Del 1
Innledning

1 Sammendrag

De siste tiårene har digitaliseringen ført til gjennomgripende samfunnsmessige endringer. Den har effektivisert arbeidshverdagen for de fleste av oss, slik at det samme arbeidet nå kan utføres av langt færre hender. Den har forandret måten vi styrer prosesser på, slik at komplekse operasjoner og infrastrukturer nå kan kontrolleres fra ett eller noen få sentrale steder. Den har gitt befolkningen en lang rekke nye tjenester, som kontantløs handel og finansielle tjenester på mobil, elektronisk samhandling med det offentlige og sanntids trafikkinformasjon som lar oss finne den mest hensiktsmessige reiseveien mellom to steder. Videre har den revolusjonert måten vi kommuniserer på, ved at mobiltelefoner, sosiale medier og samarbeidsstøtteverktøy er blitt dagligdags. Norge ligger i verdenstoppen når det gjelder bruk av IKT. Dette gjør norsk næringsliv mer konkurransedyktig, og øker samfunnets totale produktivitet og innovasjonsevne. En videreføring av denne situasjonen forutsetter at samfunnet har tillit til at teknologien er trygg å ta i bruk.

De store teknologiske endringene gir oss noen utfordringer. Vi ser at sentrale tjenester for samfunnet, som for eksempel betaling og telefoni, utfordres av internasjonale aktører som leverer tjenester i Norge uten at norske myndigheter har rettslig kontrollmulighet over dem. Dessuten er vår evne til å holde informasjon konfidensiell utfordret, og dermed også personvernet. I tillegg utsettes mange virksomheter for reelle trusler knyttet til at det utstyret de bruker kan angripes, og som et resultat bli delvis styrt av uvedkommende. Det foreligger således et betydelig teknologisk press som kan utfordre sentrale samfunnsverdier.

En spesielt viktig observasjon er at kritiske samfunnsfunksjoner er blitt avhengige av lange og uoversiktlige digitale verdikjeder, som gjerne spenner over mange sektorer og flere land. Slik vil sårbarheten til for eksempel en betalingstjeneste på mobil avgjøres av lovhjemler og tilsynsregimer i kraftsektoren, i ekomsektoren, i finanssektoren og innenfor næringsregulering. En underleverandør som har utkontraktert sentrale deler av virksomheten til et annet land, vil kunne arve sårbarheter fra de tilsvarende sektorene i vedkommende land.

Slike sammensatte, sektorovergripende verdikjeder finner vi i alle de kritiske samfunnsfunksjonene denne rapporten omhandler. Dette har betydning for hvordan vi bør forholde oss til både tilsiktede og utilsiktede hendelser. Konsekvensene av en digital hendelse kan ligge i en annen sektor enn hendelsen selv, og vissheten om at en angriper ikke forholder seg til sektorgrensene utfordrer vår evne til å håndtere skarpe situasjoner på en effektiv og hensiktsmessig måte.

En effekt av den digitale utviklingen er en kraftig endring i samfunnets risiko- og sårbarhetsbilde. Vi opplever nye trusler, som for eksempel at maskiner og infrastruktur i Norge kan angripes av anonyme aktører som befinner seg i andre land. Vi har fått nye sårbarheter å forholde oss til, som at programmeringsfeil i én komponent kan få effekter som slår ut store deler av mobilnettet. Samfunnsfunksjonene våre er – gjennom digitale verdikjeder – utsatt for hendelser på nye og tidligere ukjente måter. For eksempel kan svikt i telekommunikasjonsnettene føre til at veitunneler må stenges og at leger ikke får tilgang til pasientjournaler.

På samme måte som digitaliseringen har endret sårbarhetsbildet i samfunnet, vil måten vi håndterer disse sårbarhetene på, ha betydning for hvilket samfunn vi skaper for fremtiden. I et overordnet samfunnsperspektiv vil en forsvarlig ivaretakelse av sårbarhetsutfordringene være avgjørende for å opprettholde rettsstatens og demokratiets grunnleggende verdier. På samme tid kan nettopp disse samme verdiene komme under press i møte med andre og utfordrende digitale muligheter, for eksempel overvåking av enkeltindividet eller av befolkningen som sådan.

