3 Virkemidler for å styrke nasjonal kontroll og bygge digital motstandskraft

Staten har en rekke virkemidler for å ivareta nasjonal kontroll og bygge digital motstandskraft. Virkemidlene må vurderes både enkeltvis og i sammenheng, og de vil variere, avhengig av hvor man befinner seg i krisespennet, hvor stor grad av kontroll som er ønskelig i ulike sammenhenger og eventuelle kostnader knyttet til dette. Virkemidler for å ivareta nasjonal kontroll må også vurderes i lys av Norges folkerettslige forpliktelser, herunder frihandelsavtaler med tredjeland. Statlige trusselaktører vil, etter hvert som vi styrker vår evne til å motstå deres virkemidler, tilpasse sin bruk av virkemidler som kan ramme våre nasjonale sikkerhetsinteresser. Våre tiltak må derfor tilpasses og utvikles over tid for å møte utfordringene.

På generelt grunnlag er det viktig å gi tilstrekkelig prioritet til virkemidler som har en forebyggende effekt. Hendelseshåndtering vil ofte være dyrere og mer inngripende enn forebygging. Forebyggingsperspektivet er viktig på alle nivåer i samfunnet, fra enkeltmennesker opp til virksomhets- og myndighetsnivå. PST, politiet og NSM har et særskilt ansvar her. Samtidig må samfunnet ha tilstrekkelige ressurser for å håndtere hendelser når de først har inntruffet.

Endrede økonomiske rammer stiller høyere krav til prioriteringer og effektiv ressursutnyttelse. Det innebærer at prioritering av den forebyggende delen av arbeidet blir viktigere og vil gi krevende avveininger mellom ulike hensyn, behov og ønsker. Tiltak som økt nasjonalt eierskap og kontroll gjennom oppkjøp av strategisk viktige bedrifter, naturressurser eller infrastrukturer har for eksempel en direkte kostnad. Behovet for nasjonal kontroll av hensyn til nasjonal sikkerhet kan også medføre kostnader for samfunnet og næringslivet. For eksempel dersom dette medfører økt rapporteringsplikt eller legger begrensninger på privat eierskap, tilgang til internasjonal kapital, næringslivssamarbeid og forholdet til andre stater. Norge har forpliktelser gjennom EØS-avtalen og andre folkerettslige avtaler, som WTO-regelverket og frihandelsavtaler, som må ivaretas dersom man ønsker å innføre eierskapsbegrensninger. Risikoaksept er et annet viktig element, herunder en vurdering av tilstrekkelig nasjonal kontroll og digital sikkerhet. Samfunnets ressursbruk og forholdsmessighet for å oppnå nasjonal kontroll og digital motstandskraft må vurderes opp mot effekt. Det skal i den forbindelse gjennomføres kost-nyttevurderinger. De mange hensynene nevnt her må veies mot hensynet til å ivareta nasjonal sikkerhet og sammen utgjøre et godt beslutningsgrunnlag.

3.1 Regulering må følge samfunnsutviklingen

Regulering er det primære virkemiddelet for å sørge for nasjonal kontroll og er også et kostnadseffektivt virkemiddel. Juridiske virkemidler består som regel av ulike påbud eller forbud, kombinert med en adgang til å kunne gi tillatelser, rettigheter og plikter eller fritak knyttet til disse. Regulering er et sterkt, men ofte nødvendig virkemiddel. Det skaper forutsigbarhet og er en forutsetning for likeverdig behandling i en rettsstat.

3.1.1 Sikkerhetsloven – vårt viktigste verktøy for å ivareta nasjonal sikkerhet

Sikkerhetsloven står i en særstilling for å ivareta nasjonal sikkerhet. Verdier som er av betydning for våre nasjonale sikkerhetsinteresser skal etter sikkerhetsloven utpekes og sikres i tråd med lovens krav. Departementene utpeker grunnleggende nasjonale funksjoner (GNF) og kan fatte vedtak om at virksomheter som er av avgjørende betydning for GNF skal underlegges sikkerhetsloven.1 Denne verdikartleggingen er en kontinuerlig prosess som dekker alle samfunnsområder. Kartleggingsarbeidet er komplekst, og viser blant annet at det er omfattende gjensidige avhengigheter på tvers av samfunnsområdene, og at avhengigheten endres relativt raskt. Det er behov for å oppdatere og forbedre oversikten for at det forebyggende sikkerhetsarbeidet skal bli så målrettet og effektivt som mulig. Dette vil prioriteres for alle samfunnsområder og gjøres i tråd med Justis- og beredskapsdepartementets pådriver- og samordningsrolle innenfor arbeidet med forebyggende nasjonal sikkerhet på sivil side.

Forstørr bilde

Foto: Shutterstock

Regjeringen er opptatt av at sikkerhetsloven er tilpasset det til enhver tid gjeldende trussel- og risikobildet, og vil derfor fremme nødvendige forslag til tilpasninger av regelverket. Gjennom revisjoner av sikkerhetsloven styrkes loven som virkemiddel for å ivareta nasjonal sikkerhet. Se punkt 4.2.1 om forslag til endringer i sikkerhetslovens kapittel 10 om eierskapskontroll.

