Del 4
Tiltak og anbefalinger

14 Innledning

IKT-sikkerhet som en samfunnsutfordring er omtalt i både stortingsmeldinger og proposisjoner de siste årene. En overordnet problemstilling som trekkes opp, er at digitaliseringen gir et komplekst samfunn, der digitale verdikjeder går på tvers av både sektorer og landegrenser. Trusler og sårbarheter kan vanskelig knyttes til enkelte sektorer, og det er mange private aktører som eier og drifter kritisk IKT-infrastruktur. Kompleksiteten gjør det utfordrende å ivareta IKT-sikkerheten i samfunnet.

Samtidig er teknologien i kontinuerlig endring. Man kan si at det er en systematisk forsinkelse mellom teknologiutvikling på den ene siden og organisasjonsutvikling og regelverksutvikling på den andre.

Teknologiutviklingen og digitaliseringen av samfunnet synliggjør nye sårbarheter og gir et endret trusselbilde. Like fullt er våre grunnleggende samfunnsverdier, som befolkningens trygghet, nasjonal sikkerhet og økonomisk vekst og utvikling, de samme.

Utvalget ønsker gjennom anbefalingene som fremmes nedenfor, å bidra til forsvarlig nasjonal IKT-sikkerhet. En overordnet målsetting er at Norge som samfunn må sørge for å videreutvikle vår evne til å forebygge og håndtere uønskede digitale hendelser.

Utvalget legger tre overordnede prinsipper til grunn for sine anbefalinger. Disse omfatter hvordan myndighetens arbeid med IKT-sikkerhet bør være, noe som igjen gir retning og støtte for en hensiktsmessig organisering og regulering på IKT-sikkerhetsområdet.

For det første må arbeidet med IKT-sikkerhet ha en risikobasert tilnærming. Det betyr at både regulering og organisering må innrettes slik at vesentlig risiko på IKT-sikkerhetsområdet prioriteres. Risikobildet på området vil være i endring over tid, og både regulering og organisering må jevnlig evalueres opp mot hvordan de ivaretar de alvorligste risikoene i det rådende risikobildet.

For det andre må arbeidet med IKT-sikkerhet balansere sikkerhet opp mot brukervennlighet, økonomi og grunnleggende menneskerettigheter. Sikkerhet må ikke gis forrang for enhver pris og skal heller ikke i urimelig grad forstyrre brukeropplevelsen og effektiviteten til en digital tjeneste. IKT-sikkerhet må tilpasses behovene, og både organisering og regulering må være proporsjonal med den aktuelle trusselen. Kostnader og ulemper ved risikoreduserende tiltak må sees i sammenheng med effekt og nytte. En slik balanse vil innebære at noe risiko må aksepteres for å oppnå økonomiske og sosiale mål.

For det tredje krever arbeidet med IKT-sikkerhet en fleksibilitet i reguleringen og organiseringen. Kompleksiteten og de tverrsektorielle utfordringene ved IKT-sikkerhet gjør det vanskelig med et for statisk regelverk eller en for fastlåst organisering av etater. Både organisering og regulering må være fleksibel og kunne tilpasses nye trusler, sårbarheter, teknologier og forretningsmodeller.

Utvalget vil i denne delen vurdere og drøfte fem hovedanbefalinger som bidrar til forsvarlig nasjonal IKT-sikkerhet i Norge:

• Ny lov om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning

• Krav om IKT-sikkerhet ved anskaffelser

• Etablere et nasjonalt IKT-sikkerhetssenter

• Tydelig regulering og ansvar for tilkoblede produkter og tjenester

• Tydeligere styring og bedre koordinering av nasjonal IKT-sikkerhet

Utvalget er i mandatet bedt om å se på virkemidlene regulering og organisering. I anbefalingene kommer utvalget også inn på pedagogiske virkemidler ettersom rådgivning og veiledning til virksomheter inngår som et sentralt element i alle anbefalingene.

15 Ny lov om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning

Digitalisering av samfunnet gjør at virksomheter står overfor et stadig mer komplekst IKT-risikobilde. For at et digitalt samfunn som det norske skal fungere, er det nødvendig å minimere risikoen for at utilsiktede og tilsiktede hendelser rammer IKT-systemer. Til tross for potensielt alvorlige konsekvenser for en virksomhets økonomi, sikkerhet og omdømme, har virksomheter ikke alltid tilstrekkelige insentiver til å beskytte seg selv mot digitale trusler. Etter utvalgets vurdering har Norge en mangelfull regulering av IKT-sikkerhet. Dette er drøftet i kapittel 10.

Utvalget foreslår i dette kapittelet en ny lov om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning. Nedenfor diskuterer utvalget virkeområdet for loven og sikkerhets- og varslingskrav. Utvalget diskuterer også hvordan man kan sikre etterlevelse av den nye loven og forholdet til eksisterende lover og forskrifter.

Utvalget mener at det er behov for å styrke IKT-sikkerheten også for virksomheter som ikke vil omfattes av den nye loven, noe som drøftes nærmere i punkt 15.6. Hvorvidt rettslige krav om forsvarlig IKT-sikkerhet er et hensiktsmessig virkemiddel også for disse virksomhetene drøftes et stykke på vei.

Utvalget har følgende anbefalinger:

• Utarbeide ny lov om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning.

  • Den nye loven skal gjennomføre NIS-direktivet i norsk rett.

  • Den nye loven skal gjelde for samfunnskritiske virksomheter, offentlig forvaltning og virksomheter som omfattes av NIS-direktivet.

  • Den nye loven skal stille krav om forsvarlig IKT-sikkerhet. Kravene bør konkretiseres i forskrift og veiledning.

  • Den nye loven skal stille krav om varsling av uønskede digitale hendelser.

  • Det skal føres tilsyn med etterlevelsen av den nye loven.

  • Justis- og beredskapsdepartementet må sørge for koordinert veiledning til loven, herunder vurdere en sertifiseringsordning.

  • Fremtidige regelverk må harmoniseres med kravene i den nye loven.

• Sette ned et lovutvalg som skal utrede en lov som stiller krav om IKT-sikkerhet til alle norske virksomheter.

