europa på mobil- og bredbåndstilgang. Norge har den høyeste internettbruken i befolkningen blant alle europeiske land. Dette indikerer at det er en tydelig sammenheng mellom godt utbygde nett med god dekning, kvalitet og kapasitet og høy grad av digitalisering.

Ifølge en analyse av de globale ekomnettene, utført av Tutela, er norske mobilnett fremst i verden på parameteren «Excellent Consistent Quality». Målingene viser hvor stor andel av de digitale forbindelsene som innfrir et sett med minimumskrav til blant annet nedlastings- og opplastingshastighet, forsinkelser, pakketap og variasjon i forsinkelser.4 En analyse av de nordiske mobilnettene fra februar 2021,5 utført av samme selskap, bekrefter at Norge har mobilnett med høy kvalitet. Det betyr at norske mobilkunder har meget god og stabil tilgang til de mest avanserte digitale tjenestene.

Den høye kvaliteten i de norske ekomnettene understøttes av rapporter fra forskningssenteret Simula, som i flere år har gjort målinger av stabilitet og robusthet i de norske mobilnettene. I 2019 var målingene basert på 161 stasjonære målepunkter spredt over store deler av Norge, og 17 målenoder plassert på tog. Simula har observert og beskrevet en positiv utvikling over flere år, særlig etter overgangen fra 2G/3G til 4G, og denne fortsatte også gjennom 2019.6 Sammenlignet med tidligere år, er det stadig flere forbindelser som så godt som aldri opplever brudd. De fleste forbindelsene har en tilgjengelighet på over 99,99 prosent, som innebærer at digitale tjenester er utilgjengelig mindre enn 9 sekunder i døgnet i snitt. Norske mobilnett opplever stadig færre brudd og lavere pakketap år for år.

Ekomtilbyderne overvåker kontinuerlig oppetid i egne nett. Data som Nasjonal kommunikasjonsmyndighet (Nkom) har innhentet, viser at den registrerte gjennomsnittlige oppetiden i mobilnettene til Ice, Telia og Telenor samlet sett var 99,82 prosent for årene 2017, 2018 og 2019. For fastnett har GlobalConnect, Altibox, NextGentel, Telia og Telenor rapportert at den gjennomsnittlige oppetiden var 99,92 prosent i samme tidsperiode.

Brukere av digitale tjenester vil oppleve tjenestetilgjengeligheten som høyere enn tilbydernes målinger av oppetid. For eksempel vil planlagt arbeid i nettene som fører til nedetid, ofte gjennomføres nattestid for å ramme færrest mulig. Feil i ekomnettene vil ikke nødvendigvis føre til bortfall av tjenester, blant annet hvis det er flere overlappende nett og teknologier tilgjengelig. Et eksempel på dette er taletjenesten WiFi Tale, som er mobil tale over bredbåndsnettene, som ofte har overlappende dekning med taletjeneste i mobilnettene. Oppetid blir målt på hver enkelt basestasjon i mobilnettene, og overlappende dekning kan medføre at enkeltutfall ikke får konsekvenser for brukerne.

Ved utfall på enkelte basestasjoner i bynære områder, er det sannsynlig at en basestasjon med overlappende dekning tar over for de basestasjonene som er nede, slik at sluttbruker ikke opplever nedetid. I bynære områder er antallet basestasjoner høyere fordi det i tillegg til dekning også er bygget flere basestasjoner for å øke kapasiteten når mange skal bruke mobilnettene samtidig.

Oppetid i fastnett måles på enkelte komponenter og målenoder i infrastrukturen, og heller ikke i disse nettene vil sluttbruker oppleve feil på samme måte som de måles av tilbyderne. For eksempel vil flere føringsveier i infrastrukturen kunne forhindre utfall for kundene, selv om det registreres nedetid på en komponent eller en målenode.

Selv om oppetiden er høy, bærer den digitale grunnmuren stadig flere og viktigere tjenester, og utfall som fører til at digitale tjenester blir utilgjengelige, får dermed stadig større konsekvens for samfunnet ettersom digitaliseringen fortsetter.

12.2 Distriktene er mer utsatt for ekomutfall enn sentrale strøk

Distriktene har en høyere risiko for mer langvarige tjenesteutfall enn sentrale strøk. I distriktene er det blant annet mindre grad av overlappende dekning i mobilnettene, som er en viktig årsak til at sluttbrukere i distriktene opplever flere utfall. Fiberbrudd og strømbrudd er også blant de vanligste årsakene til redusert tjenestetilgjengelighet for digitale tjenester. Slike brudd krever i stor grad fysisk rettearbeid, for eksempel at entreprenører finner bruddsted og skjøter kabel. I distriktene er det større avstander, og det kan være redusert fremkommelighet og mindre rettekapasitet tilgjengelig, som vil ha betydning for rettetiden. Erfaringer fra hendelser og utfall viser at feilretting ofte tar lengre tid i distriktene, spesielt i værutsatte områder. Lange reisestrekninger, utfordrende værforhold og vanskelig tilgjengelig infrastruktur, for eksempel basestasjoner plassert på fjelltopper, fører til lengre feilrettingstid. Hurtig tilgang til reservedeler kan også utgjøre en større utfordring i distriktene. Brudd på en sjøfiberkabel utenfor en kystkommune krever spesialutstyr og sjøkabelskip for feilretting. Kabelskipene er avhengige av gode værforhold, distansene kan være store, og skjøting av sjøfiberkabler kan derfor i enkelte tilfeller ta lang tid.

I 2019 og 2020 kartla Nkom, i tett dialog med andre myndigheter, teleselskaper og næringsliv, sårbarheter i den digitale grunnmuren i Finnmark. I Finnmarksrapporten slår Nkom fast at Finnmark opplever mer langvarige utfall enn mer sentrale strøk, og anbefaler mulige tiltak for å redusere sårbarhetene. Regjeringen besluttet i 2020 tiltak for til sammen 135 millioner kroner for å styrke den digitale grunnmuren i Finnmark. I dette inngår 90 millioner kroner til forsterket ekom i 12 kommuner slik at alle kommunene i Finnmark nå får midler til styrket mobilberedskap, og 45 millioner kroner fra pilot for alternativt kjernenett/transportnett for å styrke nettene, jf. kap. 13.5.1. Når tiltakene er gjennomført vil risikoen for utfall i Finnmark reduseres betydelig.

Med erfaring fra tiltakene i Finnmark, vil regjeringen sørge for at ekommyndigheten gjennomfører grundige risiko- og sårbarhetsanalyser i minst fem nye regioner, og vurdere tiltak. Tiltak fases inn etter en årlig vurdering.

Foto: Chris Montgomery på Unsplash

12.3 Sårbarhets- og trusselbilde for den digitale grunnmuren

12.3.1 Naturhendelser

Ekstremvær kan forårsake store skader på ekom- og kraftinfrastruktur. Ifølge Norsk klimaservicesenter7 kan vi fremover forvente økende temperatur og nedbør i hele landet gjennom hele året, og man må være forberedt på hyppigere forekomster av kraftig styrtregn. Det er nødvendig å ta hensyn til endringene i klimaet når kritisk infrastruktur skal planlegges og sikres. Særlig gjelder dette i geografiske områder med høy risiko for naturhendelser.

12.3.1.1 Kraftig vind

Kraftig vind har ført til flere store og langvarige ekomutfall, og dette vil utgjøre en risiko også i fremtiden. Stormen Frank førte i januar 2021 til lokale strømbrudd og fiberbrudd, med lokale utfall av ekomnett og -tjenester i fylkene Troms og Finnmark, Nordland og Agder. Stormen Nina satte i januar 2015 rundt 150 basestasjoner ut av drift på Vestlandet og Sørlandskysten.

12.3.1.2 Store nedbørsmengder og skred

Store nedbørsmengder på sommeren 2019 utløste flere jordskred i Jølster, Gloppen og Førde i Sogn og Fjordane. Dette førte til utfall for strømforsyning og ekomtjenester. Enkelte områder mistet både mobil- og bredbåndsdekning, samtidig som skred hindret redningsarbeid og feilretting. Det ble innført forbud mot å ta seg inn i skredområdet på grunn av faren for nye skred, og feilrettingen kunne først starte etter ett døgn. Utfall av ekomnett og -tjenester er ekstra tyngende når det kombineres med en krise og befolkningen ikke kan ringe til sine nære eller kontakte nødetater.

Tungt snøfall vinteren 2016 førte til omfattende skader på kraftlinjer og fiberkabler i Agder, Vestfold og Telemark. Mer enn 9000 husstander var uten strøm, og feilsituasjonen berørte mobilnettene og fastnettene. Konsekvensene av snøværet ble størst i innlandsområdene der det var dårlig fremkommelighet for retting av feil på kraftlinjer.

Ekom er helt avhengig av stabil strømtilførsel for å fungere. Bruk av reservestrømsløsninger, og kapasiteten på slike løsninger, har økt de siste fem årene i mobilnettene og transmisjonsnettene, blant annet som følge av myndighetskrav. Likevel er forbedringspotensialet stort. Strømbrudd er, sammen med fiberbrudd, blant de vanligste årsakene til ekomutfall.8 Ekstremvær som fører til skader på infrastruktur vil ofte ramme både ekom- og strømnettene, og kan gi strøm- og fiberbrudd og føre til langvarige utfall. Styrket samarbeid mellom kraft- og ekomsektoren, blant annet for å koordinere rettearbeid, kan redusere varigheten på utfall i ekomnettene. Slikt styrket samarbeid omtales i kapittel 14.5.

Enkelte områder er mer sårbare enn andre, med færre fibertraséer og derfor lavere grad av redundans. Brudd på sjøfiberkabler utenfor kysten av Finnmark er eksempel på hendelser som har ført til at internettilgang og telefonitjenester har blitt utilgjengelige i flere kommuner samtidig. Slike brudd har også medført utfall på Kystradioen langs deler av Finnmarkskysten. Kystradioen er et viktig system for kommunikasjon mellom land og havgående fartøy.

I flere områder benytter mobilnettene felles transmisjonsløsninger, og basestasjoner fra forskjellige tilbydere er ofte samlokalisert. Ett enkelt fiberbrudd kan dermed ta ut en rekke basestasjoner hos flere tilbydere.

Langvarige fiber- og strømbrudd vil ofte ramme hele den digitale grunnmuren i et område og gjøre de digitale tjenestene i dette området utilgjengelige, inkludert mulighet til å ringe nødnummer.

12.3.1.3 Graveskader

Ekomnett og -tjenester kan falle ut som følge av grave- og anleggsarbeid, ved at fiberkabelen eller strømforsyningen graves over.

I en rapport fra 20209 er det årlige antallet graveskader på tvers av ulike typer infrastruktur (strøm, ekom, vann og avløp) i Norge anslått til ca. 16 000. Ekom har den største andelen graveskader med ca. 7 300 slike skader årlig, blant annet fordi ekomkablene legges grunnere i bakken enn andre typer kabler. De direkte kostnadene for reparasjon av disse kablene er anslått til totalt 113 millioner kroner per år. De totale samfunnsøkonomiske kostnadene ved graveskader for ekom er tilsvarende estimert til 349 millioner kroner. De samfunnsøkonomiske kostnadene omfatter kostnader for å reparere skaden, entreprenørens kostnader knyttet til forsinket prosjektfremdrift, samfunnets kostnader og ulemper ved forsinket prosjektfremdrift, tapt forbruk på grunn av nedetid, utsatt forbruk på grunn av nedetid og forebyggingskostnader.

Foto: Magnar Danielsen

Et viktig tiltak for å redusere antall graveskader, er å sikre kunnskap om hvor eksisterende ledninger ligger i grunnen. Dagens ledningsinformasjon er ikke tilstrekkelig, og et nytt forskriftskrav (ny ledningsregistreringsforskrift) trer i kraft 1. juli 2021, der det stilles krav til innmåling, dokumentasjon og utlevering av geografisk informasjon om ledninger og annen infrastruktur i grunnen, sjø og vassdrag. Mer nøyaktig dokumentasjon om kabler i grunnen, vil på sikt være et viktig bidrag til å redusere antall graveskader og kostnader til påvisning av kabler i grunnen.

Regjeringen mener det er viktig å forebygge graveskader. I en rapport levert til Samarbeidsforum for ledninger i grunnen,10 er det foreslått bedre standarder for utførelse og fysisk sikring av ledninger i grunnen, sertifiserings- og kompetansekrav for gravebransjen, bedre kompetanse om forebygging hos alle involverte aktører i anleggsprosjekter, mer tilsyn under utførelse av anleggsarbeid, obligatorisk krav til gravemelding og kabelpåvisningstjeneste, klargjøring av ansvarsforhold der det er flere underleverandører, klar og tydelig linje for god kommunikasjon og enklere system for å melde inn feil i ledningsdokumentasjon og skader på ledningsnettet.

Kommunal- og moderniseringsdepartementet vil, i samarbeid med berørte departement og ledningsaktørene, vurdere flere av de forannevnte tiltakene for å forbygge og begrense antallet graveskader.

12.3.1.4 Brann

Skogbranner og brann som rammer ekominfrastruktur kan forårsake ekomutfall, selv om det er en sjelden årsak til utfall. Skogbrannfaren er stor i varmere perioder, og flere europeiske land har opplevd store skogbranner de siste årene, blant annet i Norge og Sverige sommeren 2018. Ekomtilbyderne er pålagt en rekke krav om brannsikring.

I 2014 brøt det ut brann i Lærdal, som på grunn av mye vind spredde seg raskt og fikk store konsekvenser. En telesentral, som rommet viktig utstyr for ekomnettene, brant ned. Omfanget av brannen og den store varmeutviklingen førte til forsinket feilretting så lenge brannen pågikk. Mobiltjenester, fasttelefoni og bredbåndstjenester ble berørt i området, og det tok i underkant av to dager å få opprettet midlertidig mobildekning i området ved hjelp av flyttbar basestasjon og strømaggregat. Erfaringer fra hendelsen viste at regionale beredskapslagre med transportable basestasjoner, som blant annet staten gir tilskuddsmidler til, er en viktig løsning for å opprette midlertidig dekning.