Norge regnes som et av de mest digitaliserte landene i verden. Dette har gitt oss store effektiviserings- og moderniseringsgevinster, men det har også ført til at vi er et av de landene der endringen i risiko- og sårbarhetsbildet har kommet lengst. En av utfordringene ved å ha kommet så langt, er at det ofte mangler tydelige eksempler fra andre land å se hen til. Denne endringen krever at vi som samfunn videreutvikler og endrer måten vi forholder oss til sårbarheter på. Likevel er det klart at mange av de utfordringene vi nå står overfor, bare kan løses i en internasjonal kontekst. For et lite land som Norge vil det være svært viktig å delta aktivt på de internasjonale arenaene der relevante problemer diskuteres.

I denne utredningen gir vi en fremstilling av hvilke grep vi mener det norske samfunnet bør ta. Under følger de viktigste anbefalingene våre.

• Redusere kritikaliteten av Telenors kjerneinfrastruktur. Telenors kjerneinfrastruktur inngår som en komponent i nær sagt alle digitale verdikjeder. Et utfall i denne får derfor alvorlige og samtidige konsekvenser på de aller fleste samfunnsområder, og for alle de kritiske samfunnsfunksjonene som er omtalt i denne rapporten. Telenors kjerneinfrastruktur er godt utbygd, den er profesjonelt operert, og den har historisk sett meget høy stabilitet. Likevel vil den kunne settes ut av spill ved menneskelige feil, rutinesvikt, sabotasje, terror eller utro tjenere. Det er utvalgets syn at den totale summen av samfunnsverdier dette nettet bærer, er uakseptabelt høy. Utvalget vil derfor anbefale at det arbeides mot et målbilde der minst én tilleggsaktør har et landsdekkende kjernenett som er på samme nivå som Telenors med hensyn til dekning, kapasitet, fremføringsdiversitet, redundans og uavhengighet.

• Sikre balansen mellom personvern og et sikrere samfunn gjennom utredninger og offentlig debatt. Utvalget har merket seg at hensynet til samfunnets sikkerhet fører med seg forslag om innføring av nye og inngripende overvåkingsmetoder. Eksempler på dette er forslag om innføring av digital grenseovervåking og PSTs ønsker om å registrere ytringer på sosiale medier og analysere informasjon fra åpne kanaler. Utvalget erkjenner det etterretningsfaglige og politifaglige behovet som ligger bak slike forslag, men mener at forslagene er av en så inngripende natur at de ikke bør innføres uten en forutgående offentlig debatt. En slik debatt bør forberedes gjennom en offentlig utredning som diskuterer denne typen virkemidler i sin fulle bredde. Hensyn til etterretningsbehov, teknologisk kompetanse og personvern må ivaretas, og det må sikres en grundig redegjørelse for de teknologiske, rettslige og samfunnsmessige spørsmålene sakene reiser.

• Bruk av kryptografi bør ikke reguleres. Det foregår en debatt internasjonalt om hvorvidt bruken av sterk kryptografi bør reguleres. Det er svært vanskelig – kanskje umulig – å lage systemer som samtidig ivaretar legitime behov for beskyttelse og et legitimt behov for avlytting. Det er rimelig å tro at begrensninger på lovlig bruk av kryptografi vil ramme norske borgere, virksomheter og myndigheter. Slike begrensninger vil imidlertid ikke i vesentlig grad hindre uærlige aktørers bruk av kryptografi og dermed heller ikke løse politiets og etterretningstjenestenes problem. Det er derfor utvalgets oppfatning at bruk av kryptografi ikke bør reguleres eller forbys i Norge, at norske myndigheter bør arbeide aktivt mot regulering eller forbud internasjonalt, og at det må utvikles nye etterforskningsmetoder for å sikre et effektivt politi- og etterretningsarbeid.