15.1 Virkeområde

15.1.1 Relevante lover

Mange tverrsektorielle og sektorvise lover og forskrifter regulerer deler av det som inngår i forsvarlig IKT-sikkerhet. Det er særlig den nye sikkerhetsloven og personopplysningsloven som bidrar til å oppfylle behovet for en tverrsektoriell regulering av IKT-sikkerhet. Som drøftet i kapittel 10 er det noen mangler ved begge de to lovene, som gjør at behovet ikke er dekket fullt ut.

Justis- og beredskapsdepartementets utkast til NIS-lov er også relevant i denne sammenheng. Loven skal gjennomføre NIS-direktivet i norsk rett. Lovutkastet retter seg mot virksomheter som leverer tjenester som er viktige for et velfungerende samfunn og næringsliv.1 Loven skal gjelde for to kategorier virksomheter. Den første kategorien er «tilbydere av samfunnsviktige tjenester» innenfor sektorene energi (elektrisitet, olje og gass), transport (luft, jernbane, sjø og vei), helse (helsetjenester), bank, finansmarkedsinfrastruktur, drikkevannsforsyning- og distribusjon og digital infrastruktur. Den andre kategorien er «tilbydere av digitale tjenester», nærmere bestemt nettbaserte markedsplasser, nettbaserte søkemotorer og skytjenester.

I utkastet til NIS-lov er det tre vilkår som må oppfylles for at en virksomhet skal anses som tilbyder av en samfunnsviktig tjeneste: Virksomheten må tilby en tjeneste som er viktig for å opprettholde kritiske samfunnsmessige eller økonomiske aktiviteter, tjenesteleveransen må være avhengig av nettverk og informasjonssystemer, og en hendelse i virksomhetens nettverk og informasjonssystemer må få vesentlig forstyrrende virkning på leveransen av den samfunnsviktige tjenesten. Hvilke konkrete virksomheter som i Norge vil inngå i denne kategorien, er ikke fastsatt på det nåværende tidspunkt.

Justis- og beredskapsdepartementet skriver i utkast til høringsnotat om NIS-lov at det endelige virkeområdet skal fastlegges gjennom en identifiseringsprosess. Departementet har gitt NSM i oppdrag å utarbeide mer konkrete kriterier for hvilke virksomheter som skal omfattes. Der det er mulig, skal det utarbeides terskelverdier innenfor hver enkelt sektor. Berørte sektormyndigheter og andre aktuelle aktører skal involveres i arbeidet. Justis- og beredskapsdepartementet ser for seg at en slik liste tas inn i en forskrift til den foreslåtte loven.2 For tilbydere av digitale tjenester skal det ikke gjennomføres en tilsvarende identifikasjonsprosess.3

15.1.2 Utvalgets vurdering

Det fremgår ikke av NIS-direktivet, Justis- og beredskapsdepartementets utkast til NIS-lov eller sikkerhetsloven hvilke konkrete virksomheter som skal omfattes av regelsettene. I stedet vises det til ulike prosesser for å identifisere og peke ut virksomheter. Ingen av disse prosessene er foreløpig ferdige. På bakgrunn av dette har ikke utvalget et tilstrekkelig grunnlag for å identifisere hvilke konkrete virksomheter som må ha forsvarlig IKT-sikkerhet.

Utvalget drøfter i det videre hvilke typer virksomheter som bør omfattes av en ny lov om IKT-sikkerhet.

15.1.2.1 Samfunnskritiske virksomheter

Noen virksomheter leverer tjenester som har særlig betydning for opprettholdelsen av et velfungerende og trygt samfunn. Dette er tjenester som andre deler av samfunnet er avhengig av. Det er vanlig å bruke begrepet kritisk når avhengigheten er så stor at det kan få alvorlige konsekvenser for samfunnet om tjenesten faller bort. Hvilke virksomheter som er kritiske for samfunnet, beror på en vurdering av kritikaliteten og funksjonaliteten til den tjenesten som virksomheten leverer.

DSB utarbeidet i 2016 på oppdrag fra Justis- og beredskapsdepartementet en rapport med oversikt over samfunnets kritiske funksjoner (se boks 15.1). Regjeringen benytter blant annet oversikten når den fordeler ansvar mellom departementene for tverrsektorielle områder i samfunnssikkerhetsarbeidet.4 Samme oversikt benyttes også i ulike stortingsmeldinger, blant annet i siste stortingsmelding om samfunnssikkerhet.5

Utvalget mener at DSBs oversikt over samfunnets kritiske funksjoner på en god måte beskriver og begrunner hvilke funksjoner som er kritiske for samfunnet. Med dette som utgangspunkt blir det også kritisk for samfunnet at virksomhetene som har ansvaret for, understøtter eller på annen måte er en del av samfunnskritiske funksjoner, klarer å levere sine tjenester. En samlebetegnelse på disse virksomhetene er samfunnskritiske virksomheter.

Utkastet til Justis- og beredskapsdepartementets NIS-lov har langt på vei samme tilnærming til hvilke funksjoner som er særlig viktige for samfunnet. Tabell 15.1 viser hvilke samfunnskritiske funksjoner DSBs rapport fremhever, og hvilke samfunnssektorer som omfattes av utkastet til NIS-lov.

Utvalget har merket seg at EU-kommisjonen, i dokumentet Making the most of NIS, foreslår at medlemsstatene selv skal vurdere å inkludere flere samfunnssektorer ved gjennomføringen av direktivet, herunder offentlig forvaltning.6 Det fremgår også av direktivet at man i nasjonal lovgivning kan ha et bredere virkeområde enn det som følger av direktivet.

Utvalgets gjennomgang av regulering av IKT-sikkerhet i andre land (se vedlegg 3), viser at flere av disse i løpet av de siste årene har utarbeidet regelverk som stiller krav til IKT-sikkerhet i kritiske samfunnsfunksjoner.

Gitt det gjeldende IKT-risikobildet mener utvalget at alle samfunnskritiske virksomheter må ha forsvarlig IKT-sikkerhet. Utvalget mener derfor at det må stilles krav i lov om forsvarlig IKT-sikkerhet til alle samfunnskritiske virksomheter.