Virksomheter som er underlagt sikkerhetsloven må ha tilstrekkelig kompetanse til å følge opp lovens krav. En felles sikkerhetsforståelse, sikkerhetskultur og grunnsikring av verdiene som er viktige for nasjonal sikkerhet må bygges over tid. Justis- og beredskapsdepartementet har bedt departementene kartlegge egen sikkerhetskompetanse i løpet av 2022 og vil følge opp tilbakemeldingene overfor departementene (se punkt 3.4.1 for nærmere omtale).

3.1.2 Praktisering av eksisterende regelverk

Regjeringen mener at flere eksisterende regelverk på ulike samfunnsområder kan bidra til å ivareta nasjonal kontroll, også utover sikkerhetsloven.2 Enkelte regelverk har ikke hensynet til nasjonal sikkerhet som vurderingskriterium i dag, mens andre regelverk allerede har bestemmelser som ivaretar sikkerhetsperspektivet. Regjeringen mener at det er et handlingsrom for å ivareta nasjonal sikkerhet i eksisterende regelverk på ulike samfunnsområder, og at handlingsrommet bør utnyttes bedre.

Praktisering av ulike regelverk kan ikke ses isolert, men må ses på tvers av samfunnsområder. Ulike tillatelsesordninger og forvaltningsperspektiv kan skape blindsoner, noe som kan utnyttes av fremmede stater på bekostning av nasjonale sikkerhetsinteresser. Vår evne til å verne om nasjonal sikkerhet er derfor avhengig av at den enkelte sektor og myndighetene i fellesskap er bevisst trusselbildet, egne verdier og avhengigheter, innenfor og på tvers av samfunnsområder. Samvirkeprinsippet er her viktig. I tillegg er Justis- og beredskapsdepartementet og Forsvarsdepartementet viktige som pådrivere for samordning mellom sivil og militær side.

Regjeringen vil gjennomgå relevant eksisterende lovverk for å påse at hensyn til nasjonal sikkerhet inngår som vurderingskriterium der det er aktuelt.

Med tanke på strategisk viktige verdier, bedrifter, eiendom, infrastruktur, naturressurser og teknologi er relevante regelverk som kan vurderes nærmere blant annet konsesjonslovgivning, plan- og bygningsloven, vannfallsrettighetsloven, energiloven, og havne- og farvannsloven. Dette innebærer ikke at hensyn til nasjonal sikkerhet alltid vil veie tyngst, men at det som et minimum skal vurderes. Hensikten er å stille krav til dem som forvalter lovverket og dem som skal etterleve det for å forebygge at uønskede aktører får innsikt, kontroll og innflytelse over verdier som er av betydning for nasjonal sikkerhet. Det er hensiktsmessig å gjøre eventuelle justeringer i relevant regelverk som del av annen lovgjennomgåelse. Lovverkene må også ses i sammenheng, for å unngå unødvendig dobbeltregulering.

3.1.3 Eksportkontroll

Eksportkontrolloven3 og tilhørende forskrift4 gjelder eksport av nærmere angitte varer, teknologi, herunder immaterielle ytelser, tekniske datapakker eller produksjonsrettigheter for varer, samt visse tjenester. Formålet er å sikre at eksport som kan brukes til militære formål eller til masseødeleggelsesvåpen ikke bidrar til konvensjonell, militær kapasitetsbygging i land av bekymring, og sikre at eksporten er i samsvar med norske utenriks- og sikkerhetspolitiske interesser.

Kontrollen med eksport av strategiske varer og teknologi øker i kompleksitet i takt med den sikkerhetspolitiske utviklingen og endringer i trusselbildet mot norske interesser. Land vi ikke har sikkerhetssamarbeid med etterspør strategiske varer, teknologi, tjenester og kunnskap fra Norge for å styrke sin militære evne. Dette omfatter både konvensjonell militær kapasitetsbygging og programmer for masseødeleggelsesvåpen, men også utstyr som kan benyttes til etterretningsvirksomhet eller kartlegging av kritisk infrastruktur i Norge. Norske teknologimiljøer utsettes for stadige forsøk på omgåelser av eksportkontrollregelverket.

Regjeringen vil klargjøre og styrke eksportkontrollregelverket og tydeliggjøre praktiseringen av kontroll av kunnskapsoverføring i og fra Norge. Dette innebærer å tydeliggjøre hva som er en eksportkontrollregulert kunnskapsoverføring og å innta en bestemmelse om lisensplikt for kunnskapsoverføring i eksportkontrollforskriften.

Utenriksdepartementet gjennomførte våren 2022 en alminnelig høring av forslag til endringer i eksportkontrollforskriften. Utenriksdepartementet er i prosess med å vurdere høringsinnspillene og vil følge opp forskriftsarbeidet videre i 2023.

3.1.4 Forslag om ny lov om digital sikkerhet

Regjeringen vurderer å fremme et forslag til lov om digital sikkerhet. Sentralt i dette er å ansvarliggjøre virksomheter og sikre gjennomføring av nasjonale råd og anbefalinger.