12.3.2 Tekniske og driftsmessige feil

Mobil- og bredbåndsnett er bygd opp med komponenter og programvare med komplekse verdikjeder for design, utvikling og vedlikehold. I Norge har vi opplevd at utilsiktede programvarefeil og driftsmessige feil i sentrale deler av infrastrukturen har forårsaket store, landsdekkende ekomutfall. Programvarefeil er som regel ukjente og skjulte, og selv med omfattende testing på testanlegg før en oppgradering eller endring gjennomføres, kan likevel feil oppstå i nettene. Feil i programvare kan oppdages og utnyttes i forbindelse med digitale angrep.

Myndighetene stiller strenge krav til driftsrutiner og oppfølging ved endringer, blant annet at det er mulighet til å reversere endringen som gjøres hvis feil oppdages.

12.3.3 Digitale trusler

Digitale angrep utgjør en konstant og vedvarende trussel mot kritisk infrastruktur. Både den digitale grunnmuren i seg selv, og tjenestene den bærer, er attraktive mål. Digitale angrep utføres av et vidt spekter av trusselaktører med ulike motiver og kapasiteter. Trusselaktørene kan være alt fra enkeltpersoner og grupper som bedriver vinningskriminalitet, til kompetente statsstøttede aktører med etterretningsformål. De årlige trusselvurderingene11 fra Politiets sikkerhetstjeneste (PST) og Etterretningstjenesten ble presentert i februar 2021 sammen med vurderinger om risiko fra NSM. Digitale trusler er fremtredende i vurderingene, og det påpekes at hovedmålet med andre staters nettverksoperasjoner i Norge vil fremdeles være å stjele informasjon. Det påpekes at det internasjonalt observeres eksempler på at trusselaktører har evne og vilje til både å manipulere informasjon og sabotere digitale systemer. Slike operasjoner kan også ramme Norge.

Trusselbildet er i stadig endring, men det er likevel enkelte typer trusler som er særlig aktuelle i ekomsektoren, som vist i tabell 12.1.

Det jobbes nasjonalt og internasjonalt med tiltak mot digitale angrep. Blant annet jobbes det med:

• Internasjonalt standardiseringsarbeid som er rettet mot å identifisere sikkerhetstiltak og lukke sårbarheter, som DNSSEC og RPKI er eksempler på.

• Overvåkingsmetoder og driftsrutiner som forebygger mot eller bidrar til å avdekke angrep.

• Sikkerhetssamarbeid på tvers av sektorer i ulike miljøer for å avverge og begrense pågående angrep, blant annet i sektorvise responsmiljøer, koordinert av NSMs Nasjonale cybersikkerhetssenter (NSCS).

12.3.4 Sabotasje og etterretning

Den digitale grunnmuren blir i stadig større grad benyttet, eller forsøkt benyttet, til å utføre sabotasje og etterretning. Når stadig viktigere tjenester for det norske samfunnet bæres av den digitale grunnmuren, blir både grunnmuren, og tjenestene den bærer, et stadig mer utsatt mål for etterretning og sabotasje. Etterretnings-, overvåkings- og sikkerhetstjenestene (EOS-tjenestene) har vært tydelige i sine vurderinger av risiko for etteretningsvirksomhet og sabotasje. Det vises blant annet til at den digitale trusselen fra statlige aktører er vedvarende og alvorlig. Oppkjøp og investeringer i norsk næringsliv med ansvar for norske ekomnett, -tjenester eller -infrastruktur kan gi fremmede stater tilgang til informasjon og innflytelse som ikke er i Norges interesse. Sikkerhetsloven skal beskytte kritisk ekominfrastruktur mot denne type oppkjøp.

13 Iverksatte og pågående tiltak for økt sikkerhet og beredskap for den digitale grunnmuren

Det er en stadig økende forventning i samfunnet om tilgjengelighet til digitale tjenester, overalt og alltid. Det er etablert sikkerhets- og beredskapsløsninger som skal forebygge utfall, og redusere konsekvensen av feil som oppstår i ekomnett og -tjenester, og som belyses i dette kapittelet. Kontinuerlig og systematisk sikkerhetsarbeid er en forutsetning for å forebygge og håndtere uønskede hendelser, tilsiktede og utilsiktede, som omfatter alt fra uvær og menneskelige feil, til fysisk ødeleggelse, etterretningsvirksomhet, digitale angrep og sabotasje.

Teknologiutviklingen gjør det mer omfattende og komplekst å holde oversikt over og vurdere beskyttelsesnivået for infrastruktur og systemer. Bruk av funksjonelle krav som rettslige standarder, er grunnleggende for at forebyggende sikkerhet skal utvikle seg i takt med teknologiutviklingen, samfunnsutviklingen og endringer i risiko- og trusselbildet.

Den digitale grunnmuren er i tillegg til å være kritisk for samfunnet, også viktig i totalforsvarssammenheng. Sivilt beredskapsarbeid og sivilt-militært samarbeid har de siste årene fått økt oppmerksomhet ikke bare i Norge, men også i NATO (North Atlantic Treaty Organization) og internasjonalt. NATO vedtok i 2016 forventninger til allierte nasjoner om å bygge opp en økt robusthet innenfor en rekke sektorspesifikke områder (seven baseline requirements), herunder også en forventning om at allierte nasjoner har sikre og robuste kommunikasjonssystemer. Alliansen er avhengig av sivile og kommersielle ressurser og infrastrukturer, som ekomnett og -tjenester, jernbane, havner, flyplasser og strømnett, for å gjennomføre militære operasjoner. Dette fordrer at den digitale grunnmuren har nødvendig robusthet og sikkerhet for å fungere og støtte opp om totalforsvarets behov i krig og krise, og under militære aktiviteter i fredstid, som for eksempel øvelser. For å tilrettelegge for en helhetlig tilnærming og videreutvikling av totalforsvaret og forventningene fra NATO om motstandsdyktige kritiske samfunnsfunksjoner, vedtok regjeringen i 2016 etableringen av et program for videreutvikling av totalforsvaret og samfunnets motstandsdyktighet (Totalforsvarsprogrammet). Programmet hadde varighet til utgangen av 2020, og følges nå opp gjennom ordinære styringssystemer.

Forsvaret er i økende grad avhengig av sivil digital infrastruktur for å kunne løse sine oppgaver. Det er vesentlig for nasjonal sikkerhet at sivile IKT-systemer som er kritiske for alliert mottak og Forsvarets operasjoner, ikke svikter. Handlefrihet i det digitale rom for å understøtte militære operasjoner krever tett samarbeid på tvers av sivil og militær sektor.

Ekomtilbydere har ansvar for å tilby elektroniske kommunikasjonsnett og -tjenester med forsvarlig sikkerhet for brukerne i fred, krise og krig. Ekomloven bidrar til at totalforsvarets og NATOs forventninger til samfunnets motstandsdyktighet oppfylles.

13.1 Implementering av ny sikkerhetslov i ekomsektoren

Ny lov om nasjonal sikkerhet (sikkerhetsloven) gir virksomhetene som er underlagt loven et større selvstendig ansvar for forebyggende sikkerhet, for eksempel ved vurdering av risiko og sårbarheter og valg av sikkerhetstiltak. Sikkerhetsloven skal blant annet bidra til å forebygge, motvirke og avdekke tilsiktede handlinger som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser. Fleksibiliteten og de funksjonelle kravene i ny sikkerhetslov fordrer at virksomhetene har kompetanse til å gjøre gode sikkerhetsmessige vurderinger. Dette og gir samtidig myndigheten et større veiledningsansvar. For ekomsektoren er det identifisert grunnleggende nasjonale funksjoner (GNF) som omfatter taletjenester, meldingstjenester og grunnleggende internettilgang.

Nasjonal kommunikasjonsmyndighet (Nkom) har fått delegert tilsyns- og veiledningsansvar for ekomsektoren etter sikkerhetsloven og skal gi råd og veiledning om hvordan bestemmelser og tiltak kan tilpasses sektorens egenart.

Kommunal- og moderniseringsdepartementet har fattet vedtak om å underlegge flere virksomheter i ekomsektoren sikkerhetsloven. Disse virksomhetene råder over informasjonssystemer, objekter eller infrastruktur som er av avgjørende betydning for GNF. Det kan bli aktuelt å underlegge flere virksomheter på sikt. Virksomhetene som er underlagt loven, har utført skadevurderinger som er til gjennomgang i Nkom og departementet.

De skjermingsverdige objektene som er utpekt etter gammel sikkerhetslov, er videreført iht. overgangsbestemmelsen i den nye sikkerhetsloven. Departementet vil utpeke og klassifisere objekter og infrastruktur med tilhørende informasjonssystemer som understøtter GNF. For objekter og infrastruktur som utpekes, skal virksomhetene iverksette nødvendige sikkerhetstiltak for å oppnå forsvarlig sikkerhet.

Nasjonal sikkerhetsmyndighet (NSM) og sektormyndigheter med tilsynsansvar har en viktig rolle med å gi råd og veiledning om hvordan bestemmelsene kan etterleves, og hvordan tiltakene kan tilpasses den enkelte sektors egenart. Tilsynsmyndigheten skal på forespørsel gi råd og veiledning.

Veiledningsarbeidet finner sted blant annet i Ekomsikkerhetsforum, samvirkegruppen for sikkerhet og beredskap i ekomnett (SBEN) og arbeidsgruppen for veiledning knyttet til sikkerhets- og beredskapsplikter. I tillegg er det opprettet en samhandlingsarena for informasjonsutveksling og kompetanseoverføring for sektormyndighetene med tilsynsansvar etter sikkerhetsloven. Per i dag deltar NSM, Nkom og NVE på denne arenaen. Felles digitale sårbarheter på tvers av sektorer og behov for økt kompetanse, medfører mer samhandling på tvers av tilsynsmyndigheter. Arenaen skal bidra til å få en oversikt over relevante aktører innenfor forebyggende sikkerhetsarbeid, medvirke til gjensidig kunnskapsoverføring og føre til en felles forståelse av regelverket.

13.2 Reservestrøm

Nkom fattet i 2014 vedtak om minstekrav til reservestrøm i mobilnettene. Dette er et viktig tiltak for å redusere konsekvensene ved strømbrudd som rammer ekominfrastrukturen, særlig i forbindelse med kriser der tilgjengeligheten til mobile tale- og datatjenester utgjør en viktig innsatsfaktor. Utvidelsen av reservestrømkapasiteten finansieres av tilbyderne som en del av forsvarlighetskravet i ekomloven, som blant annet stiller krav om at nett og tjenester må være tilstrekkelig robuste til å tåle kraftig uvær og andre ytre påkjenninger.

I henhold til gjeldende krav skal reservestrømkapasiteten på basestasjoner som et utgangspunkt være dimensjonert ut fra en risiko- og sårbarhetsvurdering. Reservestrømkapasiteten skal være minst to timer for alle områder. I områder med mindre overlappende dekning skal reservestrømkapasiteten være risikobasert og i gjennomsnitt fire timer. Vedtaket fra 2014 ga ekomtilbyderne en frist for å innfri minstekravet innen 1. juni 2022, utvidet til 31. desember 2022 etter klage til departementet, slik at nødvendige oppgraderinger i nettene kunne innlemmes i eksisterende planer for oppgradering og utbygging og dermed bidra til å redusere kostnadene.

Minstekravet til reservestrøm er funksjonelt, slik at for å opprettholde dekning i fire timer, må tilbyderne sikre tilstrekkelig reservestrøm både på basestasjonen og innover i transmisjonsnettet. I tillegg til vedtaket om minstekrav til reservestrøm i mobilnettene, stilles det også krav til reservestrøm på sentrale anlegg i ekomnettene i klassifiseringsforskriften (såkalte A, B og C-anlegg). Det stilles i dag ikke konkrete krav til reservestrøm i fastnettaksess.

Tilbyderne gjør også selvstendige vurderinger for reservestrøm utover kravet som myndighetene stiller, og har noen basestasjoner med høyere reservestrømkapasitet enn 4 timer.

13.3 Programmet for forsterket ekom

Det myndighetsfinansierte programmet for forsterket ekom er et samarbeid mellom Nkom, mobiltilbyderne og lokale myndigheter. Programmet gir særlig utsatte kommuner mer robuste mobilnett i et utvalgt område som er viktig for lokal kriseledelse. Blant annet får området tre døgns reservestrøm, og det etableres sikringstiltak for å styrke transmisjonslinjene til basestasjonene. Tiltaket gir befolkningen et område i nærområdet som kan oppsøkes, der mobildekningen opprettholdes i tre døgn ved langvarige strømutfall.

Det er bevilget over 500 millioner kroner siden programmet startet i 2014, og ved utgangen av 2020 er det gjennomført eller igangsatt prosjekter i 64 kommuner, jf. figur 13.1. I 2021 fortsetter programmet i nye kommuner.

Forstørr bilde

Erfaringene viser at områder med forsterket ekom har fått en vesentlig bedre evne til å motstå utfall av mobilkommunikasjon ved ekstremvær. Det langsiktige målet er forsterket ekom i alle kommuner i landet.

13.4 Beredskapsavtaler

Nkom inngår avtaler om sikkerhets- og beredskapstiltak med tilbydere av ekomnett og -tjenester utover det som tilbyderne selv er ansvarlige for i henhold til ekomloven. Det bevilges midler til slike avtaler over statsbudsjettet. Avtalene omfatter administrative og organisatoriske beredskapstiltak, lagring og vedlikehold av transportabelt beredskapsutstyr samt investeringer i ekominfrastruktur og beredskapsmateriell.

For å øke gjenopprettingsevnen, er det etablert regionale beredskapslagre med reservemateriell og utstyr, både tilbydernes egenfinansierte utstyr og utstyr som er finansiert av midler over statsbudsjettet gjennom beredskapsavtalene mellom tilbyderne og myndighetene. Dette inkluderer transportable basestasjoner og strømaggregater, jf. eksempelet illustrert med figur 13.2.

Forstørr bilde

En avtale med Telenor omhandler i tillegg fortifikatoriske sikringstiltak, som gir økt motstandsdyktighet mot fysiske angrep, som et ledd i Totalforsvarsprogrammet.

