2 Innledning
Regjeringen vil i denne meldingen tydeliggjøre strategisk retning, prioriteringer og tiltak for å ivareta nasjonal sikkerhet på utvalgte områder. Strategisk viktige bedrifter, naturressurser, infrastrukturer og teknologier vies særskilt oppmerksomhet. Regjeringen vil også trekke frem utvalgte områder innenfor digital sikkerhet. Denne meldingen er avgrenset mot det brede samfunnssikkerhets- og beredskapsperspektivet.
Regjeringen er i meldingen opptatt av å forsterke innsatsen for å styrke samfunnets kollektive motstandskraft. Kunnskap, kompetanse og bevissthet på alle nivåer i samfunnet er avgjørende for å oppnå dette. Det dreier seg om forståelse av trussel- og risikobildet, hvorfor nasjonal sikkerhet er viktig, hvordan det treffer den enkelte og hvilke relevante tiltak som bør gjennomføres. I Norge har vi høy grad av tillit – både til hverandre og myndighetene. Høy grad av tillit gjør oss mer motstandsdyktige mot andre staters påvirkningsoperasjoner, som kan ha som formål å skape politisk og sosial uro. Men også i Norge kan denne tilliten være under press, og den kan være skjevt fordelt mellom ulike grupper i befolkningen. Vi må derfor styrke forståelsen, kunnskapen og bevisstheten om både trusler og tiltak i hele befolkningen. Dersom statens virkemidler ikke er forståelige og forutsigbare, og befolkningen har mangelfull kunnskap, kan det over tid undergrave tilliten til myndighetene. I et åpent samfunn som Norge må vi ta høyde for at ulike typer av lovlig aktivitet kan misbrukes, blant annet til etterretningsformål. Det vil være ulike hensyn som står mot hverandre, og en restrisiko vil alltid finnes.
Ved siden av å initiere, utvikle og gjennomføre tiltak gjennom egne virkemidler har Justis- og beredskapsdepartementet en samordnings- og pådriverrolle for forebyggende nasjonal sikkerhet og digital sikkerhet på sivil side. Dette innebærer at Justis- og beredskapsdepartementet blant annet skal utforme regjeringens politikk, herunder etablere nasjonale krav og anbefalinger, på tvers av ulike samfunnsområder. Forsvarsdepartementet har det overordnede ansvaret for forebyggende nasjonal sikkerhet og digital sikkerhet i forsvarssektoren.
Nedenfor gis det en omtale av et skjerpet trussel- og risikobilde, samt hva som legges i begrepene nasjonal kontroll og digital sikkerhet. I kapittel 3 omtales virkemidler for å styrke nasjonal kontroll og bygge digital motstandskraft. Nasjonal kontroll over verdier av betydning for nasjonal sikkerhet følger i kapittel 4. Kapittel 5 omtaler økonomiske og administrative konsekvenser.
2.1 Et skjerpet trussel- og risikobilde
Vi står overfor et skjerpet trussel- og risikobilde og utfordres av stater med sikkerhetspolitiske ambisjoner som ikke samsvarer med våre nasjonale sikkerhetsinteresser. Økt konfrontasjonsvilje hos ikke-vestlige stater, russisk bruk av militærmakt og energi som våpen er eksempler på dette. Invasjonen av Ukraina har skapt varige endringer i forholdet mellom Russland og vestlige land.
Økt globalisering, stormaktsrivalisering og stadige endringer i den sikkerhetspolitiske situasjonen påvirker i stor grad det nasjonale trusselbildet og gir oss sikkerhetsmessige utfordringer. Nordområdenes økte strategiske betydning og vår rolle som energileverandør gjør at Norge er særlig utsatt for etterretnings- og sabotasjevirksomhet og annen uønsket aktivitet. I tillegg påvirker klimaendringene nasjonal sikkerhet over tid. Videre fremgår det av perspektivmeldingen at det årlige budsjettmessige handlingsrommet vil reduseres i kommende tiår, sammenlignet med foregående.1
Figur 2.1 Vi står overfor et skjerpet trussel- og risikobilde.