Regjeringen legger opp til at lovforslaget skal gjelde for tilbydere av samfunnsviktige tjenester innenfor samfunnsområdene energi, transport, helse, vannforsyning, banktjenester, finansmarkedsinfrastruktur og digital infrastruktur. I tillegg gjelde for tilbydere av digitale tjenester, nærmere bestemt tilbydere av skytjenester, digitale markedsplasser og digitale søkemotorer. En nærmere presisering av hva som skal til for at en virksomhet er å anse som en samfunnsviktig tjeneste vil fremkomme i forskrift. Loven vil forplikte virksomheter til å gjennomføre sikkerhetstiltak og varsle om alvorlige digitale hendelser. Dette gjelder for enkelte samfunnsområder som har en særlig viktig rolle for å opprettholde kritisk samfunnsmessig og økonomisk aktivitet. Det vil ved videreutvikling av loven særlig ses på utvidelse av virkeområde, og hvordan sikre at nasjonale råd og anbefalinger blir fulgt opp av virksomheter i større utstrekning. Loven vil legge til rette for innføring av EUs NIS-direktiv.5

Regjeringen vil fortløpende vurdere regulering for å sikre forsvarlig digital sikkerhet hos virksomheter som understøtter viktige funksjoner i samfunnet. Blant annet vil EUs reviderte NIS-direktiv kunne ha betydning for hvordan lov om digital sikkerhet videreutvikles. Andre relevante EU-regelverk er Cybersecurity Act som omhandler European Union Agency for Cybersecurity (ENISA) sitt mandat og et felleseuropeisk rammeverk for frivillig sertifisering av IT-produkter, tjenester og prosesser. Denne forordningen jobbes det med å få inkorporert i EØS-avtalen. EU har også nylig lansert lovforslaget Cyber Resilience Act med minstekrav til digital sikkerhet i produkter og tjenester. Et lovforslag om digital operasjonell motstandsdyktighet for finanssektoren, Digital Operational Resilience Act, er også til behandling i EU. Målet med forslaget er å sikre at alle deltakere i det finansielle systemet har de nødvendige tiltakene på plass for å redusere faren for digitale angrep og andre uønskede hendelser. Forslaget bygger på NIS-direktivet og vil ha forrang foran NIS-direktivets regler der det er aktuelt når det er trådt i kraft. Det foreslåtte regelverket vurderes å være EØS-relevant.

3.2 Nasjonalt eierskap for å sikre nasjonal kontroll

På enkelte områder bidrar nasjonalt eierskap til å sikre nasjonal kontroll. Det gjelder for eksempel innenfor energi- og naturressurser, viktig infrastruktur og strategisk viktige deler av norsk næringsliv. Nasjonalt eierskap omfatter statlig, fylkeskommunalt og kommunalt eierskap, samt privat norsk eierskap. Blant annet på grunn av komplekse verdikjeder og eierstrukturer, innebærer ikke nasjonalt eierskap nødvendigvis nasjonal kontroll.

Med «statlig eierskap» menes statens direkte eierskap i selskaper. Siden 2002 har det i hver stortingsperiode blitt lagt frem en eierskapsmelding for Stortinget om statens samlede direkte eierskap i selskaper. I eierskapsmeldingen redegjøres det for hvorfor staten eier direkte i selskaper, hva staten eier og hvordan staten utøver sitt eierskap. I gjeldende eierskapsmelding6 er samfunnssikkerhet og beredskap en av begrunnelsene for når statlig eierskap kan være et hensiktsmessig tiltak. Av eierskapsmeldingen fremgår følgende:

«Regulering er det primære virkemiddelet for å ivareta hensyn knyttet til nasjonal sikkerhet, samfunnssikkerhet og beredskap. Eksempler på slik regulering er næringsberedskapsloven, kraftberedskapsforskriften, sikkerhetsloven og ekomloven. Statlige overføringer til produsenter, kontraktsinngåelser med private aktører eller andre former for samarbeid med næringslivsaktører administrert og forvaltet gjennom respektive sektordepartement er eksempler på andre virkemidler.

Staten kan i særskilte tilfeller vurdere det som nødvendig å unngå at uønskede interesser kan få tilgang til informasjon, innflytelse på eller kontroll over selskaper som har betydning for nasjonal sikkerhet, samfunnssikkerhet eller beredskap, noe som blant annet kan gjøres ved å underlegge selskapene sikkerhetsloven eller eie en gitt andel i enkelte selskaper.».

«Statlig eierskap begrunnet med samfunnssikkerhet og beredskap tilsier normalt en statlig eierandel på mer enn halvparten. Det bidrar til å hindre at uønskede interesser får aksjemajoritet og dermed innsikt og innflytelse gjennom styreposisjon.».

Offentlig eierskap (statlig, fylkeskommunalt eller kommunalt eierskap) kan gi det offentlige store inntekter, legge til rette for en ønsket samfunnsutvikling og demokratisk kontroll. Samtidig kan offentlig eierskap være ressurskrevende, ha økonomiske kostnader, kreve betydelig oppfølging og være politisk sensitivt. Nasjonal kontroll kan oppnås ved ulike virkemidler og er ikke nødvendigvis det samme som offentlig eierskap. Å ha kontroll kan også dreie seg om å forebygge at uønskede aktører får kontroll, eventuelt disponerer eiendom, ressurser eller infrastruktur som kan gi dem innsikt, innflytelse eller reduserer vårt eget politiske eller økonomiske handlingsrom. Dette kan også oppnås gjennom private norske eierskap i selskaper, eiendom eller andre aktiva.