13.5 Pilot for alternativt kjernenett/transportnett

I ROBIN-rapporten12 som ble utgitt i 2017, har Nkom identifisert sårbarheter og tiltak for å øke sikkerhet og robusthet i norske ekomnett. En sårbarhet som er beskrevet i rapporten, som også ble påpekt i NOU 2015: 13,13 er avhengigheten til Telenors transportnett. Dette kan beskrives som digitale motorveier, som bærer både bredbånds- og mobiltrafikk fra mange tilbydere. Ved utfall i transportnettet til Telenor, kan flere tilbyderes nett oppleve utfall. Siden ordet «kjernenett» beskriver andre sentrale deler av mobilnettene, omtales tiltaket som «pilot for alternativt transportnett» heretter.

I 2018 og 2019 ble det bevilget 80 millioner kroner til pilot for alternativt transportnett, med mål om å teste ut ulike løsninger for å etablere et fungerende marked for alternative transportnett. Nkom har hatt tett dialog med tilbydere og kartlagt mulige tiltak. Markedet for sentrale strøk er langt på vei etablert, men i distriktene er det kommersielle grunnlaget for sikre og robuste nett mindre. Følgende tiltak er iverksatt innenfor rammene i piloten:

• Pilot for å styrke den digitale grunnmuren i Finnmark

• Sikringstiltak for Svalbardfiberen

• Sikringstiltak for NIX (Norwegian Internet eXchange)

13.5.1 Pilot for å styrke den digitale grunnmuren i Finnmark

Finnmark er et område som opplever mer langvarige utfall i mobil- og bredbåndsnettene enn mer sentrale strøk. Årsaken er en kombinasjon av begrenset redundans i fiberinfrastrukturen og utfordrende værforhold, i tillegg til store avstander, som gjør rettearbeider krevende.

Boks 13.1 Finnmarksrapporten

Forstørr bilde

Nkom har, i dialog med lokale aktører og ekomtilbydere, kartlagt sårbarheter og anbefalt tiltak for å øke sikkerheten og beredskapen for den digitale grunnmuren i Finnmark. Dette er dokumentert Finnmarksrapporten¹ som inneholder:

• Kartlegging av de ulike transportnettene i Finnmark.

• Kartlegging av eksisterende, kommende og forslag til ny fiberinfrastruktur i Finnmark.

• Beskrivelse av ulike aktørers avhengighet til «Finnmarksringen».

• Beskrivelse av sårbarheter knyttet til

  • Fiberinfrastruktur

  • Fysisk sikring

  • Reservestrømkapasitet

  • Beredskap for feilretting

• Et eget målbilde for ekominfrastruktur i Finnmark.

• Forslag til mulige tiltak innenfor fiberutbygging, fysisk sikring, reservestrømkapasitet og beredskap for feilretting.

¹ Rapport om ekominfrastruktur i Finnmark – Nkom

Det er besluttet en tiltakspakke, der midler fra pilot for alternativt transportnett benyttes til blant annet å etablere flere alternative fibertraseer. Nkom har ansvar for å iverksette tiltakspakken, og signerte i desember 2020 avtaler med Varanger Kraft, Signal, Ishavslink og Telenor:

• Det skal bygges ny fibertrase til Nordkinnhalvøya, som vil gi Lebesby og Gamvik en landbasert fibertilknytning i tillegg til sjøfiberkabelen som i dag er den eneste forbindelsen. Det gir økt redundans, og en reservevei ved et fiberbrudd.

• Fem utvalgte og viktige punkter i den digitale grunnmuren får økt reservestrøm til minimum 24 timer, med bærekraftig teknologi basert på hydrogen. Dette vil gi økt motstandsdyktighet mot utfall av digitale tjenester ved strømbrudd.

• Det vil bygges en ekstra fiber ved Bugøyfjord, som vil øke robustheten for østre Finnmark og blant annet redusere risiko for utfall i Kirkenes.

• Et landtak for sjøfiberkabel i Loppa kommune, som er en del av den digitale motorveien i Finnmark, får omfattende sikringstiltak, som reduserer risiko for brudd.

Tiltakspakken er på 45 millioner kroner og kommer i tillegg til 90 millioner kroner til forsterket ekom, som regjeringen annonserte i 2020 for økt mobil beredskap i Finnmark. Med disse ekstra midlene til forsterket ekom, vil alle kommunene i Finnmark få et område som er viktig for lokal kriseledelse, der mobildekning fra alle operatørene styrkes med blant annet tre døgns reservestrøm og sikringstiltak for transmisjonsnettet ut til basestasjonene.

13.5.2 Sikringstiltak for Svalbardfiberen

I 2019 ble det iverksatt tiltak for 10 millioner kroner for å knytte Svalbardfiberen til to fysisk uavhengige landtak på fastlandet, samt å knytte fiberen videre til to uavhengige transportnett. Tiltaket vil sikre at brudd i ett av landtakene ikke fører til utfall av Svalbardfiberen, og det legger til rette for at ekomtjenester på Svalbard kan opprettholdes ved utfall i et av transportnettene på fastlandet.

13.5.3 Sikringstiltak for Norwegian Internet eXchange (NIX)

I 2019 ble det iverksatt tiltak for ca. 1 million kroner for kapasitetsutvidelse av samtrafikkpunktene til NIX, som er et knutepunkt for IP-samtrafikk der ulike tilbydere kobles sammen. Tiltaket bedrer samtrafikkpunktenes evne til effektivt å håndtere plutselig trafikkvekst eller endringer i trafikkmønstre, slik vi opplevde under nedstengingen av samfunnet i mars 2020. Over 60 internettilbydere, innholdsleverandører og andre internettaktører er i dag koblet til NIX.

13.6 Økt diversitet for ekomtrafikken mellom Norge og utlandet

Mesteparten av ekomtrafikken mellom Norge og utlandet utveksles i Oslo og går videre gjennom et fåtall fibertraséer i Sverige. For å bidra til å spre ekomtrafikken, er det bevilget 100 millioner kroner til alternative føringsveier fra Norge til utlandet. Nkom har inngått avtale som skal bidra til etableringen av et nytt sjøfibersamband mellom Kristiansand og Esbjerg i Danmark og sikre at denne benyttes til generell norsk ekomtrafikk. Tiltaket har en ramme på i underkant av 40 millioner kroner, og resterende midler vil kunne bidra til økt sikkerhet for eksisterende sjøfiberkabler til utlandet, blant annet med tiltak for å styrke ilandføring for sårbare fiberkabler.

I tillegg er det flere kommersielle prosjekter som bidrar til økt diversitet for den digitale trafikken mellom Norge og utlandet. Blant annet har Skagen Fiber, eid av Lyse/Altibox, i 2020 etablerte en ny sjøfiberkabel fra Oslo til Larvik og videre til Hirtshals, og selskapet har planer om å etablere Englandskabelen mellom Rogaland og Newcastle i 2021. I tillegg har Tampnet i 2020 bygd en ny sjøfiberkabel til Skottland.

Et annet eksempel er det finske initiativet «Arctic Connect», der det i et samarbeid med private aktører fra flere land planlegges en ny sjøfiberkabel mellom Kirkenes i Norge og Tokyo i Japan, via Finland og Russland. Prosjektet er drevet av russiske Megafon og finske Cinia Alliance, med norske, finske og japanske deleiere.

13.7 Hendelseshåndtering

Erfaringene fra de siste års ekomhendelser viser at utfall i stor grad medfører lokale konsekvenser. Feil som medfører konsekvenser på regionalt og nasjonalt nivå over tid er sjeldne, men til gjengjeld alvorlige, og risikoen for regionale og nasjonale utfall skal ikke undervurderes. Tidligere alvorlige og svært alvorlige hendelser, både som følge av ekstremvær og logiske feil i sentral tjenesteproduksjon, har gitt erfaringer og ført til at ekomtilbyderne har styrket beredskapen for håndtering av alvorlige hendelser. Når det oppstår hendelser som gir langvarige konsekvenser, har vær og geografi ofte stor betydning.

Koronapandemien som brøt ut våren 2020, er en krise som også må håndteres i ekomsektoren. I mars og april 2020 viste ekomnettene at kapasiteten og stabiliteten var tilstrekkelig til å håndtere økt belastning som følge av økning i trafikk og endret bruks- og trafikkmønster. Det oppstod feil på enkelte tjenesteplattformer som ikke var dimensjonert for den økte belastningen, uten at dette medførte alvorlige konsekvenser. I perioder med strenge karantenetiltak og innreiserestriksjoner har tilbyderne vist at de evnet å opprettholde drift og vedlikehold uten umiddelbar fare for bortfall av tjenester.

13.7.1 Organisering av beredskapen i sektoren

Utviklingen i ekomsektoren har gått i retning av at underleverandører er en større del av den stående beredskapen for håndtering av hendelser. Reservedeler og andre kapasiteter som benyttes i feilrettingen, vil typisk håndteres av entreprenørene som en del av avtalen med ekomtilbyderne.

Tilbydernes beredskap for feilretting er i stor grad skalert etter potensiell kundekonsekvens. Det medfører at kapasitet og responstid kan være bedre i tettbygde strøk enn i distriktene. Plassering av reserveutstyr og materiell og store avstander har også betydning for den stående beredskapen i distriktene. Ved hendelser som er varslet på forhånd, som for eksempel ekstremvær, kan beredskapen i distriktene økes proaktivt i forkant ved å flytte ressurser og materiell.

13.7.2 Utkontraktering og entreprenørtjenester

Tilbyderne benytter i stor grad de samme entreprenørressursene i beredskapssammenheng, og til dels på tvers av andre sektorer, som kraftsektoren. Dette kan utgjøre en sårbarhet, men har også en positiv effekt. Entreprenørselskaper besitter spesialkunnskap og kapasiteter som tilbyderne og ulike sektorer vanskelig kan opprettholde hver for seg. Ved større hendelser og kriser som rammer flere tilbydere og sektorer, kan færre involverte aktører gjøre det enklere å foreta prioriteringer, for eksempel når kritiske samfunnsfunksjoner rammes. På den andre siden vil erfaringer fra hendelser i mindre grad flyte tilbake til tilbydernes organisasjoner når driftsoppgaver er utkontraktert til underleverandører. Ved liknende hendelser senere, kan et annet entreprenørselskap ha overtatt kontrakt for drift og feilretting. Dette medfører en risiko for at erfaring kan gå tapt og tilbydernes evne til å håndtere store feil og krisesituasjoner over tid kan svekkes.

13.7.3 Digital hendelseshåndtering

Digital hendelseshåndtering er en prosess for å detektere og respondere på digitale hendelser. Prosessen inneholder tiltak fra forberedelse og planlegging, deteksjon og rapportering, vurdering og respons, til utarbeidelse av læringspunkter.

Hendelseshåndtering favner menneskelige, organisatoriske og tekniske tiltak. Det nasjonale rammeverket for håndtering av digitale hendelser gir klare føringer for hvordan hendelser skal håndteres, innenfor egen sektor, på tvers av sektorer og på nasjonalt nivå. Som sektorresponsmiljø er EkomCERT en viktig del av et nasjonalt varslingsregime. Mer om EkomCERT i kapittel 13.10.

13.7.4 Øvelser

Beredskapsøvelser er et viktig virkemiddel for å kunne tilby ekomnett og -tjenester med forsvarlig sikkerhet for brukerne i fred, krise og krig. Ekommyndigheten og ekomtilbyderne har deltatt i flere nasjonale tverrsektorielle øvelser de siste årene, også som del av totalforsvaret. Elektronisk kommunikasjon og alvorlige digitale hendelser har vært viktige elementer i øvelsesscenarioene.

I den øvre delen av trusselspekteret har den teknologiske utviklingen endret deler av trusselbildet fra konvensjonell militær krigføring til hybrid krigføring, hvor ekomnettene både er mål og middel for fiendtlige stater, som ønsker å ramme kritiske samfunnsfunksjoner eller utøve politisk og sosial påvirkning.

Det er satt av betydelige ressurser til store nasjonale tverrsektorielle øvelser de siste årene. Slike øvelser har gitt nyttig erfaring med samhandling og koordinering på tvers av virksomheter og sektorer for å møte nye sikkerhetsutfordringer.

Samtidig er det behov for sektorspesifikke øvelser, der ekommyndigheten og ekomtilbyderne er mer sentrale i øvelsesscenarioene. Erfaringer fra tverrsektorielle nasjonale øvelser viser at det kan være utfordrende å involvere ekomtilbyderne i planlegging og gjennomføring av øvelser som bygger på scenarioer som i begrenset grad omfatter ekomsektoren. For å få best mulig utbytte av øvelser, bør det derfor i tillegg legges vekt på å utvikle scenarioer som oppleves som aktuelle og relevante i sektoren, basert på de risiko- og sårbarhetsvurderingene som foreligger. Øvelsene bør være effektive med hensyn til ressursbruk og utbytte.

Øvelser er også et viktig virkemiddel for å øke evnen til digital hendelseshåndtering. Dette gjelder både på organisatorisk og teknisk nivå. Som sektorresponsmiljø deltar EkomCERT i nasjonale og internasjonale øvelser og tilrettelegger for øvelser for virksomheter i ekomsektoren. Dette kan være øvelser av ulikt omfang, fra enklere såkalte skrivebordsøvelser til mer avanserte tekniske øvelser, der det simuleres en tilnærmet reell situasjon. Dette gir muligheter for realistisk øvelse av kommunikasjon, strategi, taktikk og evnen til å danne et korrekt situasjonsbilde.

13.7.5 Systematisk innhenting og deling av informasjon om hendelser

For å etablere situasjonsbilde for ekomsektoren i forbindelse med hendelser, er det opprettet en beredskapsvaktordning i Nkom. Varsling til beredskapsvakt utgjør i dag den viktigste informasjonskilden for hendelser i ekomsektoren. Ekomtilbyderne har plikt til å varsle myndigheten om hendelser som har fått, eller kan få, konsekvenser av et visst omfang. I utkast til ny ekomlov vil terskelen for varsling ved hendelser foreslås senket, blant annet i tilknytning til hvor mange kunder som omfattes, og om utfallet er kombinert med en lokal krise, som flom eller jordskred. Det blir stadig viktigere med en tilgjengelig og fungerende digital grunnmur i det norske samfunnet.

Varsling til myndigheten gir informasjon om konsekvenser, omfang, årsak, varighet og utvikling. Ved større hendelser som rammer flere sektorer, for eksempel ekstremvær, er det i tillegg behov for å innhente informasjon fra andre aktører. Ved utfall av ekstern kraft er informasjon om forventet varighet på utfallene viktig for å kunne forutsi konsekvens for ekomnett og -tjenester. Informasjonsflyten mellom ekommyndigheten, tilbyderne og andre sektorer håndteres i dag manuelt gjennom beredskapsvaktordningen.