Foto: NSM
Tradisjonelle skillelinjer mellom fred, krise og væpnet konflikt er blitt mindre tydelige. Statlige aktører som Russland og Kina utøver ofte aktivitet som i utgangspunktet kan være lovlig virksomhet for å fremme egne strategiske mål. Dette fremstår som en del av normalbildet, men samtidig kan aktiviteten skade vår nasjonale sikkerhet. Vi må ta høyde for at enkelte stater forsøker å påvirke politiske beslutninger, meningsdannelse og ordskiftet i Norge. Diplomatiske, informasjonsmessige, militære, økonomiske, finansielle, etterretningsmessige og juridiske virkemidler fra enkelte stater kan enkeltvis eller i kombinasjon utgjøre sammensatte trusler som rettes mot Norge. De siste årene har trusler knyttet til utenlandske investeringer og oppkjøp som kan benyttes for å få innsikt i og tilgang til teknologi og ressurser av strategisk betydning, blitt tydeligere.
Boks 2.1 Sammensatte trusler
Sammensatte trusler er en betegnelse på strategier for konkurranse og konfrontasjon under terskelen for direkte væpnet konflikt, som kan kombinere diplomatiske, informasjonsmessige, militære, økonomiske, finansielle, etterretningsmessige og juridiske virkemidler for å nå strategiske målsettinger. Sammensatte trusler kan forekomme i sikkerhetspolitiske gråsoner, der formålet er å skape splid og destabilisering. Virkemiddelbruken kan være bredt distribuert og kombinere åpne, fordekte og skjulte metoder. Virkemiddelbruken kan være rettet mot konkrete aktiviteter eller situasjoner, eller være innrettet mer langsiktig for å skape tvil, undergrave tillit og ved dette svekke våre demokratiske verdier. Sammensatte trusler er i sin natur komplekse og utfordrer tidlig varsling, omforent situasjonsforståelse samt effektiv og samordnet håndtering.
Stadig flere verdier av betydning for nasjonal sikkerhet forvaltes og behandles i det digitale rom. Digitalisering og teknologiutvikling medfører økt effektivisering og fornyelse, men introduserer samtidig nye sårbarheter, avhengigheter og konsentrasjonsrisiko. Dette kan utnyttes av en trusselaktør og må derfor håndteres. Den raske utviklingstakten og endringene i den sikkerhetspolitiske situasjonen gjør det stadig mer krevende for virksomheter å opprettholde et forsvarlig sikkerhetsnivå gjennom hele krisespennet.
Figur 2.2 Digitaliseringen introduserer nye sårbarheter og risikoer.
Foto: NSM
2.2 Nasjonal kontroll og digital sikkerhet
Nasjonal kontroll
Nasjonal kontroll er ikke et mål i seg selv, men ett av flere virkemidler for å ivareta nasjonal sikkerhet.
Boks 2.2 Nasjonal sikkerhet
Nasjonal sikkerhet, slik begrepet er benyttet i denne meldingen, er statens evne til å ivareta nasjonale sikkerhetsinteresser. De nasjonale sikkerhetsinteressene er definert i sikkerhetsloven § 1-5 som landets suverenitet, territorielle integritet og demokratiske styreform og overordnede sikkerhetspolitiske interesser knyttet til; a) de øverste statsorganers virksomhet, sikkerhet og handlefrihet, b) forsvar, sikkerhet og beredskap, c) forholdet til andre stater og internasjonale organisasjoner, d) økonomisk stabilitet og handlefrihet og e) samfunnets grunnleggende funksjonalitet og befolkningens grunnleggende sikkerhet.
Nasjonal kontroll over virksomheter og verdier som har betydning for nasjonal sikkerhet kan oppnås gjennom
reguleringer i lov eller forskrift, for eksempel sikkerhetsloven med forskrifter, som pålegger virksomheter plikter.
helt eller delvis statlig eierskap.
helt eller delvis nasjonalt eierskap, som omfatter virksomheter utover staten, som kommune og fylkeskommune, i tillegg til privat norsk eierskap.
tilstrekkelig oversikt hos myndighetene over verdier som har betydning for nasjonal sikkerhet, enten de er underlagt sikkerhetsloven eller ikke.
offentlig-privat, sivil-militært og internasjonalt samarbeid.
råd og veiledning til aktører som eier verdier av betydning for nasjonal sikkerhet.
ulike kombinasjoner av ovennevnte.