• Styrke Justis- og beredskapsdepartementets tverrsektorielle virkemidler på IKT-sikkerhetsområdet. Ingen sektor kan kontrollere sin egen digitale sårbarhet alene. Verdikjedene gjør at alle arver sårbarheter fra andre sektorer, og angripere forholder seg ikke til sektorgrensene. Samtidig observerer utvalget at sektorene tidvis har vansker med å enes om en gjennomføring av sektorovergripende tiltak. Utvalget er enig i at de ulike sektorene i mange tilfeller er svært forskjellige og kan ha behov for spesifikke tilpasninger. Dette står imidlertid ikke i motsetning til sektorovergripende løsninger dersom disse angir en nedre grense, slik at sektorene står fritt til å definere strengere krav. Utvalget vurderer det slik at utvikling av sektorovergripende mekanismer vil være nødvendig over tid, og at et effektivt sektorovergripende virkemiddelapparat vil være nødvendig for å håndtere samfunnets IKT-sårbarheter. Justis- og beredskapsdepartementet bør derfor settes bedre i stand til å gjennomføre sektorovergripende tiltak.

• Etablere et helhetlig rammeverk for digital hendelseshåndtering. Utvalget har merket seg at offentlige og private virksomheter som blir utsatt for alvorlige dataangrep, opplever usikkerhet og utilstrekkelig koordinering mellom myndighetsaktører som har ansvar for å bekjempe digitale angrep. Utvalget mener derfor at Justis- og beredskapsdepartementet må ta initiativ til å etablere et helhetlig rammeverk for å avklare og tydeliggjøre innsatsen mellom relevante aktører innen hendelseshåndtering og straffeforfølgning. Rammeverket bør etableres og øves i tett samarbeid med Forsvarsdepartementet.

• Styrke politiets evne til å bekjempe IKT-kriminalitet. Utvalget observerer at det blant virksomheter og hos enkeltindivider er lave forventninger til hvilken bistand politiet kan gi når man blir utsatt for IKT-kriminalitet. Dette fører blant annet til at IKT-kriminalitet i liten grad blir anmeldt. Utvalget vil derfor støtte forslaget til opprettelsen av et nytt nasjonalt senter for å forebygge og etterforske kompleks og grenseoverskridende IKT-kriminalitet. Senteret bør organiseres under Kripos, og det bør ha et nasjonalt fagansvar for forebygging og etterforskning av alvorlig og kompleks IKT-kriminalitet. Videre bør det ha en særskilt bistandsfunksjon for å støtte politidistriktene både polititaktisk og påtalefaglig.

• Tydeliggjøre et myndighetsansvar for norsk romvirksomhet. De fleste samfunnsområder er gjennom digitale verdikjeder mer eller mindre avhengige av digitale satellittbaserte tjenester. Disse tjenestene kan være posisjon, navigasjon, presis tidsangivelse, kommunikasjon, jordobservasjon med mer. Myndighetsbildet knyttet til området er komplekst. Regulering av romvirksomheten er hjemlet i mange ulike lover og forskrifter, og ansvaret for oppfølging av romsektoren er desentralisert. Behovet for tydeliggjøring av myndighetsansvaret for norsk romvirksomhet omhandler å øke bevisstheten rundt de ulike samfunnsområdenes sårbarheter, identifisere avhengigheter og stille krav til og føre tilsyn med romvirksomheten.