Ved hendelser som omfatter frekvensforstyrrelser, for eksempel jamming av GPS, vil i tillegg Nkoms støysenter, jf. kapittel 4.5, utgjøre et viktig bidrag for Nkoms totale situasjonsbilde.

Nye digitale verktøy kan bidra til styrket hendelseshåndtering i ekomsektoren ved å effektivisere informasjonsflyten mellom ekommyndigheten og tilbyderne, og til andre beredskapsaktører på tvers av sektorer. Blant annet kan digitale, kartbaserte løsninger utvikles. Dette kan bidra til å forbedre den samlede nasjonale situasjonsforståelsen.

13.7.6 Oppfølging og analyser av hendelser

Oppfølging av hendelser i ekomsektoren er basert på innhenting av opplysninger om de enkelte hendelser og iverksatte tiltak. Dette er en form for hendelsesbasert tilsynsarbeid som skal bidra til å sikre at ekomtilbyderne ivaretar sine sikkerhets- og beredskapsforpliktelser.

Gode risiko- og sårbarhetsanalyser er en forutsetning for å kunne vurdere behovet for nye beredskapstiltak. Et bredt og pålitelig datagrunnlag fra ekomhendelser er viktig for å kunne utarbeide grundige vurderinger.

Sektormyndighetens årlige risiko- og sårbarhetsvurdering for ekomsektoren, EkomROS, tar utgangspunkt i innhentet informasjon om hendelser og andre datakilder på et overordnet nivå. De overordnede årlige risiko- og sårbarhetsvurderingene suppleres med mer konkrete kartlegginger av sårbar infrastruktur og andre analyser som danner grunnlaget for en risikobasert tilnærming til sikkerhets- og beredskapstiltak. Finnmarksrapporten, omtalt i kaptittel 13.5.1, er et eksempel på denne type analyse. Et bredt datagrunnlag i analysefasen er hensiktsmessig for å vurdere effekten av myndighetsfinansierte tiltak.

13.8 Robust internettinfrastruktur

Internettilgang har blitt den mest brukte ekomtjenesten i samfunnet. Internetteknologien er i utgangspunktet designet uten omfattende sikkerhetsfunksjoner fordi internett opprinnelig ble etablert som et lukket forskningsnett. Men etter hvert som internett i økende grad er tatt i bruk til offentlig elektronisk kommunikasjon har kravene til sikkerhet på internett økt. Sikkerhetsarkitekturen støtter funksjoner som:

• autentisering, som bekrefter egen identitet og identiteten til de man kommuniserer med,

• integritet, som bekrefter at innholdet i kommunikasjonen ikke er endret underveis og

• konfidensialitet, som sikrer at innholdet er skjult for uvedkommende.

For elektronisk kommunikasjon baserer slike funksjoner seg på kryptografiske metoder. Det er vanlig å benytte kryptering med offentlig nøkkel, hvor den offentlige nøkkelen som benyttes gjøres tilgjengelig i et digitalt sertifikat. Et digitalt sertifikat vil typisk identifisere en datamaskin eller en person. For at sertifikatene skal kunne beskyttes mot forfalskninger, kan disse sjekkes mot et system kalt PKI (Public Key Infrastructure).

De senere årene har myndighetene i EØS lagt til rette for sikker elektronisk samhandling mellom personer og aktører i offentlig og privat sektor. Til dette benyttes eID, elektronisk identifikasjon. Ved hjelp av en eID kan en person autentiseres eller legitimere seg over internett. Eksempler på eID er BankID, Buypass, Commfides og MinID.

I tillegg til sikkerhetsarkitektur for internettbaserte tjenester som beskrevet ovenfor, er sikkerhet også viktig for kjernefunksjoner til internett, som ruting og domenenavnsystemet. Når det gjelder ruting, er RPKI (Resource PKI) standardisert som en spesialisert PKI for signering av rutinginformasjon med BGP. Ondsinnet «BGP-kapring» forekommer fra tid til annen, noe som kan føre til omfattende feilruting av trafikk på internett. RPKI er designet for å forhindre slike hendelser, men utbredelsen av RPKI er foreløpig relativt begrenset.

For domenenavnsystemet er DNSSEC (DNS Security Extensions) standardisert som integritetsbeskyttelse av svarene på navneoppslagene som returneres fra autoritative DNS-tjenere. DNSSEC bidrar til å motvirke «DNS-forgiftning», en form for sikkerhetsangrep som forkommer mot DNS-servere hvor forfalsket informasjon plantes. Dette kan videre henvise brukere til infiserte webtjenere som for eksempel kan benyttes til identitetstyveri.

Internettbaserte tjenester er avhengige av en fungerende internettinfrastruktur. Internett er et globalt kommunikasjonsnett, og internettforvaltningen foregår derfor i en internasjonal sammenheng. Kjernefunksjonene til internett forvaltes i et samvirke mellom myndighetene, privat sektor og sivilsamfunnet basert på multiaktørmodellen («multistakeholder model»). Det operative ansvaret for drift og utvikling av internett ligger imidlertid hos næringslivet.

Norske myndigheter følger arbeidet med internettforvaltning tett gjennom deltakelse i internettorganisasjonene ICANN/GAC og IETF, samt parallelle aktiviteter innenfor ITU og IGF. Norske myndigheter legger i denne sammenheng stor vekt på deltakelse i europeisk samarbeid. I internettforvaltningen støtter Norge «multistakeholder-modellen». ICANN har vist seg å være et egnet forum for global forvaltning av internettressurser i tråd med denne modellen, jf. kapittel 10.5.

13.9 Tillitstjenester

Lov om elektroniske tillitstjenester trådte i kraft 15. juni 2018. Loven gjennomfører eIDAS-forordningen.14 Elektronisk identifikasjon (eID) og tillitstjenester er tjenester som har til hensikt å sikre validitet og tillit elektronisk. Målet er å øke tilliten til elektroniske transaksjoner i EØS’ indre marked ved å danne et felles grunnlag for elektronisk samspill mellom bedrifter, borgere og offentlige myndigheter på tvers av landegrensene i EØS.

Selvdeklarasjonsforskrift15 for elektronisk identifikasjon ble vedtatt 21. november 2019 og trådte i kraft samme dag. Formålet med selvdeklarasjonsforskriften er å etablere sikkerhetsnivåer og tilsynsordning for eID-løsninger og dermed øke tilliten til og bruken av elektroniske identifikasjonstjenester i Norge.

For å sikre et velfungerende marked og oppnå et tilfredsstillende sikkerhetsnivå for elektronisk identifikasjon og tillitstjenester, er det viktig med et godt samarbeid på tvers av landegrensene. Lov om elektroniske tillitstjenester, eIDAS-forordningen og selvdeklarasjonsforskriften for eID fastsetter prinsippet om et indre europeiske digitalt markedet. Tilliten til tjenester underlagt regelverket styrkes ved at det settes krav til både aktører, tjenester og tilsynsmyndigheter.

Nkom fører tilsyn med at tilbyderne av eID og tillitstjenester oppfyller kravene satt i selvdeklarasjonsforskriften og eIDAS-forordningen. Dette innebærer tilsynsaktiviteter i forkant når slike tjenester starter opp, og jevnlige kontroller i ettertid for å påse at kravene overholdes. Tilbydere er pliktige til å rapportere sikkerhetshendelser til Nkom. Denne informasjonen brukes blant annet til å kartlegge potensielle sårbarheter. Nkom fremlegger rapporterte sikkerhetshendelser til EUs cybersikkerhetsbyrå (ENISA). Videre deltar Nkom i fora for informasjons- og erfaringsutveksling mellom de europeiske tilsynsmyndighetene.

13.10 Nkom EkomCERT

EkomCERT er ekomsektorens digitale responsmiljø (SRM). Som sektorresponsmiljø koordinerer EkomCERT håndteringen av digitale hendelser. Ved alvorlige digitale hendelser yter EkomCERT bistand til ekomaktørene i form av informasjonsinnhenting, rådgivning og koordinering. Sektorresponsmiljøet er fullt operativt med døgnkontinuerlig vaktordning. EkomCERT arbeider tett med ekomaktørenes sikkerhetsorganisasjoner, Nasjonalt cybersikkerhetssenter (NCSC) og andre sektorresponsmiljøer i Norge.

EkomCERT skal være pådriver for informasjonsutveksling, samhandling og kompetansebygging om sektorspesifikke utfordringer, som kan løse felles utfordringer for aktørene i sektoren. Sektorresponsmiljøet skal legge til rette for at sektoren samlet sett er best mulig rustet til både å motstå og håndtere digitale sikkerhetshendelser når de inntreffer.

Styrking av Norges nasjonale evne til å avdekke og håndtere digitale angrep er et av hovedområdene som omtales i Nasjonal strategi for digital sikkerhet,16 og Meld. St. nr. 38 (2016–2017) IKT-sikkerhet – Et felles ansvar som ble lagt frem våren 2017. Et sentralt tiltak for å bidra til en slik styrking er etableringen av et rammeverk for håndtering av digitale hendelser. Rammeverket legger til grunn at de sektorvise responsmiljøene skal ha en sentral rolle i hendelseshåndteringen, og stiller krav til hvilke oppgaver responsmiljøene skal ivareta og hvilke egenskaper responsmiljøene skal ha. I tillegg beskrives sentrale aktører og ansvarsfordeling mellom aktører med en rolle i hendelseshåndteringen.

Ekomsektoren består av et hundretalls aktører. Det er store variasjoner mellom aktørene når det gjelder størrelse, tjenester og markedsinnretning, og dette har betydning for samhandling, informasjonsdeling og forebygging av digitale hendelser i sektoren.

For å møte denne utfordringen har EkomCERT utviklet en plattform for samhandling og informasjonsdeling mellom SRM og aktørene i ekomsektoren. Samhandlingsplattformen skal gjøre det mulig å formidle informasjon fra EkomCERT til aktører i ekomsektoren, være en plattform for samhandling og informasjonsdeling mellom aktørene i sektoren, og bidra til å styrke EkomCERT som det koordinerende ledd i ekomsektoren.

Det mørke nettet – «dark web» – overvåkes ved hjelp av spesifikke verktøy. Disse henter ut informasjon som ikke er allment tilgjengelig. På det mørke nettet foregår det blant annet kjøp og salg av abonnentinformasjon og kundeopplysninger som potensielt kan benyttes til å kompromittere ekomaktørers systemer.

Kunnskap og kompetanse om systemer og metodikk for deteksjon og motvirking av de mest vesentlige hendelsene, må formidles og bygges opp i sektoren. Særlig viktig er kunnskap og kompetanse knyttet til ruting på internett (BGP), DNS og tjenestenektangrep.

EkomCERT fokuserer på disse områdene og utvikler løsninger og veiledninger for monitorering, deteksjon og motvirkende tiltak. Motvirkning av BGP-kapringsforsøk krever et stort nett av monitoreringspunkter for å kunne oppdage hendelser, som gjerne kan inntreffe langt utenfor landegrensene og kun være synlig i begrensede deler av internetts nettverkstopologi.

13.11 Tilsyn og veiledning i ekomsektoren

En viktig del av sikkerhetsarbeidet i ekomsektoren er knyttet til ekommyndighetens tilsynsarbeid. Sikkerhets- og beredskapsforpliktelsene som gjelder for tilbydere av elektroniske kommunikasjonsnett og -tjenester er i hovedsak nedfelt i ekomloven med tilhørende forskrifter (ekomforskriften, klassifiseringsforskriften, og forskrift om prioritet i mobilnett). Nkom er tilsynsmyndighet og skal påse at tilbydernes virksomhet er i samsvar med krav i dette regelverket. Nkom har også ansvar for tilsyn med eID-ordninger med mål om å øke tilliten til og bruken av elektroniske identifikasjonstjenester i Norge.

Nkom er utpekt som tilsynsmyndighet etter sikkerhetsloven for ekomsektoren, og har dermed et helhetlig ansvar for tilsyn og veiledning knyttet til sikkerhet i sektoren. Tilsyn i ekomsektoren har en risikobasert tilnærming, det vil si at tilsyn rettes mot områdene der risikoen er høy eller konsekvensene av en hendelse er potensielt store. Dette bidrar til effektiv ressursbruk.

13.11.1 Veiledning

Veiledning og samarbeid med bransjeaktører og andre myndigheter, utgjør en viktig del av risikohåndteringen. Ekomsikkerhetsforum, som kobler sammen sikkerhetsmyndighetene og tilbyderne underlagt sikkerhetsloven, og andre sikkerhets- og beredskapsfora er viktige arenaer blant annet for utveksling av gradert informasjon og risikovurderinger mellom myndighetene og tilbyderne.

Ekomregelverkets krav til forsvarlig sikkerhet skal sikre at tilbyder ivaretar den grunnleggende sikkerheten til nett og tjenester, og sørger for nødvendig beredskap for å kunne håndtere situasjoner ut over det normale. Kravet skal dekke grunnsikring ved både tilsiktede og utilsiktede hendelser. Forsvarlighetsnivået innebærer at nett og tjenester, selv i situasjoner med ekstraordinære påkjenninger, skal være tilgjengelige, og at integritet, konfidensialitet og autentisitet skal beskyttes.

Forsvarlig sikkerhet er en rettslig standard som forutsetter en tett veiledningsdialog mellom myndigheten og tilbyderne, og som tar inn over seg teknologiendringer og endringer i trusselbildet.

Forsvarlig risikohåndtering krever god kjennskap til verdiene som skal beskyttes, sårbarheter og trusselbildet. Regjeringen mener at det er viktig at myndighetene legger til rette for at aktørene i ekomsektoren skal ha god kjennskap til risikobildet.

13.11.2 Samarbeidsfora

Ekomsikkerhetsforum består av representanter for utvalgte ekomtilbydere, Nkom, NSM, Politiets sikkerhetstjeneste (PST) og Etterretningstjenesten. Forumets hovedformål er å være en felles arena for tillitsbasert utveksling av informasjon, som kan gi tilbyderne et godt grunnlag for egne risiko- og sårbarhetsanalyser. Samtidig får myndighetene sikkerhetsrelevant informasjon fra bransjeaktørene.