15.1.2.2 Offentlig forvaltning

En rekke offentlige virksomheter er samfunnskritiske virksomheter, og de blir gjennom utvalgets anbefaling i punkt 15.1.2.1 underlagt krav om forsvarlig IKT-sikkerhet.

Etter utvalgets syn er det imidlertid flere offentlige virksomheter som har stor samfunnsmessig betydning. Som nevnt i kapittel 10 stilles det per i dag ikke tilfredsstillende krav om sikring av IKT-systemer som understøtter offentlige virksomheters tjenesteleveranser.

Utvalget vil i det følgende vurdere behovet for å stille krav om forsvarlig IKT-sikkerhet til alle offentlige virksomheter. I sin veiledning til NIS-direktivet uttaler EU-kommisjonen at det vil være fornuftig å vurdere å inkludere hele den offentlige forvaltning ved utarbeidelsen av et nasjonalt regelverk som skal gjennomføre direktivet. Kommisjonen viser til at:7

Public administrations are responsible for the proper delivery of public services provided by governmental bodies, regional and local authorities, agencies and associated enterprises. These services often imply the creation and management of personal and corporate data about individuals and organisations, which can be shared and made available to multiple public entities. More broadly, a high level of security of network and information systems used by public administrations is an important interest for the society and economy as a whole.

Utvalget mener det er flere gode grunner for å inkludere offentlig forvaltning i den nye loven om IKT-sikkerhet.

For det første tilbyr forvaltningen viktige tjenester til befolkningen. For å levere disse tjenestene er forvaltningen i stor grad avhengig av at IKT-systemene som understøtter tilbudet til befolkningen virker. Hvis disse ikke er tilstrekkelig sikret vil det medføre en risiko for at befolkningen ikke får tjenestene de trenger. Utvalget mener dette alene er en god grunn for å stille krav om forsvarlig IKT-sikkerhet til offentlig forvaltning.

For det andre har forvaltningen en sentral og viktig rolle i digitaliseringen av samfunnet. Utvalget mener krav om forsvarlig IKT-sikkerhet for hele forvaltningen kan sees i sammenheng med regjeringens politikk slik den kommer til uttrykk i Digital agenda for Norge.8 Alle deler av offentlig sektor må ha tilstrekkelig IKT-sikkerhet for at digitale løsninger skal fungere. Befolkningen må kunne stole på at den digitale forvaltningen er trygg. Etter utvalgets syn, er det å sikre digitale tjenester en nøkkelfaktor for å skape nødvendig tillit. Befolkningens tillit til det offentlige er videre sentralt for å sikre en vellykket digitalisering av samfunnet, som igjen bidrar til økonomisk vekst.9 Utvalget mener derfor at forsvarlig IKT-sikkerhet er en forutsetning for en vellykket digitalisering av offentlig sektor. En felles tilnærming til IKT-sikkerhet er nødvendig for økt digital samhandling i offentlig sektor og med brukere av offentlige tjenester.10

For det tredje mener utvalget at det å underlegge offentlig forvaltning den nye loven vil føre til bedre etterlevelse av kravene om IKT-sikkerhet. Når lov, forskrift og veiledere er koordinerte vil det bli tydeligere hvilke krav som gjelder. Den nye loven vil også ha hjemler for å kunne kontrollere etterlevelsen med kravene om IKT-sikkerhet. Tilsyn og sanksjoner, sammen med veiledning og rådgiving, kan bidra til mindre grad av etterlevelsesillusjon i offentlig forvaltning og bedre faktisk IKT-sikkerhet (se punkt 7.1).

Når det gjelder konsekvensene av å innlemme hele offentlige forvaltning i den nye loven er det flere usikkerhetsfaktorer. Som vist i kapittel 10 stiller gjeldende lover og forskrifter i varierende grad krav om IKT-sikkerhet. Det er imidlertid vanskelig å anslå hvor store endringer et nytt krav om forsvarlig IKT-sikkerhet faktisk vil føre til. Utvalget antar at for store deler av offentlig forvaltning vil det å bli underlagt kravene i den nye loven medføre en opprydding i eksisterende lovgiving, snarere enn et ytterligere krav.

Samlet sett mener utvalget at offentlig forvaltning derfor bør inkluderes i den nye loven om IKT-sikkerhet.

15.2 Sikkerhetskrav

15.2.1 Sikkerhetskrav i utkastet til NIS-lov

Det følger av Justis- og beredskapsdepartementets utkast til NIS-lov at virksomheten plikter å gjennomføre en risikovurdering av de IKT-systemene som benyttes for å levere den samfunnsviktige tjenesten. Dette betyr at virksomheten må foreta en vurdering av hvilke IKT-systemer den er avhengig av for å levere sine tjenester. Dermed kan det være at bare noen IKT-systemer må sikres.

Med utgangspunkt i risikovurderingen skal virksomheten iverksette hensiktsmessige og proporsjonale sikkerhetstiltak for å redusere risikoen. Videre skal det iverksettes tiltak som er egnet til å forebygge, avdekke og redusere konsekvensene av hendelser.11

Kravene i utkastet til NIS-lov er funksjonsbaserte og overordnede. For å forstå nærmere hva som skal til for å være i samsvar med kravene er det behov for nærmere presisering. Det er ingen nærmere beskrivelse av sikkerhetskravene i høringsnotatet, utover at det konstateres at det er samsvar mellom kravene i NIS-direktivet og utkastet til NIS-lov. Departementet uttaler imidlertid at NSMs grunnprinsipper for IKT-sikkerhet gir god veiledning i grunnleggende IKT-sikkerhet, og at veiledningen er et godt utgangspunkt for å ha tilstrekkelig god digital sikkerhet i virksomheten. Departementet peker også på at det er viktig å se IKT-sikkerhet i sammenheng med virksomhetens mer generelle sikkerhetsstyringssystem og virksomhetens overordnede styringssystem.

15.2.2 Utvalgets vurdering

Utvalget mener det er hensiktsmessig å ta utgangspunkt i sikkerhetskravene som følger av Justis- og beredskapsdepartementets utkast til NIS-lov.