• Styrke IKT-sikkerhetskompetansen i flere sektortilsyn. Utvalget ser en økende digitaliseringstakt innenfor de fleste sektorer, og tilsynsmyndighetene vil møte mange mer eller mindre nye og komplekse problemstillinger. Det vil derfor i økende grad være behov for å styrke IKT-sikkerhetskompetansen innenfor flere sektortilsyn. På kort sikt vil det være viktig med felles ressurser, slik at ulike sektortilsyn kan tilføres kompetanse fra for eksempel Nasjonal sikkerhetsmyndighet i enkelttilfeller. På lengre sikt tilsier teknologiutviklingen at sektorer og tilsynsvirksomheter må etablere en egen IKT-sikkerhetskompetanse. Mange av problemstillingene knyttet til IKT-sikkerhet vil være felles for de fleste sektorer, og det vil være hensiktsmessig å etablere fellesarenaer for erfaringsutveksling og dialog mellom sektortilsyn og tverrsektorielle tilsyn. I forbindelse med at det stilles krav til IKT-sikkerhet, bør funksjonsbasert regelverk og tilsyn vurderes – dette for å kunne følge med på raske teknologiske endringer og legge til rette for sikkerhetstiltak som er tilpasset den enkelte virksomhet.

• Etablere en overordnet nasjonal kompetansestrategi innen IKT-sikkerhet. Utvalget har sett at det eksisterer en utfordrende kompetansesituasjon innen IKT-sikkerhet på de fleste nivåer i samfunnet. Læreplanene for grunnskolen og den videregående skolen har målformuleringer knyttet til temaet, men det er uklart om det reelle læringsutbyttet dekker den kunnskapen om IKT-sikkerhet som hver enkelt av oss må ha for å kunne håndtere en digitalisert hverdag på en trygg måte. Utvalget mener at en overordnet strategi bør ha et mål om at et minimum av IKT-sikkerhet må inngå i alle IKT-bachelorgrader. Det må etableres en kapasitet på mastergradsutdanning i IKT-sikkerhet som står i forhold til det kompetansebehovet som finnes i offentlig og privat sektor, og det bør utvikles en langsiktig plan for oppbygging og vedlikehold av norsk forskningskapasitet på området.

I tillegg til forslagene til tiltak vi har fremhevet her, fremmer vi forslag om tiltak innenfor hvert av temaene elektronisk kommunikasjon, satellittbaserte tjenester, energiforsyning, olje og gass, vannforsyning, finansielle tjenester, helse og omsorg, transport, kompetanse, styring og kriseledelse, avdekking og håndtering av digitale angrep, felleskomponenter og tverrsektorielle problemstillinger. Hvert av disse temaene er behandlet i de separate kapitlene 11–23.

2 Mandat, utvalgets sammensetning og arbeid

Lysneutvalget er satt ned av Regjeringen for å kartlegge samfunnets digitale sårbarhet. Utvalget skal foreslå konkrete tiltak for å styrke beredskapen og redusere den digitale sårbarheten i samfunnet.

2.1 Mandat

Internett og nye IKT-anvendelser har endret vår hverdag radikalt de siste 15–20 årene. IKT er i alt – i telefonen, bilen, panelovnen, postkassen og hvitevarene. Teknologien er i alle hjem, på de aller fleste arbeidsplasser, i operasjonsstuen på sykehuset, på kraftstasjonen og i politibilen. Enheter, maskiner og brukere kobles sammen på stadig nye måter, og bruken av internett som infrastruktur fortsetter å vokse. De fleste kritiske infrastrukturer og samfunnsviktige funksjoner er i dag digitalisert. Vår avhengighet av IKT i samfunnsmessige, næringsmessige og private sammenhenger er stor og økende.

Dette medfører nye sårbarheter i samfunnet. Med økende avhengighet mellom kritiske komponenter kan flere viktige samfunnsfunksjoner bli skadet eller lammet i utilsiktede hendelser som for eksempel en ulykke eller ekstremvær. Samtidig har det digitale rom åpnet for nye tilsiktede og alvorlige trusler fra både statlige og ikke-statlige aktører. Kriminalitet, mellomstatlige kriser og konflikter har i stadig større grad digitale elementer i seg. Det digitale rom og de digitale tjenestene er koblet sammen på tvers av sektorer og på tvers av landegrenser. Det kan være ulike aktører som eier, har tilsyn med og driver de ulike infrastrukturene, og ansvarslinjene mellom dem oppleves ikke alltid som like klare.