Det er også opprettet en samvirkegruppe for sikkerhet og beredskap i ekomnett (SBEN). SBEN er et uformelt forum mellom Nkom og ekomaktørene, der man kan dele informasjon og kvalitetssikre initiativ og tiltak rundt sikkerhet og beredskap. Samvirkegruppen skal være praktisk rettet og handlingsorientert.

På bakgrunn av erfaringer fra arbeidet i SBEN, og for ytterligere å styrke veiledningsarbeidet etter ekomloven og sikkerhetsloven, opprettet Nkom i 2018 en arbeidsgruppe for veiledning knyttet til sikkerhets- og beredskapsplikter. Arbeidsgruppen er tenkt som et forum for å diskutere tilbydernes plikter på et mer overordnet nivå, blant annet med hensyn til forsvarlig sikkerhet og beredskap, klassifisering og sikring av anlegg, tilgangskontroll, skallsikring, beredskapsplanverk, prioritering av tjenestetilbud, varsling ved hendelser, prioritet i mobilnettene og reservestrømkapasitet.

13.11.3 Samarbeid mellom tilsynsmyndigheter og veiledning etter sikkerhetsloven

Ny sikkerhetslov trådte i kraft 1. januar 2019. Loven skal forebygge, avdekke og motvirke sikkerhetstruende virksomhet, og erstatter den gamle sikkerhetsloven fra 1998. Det nye regelverket har funksjonelle krav, er dynamisk og kan endre seg i takt med sikkerhetsutfordringene. Virksomhetene har selv ansvaret for regelmessig å gjennomføre vurderinger av risiko og iverksette forebyggende sikkerhetstiltak for å oppnå forsvarlig sikkerhet.

13.11.4 Samhandling

Departementene er ansvarlige for det forebyggende sikkerhetsarbeidet innenfor sine ansvarsområder iht. sikkerhetsloven og skal identifisere GNF, utpeke og holde oversikt over skjermingsverdige objekter, infrastruktur og informasjonssystemer som skal beskyttes. NSM er sikkerhetsmyndighet etter loven og fagmyndighet for forebyggende sikkerhet. NSM har et sektorovergripende ansvar for å sørge for at virksomhetene utfører forebyggende sikkerhet i samsvar med loven.

NSM er i utgangspunktet tilsynsmyndigheten for etterlevelsen av sikkerhetsloven med forskrifter. Departementene kan bestemme at myndigheter med sektoransvar som fører tilsyn med beskyttelse av informasjon, informasjonssystemer, objekt eller infrastruktur skal føre tilsyn med virksomheter som er omfattet av loven. I disse tilfellene skal NSM føre tilsyn med det utpekte sektortilsynet.

Ved bruk av sektortilsyn skal det inngås en avtale mellom NSM og det utpekte sektortilsynet. Samarbeidsavtalen mellom Nkom og NSM ble signert i 2019. Det stilles ulike krav til Nkom som sektormyndighet etter sikkerhetsloven. Nkom skal orientere NSM om planlagte tilsyn og redegjøre for gjennomførte tilsyn. Videre har Nkom en plikt til å veilede tilbyderne om forståelse av regelverket.

Regjeringen mener at god samhandling mellom virksomheter og myndigheter er sentralt for å sikre at virksomhetene har et godt bilde av sikkerhetsutfordringene. Videre vil samhandling mellom sektorene være med på å sikre at det foreligger et helhetlig bilde av de nasjonale sikkerhetsutfordringene.

13.12 5G-sikkerhet

5G og skytjenester danner et viktig grunnlag for nye løsninger som kan bidra til digital modernisering og transformasjon. Stadig flere etablerer store og virksomhetsomspennende digitale plattformer for å effektivisere virksomhetenes funksjoner. 5G kan støtte oppunder tjenester som krever svært lave forsinkelser og dermed korte distanser mellom bruker og datasenter. Tilbyderne kan innføre tjenester som tilbys via separate logiske nett innenfor ett og samme fysiske 5G-nett. Dette er et eksempel på virtualisering som er blitt vanlig i digitalisering de senere årene. Virtualisering innebærer at maskinvaren i større grad blir generisk, mens de ulike funksjonene blir definert i programvare. Det forventes at enkelte tjenester i neste generasjons mobilnett i større grad flyttes ut av sentrale datasentre og produseres i regionale datasentre og på basestasjonsnivå ved hjelp av virtualisering.

En sikker og robust infrastruktur og utbygging av regionale datasentre er en forutsetning for en slik utvikling. Når stadig større verdier for det norske samfunnet, norsk industri og befolkningen bæres over mobilnettene, vil sikkerhet gjennom de komplekse verdikjedene, gjennom infrastruktur- og tjenestelag, bli stadig viktigere.

Verdi- og leverandørkjedene som ligger bak ekomnettene og -tjenestene gjør den digitale grunnmuren stadig mer kompleks. Med den økte samfunnsmessige betydning av ny teknologi som 5G og IoT, er fokus på sikkerhet i alles interesse. 5G og krav til sikkerhet har vært mye omtalt på den globale arena. EU har utviklet en egen 5G-verktøykasse, med ulike verktøy for å øke 5G-sikkerheten, blant annet driftsrutiner, tilgangskontroll, fysisk sikkerhet, redundans og diversitet.

Viktige og kritiske samfunnsfunksjoner vil bæres av 5G-nettene, og fokus på sikkerhet for en så kritisk infrastruktur, er i alles interesse. Arbeidet med å tydeliggjøre krav til forsvarlig sikkerhet i 5G-nettene ble startet i 2017 og gjennomført i tett dialog med andre land, teknologileverandører, sikkerhetsmyndigheter og mobiltilbyderne.

Kommunal- og moderniseringsdepartementet har valgt å konkretisere hva som anses som forsvarlig sikkerhet forbundet med utstyrsleverandører til 5G før ekomtilbyderne konkluderer i sine anskaffelsesprosesser, for å gi større grad av forutsigbarhet ved slike store investeringer. Myndighetene har valgt en balansert tilnærming, og har presisert at tilbyderne må velge flere enn én leverandør, dersom de velger basestasjoner fra 5G-leverandører fra land som Norge ikke har sikkerhetsavtale med. Minst 50 prosent av basestasjonene skal være fra leverandører fra land Norge har sikkerhetsavtale med. Teleselskapene har selv valgt sine 5G-leverandører innenfor de rammene av forsvarlig sikkerhet som er beskrevet ovenfor.

13.13 Tiltak for å hindre mobilkapring

Stadig flere tjenester er knyttet til vårt mobiltelefonnummer, blant annet tillitstjenester og gjenopprettelse av passord, og vi er sårbare hvis vi mister kontrollen over mobilnummeret. Til tross for et strengt regelverk om entydig identifisering, ble det i 2019 avdekket at det er mulig å overta et mobilnummer eller opprette et SIM-kort i andres navn.

Nkom avdekket i tillegg at det forekom fiktive navn i registrene eller at navn manglet. Slike falske og feilaktige opplysninger kan gjøre det vanskeligere for politiet å etterforske kriminell aktivitet. For nødetatene er det viktig at det kommer opp korrekt informasjon om hvem som ringer i forbindelse med et nødanrop.

Regjeringen foreslår å tydeliggjøre kravene til entydig identifikasjon, og har sendt forslag til endring i ekomforskriften på høring.17 Endringen vil redusere omfanget av mobilkapring. Forslaget innebærer at man må bruke godkjent eID (elektronisk identifikasjon) for å opprette mobilavtale over internett, eller vise gyldig legitimasjon ved kjøp i butikk. I tillegg innebærer forslaget en presisering av hvordan teleselskapene skal identifisere sluttbrukeren når kunden er en virksomhet eller organisasjon. Dette gjelder både ved opprettelse og endring av avtale.

13.14 Regjeringens mål og virkemidler for økt samfunnssikkerhet og statssikkerhet

Implementering av ny sikkerhetslov

Regjeringen vil at ekommyndigheten bidrar til god samhandling mellom virksomheter og myndigheter for å ivareta grunnleggende nasjonale funksjoner i ekomsektoren.

Økt diversitet for ekomtrafikken mellom Norge og utlandet

Regjeringen vil fortsette å legge til rette for en sikker og stabil internettinfrastruktur og -funksjonalitet i Norge og mot utlandet.

Hendelseshåndtering

Regjeringen vil:

• At ekommyndigheten videreutvikler arbeidet med øvelser og sikrer at relevante scenarioer for ekomsektoren blir øvet.

• At ekommyndigheten er pådriver for dialog og samhandling med nasjonale og regionale beredskapsaktører for å kartlegge sårbarheter som påvirker ekom som innsatsfaktor i fred, krise og krig.

• At ekommyndigheten er pådriver for strukturert og kontinuerlig samhandling og informasjonsdeling mellom aktørene i ekomsektoren.

• At Nkom deler med relevante myndigheter og tilbydere et oppdatert situasjonsbilde ved hendelser i ekomsektoren.

5G-sikkerhet

Regjeringen vil:

• At ekommyndigheten, og NSM, videreutvikler sikkerhetskompetanse på 5G, i samråd med norske virksomheter.

• At Norge deltar aktivt i relevante internasjonale fora som omhandler 5G-sikkerhet.

Mobilkapring

Regjeringen vil redusere omfanget av mobilkapring ved å tydeliggjøre krav til identifisering ved opprettelse eller endring av abonnementsavtaler.

14 Nye tiltak for styrket sikkerhet og beredskap for den digitale grunnmuren

Etter hvert som den digitale grunnmuren bærer stadig viktigere og mer kritiske tjenester for samfunnet, er det i alles interesse å fokusere på sikkerhet og beredskap. Kommunal- og moderniseringsdepartementet vurderer i arbeidet med ny ekomlov hvordan relevante krav til forsvarlig sikkerhet og beredskap bør utformes. Utkast til ny ekomlov, som sendes på høring i 2021, vil understøtte noen av tiltakene som beskrives i dette kapittelet.

Parallelt med dette har innkjøpere av ekomnett og -tjenester et ansvar for å etterspørre og stille krav om sikkerhet og robusthet i anskaffelser, noe som fordrer god bestillerkompetanse og bevissthet rundt risiko, sårbarheter og verdikjeder.

I tillegg er det viktig at nye beredskapstiltak vurderes, som droner som raskt kan fly mobildekning inn i områder som er rammet av utfall, eller som ikke har dekning, for eksempel for å bidra til søk etter savnede personer.

14.1 Styrking av den digitale grunnmuren i sårbare distrikter

I distriktene er mobil- og bredbåndsnettene i mindre grad overlappende, og er mer sårbare for hendelser og ekstremvær. Det oppleves mer langvarige utfall i distriktene, og flere regioner har behov for å få kartlagt sårbarheter i den digitale infrastrukturen, og få vurdert tiltak, tilsvarende tiltakene i Finnmark, beskrevet i kapittel 13.5.1.

Basert på erfaringer fra arbeidet med Finnmarksrapporten og tiltakene som iverksettes i Finnmark for å styrke den digitale grunnmuren, vil regjeringen at det skal gjennomføres grundige risiko- og sårbarhetsanalyser, i minst fem nye, sårbare regioner. Regionene velges basert på risiko for utfall og opplevd hyppighet og varighet på utfall. Analysene vil inkludere befaringer og dialog med en lang rekke aktører, blant annet lokale, regionale og nasjonale fiberkabeleiere, mobilnetteierne og offentlige aktører i kommune, fylke og stat.

Det skal kartlegges mulige tiltak. Det er blant annet aktuelt å vurdere:

• å øke antall føringsveier i transportnettene,

• å styrke sikkerheten på viktige punkter i den digitale grunnmuren og

• å øke beredskapen hvis utfall likevel skjer, slik at de mest kritiske tjenestene opprettholdes (som f.eks. å kunne ringe nødnummer).

Målet er å identifisere tiltak som vil øke robustheten i den digitale grunnmuren i distriktene vesentlig, ved å forebygge mot utfall og forbedre håndteringen av utfall. Tiltakene skal ha som hensikt å gi økt sikkerhet og beredskap for innbyggere, næringsliv, kriseledelse og kritiske samfunnsfunksjoner, inkludert for fremtidig løsning for nød- og beredskapskommunikasjon over kommersielle mobilnett. Det tas sikte på å identifisere mulige tiltak og vurdere hvordan disse kan iverksettes.

En mer solid digital grunnmur, med stadig flere digitale tjenester legger til rette for verdiskaping og nye arbeidsplasser i distriktene, som også vil bidra til at lokale virksomheter kan utvikle seg og fortsatt holde til i distriktene.

14.2 Tiltak for viktige og kritiske samfunnsfunksjoner - «flere ben å stå på»

Stadig flere viktige og kritiske samfunnsfunksjoner digitaliseres, og disse blir stadig mer avhengig av samfunnets felles digitale grunnmur for å fungere. Noen eksempler på slike funksjoner er Kystradioen, nødmeldingssentralene, industri med digitalt styrt produksjon og overvåking, styringssystemer for transport og helse- og omsorgstjenester, herunder velferdsteknologi.

Boks 14.1 T-banetogene skal styres over mobilnettene i fremtiden

Forstørr bilde

Foto: Katrine Holland, Sporveien

Sporveien har besluttet å styre T-banetogene over de kommersielle mobilnettene i fremtiden. Ved å velge å benytte en felles digital grunnmur, kan slike tjenester dra nytte av den generelle utviklingen og innovasjonen i mobilnettene. Når så viktige og kritiske tjenester bæres av en felles digital grunnmur, er det viktig å vurdere tiltak for å ivareta og øke sikkerheten og beredskapen i mobilnettene. For viktige og kritiske tjenester for samfunnet bør det vurderes å anskaffe tilgang til flere uavhengige nettverk for å imøtekomme krav til dekning, tilgjengelighet og tjenestekvalitet, og få «flere ben å stå på».

Diversitet og redundans er viktige forebyggende tiltak i et sikkerhets- og beredskapsperspektiv. Ved hjelp av fysisk redundans i infrastrukturen, for eksempel redundante komponenter og flere fibertraséer, kan antall utfall og ikke minst konsekvensene ved brudd reduseres. Overordnet har det skjedd en positiv utvikling i norske ekomnett og -tjenester de siste årene, og hver tilbyder jobber med å styrke sine nett for å forebygge mot utfall.