Utvalget har vurdert hvilke systemer som skal underlegges sikkerhetskrav. Det har deretter vurdert innholdet og detaljeringsgraden i sikkerhetskravene. Utvalget kommer også med betraktninger om behovet for forskrifter og veiledning.

15.2.2.1 IKT-systemer som skal sikres

I henhold til utkastet til NIS-lov skal det gjennomføres risikovurdering av de nettverkene og informasjonssystemene som benyttes for å levere en samfunnskritisk tjeneste. Med andre ord vil høyst sannsynlig ikke alle IKT-systemer omfattes av utkastet til lov. For eksempel vil IKT-systemer som brukes til trafikkavvikling på en flyplass, måtte sikres. IKT-systemene som brukes til å behandle lønn trenger det ikke.

Det følger av NSMs grunnprinsipper at man skal ha kontroll på egen IKT-infrastruktur, ikke bare «viktige» systemer. Man må kjenne til alle sammenkoblinger og hvilke systemer som har tilgang hvor. Store mengder informasjon er lagret i administrative systemer, databaser og andre tilknyttede IKT-systemer. Dette er informasjon som er viktig for driften av virksomhetene. Den kan være nyttig for uvedkommende, som kan bruke den til å komme seg videre inn til de viktige systemene.

Administrative støttesystemer kan være fysisk koblet sammen med industrikontrollsystemer, men separert logisk. Ulik praksis og kompetanse hos virksomhetene og deres leverandører gjør at virksomhetene i ulik grad er eksponert for digitale trusler.12 Videre vil kompleksiteten i dagens IKT-strukturer kunne medføre at hendelser i mindre kritiske IKT-systemer raskt kan spre seg til mer kritiske systemer. Dersom alle IKT-systemene til virksomheten er underlagt de samme kravene til forsvarlig IKT-sikkerhet, kan det gjøre arbeidet med IKT-sikkerhet mer oversiktlig. Dette taler for at alle virksomhetens IKT-systemer bør sikres forsvarlig.

Utvalget har imidlertid ikke hatt mulighet til å vurdere konsekvensen av å stille et slikt omfattende krav, og det må derfor utredes før det eventuelt inngår i den nye loven om IKT-sikkerhet.

15.2.2.2 Innholdet og detaljeringsgrad i sikkerhetskravene

I Justis- og beredskapsdepartementets utkast til NIS-lov er det krav om at virksomheten skal iverksette hensiktsmessige og proporsjonale tekniske og organisatoriske sikkerhetstiltak for å redusere sin risiko. Tiltakene skal samlet sørge for et sikkerhetsnivå som er tilpasset risikoen. Ved vurderingen av hva som er et passende sikkerhetsnivå, skal det blant annet ses hen til den teknologiske utviklingen. For å opprettholde tjenesteleveransen skal virksomheten iverksette proporsjonale tiltak for å forebygge, avdekke og redusere konsekvensene av hendelser.

For å avklare hva som er innholdet i kravene har utvalget sett på andre lands veiledere til NIS-direktivet. Blant annet har IKT-sikkerhetssenteret i Storbritannia utarbeidet en veiledning til NIS-direktivet. Utvalget har vurdert at den har de samme hovedpunktene som NSMs grunnprinsipper for IKT-sikkerhet:13

1. Identifisere og kartlegge – gjør risikovurdering

2. Beskytte – sikre verdiene dine

3. Opprettholde og oppdage – vær bevisst

4. Håndtere og gjenopprette – lær av utfordringene dine

Utvalget mener at det kan legges til grunn at sikkerhetskravene som følger av utkastet til NIS-lov er en hensiktsmessig regulering av forsvarlig IKT-sikkerhet.

Å stille krav om forsvarlig IKT-sikkerhet i en lov kan virke klargjørende for mange virksomheter. Mange aktører har uttrykt at det er vanskelig å vite hvilke krav de skal forholde seg til, fordi dagens regelverk oppfattes som omfattende og fragmentert, og det er for få presise krav til IKT-sikkerheten. Detaljerte rettslige krav om forsvarlig IKT-sikkerhet, som omfatter de ulike elementene ved IKT-sikkerheten, kan bidra til økt bevissthet og forenkle implementeringen i virksomhetene. Det vil gi et bedre beslutningsgrunnlag for lederne av virksomhetene og være til hjelp for dem som skal sette opp systemene og tjenestene.

Utfordringen med detaljerte krav om forsvarlig IKT-sikkerhet er at det kan bli veldig omfattende, fordi det skal dekke mange ulike forhold. Kravene til forsvarlig IKT-sikkerhet skal i minst mulig grad sette begrensninger for en virksomhets bruk av ny teknologi. En mulig løsning er da, slik det er gjort i utkastet til NIS-lov, at loven kun angir hovedpunktene i sikkerhetskravene.

På den annen side har flere respondenter i utvalgets informasjonsinnhenting spilt inn at et funksjonsbasert regelverk er vanskelig å etterleve. Mange har ikke tilstrekkelig kompetanse til å etterleve et slikt regelverk, som gjennomgående innebærer at kravene er overordnede og vage. For vage krav kan medføre dårligere etterlevelse på grunn av usikkerhet rundt hva som kreves for å oppfylle kravet. Utfordringene ved et funksjonsbasert regelverk er nærmere diskutert i punkt 7.1.

Samtidig er det avgjørende i utformingen av sikkerhetskrav at de blir fleksible nok til å møte et IKT-risikobilde i stadig endring. Kompleksiteten og de tverrsektorielle utfordringene ved IKT-sikkerhet tilsier at det ikke er hensiktsmessig med for statiske sikkerhetskrav. De må være fleksible og kunne tilpasses nye trusler, sårbarheter, teknologier og forretningsmodeller. Sikkerhetskravene må være robuste overfor teknologi- og samfunnsutviklingen.

Utvalget mener derfor at sikkerhetskravene må være overordnede og funksjonsbaserte, slik det fremgår av utkastet til NIS-lov. Sikkerhetskravene i utkastet omfatter tiltakene som inngår i NSMs grunnprinsipper. Etter utvalgets oppfatning stiller dermed utkastet til NIS-lov krav om forsvarlig IKT-sikkerhet. Innholdet i utkastets sikkerhetskrav er dermed tilfredsstillende.