Dette medfører en rekke utfordringer blant annet knyttet til personvern, rettssikkerhet, samfunnssikkerhet og kriminalitetsbekjempelse. Denne utviklingen har også stor betydning for myndighetenes informasjonsinnhenting og -bearbeiding og forebyggende virksomhet.

Det er på denne bakgrunn behov for en gjennomgang som kartlegger samfunnets digitale sårbarheter slik at vi kan få et solid faglig grunnlag for ytterligere å styrke og samordne vår beredskap. Gjennomgangen skal gi et grunnlag for å vurdere tiltak som støtter opp om overordnede mål som å trygge liv og helse, økonomisk vekst og sosial utvikling, rettigheter og eiendom, sikre ivaretagelse av lov og orden, nasjonale sikkerhetsinteresser, rettsstatlige prinsipper, personvern og demokratisk styresett.

Utvalgsarbeidet skal basere seg på eksisterende kunnskapsgrunnlag om dagens og fremtidens utfordringer. Utvalget kan be om særskilte utredninger fra eksperter/ekspertgrupper på enkeltområder.

Utvalget skal ikke vurdere nasjonale regler for datalagring vedtatt ved lov 11. april 2011 nr. 11 eller konsekvensene for norsk rett av EU-domstolens avgjørelse i saken om datalagringsdirektivet.

Utvalget skal utrede følgende:

1. Utvalget skal beskrive de digitale sårbarheter som Norge står overfor i dag og i nærmeste fremtid. Sårbarheter innen kritiske samfunnsfunksjoner og kritisk infrastruktur, blant annet elektronisk kommunikasjon, kraftforsyning og bank- og finansielle tjenester, og de gjensidige avhengigheter mellom disse, skal spesielt analyseres nærmere. Utvalget skal vurdere hvilke konsekvenser denne sårbarheten kan få for enkeltmennesker, næringsliv og samfunnssikkerheten. I denne forbindelse skal utvalget også se på sivilt-militært samarbeid og samarbeid mellom offentlige og private aktører.

2. Utvalget skal beskrive aktuelle problemstillinger knyttet til sikring av informasjon, derunder eventuell manglende kontroll i egen virksomhet med leverandører. Utvalget skal redegjøre for tiltak som bør settes i verk for å hindre at informasjon blir behandlet rettsstridig eller på annen måte blir kompromittert.

3. Utvalget skal beskrive de sentrale folkerettslige rammer for grenseoverskridende informasjonsinnhenting. Videre skal utvalget identifisere de internasjonale arenaer hvor folkerettslige problemstillinger i det digitale rom diskuteres, og som er av særlig relevans for Norge og norske interesser.

4. Utvalget skal vurdere de digitale sikkerhetsutfordringene ved IKT-kriminalitet, spionasje, sabotasje og terror. Utvalget skal beskrive behovet for å kunne avdekke, håndtere og etterforske digitale angrep. Utvalget skal beskrive de dilemmaer som må tas hensyn til i denne sammenheng, særlig knyttet til næringsutvikling, demokratisk deltakelse og forholdet mellom personvern og informasjonsinnhenting.

5. Utvalget skal foreta en prinsipiell vurdering av hvordan samfunnet bør forholde seg til håndtering av digital sårbarhet. Utvalget skal vurdere effekt sett opp mot kostnader og ulemper ved risikoreduserende tiltak (proporsjonalitet), balansen mellom forebyggende tiltak og evne til skadereduksjon ved faktiske hendelser, samt hvilken grad av sårbarhet samfunnet bør være beredt til å leve med.

6. Utvalget skal beskrive hvordan relevante allierte og andre sammenlignbare land arbeider med å redusere denne sårbarheten, med særlig vekt på virkemidler som har overføringsverdi til norske forhold.