Utilsiktede og tilsiktede hendelser som kan føre til utfall av viktige og kritiske digitale tjenester for samfunnet, vil få stadig større konsekvenser. Kriminalitet flyttes i stadig større grad over i det digitale rom, og dette fører til økt risiko for digital sabotasje og etterretning. Det er viktig å vurdere tiltak mot sårbarheter som kan føre til utfall i den digitale grunnmuren. Risiko for utfall kan ikke elimineres helt, men kan reduseres ved å iverksette tiltak hos den enkelte tilbyder, og det kan vurderes tiltak på tvers av flere tilbydere, slik at viktige og kritiske tjenester i samfunnet kan få «flere ben å stå på».

Det finnes flere muligheter for å øke sikkerheten for en digital tjeneste over den digitale grunnmuren:

• Vurdering av behov for fysisk redundans, som vil si to eller flere uavhengige infrastrukturer, som øker sikkerheten ved fysiske feil på en av infrastrukturene. En viktig eller kritisk tjeneste for samfunnet, for eksempel en nødmeldingssentral, kan kobles opp mot to uavhengige fiberføringer fra en eller flere tilbydere, slik at ett fiberbrudd ikke fører til utfall av tjenesten.

• Vurdering av behov for logisk redundans, som betyr krav om at to eller flere uavhengige systemer eller leverandører benyttes for å styre og drifte digital funksjonalitet. Logisk redundans øker sikkerheten blant annet ved at planlagte oppgraderinger kan utføres på forskjellige tidspunkt i de ulike styringssystemene, og at logiske feil, som konfigurasjonsfeil, ikke fører til utfall.

Hver ekomtilbyder er opptatt av sikkerhet og redundans, både fysisk og logisk, i egne nett. Selv om den digitale grunnmuren i Norge er svært solid både med hensyn til dekning og oppetid, kan det i risiko- og sårbarhetsanalyser for viktige og kritiske samfunnsfunksjoner komme frem at utfall av tjenesten har så store konsekvenser at «flere ben å stå på» kan være et nødvendig sikkerhetstiltak. Virksomheter med ansvar for slike funksjoner, kan vurdere kostnad opp mot nytte for denne type sikringstiltak. Kritiske og viktige samfunnsfunksjoner kan blant annet redusere risikoen for utfall betydelig, dersom det ved anskaffelse av ekomtjenester etterspørres løsninger fra minimum to tilbydere, og tjenester anskaffes fra nett som er atskilt både fysisk og logisk. I Norge har vi tre mobilnettilbydere, og det er begrenset konkurranse om å tilby denne type reserveløsninger, som kan føre til uhensiktsmessig høye priser.

Kommunal- og moderniseringsdepartementet vurderer en hjemmel i ny ekomlov der ekomtilbydere kan pålegges å tilby elektronisk kommunikasjonstjeneste til virksomheter, organisasjoner og offentlige instanser som ivaretar viktige eller kritiske samfunnsfunksjoner, inkludert pålegg om prisforpliktelser, hvis det er nødvendig for å sikre at tiltaket gjennomføres. En slik hjemmel vil bli vurdert foreslått i utkast til ny ekomlov som skal sendes på høring i 2021. Dersom et slikt hjemmelsgrunnlag vedtas, vil det kunne benyttes når virksomheter med ansvar for viktige og kritiske samfunnsfunksjoner har forsøkt å anskaffe et «ekstra ben å stå på», men opplever at det kommersielle markedet ikke strekker til.

14.3 Sikkerhetskrav i anskaffelser og økt bevisstgjøring

Offentlige og private virksomheter er avhengige av en rekke ekomtjenester i sin daglige drift, og utviklingen har gått i retning av standardiserte grensesnitt mot ekomtjenestene. Virksomhetenes digitale løsninger er ikke lenger bundet til leverandøravhengige ekomtjenester.

Kjennskap til risiko og sårbarhet som kan påvirke ekomtjenestenes tilgjengelighet, er en viktig forutsetning for å styre risiko ved anskaffelser. Ekomsikkerhet har blant annet fått en sentral plass i kommunale risiko- og sårbarhetsanalyser.

Virksomheter kan anskaffe bedriftsløsninger som omfatter mobiltjenester, transmisjonsprodukter og tilleggsprodukter, også sikkerhetsprodukter. Hvis sikkerhetsnivået i ekomtjenestene isolert sett ikke tilfredsstiller en virksomhets behov, bør det vurderes å anskaffe reserveløsninger i tillegg. Dette kan for eksempel være flere uavhengige leverandører av fast bredbånd, mobilt bredbånd fra ulike mobilnett, satellittbasert bredbånd eller trådløse punkt-til-punkt kommunikasjonsløsninger, jf. omtalen i kapittel 14.2.

Anskaffelser av virksomhetskritiske ekomtjenester må gjøres ut fra en helhetsvurdering som krever kompetanse på flere fagområder. Interkommunalt samarbeid og bruk av ekstern kompetanse kan være virkemidler for å sikre nødvendig tjenestekvalitet. Større offentlige og private virksomheter vil gjennom sin kravstilling kunne påvirke ekomtilbydernes investeringer i egne nett og tjenester. Ved større anskaffelser kan forsterkninger av infrastrukturen være en del av forhandlingen med tilbyder. Det bør følge krav om tilgangsplikt til andre tilbydere for slike forsterkninger, blant annet for å unngå innlåsningseffekt med valgt tilbyder, eller konkurransevridninger for større offentlige anskaffelser. En viktig del av bestillerkompetansen består i å forstå risikobildet i ekomsektoren. Ekommyndigheten har en veiledende rolle i denne sammenhengen.

14.4 Styrking av arbeidet med å gjøre nettene mer uavhengige

Det er tre tilbydere av mobilnett i Norge – Ice, Telenor og Telia. Deler av mobiltrafikken til Telia og Ice går gjennom Telenors infrastruktur, og en vesentlig andel av mobiltrafikken i Norge er dermed avhengig av Telenors infrastruktur. De siste årene har Telia og Ice gjort seg mindre avhengig av Telenor, ved å bygge ut og å kjøpe eller leie alternativ fiberinfrastruktur eller øke bruk av egne radiobaserte transmisjonsløsninger, som radiolinje, i store deler av landet. Likevel er avhengigheten mellom mobiloperatørene fortsatt betydelig. I tillegg er basestasjonene til tilbyderne ofte plassert på de samme fysiske lokasjonene og mastene med felles strømforsyning og felles transmisjon. Dette betyr at et utfall som følge av en naturhendelse ofte rammer flere mobilnett samtidig. I sikkerhetsarbeidet i ekomsektoren er det et mål å tilrettelegge for fysisk og logisk selvstendige mobilnett for å øke robustheten, og spre samfunnsverdier over flere nett. Dette må imidlertid balanseres i forhold til at økt samlokalisering, med felles utnyttelse av infrastruktur, vil lette utbygging og redusere kostnader.

14.5 Økt samarbeid mellom kraft- og ekomsektoren

Det er en økende gjensidig avhengighet mellom ekom- og kraftsektoren:

• Ekomnett og -tjenester er avhengige av stabil strømforsyning. Den digitale grunnmuren har reservestrømsløsninger for viktige lokasjoner, og krav om to til fire timers reservestrøm for alle basestasjonene i mobilnettene. Ekomtilbyderne investerer samlet sett over 10 milliarder kroner årlig, som blant annet bidrar til sikkerhetstiltak, for eksempel økt redundans. Staten bidrar med tilskudd til sikkerhet og beredskap, blant annet til programmet for forsterket ekom, som gir utvalgte områder tre døgns reservestrøm. Likevel er strømutfall en viktig årsak til utfall i mobilnettene. For eksempel vil ekstremvær som rammer fysisk infrastruktur, ofte ramme både ekom- og strømnettene, og dette kan føre til langvarige utfall.

• Kraftsektoren blir stadig mer digitalisert og bruker mobiltjenester for kommunikasjon med kunder og leverandører, koordinering i forbindelse med reparasjoner og for optimalisert drift- og vedlikehold. En god del kraftselskaper har egen, uavhengig sambandsløsning for krisekommunikasjon.

Ekom- og kraftsektoren har i dag et tverrsektorielt samarbeid. På et innspillsmøte mellom disse sektorene i juni 2020, var et av innspillene å vurdere styrket samarbeid mellom sektorene, både for å forebygge utfall og sikre raskere feilretting av viktige tilknytningspunkter for ekomsektoren. Det ble også gitt innspill om at ekomsektoren bør vurdere bedre redundans i egen strømforsyning, for eksempel gjennom strømforsyning fra to ulike punkter i nettet, eller økt antall timer med reservestrøm. Sistnevnte innspill er inkludert blant tiltakene i programmet for forsterket ekom, og i tiltak for å styrke den digitale grunnmuren i sårbare distrikter. En slik satsing kan baseres på erfaringer fra tiltakene nylig iverksatt for Finnmark, der blant annet fem viktige punkter får 24 timers hydrogenbasert reservestrømsløsning.

En garantert uavbrutt strømforsyning er ikke mulig å oppnå. Aktører som er helt avhengig av en uavbrutt strømforsyning, må selv sørge for alternativ forsyning gjennom nødstrømsaggregat eller andre løsninger, jf. Meld. St. 25 (2015–2016) Kraft til endring – Energipolitikken mot 2030 og Meld. St. 5 (2020–2021) Samfunnssikkerhet i en usikker verden. Samtidig er det et potensial for forbedringer når det gjelder samhandling mellom sektorene. Sammen med god egenberedskap mot bortfall av strømforsyning, kan økt samarbeid og informasjonsutveksling bidra til å redusere sannsynlighet for, og varigheten av, utfall i ekomsektoren.

Motstandsdyktighet i krisesituasjoner vil forbedres gjennom planlegging og forberedelse i regionale beredskapsråd. Det er behov for harmoniserte beredskapsplaner mellom sektorene regionalt, slik at det kan prioriteres riktig ved utfall. De regionale beredskapsinstansene må gis mulighet for å gjøre de nødvendige krisevurderingene for sin spesifikke region, og beredskapsrådene bør styrkes med tanke på digital beredskap.

For å styrke samarbeidet mellom kraft- og ekomsektoren, vil følgende tiltak iverksettes:

• Økt kunnskaps- og informasjonsutveksling om eksisterende og planlagt infrastruktur mellom ekom- og kraftsektoren. For å prioritere ekomsektoren ved gjenoppretting etter strømbrudd, har nettselskapene i kraftsektoren behov for informasjon om tilknytningspunkter i strømnettet som har stor betydning for ekomsektoren. Når det gjelder utrulling av ny ekominfrastruktur bør aktørene samarbeide om plassering av viktige transmisjonspunkt for ekom før de bygges, slik at det kan tas hensyn til eventuelle sårbarheter i strømnett. Tiltaket vil gi økt samhandling og informasjonsutveksling mellom mange ulike aktører innenfor sektorene.

• Styrket regional samhandling for den digitale grunnmuren i beredskapsplaner og i krisehåndtering, som KEIV-prosjektet beskrevet i boks 14.2.

• Beredskapsplaner for hendelses- og krisehåndtering vil utarbeides og justeres gjennom tverrsektoriell planlegging i regionale beredskapsråd. Det er behov for harmoniserte beredskapsplaner mellom sektorene regionalt, med mål om lokasjoner som skal prioriteres ved utfall. Siden digitale tjenester blir stadig viktigere for det norske samfunnet, er det viktig å sikre rask og koordinert feilretting. Nasjonal kommunikasjonsmyndighet (Nkom) vil delta på vegne av ekomsektoren i de fylkesvise beredskapsrådene. Nkom vil legge til rette for samarbeid om beredskap mellom ekomtilbyderne. Ekomtilbydere kan delta på vegne av egen virksomhet i de fylkesvise beredskapsrådene.

• Veiledning til regelverk. Forskriften til Norges vassdrags- og energidirektorat (NVE) om sikkerhet og beredskap i kraftforsyningen (kraftberedskapsforskriften) har regler om reparasjonsberedskap, som innebærer at hensynet til liv og helse og andre kritiske samfunnsfunksjoner skal prioriteres ved gjenoppretting av strømforsyningen. Siden den digitale grunnmuren blir stadig viktigere for samfunnet, er det hensiktsmessig å vurdere om veiledning til ovennevnte regelverk sikrer at ekomsektoren blir tilstrekkelig prioritert ved gjenoppretting.

Kommunal- og moderniseringsdepartementet og Olje- og energidepartementet vil, etter at erfaringer med økt samhandling og eventuelt nytt veiledningsmateriell foreligger, ut fra et samfunnssikkerhetsperspektiv vurdere behovet for ytterligere tiltak, eksempelvis regulatoriske, knyttet til den gjensidige avhengigheten mellom ekom- og kraftsektoren.

14.6 Tiltak for styrket beredskap for den digitale grunnmuren

Samfunnet blir stadig mer avhengig av tilgjengelige mobil- og bredbåndsnett, og utfall kombinert med en krisesituasjon, som ekstremvær, som fører til at nødnummer blir utilgjengelig, kan få konsekvenser for liv og helse. I dette avsnittet beskrives mulige reserveløsninger og beredskapstiltak, som raskt kan gjenopprette mobildekning.

14.6.1 Ny teknologi for transportable basestasjoner

Ved lokale utfall der det er vanskelig å få utplassert transportable basestasjoner, for eksempel grunnet ustabile forhold, dårlig fremkommelighet eller lange distanser, kan en drone som flyr inn en basestasjon som gir dekning for området være et alternativ. En slik drone kan raskere nå områder som er vanskelig å nå via veinettet, og benyttes i områder som har begrenset eller ingen mobildekning, blant annet for å understøtte redningsaksjoner.

Et spennende initiativ i Norge for å etablere mobildekning ved hjelp av droner, er testen som Telenor Svalbard og Andøya Space Center har gjort av en transportabel basestasjon om bord på en flydrone. Formålet med pilotprosjektet er å teste løsninger for midlertidig mobildekning på og rundt Svalbard, for eksempel i forbindelse med redningsoperasjoner til sjøs der det ikke er mobildekning. Løsningen forutsetter at dronen opererer i et luftrom som er innenfor mobildekningen til en fast basestasjon, som bærer signalet videre inn i mobilnettet, illustrert med figur 14.2. Det er mulig å vurdere en tilsvarende løsning basert på satellittransmisjon i områder uten mobildekning.