Kontroll med hvem som er reelle eiere av for eksempel infrastruktur, naturressurser eller eiendom av betydning for nasjonal sikkerhet er viktig. Regjeringen ønsker bedre oversikt over dette. Det vil gi innsikt i om eierskapet kan være en utfordring for nasjonal sikkerhet. Informasjon om utenlandsk eierskap blir registrert av en rekke institusjoner, både norske og internasjonale, men informasjonen blir i dag i liten grad systematisert. Dette krever derfor et utstrakt samarbeid nasjonalt og internasjonalt. Behovet for oversikt over strategisk viktige områder er nærmere omtalt i kapittel 4.

3.3 Samarbeid nasjonalt og internasjonalt

Samarbeid og informasjonsdeling på tvers av samfunnsområder, tjenester, myndighetsområder, offentlig-privat og over landegrenser er avgjørende i arbeidet med nasjonal sikkerhet. For eksempel sitter ulike private og offentlige aktører med mye relevant informasjon som kan bidra til økt innsikt og felles forståelse av utfordringsbildet. Det bidrar til bedre beslutningsgrunnlag og tilpasset bruk av virkemidler og gjør oss i bedre stand til å beskytte verdier med betydning for nasjonal sikkerhet både i fred, krise og væpnet konflikt. Økt kunnskap og involvering av alle nivåer i samfunnet må være en integrert del for å møte trussel- og risikobildet. Gjennom å styrke den enkeltes sikkerhet bidrar vi til å styrke vår kollektive sikkerhet.

3.3.1 Samarbeidet mellom etterretnings- og sikkerhetstjenestene

Utstrakt samarbeid og informasjonsutveksling mellom etterretnings- og sikkerhetstjenestene våre er grunnleggende for å ivareta nasjonal sikkerhet. Informasjon om og forståelse av trussel- og risikobildet er avgjørende for at ulike aktører kan identifisere egne sårbarheter og ivareta egen sikkerhet. En forutsetning for dette er hensiktsmessige rammer og verktøy, spesielt for håndtering og formidling av høygradert informasjon.

For å bidra til økt informasjonsutveksling og koordinering mellom E-tjenesten og PST i arbeidet med konkrete saker ble samarbeidet ytterligere styrket sommeren 2021, gjennom etableringen av Felles etterretnings- og kontraterrorsenter. I november 2022 besluttet regjeringen å opprette et nasjonalt etterretnings- og sikkerhetssenter (NESS). I NESS skal PST, E-tjenesten, NSM og (det øvrige) politiet samarbeide for å styrke vår nasjonale evne til å oppdage og forstå sammensatte trusler – og våre egne sårbarheter – samt for å sikre god beslutningsstøtte til myndighetene. Samarbeidet bygger videre på det forsterkede samarbeidet mellom PST og politiet etablert i februar i år, for å utvikle et nasjonalt situasjonsbilde knyttet til sammensatt virkemiddelbruk. Tiltaket understreker regjeringens prioritering av arbeidet mot sammensatte trusler.

Felles cyberkoordineringssenter (FCKS) er et permanent, samlokalisert fagmiljø bestående av representanter fra NSM, E-tjenesten, PST og Kripos. Arbeidet til FCKS bidrar til å øke den nasjonale evnen til å motstå alvorlige digitale angrep og vedlikeholde et helhetlig trussel- og risikobilde for det digitale rom. I tillegg bidrar de med viktig strategisk analyseproduksjon, som grunnlag for beslutninger på myndighetsnivå.

Forstørr bilde

Foto: Justis- og beredskapsdepartementet

3.3.2 Nasjonalt cybersikkerhetssenter i NSM (NCSC)

NSM har gjennom NCSC etablert en arena for nasjonalt og internasjonalt samarbeid innen deteksjon, håndtering, analyse og rådgivning knyttet til digital sikkerhet. Senteret omfatter partnere fra næringsliv, akademia, forsvar og offentlig sektor som bidrar aktivt inn i et gjensidig samarbeid for et mer robust digitalt Norge. I dag deltar om lag 50 virksomheter, og stadig flere kommer til. Partnerprogrammet skal styrkes, både for å åpne for flere partnere, og for å legge til rette for mer informasjonsdeling.

Med flere partnere øker behovet for å dele partnernettverket inn i målgrupper. Dette er viktig for å bygge tillit og dele informasjon internt i nettverket, og for å nå ut med bedre tilpasset informasjon til den enkelte virksomhet på en mer effektiv måte. NCSC er viktig i NSMs arbeid med råd og veiledning, deteksjon og hendelseshåndtering (se punkt 3.5 og 3.6).