For å avhjelpe utfordringene med funksjonelle og overordnede krav anbefaler utvalget at det utarbeides forskrifter som angir hvilke tekniske og organisatoriske tiltak som kan gjøres for å oppfylle funksjonalitetskravene.

Andre tiltak for å bedre forståelsen av hva som ligger i kravet til forsvarlig IKT-sikkerhet, er veiledning, rådgivning eller en form for sertifisering. Utvalget har vurdert dette nærmere i punkt 15.4 om etterlevelse.

Det er verdt å merke seg at sikkerhet i anskaffelser er en viktig del av virksomhetens arbeid med IKT-sikkerhet. Dette fremgår både av NSMs grunnprinsipper for IKT-sikkerhet og av veiledningen fra cybersikkerhetssenteret i Storbritannia. Sikkerhet ved anskaffelser drøftes nærmere i kapittel 16.

15.3 Krav om varsling av hendelser

Justis- og beredskapsdepartementets utkast til NIS-lov pålegger virksomhetene å varsle om hendelser som har betydelig innvirkning på opprettholdelsen av en gitt tjeneste. I denne vurderingen skal det legges vekt på antall brukere som påvirkes, hendelsens varighet og størrelsen på det geografiske området som berøres av hendelsen. Varselet skal inneholde nok opplysninger til at det kan fastslås om hendelsen har virkninger utover Norges grenser.

Hensikten med varslingen er for det første at virksomheten som varsler skal kunne få bistand til å håndtere hendelsen. For det andre er varsling nødvendig for at sektorvise myndigheter eller responsmiljøer skal kunne ha oversikt over hendelser innenfor sitt ansvarsområde, og om nødvendig varsle videre til andre virksomheter, nasjonale myndigheter og andre land. For det tredje skal varslinger bidra til bedre kunnskap om sikkerhetstilstanden, som er nyttig i myndighetenes mer generelle arbeid med IKT-sikkerhet.

Utvalget mener at dette varslingskravet er hensiktsmessig for alle som omfattes av den nye loven om IKT-sikkerhet. Hvor omfattende varslingsplikten skal være, hvem som skal være mottaker, og hva varselet skal bestå av, er noe utvalget mener bør vurderes nærmere.

15.4 Etterlevelse

For å sikre etterlevelse av den nye loven om IKT-sikkerhet kan virkemidler både i og utenfor loven benyttes. Tilsyn og sanksjoner vurderes først, siden det er bestemmelser om dette i Justis- og beredskapsdepartementets utkast til NIS-lov. Videre vurderes veiledning og sertifisering. Rapporteringskrav drøftes i punkt 15.7.

15.4.1 Tilsyn

Utkastet til NIS-lov legger opp til at det skal utpekes en eller flere tilsynsmyndigheter som skal føre tilsyn med etterlevelsen av loven. Det skal være forskjellige tilsynsregimer for henholdsvis tilbydere av samfunnsviktige tjenester og tilbydere av digitale tjenester. Tilsynsregimet for førstnevnte er av tradisjonell karakter, mens det for tilbydere av digitale tjenester vil føres tilsyn kun etter at det er fremkommet mistanke om brudd på lovens krav.

Utkastet til NIS-lov hjemler at tilsynsmyndigheten etter pålegg får de opplysningene den krever for å utføre oppgavene sine.

Å føre tilsyn med et funksjonsbasert regelverk er krevende for tilsynsmyndighetene. Funksjonskravene må fortolkes for å komme frem til et konkret innhold i rettsreglene, men funksjonskravene gjør også at tilsynsobjektene får større frihet til å finne løsninger som er optimale for virksomheten.14 Når regelverket er funksjonsbasert, er det viktig at tilsynsmyndighetene er påpasselig med rolleforståelsen for når de fører tilsyn og når de gir veiledning, siden regelverket åpner for frihet for tilsynsobjektene i oppgaveløsningen.

Et av funnene i Lysne-utvalgets arbeid var at det stilles ulike krav om IKT-sikkerhet fra de ulike myndighetsaktørene. De trakk frem at enkelte myndigheter synes å stille detaljerte krav, mens andre stiller mer åpne krav.15 Økt teknisk kompleksitet på IKT-området øker utfordringene på tilsynsområdet. Regelverk som ikke henger med i den tekniske utviklingen, gjør at tilsynene mangler retningslinjer å føre tilsyn etter. Økt bruk og avhengighet av IKT er med på å skape kompetanseutfordringer for tilsynene, som tradisjonelt har ført tilsyn som i større grad har vært basert på faglige krav og føringer.16 Uoversiktlige digitale verdikjeder utfordrer hjemmelsgrunnlaget for tilsyn med relevante underleverandører.

Tilsynsmeldingen pekte på at det finnes alternative ordninger til tradisjonelle statlige tilsyn.17 Eksempler på dette er ulike sertifiserings- og akkrediteringsordninger. Tilsynsmeldingen peker videre på at det i takt med samfunnsutviklingen bør vurderes om det er mulig å deregulere enkelte områder som til nå har vært underlagt statlig tilsyn. Det kan i stedet vurderes å legge opp til at etterlevelse av regelverket, eller iverksetting av politiske mål, kan kobles til for eksempel forsikringsordninger eller utstedelse av tilstandssertifikater.

Utvalget mener at hjemmelen for å føre tilsyn etter Justis- og beredskapsdepartementets utkast til NIS-lov er vid nok til å dekke behovet for tilsyn også når virkeområdet utvides. Utvalget mener imidlertid at det er viktig at den nye loven også gir hjemmel for å føre tilsyn med underleverandører og å føre teknisk IKT-tilsyn. Det bør vurderes nærmere om tilsynshjemmelen slik den er utformet i utkastet til NIS-lov, kan benyttes til disse formålene.

15.4.2 Sanksjoner

Utkastet til NIS-lov gir hjemmel for tilsynsmyndighetene til å ilegge pålegg, tvangsmulkt og overtredelsesgebyr. Det er ikke hjemmel for straff, som bot eller fengsel. Bestemmelsene skiller ikke mellom tilbydere av henholdsvis samfunnsviktige og digitale tjenester.