7. På denne bakgrunn skal utvalget komme med forslag til tiltak som kan bidra til å redusere sårbarheten. De anbefalte tiltakene kan være av regulatorisk, strukturell, organisatorisk, teknologisk eller kompetansemessig karakter.

8. Utvalget skal utrede administrative, økonomiske og andre vesentlige konsekvenser av sine anbefalinger. Minst ett forslag skal baseres på uendret ressursbruk.

9. Dersom det er behov for å gjøre mindre endringer i mandatet så skal utvalget ta dette opp med Justis- og beredskapsdepartementet som kan beslutte disse.

10. Utvalget skal levere sin utredning i form av en NOU til Justis- og beredskapsdepartementet innen utgangen av september 2015. Innstillingen skal utarbeides i en form som egner seg til å bli sendt på en offentlig høring. De delene av utvalgets arbeid som vil omfatte gradert informasjon, vil måtte behandles av en begrenset del av utvalgets medlemmer. Disse må ha nødvendig sikkerhetsklarering. Materiale som er gradert utarbeides i separate vedlegg.

2.2 Mandatforståelse

Mandatet favner vidt og byr derfor på både muligheter og begrensninger innenfor det tidsrommet utvalget disponerer. Mulighetsrommet ligger i å se sårbarhet i et helhetlig samfunnsperspektiv. Begrensningene innebærer at det ikke har vært mulig med en omfattende analyse av hvert enkelt område. Det vil derfor være digitale sårbarheter i samfunnet vårt som ikke er omhandlet i tilstrekkelig grad i denne utredningen.

Rammeverket for kritisk infrastruktur og kritiske samfunnsfunksjoner (KIKS-rammeverket) er lagt til grunn for utvelgelsen av områdene utvalget har vurdert.1 Kritiske samfunnsfunksjoner er de funksjoner som dekker samfunets og befolkningens grunnleggende behov. Kritisk infrastruktur er de anlegg og systemer som er helt nødvendige for å opprettholde samfunnets kritiske funksjoner. Vårt arbeid med å se på digitale sårbarheter har omfattet å vurdere sårbarheter på flere nivåer av systemer – både på et overordnet samfunnsnivå og i tekniske infrastrukturer og systemer.

Forslag til tiltak for å redusere sårbarheten og styrke samfunnssikkerheten må vurderes med tanke på om de griper inn i og forrykker de konstitusjonelle og menneskerettslige grensene for statens maktutøvelse overfor befolkningen. Både risiko for svikt i IKT-systemer og reduksjon av risiko kan få konsekvenser både for samfunnet som helhet og for det enkelte individ. På overordnet nivå omtaler vi derfor våre grunnleggende samfunnsverdier og forpliktelser som sentrale premisser for det videre arbeidet med de problemstillingene vi presenterer. I tråd med mandatet vil derfor utvalget i så stor grad som mulig vise til områder der vi ser at det er utfordrende å opprettholde en god balanse mellom forsvarlig håndtering av digital sårbarhet og de grunnleggende samfunnsverdiene.

Utvalget har sett på sårbarheter i det sivile samfunnet og i noen grad beskrevet sivilt–militært samarbeid. I den sammenheng er det sivile samfunnets avhengighet av Forsvaret til dels omhandlet. Forsvarets avhengighet av sivil sektor og sårbarheter i Forsvarets egne IKT-systemer er ikke omhandlet. Utvalget er imidlertid klar over at Forsvaret i økende grad er avhengig av sivil infrastruktur for å utføre sitt samfunnsoppdrag, spesielt knyttet til elektronisk kommunikasjon.