For å styrke arbeidet med forskning, innovasjon og kompetanse innenfor digital sikkerhet, følger Norge opp EUs forordning om opprettelse av et nettverk av nasjonale koordineringssentre for digital sikkerhet. I den forbindelse skal det etableres et senter som skal bygge opp og samordne den nasjonale delen av det europeiske kompetansefellesskapet innenfor digital sikkerhet og generelt stimulere til forskning, innovasjon og kompetanseutvikling nasjonalt. En viktig oppgave for senteret vil være å fremme og gi veiledning til søkere i de europeiske investeringsprogrammene DIGITAL og Horisont Europa innenfor cybersikkerhetsrelaterte utlysninger. Senteret forutsettes også å kunne tildele EU-midler og nasjonal medfinansiering til tredjeparter. DIGITAL og Horisont Europa er investerings- og forskningsprogrammer i EU som Norge allerede deltar i.

Justis- og beredskapsdepartementet arbeider for at NSM og Norges forskningsråd etablerer Norges nasjonale koordineringssenter for digital sikkerhet. Senteret skal samarbeide med øvrige miljøer i Norge innenfor digital sikkerhet.

Forstørr bilde

Foto: NSM

3.3.3 Internasjonalt samarbeid

I en internasjonal økonomi og et digitalisert samfunn, hvor avhengigheter, virkemiddelbruk og trusselaktører ikke forholder seg til landegrenser, er det viktig med internasjonalt samarbeid for å oppnå nasjonal kontroll. Det omfatter blant annet å arbeide for ansvarlig statlig oppførsel i det digitale rom og søke å benytte eksisterende kanaler, som EUs screeningmekanisme, for tilgang til informasjon om sikkerhetstruende økonomisk aktivitet.

Erfaringer fra våre allierte, NATO, FN og EU kan gi nyttig innsikt om beste praksis på tvers av nasjonale grenser og bidra til å tilpasse nasjonale regelverk for å ha en felles tilnærming der det er hensiktsmessig. I lys av Finlands og Sveriges NATO-søknader vil det være særlig relevant å søke fellesnordiske løsninger der det er mulig, gitt våre liknende styresett, verdisyn og trussel- og risikobilde. Ved at Norge tar en tydelig rolle internasjonalt og kan vise til nasjonale tiltak og prioriteringer, vil Norge også kunne oppfattes som en forutsigbar og pålitelig alliert og partner, noe som er viktig for vår posisjon i internasjonalt samarbeid.

For Norge er en hovedprioritet i det internasjonale arbeidet å jobbe for en styrket etterlevelse av gjeldende folkerett blant FNs medlemsstater. Norge offentliggjorde i 2021 sine nasjonale posisjoner på utvalgte folkerettslige problemstillinger i det digitale rom for å bidra til en styrket felles forståelse av hvordan folkeretten kommer til anvendelse. Tjenester og produkter vi benytter er ofte helt eller delvis produsert og utviklet i andre deler av verden. Dette krever et samarbeid om internasjonale standarder som ivaretar sikkerhetsperspektivet.

Regjeringen vil at Norge skal jobbe for et tett, forpliktende og forutsigbart internasjonalt samarbeid om nasjonal sikkerhet og motarbeide sammensatte trusler sammen med allierte, partnere, NATO, FN og EU.

Regjeringen vil at Norge skal delta aktivt internasjonalt for en styrket etterlevelse av gjeldende folkerett. Norge skal bidra i arbeidet med utarbeidelse av internasjonale frivillige normer og standarder innenfor det digitale rom. Regjeringen vil også styrke samarbeidet med internasjonale partnere for å fremme et åpent, sikkert, stabilt og fredelig digitalt rom.

3.4 Kompetanse og bevisstgjøring

3.4.1 Sikkerhetsfaglig kompetanse i samfunnet

Kompetanse om trusler, sårbarheter og effektive tiltak er en forutsetning for å kunne beskytte verdier mot uønskede hendelser. Manglende kompetanse om risiko og kjennskap til egne verdier og sårbarheter bidrar til dårligere sikkerhetsstyring og en svakere sammenheng mellom faktisk risikobilde og tiltak som reduserer risiko. Det er flere eksempler på at kombinasjonen av mangelfull verdiforståelse og åpenhetskultur har ført til at informasjon om eksempelvis eiendom og infrastruktur som er av betydning for nasjonal sikkerhet har ligget åpent tilgjengelig på internett. Dette kan være risiko- og sårbarhetsanalyser eller oversikt over samfunnskritisk infrastruktur. Virksomheter og offentlige organer som forvalter verdier av betydning for nasjonal sikkerhet må vurdere hensynet til nasjonal sikkerhet i tilstrekkelig grad når slik informasjon gjøres tilgjengelig.

Tekniske sikkerhetstiltak alene vil ikke stoppe potensielle trusselaktører. Det er derfor nødvendig å bygge en god sikkerhetskultur i hele samfunnet. Dette forutsetter at alle – privatpersoner, virksomheter og myndigheter – er bevisst sikkerhetsutfordringene og har nødvendig basiskunnskap om mottiltak som er relevante for dem. Dette øker robusthet, men også bevissthet og forståelse for sikkerhet hos den enkelte. Det er særlig viktig å styrke verdiforståelsen og kompetansen om trusler, sårbarheter og effektive sikkerhetstiltak blant toppledere og beslutningstakere. God sikkerhetskultur kommer til uttrykk gjennom virksomhetens totale sikkerhetsatferd.