I NIS-direktivet fremgår det at medlemsstatene skal fastsette krav i lov eller forskrift om sanksjoner ved brudd på de forpliktelsene som følger av nasjonal lovgivning. Sanksjonene skal være virkningsfulle, stå i et rimelig forhold til overtredelsen og virke avskrekkende. Det er et betydelig nasjonalt handlingsrom når det gjelder utformingen av sanksjonsbestemmelsene.18

Den nye loven om IKT-sikkerhet vil ha en pedagogisk verdi som i seg selv kan føre til atferdsendring. Videre vil veiledning og tilsyn være viktige komponenter for å få det til. Utvalget mener imidlertid at det også er viktig at den nye loven har tilstrekkelige sanksjoner.

Det er en sentral retningslinje at et mer inngripende virkemiddel ikke bør brukes hvis det samme målet kan nås med mindre inngripende tilgjengelige virkemidler.19 Dette gjelder både ved valget mellom bruk av sanksjoner og andre tiltak, og ved valget mellom straff og administrative sanksjoner.20

Desto mer diffust et rettslig krav er, desto vanskeligere er det å sanksjonere brudd på en streng måte. Derfor mener utvalget at sanksjoner må vurderes på bakgrunn av diskusjonen om detaljeringsgrad i punkt 7.1 og 15.2. For å skape forutsigbarhet for virksomhetene bør det derfor også knyttes sanksjonsmuligheter for overtredelse av kravene i forskrifter som er hjemlet i loven.

Effekten av sanksjoner er etter utvalgets vurdering illustrert ved innføringen av GDPR i norsk rett, som har fått mye oppmerksomhet det siste året. En av grunnene til oppmerksomheten ligger antakelig i muligheten Datatilsynet har fått til å ilegge store gebyrer. Selve sikkerhetskravene i GDPR, som i dag er nedfelt i personopplysningsloven, er ikke stort annerledes enn de kravene som følger av tidligere lovgivning, og virkeområdet er heller ikke nevneverdig forandret.

I Justis- og beredskapsdepartementets utkast til høringsnotat om NIS-lov foreslås det at sanksjonsbestemmelsene i loven ikke angir hvilken størrelse på gebyret som er aktuelt. Det kommer an på hva slags overtredelse det gjelder, om det har skjedd over tid, og om det er tale om gjentakende handlinger. Det må bero på en konkret vurdering i hver enkelt sak hva som er et passende gebyr. Den aktuelle virksomhetens omsetning kan også vektlegges. Det vil dessuten kunne variere over tid hva som er passende beløpsmessige rammer. Blant annet kan dette påvirkes av rettsutviklingen i EU. Justis- og beredskapsdepartementet foreslår derfor at beløpsrammene fastsettes i forskrift.21

Utvalget mener at bestemmelsene i Justis- og beredskapsdepartementets utkast til NIS-lov om pålegg, tvangsmulkt og overtredelsesgebyr dekker behovet for sanksjoner også når virkeområdet utvides. Utvalget mener at Justis- og beredskapsdepartementets forslag om å fastsette beløpsrammene i forskrift er fornuftig, og støtter departementet i den vurderingen som er foretatt.

15.4.3 Veiledning og sertifisering

I det daglige er det ofte andre kilder enn loven som benyttes for å tilegne seg kunnskap om hvilke krav som følger av regelverket.22 En standard, mal eller veileder som indikerer et nivå for hva som er forsvarlig IKT-sikkerhet, er ofte enklere tilgjengelig enn en lovtekst. Forskjellen er at det ikke vil være rettslig bindende å følge en veileder. Den nye loven om IKT-sikkerhet vil ha funksjonsbaserte krav, som gir større frihet for virksomhetene til å fylle kravene med innhold. Gitt kompetansesituasjonen mener utvalget det er nødvendig å utarbeide et hensiktsmessig veiledningsmateriell. Veiledning bør ta utgangspunkt i NSMs grunnprinsipper, men tilpasses virksomheter på ulike nivåer.

Utvalget mener at myndighetene må gi koordinert veiledning om hvordan kravene i loven skal oppfylles. I tillegg mener utvalget at gitt den begrensede tilgangen på IKT-sikkerhetskompetanse bør det legges til rette for at private aktører også kan tilby rådgivning. Det foreslåtte IKT-sikkerhetssenteret kan være en hensiktsmessig arena for å legge til rette for veiledning og rådgiving, se kapittel 17 for nærmere omtale.

Utvalget mener at det også bør vurderes å opprette en form for sertifiseringsordning for IKT-sikkerhet for å verifisere samsvar med lovens krav. Et eksempel på en sertifiseringsordning er Direktoratet for byggekvalitets «sentral godkjenning», som er en generell godkjenning av et foretaks kvalifikasjoner vurdert opp mot kravene i byggesaksforskriften (SAK10) kapittel 9–11.23 En annen sertifiseringsordning er å gi godkjenning på bakgrunn av kurs i regelverket. Normen i helsesektoren legger opp til kurs- og opplæringsaktivitet. Direktoratet for e-helse tilbyr to typer kurs: Fagkurs i informasjonssikkerhet og personvern for kommuner og kurs i informasjonssikkerhet basert på Normen for medisinsk-teknisk personell.

Utvalget anbefaler at en sertifiseringsordning bør vurderes nærmere.

15.5 Myndigheter

Utvalget skal i henhold til mandatet vurdere en hensiktsmessig fordeling av de oppgaver som følger av NIS-direktivet. I følge direktivet skal medlemsstatene utpeke eller etablere et nasjonalt kontaktpunkt, en eller flere kompetente myndigheter og et eller flere hendelseshåndteringsmiljøer. For en nærmere beskrivelse av disse organene og deres oppgaver vises det til vedlegg 2, punkt 1.2. Slik som direktivets krav er utformet, står medlemslandene fritt til å organisere seg slik de vil, så lenge de tre funksjonene er på plass. Gitt gjeldende myndighetsstruktur innenfor IKT-sikkerhet i Norge, er det ikke nødvendig å gjøre strukturelle endringer for å oppfylle direktivets krav.