Forstørr bilde

14.6.2 Satellitt som løsning eller reserveløsning for mobilutfall

Tjenestene som tilbys av de etablerte aktørene innenfor geostasjonære satellittløsninger blir stadig bedre egnet som reserveløsning i mobilnettene, med høyere kapasitet og lavere forsinkelser. Brukerne vil, med en slik reserveløsning, kunne oppleve en dårligere ytelse i sanntidskommunikasjon som tale og video, men verdien av å opprettholde kommunikasjonen på en basestasjon, vil overgå ulempene ved fullstendig utfall av kommunikasjon. Datakommunikasjon vil være mindre påvirket av tidsforsinkelsen, som avstanden til satellittene medfører. For mange applikasjoner som typisk anvendes på en mobiltelefon, vil ytelsen med en slik reserveløsning være tilstrekkelig.

Satellittkommunikasjon som reserveløsning for økt robusthet eller som primærløsning for transmisjon til basestasjoner i krevende terreng har til nå vært lite utbredt, men utviklingen går raskt, og den kan legge til rette for økt bruk av slike løsninger fremover. Løsningen brukes i dag for transportable basestasjoner i Nødnett.

De nye lavbanesystemene som er i ferd med å bli realisert, vil tilby lavere tidsforsinkelse og høyere datahastigheter, og de vil kunne være attraktive både som løsning for transmisjon illustrert i figur 13.2, eller direkte mobildekning som figur 14.3 illustrerer.

Forstørr bilde

Det jobbes med standardisering av kommunikasjonsløsninger der 5G-mobiltelefoner kan kommunisere direkte via satellitter. I dag er satellitt-telefon en viktig reserveløsning ved utilgjengelige mobil- og bredbåndsnett. I fremtiden kan nye løsninger for satellittbasert kommunikasjon bidra til at flere får tilgang på en slik reserveløsning, enten indirekte ved at reserveløsninger forebygger mot utfall i mobilnettene, eller ved at mobiltelefonen kan kommunisere direkte via satellitt.

14.6.3 Nasjonal gjesting

De norske mobilnettene har generelt høy tilgjengelighet, men i nett med tusenvis av basestasjoner vil utfall forekomme. De mest vanlige utfallene skyldes lokale strømbrudd og brudd på forbindelse mellom basestasjonen og resten av nettet. Lokale feil rammer noen ganger alle mobilnettene i et område samtidig, men testing gjennomført av Simula viser også at det er få tilfeller av samtidige feil i datatilkobling til de tre mobilnettene.18 Dermed ville det være en gevinst å hente for kundene i å kunne benytte seg av andre tilbyderes basestasjoner ved lokale utfall.

I dag har alle kunder med mobiltelefon, også uten SIM-kort, tilgang til å ringe nødnummer over alle mobiltilbyderes nett. Hvis en veistrekning kun dekkes av én operatør, vil alle kunder kunne ringe nødnummer ved behov, men ved behov for annen kommunikasjon, for eksempel veiassistanse, vil kun kunder av operatøren med dekning kunne ringe. Det ville kreve en stor kapasitetsøkning i nettene hvis gjesting skulle gjelde for alle brukere. Nasjonal gjesting kan være et viktig verktøy for å øke tilgjengelighet til mobilnettene i ekstra sårbare områder, eller for ekstra viktige tjenester. Det er hensiktsmessig å vurdere nasjonal gjesting i begrenset geografisk omfang eller for viktige tjenester eller brukere, for eksempel for kritiske samfunnsfunksjoner.

14.6.4 Prioritet i mobilnettene

Forskrift om prioritet i mobilnett trådte i kraft 28. oktober 2013. Formålet med ordningen er at brukere med ansvar for særlig viktige beredskapsoppgaver i samfunnet er sikret bedre tjenestetilgang i de kommersielle mobilnettene. Ordningen ble tilpasset de økonomiske og tekniske rammebetingelsene som forelå i 2013. Den ble dimensjonert for omtrent 10 000 abonnenter med prioritet for tale i 2G/3G, inkludert nasjonal gjesting. Nkom vil på oppdrag fra departementet gjennomføre en analyse av mulige løsninger for prioritet av datatrafikk, og prioritet for tale, over 4G- og 5G-nettene.

Stadig flere viktige og kritiske tjenester for samfunnet digitaliseres og har stort behov for tilgjengelige nett. Disse representerer behov som det er naturlig å gi prioritet foran annen kommunikasjon ved knapphet på kapasitet. Dermed vil den samlede målgruppen for en oppdatert prioritetsordning bli vesentlig utvidet fra dagens situasjon. Nødetatene, Forsvaret og andre vil kunne kjøpe tjenester på kommersielle vilkår hos mobiltilbyderne og kan om ønskelig bygge ulik funksjonalitet på toppen av de kommersielle nettene, men ekommyndigheten anser det som hensiktsmessig at selve plikten til å tilby prioritet for beredskapsaktører er hjemlet i forskrift.

14.6.5 Prioritering av trafikk og tjenester ved redusert kapasitet og strømbrudd

De kommersielle mobilnettene er bærere av en lang rekke forskjellige tjenester. Ikke minst spiller mobilnettene en viktig rolle som tilgangsnett til internett. Dermed deles kapasiteten mellom alt fra spill og strømming av underholdning til kritiske samfunnsoppgaver.

I mobilnettene er det særlig i radioaksessdelen med alle basestasjonene at kapasitet og tilgjengelighet i perioder kan være en utfordring. Lokale strømutfall fører til at basestasjoner og annet ekomutstyr går på reservestrøm fra batterier, aggregater eller liknende kilder. Noen ganger kan slike utfall i tillegg sammenfalle med hendelser som fører til at mennesker utsettes for fare og har behov for hjelp. Prioritet i mobilnettene kan sørge for at viktig trafikk får gå foran annen trafikk ved knapphet på kapasitet for trafikkavvikling, og krav til reservestrøm kan forlenge oppetiden ved strømbrudd. Når reservestrømmen er brukt opp gir det utfall for alle tjenester. Derfor er det naturlig å vurdere måter å forvalte reservestrømkapasiteten på, som tilgodeser prioriterte tjenester eller brukere. Minimumskrav til reservestrøm må gjelde alle typer trafikk og alle brukere, men for å forlenge tilgjengeligheten for prioriterte formål, vil det være aktuelt å vurdere ulike strupingstiltak.

Mulige tiltak kan være trinnvis å redusere hvilke frekvensbånd som brukes på basestasjonen, slå av enkelte teknologigenerasjoner (2G/4G/5G) eller sperre for eller strupe båndbredde for ulike tjenestekategorier eller brukere. Mulighetene må utredes i dialog med tilbyderne og eventuell valgt løsning må være forenlig med annen gjeldende regulering på nasjonalt og europeisk nivå.

Den felleseuropeiske nettnøytralitetsreguleringen sikrer en ikke-diskriminerende adgang til internett, men åpner for visse unntak fra hovedregelen. Mest relevant i denne sammenheng vil være unntak hjemlet i nasjonal lovgivning om sikkerhet for befolkningen.

14.7 Nasjonal, regional og lokal autonomi

14.7.1 Nasjonal autonomi

Ekomregelverket19 definerer nasjonal autonomi som evnen til å utføre drift og vedlikehold av tjenestetilbudet med personell og tekniske løsninger som er lokalisert på norsk territorium. Elektronisk kommunikasjon inngår som en integrert og sentral del av totalforsvaret, og nasjonal autonomi skal bidra til å sikre Norges suverenitet i enhver samfunnstilstand.20

Bestemmelsen om nasjonal autonomi har per i dag ikke trådt i kraft, og Kommunal- og moderniseringsdepartementet bestemmer om og når den trer i kraft. Nkom kan deretter pålegge tilbyder å innføre nasjonal autonomi. Kravet om nasjonal autonomi vil kunne utløses i to trinn: Departementet kan, hvis det vurderes nødvendig, sette bestemmelsen i kraft. Dette vil gi ekomtilbyderne et forvarsel om at et vedtak om nasjonal autonomi kan bli innført, slik at de kan iverksette tiltak for å forberede dette. Dernest, dersom behovet for nasjonal autonomi blir utløst, kan Nkom pålegge dette.

Teknologiutviklingen både åpner for og utfordrer muligheten til nasjonal autonomi. Produksjon av elektroniske kommunikasjonstjenester blir i økende grad basert på virtualiseringsteknologi som innebærer at maskinvaren i større grad blir generisk, mens de ulike funksjonene blir definert i programvare. Dette tilrettelegger også for at nettverksfunksjoner og tjenesteproduksjon etter hvert kan flyttes til «skyen».

Skybaserte løsninger innebærer at funksjonene kan frikobles fra en bestemt maskinvare i en bestemt lokasjon. Mens felles kontrollfunksjoner kan utføres fra sentraliserte datasentre, vil det i økende grad være aktuelt å desentralisere prosessering av visse funksjoner og tjenester, og legge dette så nært brukerne som mulig for å redusere responstiden. Tjenesteproduksjonen kan dermed skaleres og flyttes både nasjonalt og regionalt, for å sikre både nasjonal og regional autonomi.

På den andre siden, og nettopp på grunn av større grad av virtualisering, vil drift og vedlikehold av tjenesteproduksjonen også i større grad kunne effektiviseres gjennom automatisering og sentralisering, også på tvers av landegrenser. Dette kan også medføre at personell med nødvendig kompetanse sentraliseres tilsvarende, potensielt utenfor landets grenser.

Det skjer i økende grad en sammensmelting av tradisjonell elektronisk kommunikasjon og IT-, sky- og datasentertjenester, hvor tredjepartsleverandører blir tettere integrert i ekomtilbydernes løsninger. Verdikjedene blir mer komplekse, og også i økende grad grenseoverskridende. Å sikre nasjonal autonomi i den digitale grunnmuren er et viktig virkemiddel, som må sees i sammenheng med verdikjeden for de digitale tjenestene som som legges på toppen, som kan ha betydelige avhengigheter utenfor landets grenser. Det er i denne sammenheng nødvendig å vurdere hvilke tjenester som er viktige og kritiske for det norske samfunnet, og styrke kunnskap om de digitale verdikjedene for disse.

Samfunnet har en stadig økende avhengighet til tjenester som leveres over den digitale grunnmuren. En slik avhengighet, kombinert med et uforutsigbart sikkerhetspolitisk landskap og pandemi viser at en viss grad av nasjonal autonomi kan være et hensiktsmessig virkemiddel. Dersom de nødvendige ressursene for å sikre de mest kritiske kommunikasjonstjenestene ikke kan underlegges nasjonal lovgiving og kontroll i en krise- eller krigssituasjon, kan dette potensielt få alvorlige følger for den nasjonale styringsevnen.

En viktig avklaring er hvilke tjenester som bør omfattes av nasjonal autonomi. Det kan være naturlig å knytte dette kravet opp mot de grunnleggende nasjonale funksjonene som er definert for ekomsektoren i henhold til sikkerhetsloven. Opprettholdelse av disse funksjonene innebærer i praksis å opprettholde funksjonsevnen til de nasjonale mobilnettene og de nasjonale transportnettene, med tilhørende grunnleggende internettfunksjoner som ruting, samtrafikk, domenenavnsystem mv.

For å effektivisere bestemmelsen om nasjonal autonomi bør også tilbyderne ha forutsigbarhet om hvilke tekniske løsninger i virksomheten som vil kunne omfattes og hvilket personell som skal være lokalisert på norsk territorium. Det bør derfor klargjøres om kravet skal gjelde for både tjenesteproduksjonssystemene, operasjonelle støttesystemer og øvrige IT-/støttesystemer. Videre er det behov for å avklare om kravet på personellsiden skal gjelde for entreprenørene som utfører fysisk arbeid på utstyr og nett, operativt personell for overvåking, drift og feilretting av nett og øvrig administrativt personell (IT-/støttesystemer, økonomi, salg mv.). Reservedelskapasitet må også vurderes.

Forutsigbarhet på tidsaspektet for innføring av et slikt krav er viktig for tilbyderne. Det er behov for tilpasning av egne systemer og beredskapsplaner til krav om nasjonal autonomi. Det ligger til vurderingen som skal gjøres, om nasjonal autonomi skal være gjeldende til enhver tid, eller om det skal kunne innføres med utgangspunkt i en gitt varslingstid (timer, dager, måneder), og om kravet skal gjelde i en avgrenset periode eller på ubestemt tid.

Forstørr bilde

Foto: Jennifer Nilsson/Johnér

14.7.2 Lokal og regional autonomi

Den samme teknologiutviklingen som gjør det mulig å samle nettverksfunksjoner i sentrale skybaserte datasentre, vil også kunne støtte opp under 5G-tjenester som krever lave forsinkelser og dermed kort vei mellom bruker og prosessering i nettet. Det forventes at deler av tjenesteproduksjonen i større grad vil foretas nær der brukerne befinner seg, for å redusere forsinkelser i kommunikasjonen mellom brukerne og tjenesteproduksjonen. En sikker og robust infrastruktur og utbygging av regionale datasentre må ligge til grunn for en slik utvikling.

Sentralisering av funksjoner bidrar til å senke kostnader og legger til rette for god skallbeskyttelse av anlegg. Desentralisering gjør det mulig å tilby tjenester med høy pålitelighet og lav forsinkelse. Grad av desentralisering påvirkes av etterspørselen etter slike tjenester og av kostnadene for å ivareta nødvendig sikkerhet for data som lagres og prosesseres i datasentrene.

Utviklingen gjør det relevant å vurdere tiltak for å styrke regional og lokal autonomi, som betyr at viktige tjenester som bæres av mobil- og bredbåndsnettene kan fungere uten kontakt med nettet sentralt.

14.8 Sikkerhet i Tingenes internett

Manglende sikkerhet i tilkoblet utstyr utgjør en økende sårbarhet etter hvert som stadig flere enheter knyttes til internett (Internet of Things, IoT). Denne sårbarheten vil forsterkes ytterligere med energieffektive løsninger som gjør det mulig for tilkoblede enheter å oppnå en forventet levetid på mange år. Forlenget levetid stiller også strengere krav til at sikkerheten ivaretas over tid, blant annet ved at programvaren blir oppdatert regelmessig.