Norsk senter for informasjonssikring (NorSIS) gjennomfører på vegne av norske myndigheter Nasjonal sikkerhetsmåned hvert år i oktober. Dette er et eksempel på et bevisstgjøringstiltak som når bredt ut i samfunnet. Målet med kampanjen er å styrke virksomheters og den enkelte innbyggers kompetanse om digital sikkerhet. Et annet eksempel er den nasjonale øvelsesportalen, ovelse.no, som gir norske virksomheter et gratis øvingstilbud om digital sikkerhet.

Forstørr bilde

For å legge til rette for god oppfølging av sikkerhetsloven, har Justis- og beredskapsdepartementet bedt departementene kartlegge lederstillinger som har roller og ansvar knyttet til departementenes grunnleggende nasjonale funksjoner. Disse lederne har behov for sikkerhetsklarering og sikkerhetsfaglig kompetanse innen sikkerhetsstyring, risikovurdering, verdivurdering og grunnleggende digital sikkerhet.

Justis- og beredskapsdepartementet har også anbefalt at alle departementer, i samsvar med sikkerhetsloven, kartlegger hvilke lederstillinger i underliggende virksomheter som krever sikkerhetsklarering og sikkerhetsfaglig kompetanse. Resultatet skal oversendes Justis- og beredskapsdepartementet innen utgangen av 2022. Departementet vil deretter vurdere behovet for ytterligere kompetansetiltak i offentlige virksomheter for å ivareta våre nasjonale sikkerhetsinteresser.

3.4.2 Tilstrekkelig nasjonal spesialistkompetanse

Undersøkelser av tilbud og etterspørsel viser et behov for flere utdannede innen digital sikkerhet. De siste årene er det iverksatt en rekke tiltak for å redusere kompetansegapet. Flere tiltak er å anse som langsiktige. For eksempel har den fulle effekten av nye studieplasser i IKT-relaterte fag enda ikke kommet i form av uteksaminerte kandidater.

Regjeringen vil kartlegge kompetansesituasjonen innenfor digital sikkerhet og vurdere tiltak basert på arbeidslivets behov.

Innenfor enkelte områder av betydning for nasjonal sikkerhet er det behov for personell med spesialistkompetanse på doktorgradsnivå. Personellet må kunne drive forskning og utvikling på områder der de behandler informasjon som kan få avgjørende skadefølger for nasjonal sikkerhet om informasjonen blir kjent for uvedkommende.

Et tilstrekkelig antall uteksaminerte kandidater på masternivå er en forutsetning for å sikre flere forskerutdannende og andre høyt kompetente med sikkerhetsklarering til fagområdene digital sikkerhet og kryptologi. Innenfor gruppen «naturvitenskapelige fag, håndverksfag og tekniske fag» var over 90 prosent av studentene norske i 2021. Andelen utenlandske studenter på studieprogrammer innenfor digital sikkerhet varierer mellom studieprogrammene, men lå samlet på bare fem prosent i 2021.7 Å øke antall studieplasser innenfor digital sikkerhet og andre IKT-fag vil derfor kunne være et bidrag til å øke andelen forskere og andre høyt kompetente som vil kunne få sikkerhetsklarering.

Eventuelle endringer i studiekapasiteten vurderes i forbindelse med de årlige statsbudsjettene. Regjeringen forventer samtidig at universiteter og høyskoler selv vurderer omfanget av digital sikkerhet i sine studieporteføljer og fastsetter det i henhold til arbeidslivets behov og de studiesøkendes ønsker, slik de skal gjøre for alle sine utdanninger, herunder også for doktorgradsutdanningene.8

Rekruttering av doktorgradskandidater som kan sikkerhetsklareres er en utfordring innenfor ulike teknologiområder allerede i dag. De siste ti årene har godt over 60 prosent av dem som avlegger doktorgrad innenfor teknologi ved et norsk lærested utenlandsk statsborgerskap.9 Andelen med utenlandsk statsborgerskap som søker rekrutteringsstillinger innen matematikk, naturvitenskap og teknologi var nær 90 prosent i perioden 2016-2018.10 Dette er en utvikling som må tas på alvor.

Regjeringen vil videreføre øremerkede midler til nærings-ph.d.- og offentlig sektor-ph.d.-ordningene i Forskningsrådet rettet mot digital sikkerhet og kryptologi. Midlene er tilgjengelige for alle kvalifiserte søkere som har sikkerhetsklarering.

Å rekruttere kandidater som kan sikkerhetsklareres til doktorgradsutdanning i digital sikkerhet og kryptologi vil også kreve målrettet innsats fra universiteter og høyskoler. Som omtalt over, forventer regjeringen at utdanningsinstitusjonene fastsetter omfanget på doktorgradsutdanningene i henhold til arbeidslivets behov og de studiesøkendes ønsker. Ved ansettelser i rekrutteringsstillinger hvor arbeidstakeren vil komme i situasjoner som krever enten sikkerhetsklarering, adgangsklarering eller autorisasjon skal universiteter og høyskoler sørge for at den som tilsettes, får de nødvendige klareringer, slik sikkerhetsloven krever.