Utvalget mener at det er flere grunner for at fordelingen av oppgaver som følger av NIS-direktivet i størst mulig grad bør bygge på etablerte myndighetsstrukturer. For det første har utvalgets informasjonsinnhenting ikke avdekket noe åpenbart behov for å gjøre større endringer i ansvar, roller eller oppgaver til de etatene som utvalget har sett nærmere på. For det andre legger den nye sikkerhetsloven viktige rammer for organiseringen. For det tredje er NSM nasjonal fagmyndighet for IKT-sikkerhet, de er sikkerhetsmyndighet i henhold til sikkerhetsloven, og de har ansvaret for NSM NorCERT.

Slik som situasjonen er i dag mener utvalget at det er mest naturlig at NSM får rollen som nasjonalt kontaktpunkt. NSM bør fortsatt ha ansvar for et nasjonalt hendelseshåndteringsmiljø, og sørge for at dette oppfyller direktivets krav om dette. Videre bør de enkelte sektormyndigheter få ansvar som kompetente myndigheter innenfor egen sektor. Direktivet forutsetter at den enkelte kompetente myndighet har tilstrekkelige ressurser og kompetanse til å ivareta et slikt ansvar.

Utvalget mener at de samme argumentene må legges til grunn ved vurderingen av hva som er en passende myndighetsstruktur for forvaltning og oppfølging av den foreslåtte loven om IKT-sikkerhet i samfunnskritiske virksomheter og offentlig forvaltning. Avhengig av organisering av og myndighetsforankring for et fremtidig nasjonalt IKT-sikkerhetssenter, kan det bli nødvendig å flytte ansvaret for enkelte oppgaver som per i dag naturlig hører inn under NSMs portefølje.

15.6 Forholdet til eksisterende lover og forskrifter

Den nye loven om IKT-sikkerhet skal bidra til å avhjelpe de påpekte manglene ved gjeldende lover og forskrifter. I dette punktet vurderes om det også bør gjøres endringer i dagens regelverk, slik at det gjennomgående stilles mer hensiktsmessige krav om IKT-sikkerhet.

En gjennomgang av gjeldende lover og forskrifter kan bidra til at dagens regelverk blir mer oversiktlig, hvilket igjen kan føre til økt IKT-sikkerhet. Utvalget antar imidlertid at et slikt arbeid er omfattende og ressurskrevende, da det er snakk om et relativt stort antall lover og forskrifter. De påpekte manglene er dessuten ikke ensartet.

Utvalget ser ikke at nytten av et slikt arbeid kan forsvare ressursbruken. Med et felles sikkerhetskrav i den nye loven om IKT-sikkerhet innføres det en minimumsstandard for samfunnskritiske virksomheter og offentlig forvaltning. Etter utvalgets syn bør man heller prioritere å bruke ressurser på å sørge for at lovkravene blir etterlevd.

Utvalget mener derimot at det vil være fornuftig at fremtidige regelverk harmoniseres med kravene i den nye loven om IKT-sikkerhet. Det kan blant annet oppnås ved at det stilles krav om slik harmonisering i utredningsinstruksen eller i Justis- og beredskapsdepartementets veileder om lovteknikk og lovforberedelse.24

15.7 Lovutvalg for å vurdere en IKT-sikkerhetslov for alle virksomheter

Gjeldende lover og forskrifter møter utfordringene som beskrives i IKT-risikobildet et stykke på vei.25 Den nye loven om IKT-sikkerhet skal bidra til å styrke den nasjonale IKT-sikkerheten ytterligere.

Selv etter innføringen av en slik lov vil det fortsatt være en rekke virksomheter som ikke er underlagt krav om forsvarlig IKT-sikkerhet. Eksempler på slike virksomheter er bedrifter innenfor oppdrett og havbruk, teknologibedrifter innenfor IT og materialteknikk og virksomheter som driver med foredling og bearbeiding av råvarer, samt leverandører til disse bransjene.

Det kan også være flere andre private rettssubjekter, særlig små og mellomstore virksomheter, som ikke vil være omfattet av krav om forsvarlig IKT-sikkerhet. Privatpersoner er i utgangspunktet ikke underlagt krav om IKT-sikkerhet, med mindre de oppnår skattepliktig inntekt gjennom behandlingen av personopplysninger.

Samtlige IKT-systemer, uavhengig av hvem som eier dem, kan bli utsatt for eller kan benyttes som ledd i uønskede digitale hendelser. I et gjennomdigitalisert samfunn som vårt vil det fortsatt være en betydelig restrisiko selv om samfunnskritiske virksomheter og offentlig forvaltning må etterleve krav om forsvarlig IKT-sikkerhet. Deres avhengighet av lange og komplekse digitale verdikjeder er eksempel på én risiko som lovforslaget og gjeldende rett ikke vil bøte på i tilstrekkelig grad. Selv om en samfunnskritisk virksomhet gjør alt riktig overfor underleverandørene sine, er det fare for at virksomheten ikke kan påvirke risikobildet lenger ute i en lang og kompleks verdikjede. Et digitalt angrep langt ute i verdikjeden kan imidlertid få konsekvenser for den samfunnskritiske virksomheten. Ifølge en undersøkelse utført av Ponemon Institute skjedde så mye som 56 prosent av alle datainnbrudd i 2017 gjennom tredjepartsangrep.26

Ikke bare er det vanskelig for en virksomhet å styre risikoen i en slik verdikjede, det er også utfordrende å kartlegge verdikjeden. Når det skal vurderes hvordan disse utfordringene kan møtes, er det vanskelig å avgrense hvem som må ha bedre IKT-sikkerhet.

Etter utvalgets oppfatning kan disse utfordringene derfor kun møtes ved at alle IKT-systemer er forsvarlig sikret. Det vil imidlertid kreve et omfattende utrednings- og lovarbeid for å finne svar på hvorvidt det er mulig og ønskelig å utarbeide en allmenn, tverrsektoriell IKT-sikkerhetslov som vil gjelde for alle, og hvilke minimumskrav om IKT-sikkerhet den i så fall skal stille.