Regjeringen vil styrke den nasjonale kontrollen gjennom en mer aktiv bruk av tilgjengelige virkemidler. Regjeringen vil prioritere å forbedre oversikten over virksomheter og verdier som har betydning for nasjonal sikkerhet, bruke virkemidler som relevant regelverk og nasjonalt eierskap, og øke kunnskapsnivået i samfunnet om risiko, trusselaktører og forebyggende sikkerhetsarbeid.
Nasjonal kontroll som virkemiddel må brukes på en slik måte at det bidrar til forutsigbarhet og tillit, og at det ikke fører til unødvendige begrensninger for verdiskapning og utenlandske investeringer i Norge, eller for norsk markedsadgang i utenlandske markeder. Nasjonal kontroll som begrenser utenlandsk aktivitet i Norge kan medføre politiske og økonomiske kostnader for det norske samfunnet, og berøre utenriks- og handelspolitiske hensyn og samarbeidet med andre land. Det er derfor viktig å ha en tilnærming som avveier sikkerhet og kontroll opp mot andre viktige samfunnshensyn, som for eksempel et fritt og åpent samfunn eller behovet for å gi næringsaktører best mulig rammevilkår og forutsigbarhet. Kost-nytte og risikoaksept vil være en del av disse vurderingene. Sikkerhetslovens formålsbestemmelse understreker at «sikkerhetstiltak [skal] gjennomføres i samsvar med grunnleggende rettsprinsipper og verdier i et demokratisk samfunn».
Boks 2.3 «Bergen Engines-saken»
Rolls-Royce plc varslet 15. desember 2020 norske myndigheter om at de ville starte en prosess med å selge det norskregistrerte selskapet Bergen Engines AS. Transmashholding Group (TMH Group) var en av de potensielle kjøperne, og kjøpet ble planlagt gjennomført av TMH International AG, et sveitsiskregistrert selskap som er 100 prosent eid av russiskregistrerte TMH Group. Rolls-Royce offentliggjorde 4. februar 2021 signeringen av en avtale med TMH om planlagt salg av Bergen Engines AS.
Bergen Engines AS er produsent og leverandør av blant annet motorer og generatorer til både sivil og militær sektor i Norge og flere allierte land, blant annet USA og Nederland. Et salg av Bergen Engines AS ville innebære overføring av virksomhetens teknologi, kompetanse, materiell, faste eiendommer, kundeportefølje og kontrakter om service- og vedlikeholdsavtaler. På bakgrunn av informasjonen om transaksjonsprosessen startet norske myndigheter et arbeid for å kartlegge alle forhold i tilknytning til det mulige salget av Bergen Engines AS.
8. mars 2021 ble Rolls-Royce varslet av Nasjonal sikkerhetsmyndighet om at norske myndigheter hadde til vurdering om transaksjonen skulle stanses i medhold av sikkerhetsloven. Videre at norske myndigheter forutsatte at en eventuell kunnskapsoverføring i tilknytning til selskapsgjennomgang (due diligence) og beslektet aktivitet ble stanset inntil dette var avklart. Rolls-Royce bekreftet 12. mars 2021 at både transaksjonsprosessen og all kunnskapsoverføring til TMH var midlertidig stanset i påvente av en endelig avgjørelse fra norske myndigheter. Også TMH bekreftet det samme 15. mars 2021.
26. mars 2021 fattet norske myndigheter vedtak med hjemmel i sikkerhetslovens § 2-5 første ledd, at Rolls-Royce plc og deres datterselskaper ble pålagt å stanse salget av aksjene i det norske selskapet Bergen Engines AS til selskaper i TMH. Vedtaket stanset enhver overføring av aksjer, eiendeler, eiendom, industriell eller teknologisk informasjon eller andre rettigheter i Bergen Engines AS til TMH. Bergen Engines AS ble senere solgt til britiske Langley Holdings.