De fleste stipendiater i teknologiske fag vil ikke ha behov for sikkerhetsklarering i løpet av sin doktorgradsutdanning, men de kan komme til å trenge sikkerhetsklarering i den jobben de går til etter avlagt doktorgrad. På enkelte fagområder av betydning for nasjonal sikkerhet vil det derfor være ønskelig å sikre at det utdannes et tilstrekkelig antall doktorer som har mulighet til å bli sikkerhetsklarert etter utdanning. Med dagens regelverk for sikkerhetsklarering og ansettelser i statlige stillinger, er det uklart hvordan universiteter og høyskoler kan regulere inntaket av stipendiater for å oppfylle ønsket om å utdanne doktorer som kan sikkerhetsklareres. Samtidig er det uklart hvor stort behov arbeidslivet har for doktorer som kan sikkerhetsklareres. Før regjeringen går i gang med å vurdere regelverket, bør behovet kartlegges.

Regjeringen vil utrede arbeidslivets behov for doktorgradskompetanse til stillinger hvor det kreves sikkerhetsklarering.

3.5 Råd og veiledning – brukeren i fokus

En størst mulig felles forståelse for sikkerhet, trussel- og risikobildet i samfunnet, fra privatpersoner til bedrifter og offentlig virksomheter, er viktig for nasjonal sikkerhet og nasjonal kontroll. Som en del av dette inngår informasjon om trussel- og risikobildet, hvorfor nasjonal sikkerhet er viktig, hvilke virkemidler myndighetene har til rådighet, hvilke krav som stilles til ulike offentlige og private aktører og hvordan det treffer den enkelte. Summen av enkelttiltak bidrar til en større motstandsdyktighet i samfunnet overfor uønskede hendelser.

3.5.1 Etablering av nasjonal portal og støtteverktøy for digital sikkerhet

Regjeringen vil lansere en nasjonal portal for digital sikkerhet og et støtteverktøy til alle norske virksomheter for å tilgjengeliggjøre nasjonale råd og anbefalinger i tråd med Prop. 78 S (2021–2022).

Råd og veiledning om digital sikkerhet er ofte lite kjent og blir i begrenset grad systematisk fulgt opp og prioritert av virksomhetene. Portalen skal være en felles inngangsport for ulike brukergrupper, men utformet slik at alle får ensartede råd tilpasset sin brukergruppe. Dette skal ikke kreve forutgående kunnskap om roller og ansvar innenfor området. Arbeidet med å utvikle portalen startet opp høsten 2022 med planlagt lansering i løpet av 2023. Innholdet i portalen skal utarbeides av sentrale aktører med roller og ansvar knyttet til digital sikkerhet. NSM leder arbeidet, og skal etablere, forvalte og drifte portalen.

Økt sikkerhet i den enkelte virksomhet er viktige bidrag til samfunnets kollektive sikkerhet. For å bidra til et mer systematisk arbeid med digital sikkerhet, vil NSM tilby et støtteverktøy til alle norske virksomheter gjennom den nasjonale portalen. Verktøyet vil gjøre det lettere for virksomheter å evaluere egen sikkerhetstilstand og bidra til at nasjonale råd blir bedre kjent og i større grad blir implementert av virksomheter.

3.5.2 Kraftsamling av statlige veiledningsressurser

Flere statlige myndigheter gir råd og veiledning om digital sikkerhet, og myndighetenes arbeid på området kan for omverdenen fremstå fragmentert og lite koordinert.11 Portalen og støtteverktøyet beskrevet i punkt 3.5.1 vil bidra til bedre samordning og tilgjengeliggjøring av råd og veiledning. Regjeringen vil vurdere ytterligere tiltak for å forsterke samordningen på myndighetsnivå og gjøre det enklere for sluttbrukeren.

Regjeringen vil kartlegge brukerbehov og erfaringer med dagens organisering av veiledning innen digital sikkerhet. Dette for å vurdere oppgaver, ansvar og organisering, og om en kraftsamling av veiledningsmiljøer vil kunne gi effektiviseringsgevinster.

3.5.3 En sikker digital nettverksarkitektur («Zero Trust»)

I løpet av det siste tiåret har arbeidet med en sikker nettverksarkitektur i økende grad tatt utgangspunkt i at man ikke kan ha større tillit til maskiner og tjenester i virksomhetens interne nettverk enn man har til vilkårlige maskiner og tjenester på det åpne internett. En følge av dette er at digitale identiteter, autentisering og tilgangsstyring har blitt sentrale virkemidler for å etablere en sikker nettverksarkitektur. Denne tilnærmingen har fått betegnelsen «Zero Trust»-arkitektur.

Regjeringen vil sørge for at norske anbefalinger om sikker nettverksarkitektur oppdateres i takt med utviklingen av internasjonale standarder på området.

3.6 Nasjonal deteksjonsevne og hendelseshåndtering

3.6.1 Nasjonal hendelseshåndtering

En stor del av truslene mot Norge skjer i det digitale rom. NSM har over tid erfart en kraftig økning av digitale angrep. Ifølge NCSC er dette en trend som forventes å fortsette i tiden fremover. De digitale angrepene mot Stortinget i 2020 og 2021 var angrep på vårt demokrati og viser alvorlighetsgraden i det digitale risikobildet. Norge gikk for første gang til det skritt å foreta en offentlig attribusjon til en annen stat. Det ble kunngjort at Russland sto bak. Året etter ble det offentliggjort at det andre datainnbruddet mot Stortinget ble gjennomført fra Kina.