Problemstillinger og tiltak knyttet til sikring av informasjon er først beskrevet teoretisk i innledende kapitler. Tiltakene er omtalt i kapittelet om felleskomponenter, der utvalget har valgt å se nærmere på sentraliserte funksjoner som offentlige registre og portaler, herunder anbefalinger knyttet til elektronisk identitet. Svært mye informasjon kan være sensitiv og samfunnsviktig selv i ugraderte systemer. Traavik-utvalget2 er bedt om å komme med tiltak for å harmonisere relevant lovregulering, og utvalget har valgt å avgrense mot denne problemstillingen.

I kapittelet om å avdekke og håndtere digitale angrep omtales sårbarheter som vil påvirke evnen til å håndtere digitale angrep med konsekvenser for i hovedsak samfunnssikkerheten og næringslivet. Utvalget drøfter ikke PSTs eller Etterretningstjenestens mandat og oppgaveløsning utover å foreslå fremgangsmåte ved innføring av nye, personverninngripende metoder.

Utvalgets vurdering av IKT-kriminalitet avgrenses mot tradisjonell organisert kriminalitet der IKT-systemer benyttes som verktøy for å begå straffbare handlinger. Politiets arbeid med elektroniske spor er bare drøftet i relasjon til saker som gjelder de alvorligste formene for IKT-kriminalitet. I henhold til mandatet begrenser utvalget sin omtale av straffesakskjeden til å gjelde den delen som er knyttet til politiets og påtalemyndighetens arbeid.

EOS-utvalget3 fører en ekstern og uavhengig kontroll av om de hemmelige tjenestene – EOS-tjenestene – holder seg innenfor regelverket, spesielt for å hindre at enkeltpersoner blir utsatt for ulovlig overvåking. Utvalget har ikke vurdert EOS-utvalgets kapasitet og kompetanse til å utføre denne kontrollen, da det pågår en parallell evaluering som skal avsluttes i mars 2016.

Utvalget er bedt om å vurdere hvordan samfunnet bør forholde seg til håndtering av digital sårbarhet. For hvert enkelt tiltak har utvalget diskutert kostnader og ulemper sett opp mot ønsket effekt. Ut fra sårbarhetsbeskrivelsene er det vurdert både forebyggende og konsekvensreduserende tiltak. Utvalget er av den oppfatning at det på det nåværende tidspunkt er lite hensiktsmessig å formulere en grad av sårbarhet som samfunnet bør være beredt til å leve med. Grunnen til det er at det ikke finnes noe metodisk grunnlag for å fastslå hvilken sårbarhet som foreligger. Det er utvalgets syn at et slikt grunnlag må bygges først. Vårt viktigste tiltak i den retning er å etablere et rammeverk for helhetsvurdering av digitale verdikjeder. Det vil skape en bevisstgjøring og en synliggjøring av sårbarheter som igjen kan danne grunnlag for hensiktsmessige forebyggende tiltak.

2.3 Sammensetning og utvalgets arbeid

Utvalget har hatt ni medlemmer:

• Leder: Olav Lysne, Bærum, professor (Simula Research Laboratory)

• Janne Hagen, Ski, forsker (Forsvarets forskningsinstitutt)

• Fredrik Manne, Fjell (Hordaland), professor (Universitetet i Bergen)

• Åke Holmgren, Stockholm (Sverige), senior strategisk rådgiver (Myndigheten för samhällsskydd och beredskap)

• Eva Jarbekk, Oslo, advokat og partner (Advokatfirmaet Føyen Torkildsen)

• Einar Lunde, Mandal, avdelingsdirektør (Nasjonal kommunikasjonsmyndighet)

• Kristian Gjøsteen, Trondheim, professor (Norges teknisk-naturvitenskapelige universitet)

• Sofie Nystrøm, Oslo, direktør (Center for Cyber and Information Security)

• Kristine Beitland, Oslo, direktør myndighetskontakt (Microsoft)

Utvalget har hatt et fast sekretariat som har bestått av:

• Sekretariatsleder: Roger Kolbotn, seniorrådgiver (Justis- og beredskapsdepartementet)

• Ingunn Moholt, utredningsleder (Direktoratet for samfunnssikkerhet og beredskap)