Digital sikkerhet
Digitalisering bidrar til bedre tjenester, mer effektiv ressursbruk og produktivitetsøkning i samfunnet. Digitaliseringen bringer også verden tettere sammen. Digitaliseringens bakside er at vi blir mer sårbare. Vårt samfunn er i dag helt avhengig av at kritiske samfunnsfunksjoner fungerer. Det igjen forutsetter at digitale systemer som understøtter disse kritiske samfunnsfunksjonene virker overalt og hele tiden. Men digitale systemer blir stadig mer komplekse, og endringstakten er høy. Med et skjerpet trusselbilde og et økt antall digitale angrep, er det desto viktigere med forebyggende sikkerhetsarbeid. Regjeringen vil derfor styrke samfunnets kollektive motstandskraft mot digitale trusler.
Digital sikkerhet har utviklet seg fra i hovedsak å være et teknisk fagområde til å bli et globalt strategisk tema. Digital sikkerhet omfatter både tekniske og administrative sikringstiltak, og innebærer beskyttelse av både systemer og informasjonen i disse. Digital sikkerhet handler derfor om beskyttelse av «alt» som er sårbart fordi det er koblet til eller på annen måte er avhengig av informasjons- og kommunikasjonsteknologi.
På strategisk nivå dreier digital sikkerhet seg om sikkerhetspolitikk, hvor utfordringer i stor grad må løses gjennom internasjonalt, sivil-militært og offentlig-privat samarbeid. Enkelte staters brede virkemiddelbruk som kan være i strid med våre nasjonale sikkerhetsinteresser understreker betydningen av at digital sikkerhet er en integrert del av øvrig sikkerhetsarbeid.
Krigen i Ukraina og eksplosjonene på gassrørledninger i Østersjøen har aktualisert viktigheten av arbeidet med sikkerhet, herunder digital sikkerhet. Som følge av disse hendelsene har beredskapen mot blant annet digitale angrep som kan ramme petroleumssektoren eller andre kritiske virksomheter økt. I tillegg er kraft og ekom eksempler på infrastrukturer hvor digital motstandskraft er av stor betydning. I arbeidet med digital sikkerhet er det særlig viktig å identifisere avhengigheter, arbeide bredt med sikkerhet og se tiltak i sammenheng. Strategisk viktig infrastruktur blir særlig viktig i dette bildet og omtales nærmere i punkt 4.3.
Samfunnets samlede digitale sikkerhet avhenger av det forebyggende arbeidet i hver enkelt virksomhet. Virksomhetsledere er ansvarlige for at virksomheten evner å forebygge og håndtere hendelser. I tråd med Justis- og beredskapsdepartementets samordningsansvar for digital sikkerhet på sivil side, gir myndighetene nasjonale råd og anbefalinger og stiller ressurser tilgjengelig så langt det er mulig når en alvorlig hendelse inntreffer. Nasjonal sikkerhetsmyndighet (NSM) er det nasjonale fagmiljøet for digital sikkerhet. Nasjonalt cybersikkerhetssenter (NCSC) er en del av NSM og bidrar til å beskytte grunnleggende nasjonale funksjoner (GNF), offentlig forvaltning og næringsliv mot digitale angrep. Politiets sikkerhetstjeneste (PST) og det øvrige politi er også sentrale aktører, og Nasjonalt cyberkrimsenter (NC3) ved Kripos bidrar inn i arbeidet både nasjonalt og internasjonalt. Etterretningstjenesten (E-tjenesten) skal bidra til å forebygge, avdekke og motvirke utenlandske trusler mot Norge og norske interesser, herunder i det digitale domenet.
De siste årene er det etablert et godt kunnskapsgrunnlag om digital sikkerhet, slik at både virksomheter og myndigheter er bedre i stand til å iverksette riktige tiltak. Imidlertid har NSM registrert en markant vekst i antall digitale angrep de siste årene. NSM har uttalt at omlag 80 prosent av hendelsene de håndterer kunne vært unngått hvis grunnleggende sikkerhetstiltak var blitt fulgt. Det er derfor viktig å øke bevisstgjøringen og styrke det forebyggende arbeidet. Samtidig må virksomheter og myndighetene ha kompetanse og kapasitet til å avdekke og håndtere uønskede hendelser.
Figur 2.3 NSM har registrert en markant vekst i antall digitale angrep.
Foto: Shutterstock
Fotnoter
Meld. St. 14 (2020–2021) Perspektivmeldingen 2021.