Ansvaret for sikkerhet i forbrukerprodukter må i all hovedsak plasseres hos produsenter og leverandører og ikke hos kundene og sluttbrukerne. Produsenter og leverandører av tilkoblet utstyr må sørge for at det er mulig å oppgradere og vedlikeholde programvare og dermed ivareta sikkerheten gjennom hele levetiden til produktet.

Manglende sikkerhet vil utgjøre en risiko ved at de tilkoblede enhetene kan benyttes som kilde til spredning av ondsinnet kode, og at de selv kan være sårbare for både tilsiktede digitale angrep og utilsiktede hendelser. I tillegg vil manglende sikkerhet i utstyr kunne utgjøre trusler mot personvern og legge til rette for svindel, for eksempel i form av identitetstyveri.

I EU har myndighetene satt manglende digital sikkerhet i tilkoblede produkter høyt på dagsordenen. I forordningen «EU Cybersecurity Act», som ble vedtatt i EU i april 2019, legges det opp til å innføre en frivillig ordning for markedsaktører til å sertifisere tilkoblede produkter og tjenester. EUs cybersikkerhetsbyrå (ENISA) skal utvikle og administrere rammeverket for sikkerhetssertifisering av digitale produkter og tjenester. Også IKT-sikkerhetsutvalget påpeker viktigheten av å styrke den digitale sikkerheten med tilkoblede produkter og tjenester.21

I tillegg arbeider EU-kommisjonen sammen med landene i EØS med å utrede mulig regulering av krav til digital sikkerhet og krav til programvareoppdateringer i radioutstyr under radioutstyrsdirektivet (direktiv 2014/53/EU). Flere av utredningene er i sluttfasen og konkluderer med at det er behov for å regulere digital sikkerhet.

Nkom har ansvar for oppfølging av radioutstyrsdirektivet og deltar i EUs komitologikomite med ansvar for regelverket knyttet til direktivet. Nkom fører i dag markedskontroll med at produkter som defineres som radioutstyr, oppfyller krav til frekvensbruk, elektromagnetisk stråling og fysisk sikkerhet, herunder ting som kobles trådløst til internett. I tråd med regelverksutviklingen vil markedskontrollen gradvis utvides til også å omfatte kontroll med digital sikkerhet i produkter som koples til ekomnettene.

For å bidra til at tilkoblede produkter på det norske markedet oppfyller krav til digital sikkerhet, er det også avgjørende med tett dialog med myndigheter i andre land i EØS og samarbeid med ENISA som vil utarbeide krav som produsenter og leverandører må oppfylle for å bli sertifisert.

Sikkerhet og Tingenes internett er en tverrsektoriell problemstilling. Regjeringen opprettet i 2020 en interdepartemental arbeidsgruppe for å vurdere tverrsektorielle problemstillinger, regulatoriske gap og mulige tiltak for Tingenes internett.

14.9 Mobil befolkningsvarsling

Norske mobilnett har høy befolkningsdekning, og de fleste har en mobiltelefon på seg eller i nærheten. Med befolkningsvarsling over mobilnettene vil myndighetene kunne sende presis informasjon, som raskt når befolkningen.

Dagens varslingssystem består av 1244 operative varslingsanlegg, såkalte tyfoner. Varsling ved bruk tyfoner er egnet til å skape oppmerksomhet, men gir ingen mulighet til å formidle et presist budskap til den enkelte innbygger på en effektiv måte. EU har innført regelverk som pålegger innføring av et system for befolkningsvarsling over mobilnettene.22 Regelverket er i ferd med å tas inn i EØS-avtalen, og det blir dermed gjeldende for Norge.

To teknologier i mobilnettene kan understøtte et slikt system, SMS og Cell Broadcast (CB). CB er et system spesifisert for et slikt varslingsformål, med kringkasting av viktig melding nasjonalt eller i et utvalgt område, og det vil være mest effektivt for å nå raskt ut til mange. Standarden for CB ivaretar personvern ved at det ikke er behov for å vite identitet eller posisjon til brukere. Med CB kan hele befolkningen varsles i løpet av sekunder, mens SMS vil kreve vesentlig lengre tid, anslagsvis timer. Alle nyere smarttelefoner har støtte for CB. Under forutsetning av at telefonen er påslått, vil et varsel sendt med dette systemet mottas av alle nyere telefoner med egen høy varslingstone og tekst, uavhengig av lydinnstillinger på telefonen. Med et slikt varslingssystem vil myndighetene kunne sende ut mer presis informasjon enn med dagens tyfonvarsling, og kunne nå flere. Systemet kan sende melding til avgrensede geografiske områder, eller til hele landet. CB-teknologien er tatt i bruk i flere land, blant annet i Nederland i 2012, og beslutning om innføring ble tatt i Danmark i 2020.

Justis- og beredskapsdepartementet leder arbeidet med å vurdere løsninger for innføring av mobil befolkningsvarsling, og Kommunal- og moderniseringsdepartementet bistår med regulatoriske og tekniske vurderinger.

14.10 Regjeringens mål og virkemidler

Styrking av den digitale grunnmuren i sårbare distrikter

Regjeringen vil:

• At den digitale grunnmuren skal gi alle brukere tilgang til sikre og robuste nett og tjenester.

• Gjennomføre grundige risiko- og sårbarhetsanalyser i minst fem nye regioner, vurdere tiltak i disse regionene og fase inn tiltak etter en årlig vurdering.

• At distriktsområder som er mest sårbare og utsatte for langvarige utfall i ekomnettene prioriteres først.

Sikkerhetskrav i anskaffelser og økt bevisstgjøring

Regjeringen vil fremme betydningen av sikkerhet ved anskaffelser av ekomtjenester.

Økt samarbeid mellom kraft- og ekomsektoren

Regjeringen vil:

• Styrke samarbeidet mellom kraft- og ekomsektoren om sikkerhets- og beredskapsarbeid for å forebygge mot og sikre raskere gjenopprettelse ved utfall.

• At Nasjonal kommunikasjonsmyndighet skal delta på vegne av ekomsektoren i de fylkesvise beredskapsrådene.

• At ekomtilbydere kan delta i de fylkesvise beredskapsrådene på vegne av egen virksomhet.

• At Kommunal- og moderniseringsdepartementet og Olje- og energidepartementet gir Nkom og NVE i oppdrag å vurdere hvordan nasjonal samhandling mellom kraft- og ekomsektoren kan ivaretas for å forbedre informasjonsdelingen.

• At Olje- og energidepartementet ber NVE vurdere relevant veiledningsmateriell for å legge til rette for at viktige punkter i ekomnettene, som samfunnskritisk infrastruktur, prioriteres i gjenopprettingsarbeid ved strømbortfall.

• Vurdere behovet for økt reservestrømkapasitet i ekomnettene.

Tiltak for styrket beredskap for den digitale grunnmuren

Regjeringen vil vurdere hvordan ny teknologi kan bidra til å øke sikkerhet og beredskap for den digitale grunnmuren.

Nasjonal autonomi

Regjeringen vil:

• At ekommyndigheten skal bidra til at samfunnet får økt bevissthet om og kjennskap til digitale verdikjeder for viktige og kritiske samfunnsfunksjoner.

• Sikre evnen til å kunne opprettholde de mest grunnleggende og kritiske elektroniske kommunikasjonstjenestene med personell og tekniske innretninger på norsk territorium.

• Opprettholde myndighetenes hjemmelsgrunnlag for å pålegge nasjonal autonomi.

• Gjøre nødvendige vurderinger for å presisere og avgrense kravet om nasjonal autonomi, slik at ekomtilbyderne kan innrette sin virksomhet på en hensiktsmessig måte.

• Vurdere kriterier for når bestemmelsen om nasjonal autonomi kan tre i kraft, for å gi tilbyderne nødvendig forutsigbarhet.

Lokal og regional autonomi

Regjeringen vil kartlegge hvilke muligheter som finnes nå og fremover for å innføre større grad av regional- og lokal autonomi.

Sikkerhet i Tingenes internett

Regjeringen vil:

• Utarbeide et veikart for sikkerhet, personvern og verdiskaping i IoT – Tingenes internett.

• Identifisere eventuelle regulatoriske gap og foreslå nødvendige tiltak for å ivareta sikkerheten knyttet til Tingenes internett på forsvarlig vis.

• At ekommyndigheten aktivt følger markedsutviklingen og samarbeidet i Europa knyttet til sikkerhet, Tingenes internett og 5G.

Mobil befolkningsvarsling

Regjeringen vil vurdere hvordan et nytt system for befolkningsvarsling kan innføres i Norge.

15 Økonomiske og administrative konsekvenser

Denne meldingen presenterer regjeringens politikk for sektoren for elektronisk kommunikasjon. Flere kapitler presenterer hvordan teknologisk utvikling og nett- og tjenester med stadig økende kvalitetet og kapasitet, legger til rette for innovasjon, verdiskapning og økt produktivitet på tvers av sektorer.

I kapittel 5 presenteres en ny analyse som indikerer at IKT-næringenes bidrag til den samlede gjennomsnittlige årlige produktivitetsveksten i norsk økonomi var på om lag 80 prosent i perioden 2003–2017. Analysen indikerer videre at produktivitetsvirkningene av ekomsektoren alene utgjør nær halvparten av IKT-næringens samlede bidrag til gjennomsnittlig årlig arbeidsproduktivitetsvekst i hele økonomien.

Produktivitetsveksten i norsk næringsliv har avtatt i årene etter finanskrisen. Demografiske endringer gjør at omstilling er nødvendig. Produktivitetskommisjonen og Perspektivmeldingen påpeker at teknologi og digitalisering er blant de viktigste virkemidlene for omstilling og produktivitet. Den digitale grunnmuren, nettene og tjenestene i ekomsektoren, er en forutsetning for digitaliering. I denne meldingen setter regjeringen nye, ambisiøse mål for denne grunnmuren i hele landet.

Hovedprinsippene i norsk ekompolitikk videreføres, herunder blant annet prinsippet om en markedsbasert tilnærming til utbygging av ekomnett og -tjenester. Utbygging og drift av nettene finansieres derfor i all hovedsak av private kommersielle markedsaktører. Tilbyderne investerte over 12 milliarder kroner i 2019. Det offentliges viktigste rolle er å legge til rette for investeringer, utbygging av nett og utvikling av tjenester, samt å stille krav til og legge til rette for at nettene er sikre og robuste. Regjeringen bidrar med tilskuddsmidler til bredbåndsutbygging i områder uten kommersielt grunnlag for investeringer, og tilskuddsmidler til sikkerhets- og beredskapstiltak som går ut over det tilbyderne selv dekker kostnadene for.

Kapittel 3 gir en oversikt over utvalgte prioriteringer og tiltak denne meldingen beskriver, og ytterligere tiltak fremgår i kapitlene 6–14.

15.1 Tiltak som allerede er igangsatt

Regjeringen lanserte i februar en satsing på utbygging av trådløst, høyhastighets bredbånd i distriktene. I dette ligger at staten vil redusere provenyet fra auksjonen av frekvenser i 2,6 og 3,6 GHz-båndene med inntil 560 millioner kroner, mot at vinnerne i auksjonen bygger ut raskt, trådløst bredbånd på 100 Mbit/s der det mangler slikt tilbud for minst tilsvarende beløp. Midlene vil gå til utbygging i områder som mangler et slikt tilbud i dag, som i all hovedsak er spredtbygde strøk.

Det ble bevilget totalt 80 millioner kroner til pilot for alternativt kjernenett i 2018 og 2019, og totalt 100 millioner kroner til fiberkabler til utlandet fra 2018 til 2020. Gjennomførte tiltak er beskrevet i kap. 5, 10 og 13 i denne meldingen, og inkluderer blant annet tiltak for å styrke transportnettene i Finnmark og en kontrakt om etablering av et nytt sjøfibersamband mellom Kristiansand og Danmark. Det tas sikte på at restmidlene benyttes i 2021, iht. formålet med bevilgningene.

I 2020 ble det bevilget 406 millioner kroner til bredbåndsutbygging i områder uten kommersielt grunnlag for utbygging, og disse midlene vil trolig bidra til nytt eller forbedret bredbånd til over 20 000 husstander. I tillegg ble det samme år bevilget over 230 millioner kroner til telesikkerhet og -beredskap, som gikk til beredskapsavtaler med tilbydere, utbygging av forsterket mobilberedskap i over 20 kommuner i Finnmark og Agder og til tiltaket fiberkabler til utlandet.

I 2021 er det bevilget 264 millioner kroner til bredbåndsutbygging i områder uten kommersielt grunnlag for utbygging (som kommer i tillegg til pakken i 5G-auksjonen), og 125,3 millioner kroner til beredskapsavtaler og forsterket mobilberedskap i nye kommuner.

15.2 Øvrige tiltak

Etablering av en eller flere forbrukerportaler for bredbånd som gir mulighet til å sammenlikne priser for ulike bredbåndstilbud, vil medføre noe administrative kostnader for tilbydere, men vil samtidig gi store nytteeffekter. Utredninger av Menon Economics viser at bredbåndsmarkedet er egnet for en sammenligningstjeneste, og at en slik tjeneste vil være samfunnsøkonomisk lønnsom. Offentlige aktører vil håndtere sin rolle innenfor gjeldende budsjettrammer.

Det foreslås i denne meldingen også å gjennomføre grundige risiko- og sårbarhetsanalyser i nye regioner, etter mal fra analysen fra Finnmark. Analysene skal kartlegge og anbefale mulige tiltak, slik Finnmarksrapporten gjorde. Tiltakene vil fases inn etter årlige vurderinger. Det tas forbehold om at enkelte av tiltakene i nye regioner først vil bli aktuelle å gjennomføre når det er budsjettmessig dekning for dem. Tiltak som krever bevilgningsøkninger vil bli fremmet for Stortinget i forbindelse med de årlige statsbudsjettene.

Reduksjonen av provenyet fra auksjonen av frekvenser i 2,6 og 3,6 GHz-båndene med inntil 560 millioner kroner, mot at vinnerne bygger ut raskt, trådløst bredbånd på 100 Mbit/s i områder der det mangler slikt tilbud, vil redusere inntektene til staten på kap. 5309, post 29 Inntekter ved tildeling av tillatelser. Regjeringen vil komme tilbake til dette etter at frekvenstildelingen er gjennomført.

Resterende tiltak vil dekkes innenfor de berørte departementenes gjeldende budsjettrammer.