For å bidra til å møte utfordringsbildet er NSM styrket med 15 mill. kroner i 2022, jf. Innst. 270 S (2021–2022) til Prop. 78 S (2021–2022). Bevilgningen innebærer en utvidelse av antall stillinger i NCSC og skal forbedre evnen til koordinering, analyse og håndtering av hendelser og praktisk bistand til rammede virksomheter.

Sektorvise responsmiljøer er et viktig tiltak for å sikre deling av informasjon og støtte til håndtering av digitale angrep. De fleste sektorer har etablert slike miljøer eller inngått ulike former for samarbeid om dette. Responsmiljøene er bindeleddet mellom NSM og de enkelte virksomhetene i ulike sektorer. På oppdrag fra Justis- og beredskapsdepartementet er det gjennomført en ekstern evaluering av ordningen med sektorvise responsmiljøer. Det overordnede inntrykket er at samarbeidet mellom de ulike aktørene fungerer godt, at det er god utveksling av informasjon, metoder, erfaringer og kompetanse på tvers av miljøene, og at ordningen med sektorvise responsmiljøer har gitt et mer samlet sikkerhetshetsmiljø i Norge. En hovedkonklusjon er at den nasjonale innsatsen bør kraftsamles for å sikre grunnleggende nasjonale funksjoner. I tillegg bør forebyggende digital sikkerhet i større grad inkluderes i den nasjonale modellen for hendelseshåndtering og balanseres mot operativt arbeid. Gitt kompetansemangelen innenfor digital sikkerhet er det også viktig at den nasjonale modellen for hendelseshåndtering er bærekraftig over tid.

Regjeringen vil videreutvikle det nasjonale rammeverket for håndtering av digitale hendelser. Dette for å sikre en bærekraftig hendelseshåndteringsmodell i tråd med samfunnets behov.

Forstørr bilde

Foto: NATO CCDCOE, Ardi Hallismaa

3.6.2 Digital motstandskraft i kommunesektoren

Uønskede digitale hendelser i kommuner kan få store konsekvenser for tjenestene til innbyggerne, og medføre store kostnader for kommunene og det norske samfunnet. Selv om digital sikkerhet i kommunene håndteres innenfor den bredere samfunnssikkerheten, gjør et hybrid trusselbilde det nødvendig å arbeide for bedre digital motstandskraft også ut fra et nasjonalt sikkerhetsperspektiv. I en presset økonomisk situasjon vil det også for kommunene være krevende å gjøre nødvendige prioriteringer og skaffe kompetanse innen digital sikkerhet.

I februar 2022 deltok over 200 kommuner i et møte med justis- og beredskapsministeren og kommunal- og distriktsministeren. Formålet var å øke oppmerksomheten om digital sikkerhet i kommunesektoren, orientere om et endret trussel- og risikobilde og komme i dialog med kommunene om hvor staten kan bidra slik at de står bedre rustet til å forebygge og håndtere uønskede digitale hendelser. Som en oppfølging av kommunearrangementet ønsker regjeringen at kommunene får et permanent responsmiljø som dekker kommunenes behov.

Regjeringen vil bidra til forebygging av uønskede digitale hendelser i kommunesektoren og vil utpeke et sektorvis responsmiljø som kan dekke kommunenes behov.

3.6.3 Etablere neste generasjons nasjonale deteksjonsevne

For nasjonal digital sikkerhet er såkalte «avanserte vedvarende trusler» den dimensjonerende trusselen. Aktørene bak vurderes ofte å være statlige aktører som over tid jobber systematisk med å opprette tilganger til relevante systemer.

Varslingssystem for digital infrastruktur (VDI) fungerer som en «digital innbruddsalarm» for å oppdage angrep. VDI er et nettverk av sensorer som utplasseres hos utvalgte offentlige og private virksomheter som har kritisk infrastruktur. Sensorene gjør det mulig for NSM å oppdage og verifisere digitale angrep.

For å øke effekten av systemet, vil både antallet virksomheter som deltar i VDI-samarbeidet og analysekapasiteten for å håndtere større informasjonsmengder øke. NSM er styrket med 30,3 mill. kroner til dette tiltaket, jf. Innst. 270 S (2021–2022) til Prop. 78 S (2021–2022). Neste generasjons VDI utvides med flere ulike komponenter som er designet til å fungere sammen og vil totalt sett være mer effektivt enn i dag. Utvidelsen er også et viktig bidrag for å se helheten og arbeidet med et nasjonalt situasjonsbilde i det digitale domenet.

Regjeringen har en ambisjon om å videreutvikle nasjonal deteksjonsevne. Utviklingen på dette område vil imidlertid kreve en langsiktig satsning, som også inkluderer infrastruktur. Sentralt i dette er videreutviklingen av VDI og eventuelle krav til VDI-sensorer for viktige leverandører som understøtter sentrale funksjoner i samfunnet. Det vil vurderes økt analysekapasitet og teknisk kapasitet i NSM for å avdekke sikkerhetstruende hendelser.