• Lene Bogen Kaland, seniorrådgiver (Nasjonal sikkerhetsmyndighet)

• Ragnhild Castberg, seniorrådgiver (Datatilsynet), fra 1. november 2014

• Håkon Hermansson, seniorrådgiver (Nasjonal sikkerhetsmyndighet), til 20. mars 2015

• André Nordbø, rådgiver (Politidirektoratet), fra 10. april 2015

Utvalgets arbeid er basert på ulike metoder og datagrunnlag:

• eksisterende utredninger og analyser

• skriftlige innspill og møter med en rekke departementer, direktorater og tilsyn, forsknings- og undervisningsinstitusjoner, interesseorganisasjoner og konsulentselskaper (se vedlegg 25.1)

• analyser og utredninger som er gjennomført av offentlige og private virksomheter på oppdrag av utvalget og benyttet som innspill til tekst og beskrivelser, uten at alt er tatt videre av utvalget til NOU-en (se vedlegg 25.1)

Utvalget har i tillegg hatt fortløpende dialog med en rekke personer og virksomheter i utvalgsperioden, spesielt med tanke på å få utdypet problemstillinger og kvalitetssikret informasjon.

Utvalget har hatt 16 møter, enkelte over to dager, og har i tillegg gjennomført studiebesøk til Brussel og Berlin. I Brussel møtte utvalget den norske EU-delegasjonen, representanter fra noen av EUs generaldirektorater og NATO, samt private aktører. I Berlin besøkte utvalget BMI (Bundesministerium des Innern) og BSI (Bundesamt für Sicherheit in der Informationstechnik).

2.4 Struktur og innhold

Utredningen er delt inn i fem deler.

Del I består av sammendrag, mandat og en beskrivelse av mandatforståelsen, sammensetningen av utvalget og en oversikt over hvordan rapporten er strukturert.

Del II gir et bakteppe for diskusjonen om digitale sårbarheter i samfunnet vårt. Det pekes på sentrale avveininger mellom ulike samfunnshensyn og verdier, sett i lys av digitaliseringen av samfunnet og digitale sårbarheter.

Videre gir vi en beskrivelse av hva som legges i begrepet digitale sårbarheter, utfordringer ved sikring av IKT og digital informasjon, digitale trender som påvirker sårbarhetsbildet, og tilsiktede og utilsiktede IKT-hendelser.

Vi gir også en oversikt over organisering av roller og ansvar og sentrale tverrsektorielle virksomheter på IKT-sikkerhetsområdet, samt de overordnede målene og prinsippene som gjelder for IKT-sikkerhetsarbeidet i Norge. IKT-sikkerhetsutfordringer er grenseoverskridende, og i kapittelet om andre lands arbeidsformer gir vi en oversikt over IKT-sikkerhetsarbeid som kan ha overføringsverdi til Norge.

Avslutningsvis i denne delen beskrives folkerettslige rammer for grenseoverskridende informasjonsinnhenting og internasjonalt samarbeid.

Del III gir en oversikt over det digitale sårbarhetsbildet for en rekke samfunnsfunksjoner: elektronisk kommunikasjon, satellittbaserte tjenester, energiforsyning, finansielle tjenester, olje og gass, vannforsyning, transport og helse og omsorg. Utvalget foreslår tiltak for å redusere sårbarhetene som er identifisert.

En særlig problemstilling i utvalgets arbeid er tverrsektorielle forhold. Del IV omtaler sårbarheter og tiltak innenfor områdene kompetanse, styring og kriseledelse, avdekking og håndtering av digitale angrep, og felleskomponenter.

Avslutningsvis i denne delen gir vi en oversikt over noen sentrale tverrsektorielle sårbarhetsreduserende tiltak, i hovedsak basert på summen av sårbarheter som er identifisert i utredningen.

Del V gir en omtale av økonomiske og administrative tiltak. Vedlegg følger i del VI.