Det må for det første kartlegges hvor stor restrisikoen for samfunnet faktisk er når omfanget av en ny sikkerhetslov, personopplysningsloven og den nye loven om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning er avklart. Det må også ses hen til virkningene av ulike tiltak myndighetene har iverksatt som følge av blant annet IKT-sikkerhetsmeldingen og nasjonal strategi for digital sikkerhet.

Det knytter seg også noen sikkerhetsutfordringer til privatpersoners bruk av IKT. EUs Cybersecurity Act vil et stykke på vei møte utfordringene med tilkoblede produkter. I tillegg mener utvalget prinsipielt at ansvaret for IKT-sikkerhet i tilkoblede produkter og tjenester i større grad bør flyttes fra forbrukeren til produsentene og leverandørene (se kapittel 18).

For det andre må det tas stilling til hvilke minimumskrav om IKT-sikkerhet som vil ha den nødvendige effekten og hvordan kravene skal utformes. Det er på det rene at det overfor mindre virksomheter, for eksempel enkeltpersonforetak, kun kan stilles begrensede og konkrete krav, som det ikke er for krevende å etterleve.

For det tredje må det vurderes om det totalt sett vil være samfunnsøkonomisk lønnsomt å stille slike krav. Det må legges til grunn at krav om IKT-sikkerhet i lov vil ha en kostnadsside for både virksomheter og offentlige myndigheter. Krav om IKT-sikkerhet til alle virksomheter i Norge kan imidlertid være et konkurransefortrinn. Sammen med god tilgang til elektrisitet og vann, høy tillit i befolkningen og høyt utdannende innbyggere, kan god IKT-sikkerhet i hele næringslivet bidra til å gjøre det attraktivt å investere i Norge, og å samarbeide med norske virksomheter.

Utvalget mener det særlig bør vurderes å stille krav om forsvarlig IKT-sikkerhet til virksomheter med stor betydning for norsk økonomi. Traavik-utvalget mente landets økonomiske trygghet og velferd var en grunnleggende forutsetning for Norges evne til å ivareta egen sikkerhet. Utvalget argumenterte med at et anslag som rammer virksomheter som har en helt sentral rolle for ivaretakelsen av landets økonomiske trygghet og velferd, ikke bare vil ha stor symbolverdi. Det vil i ytterste konsekvens kunne ha en vesentlig negativ innvirkning på nasjonens evne til å opprettholde økonomisk trygghet og velferd.27 Utvalget mener at dette er relevante momenter også ved vurderingen av behovet for å stille krav om forsvarlig IKT-sikkerhet.

Utvalget anbefaler at det settes ned et lovutvalg som skal utrede behovet for og eventuelt utarbeide forslag til en lov som stiller krav om forsvarlig IKT-sikkerhet til alle norske virksomheter.

15.8 Rapporteringskrav

Rapporteringskrav til private og offentlige virksomheter ble omtalt i NOU 2015: 13.28 Lysne-utvalget anbefalte at ivaretakelse av IKT-sikkerhet bør inngå i private og offentlige virksomheters årsmelding. Dette for at arbeidet med IKT-sikkerhet skulle bli prioritert høyere hos den øverste ledelsen i virksomhetene. I stortingsmelding om IKT-sikkerhet fremgår det at høringsinstansene var delte i synet på dette tiltaket.29

Kritikere har påpekt at rapportering av såkalte ikke-finansielle temaer gjennomgående følges for dårlig opp. Det er en fare for at kravene kun medfører ekstra papirarbeid for bedriftene. Det er også en risiko for misbruk i markedsføringsøyemed.30 Solberg-regjeringen fremmet i 2017 forslag om å oppheve plikten til å utarbeide årsberetning for små virksomheter. I den forbindelse uttalte Finansdepartementet at krav til omtale av et forhold synes å ha liten effekt på hvordan forholdet faktisk følges opp i foretakene.31 Departementet viste til Regnskapslovutvalget, som mente at utarbeidelse av årsberetning for små foretak i stor grad var en pliktøvelse, og at kostnaden ved utarbeidelsen var større enn informasjonsnytten.32

Difi har i en rapport om arbeidet med informasjonssikkerhet i statsforvaltningen konkludert med at arbeidet med styring og kontroll av informasjonssikkerhet i virksomhetene må styrkes.33 Difi mener bedre rapportering vil gjøre det lettere å sammenligne status på tvers av virksomheter og sektorer og å se endringer over tid.34 Difi anbefaler at departementene stiller krav om at virksomhetene rapporterer om sikkerhetstilstanden i egen virksomhet, og at statusen på arbeidet med styring og kontroll av informasjonssikkerhet tas inn i årsrapporten.

Utvalget mener det er usikkert om rapporteringskrav er en effektiv måte å få ledelsen til å vie oppmerksomhet til IKT-sikkerhet. Utvalget mener at dette må utredes nærmere av lovutvalget som skal vurdere en IKT-sikkerhetslov for alle virksomheter.

16 Krav om IKT-sikkerhet ved anskaffelser

Utvalget mener at anskaffelser av IKT-tjenester i mange tilfeller gir bedre trygghet og mer stabile og tilgjengelige tjenester. Med andre ord kan anskaffelser av IKT-tjenester være et fornuftig IKT-sikkerhetstiltak.

Anskaffelser av slike tjenester er imidlertid ikke risikofritt. Som påpekt i kapittel 12 er det ikke bare anskaffelser av IKT-tjenester som kan medføre økt digital risiko for en virksomhet. Anskaffelser av andre tjenester som i utgangspunktet ikke har noe med IKT å gjøre, kan innebære at leverandøren allikevel får tilgang til virksomhetens IKT-systemer. Med slik tilgang følger risiko for bevisst eller ubevisst kompromittering av konfidensialitet, integritet og tilgjengelighet. Et digitalt angrep mot tjenesteleverandøren kan ramme oppdragsgiverens virksomhet.

Det er utvalgets oppfatning at den største utfordringen med anskaffelser er manglende bevissthet om risikoen. For å kunne iverksette hensiktsmessige sikkerhetstiltak, er det avgjørende at virksomhetene vurderer risikoen ved alle anskaffelser. Krav om slike risikovurderinger og å iverksette hensiktsmessige sikkerhetstiltak er en del av kravet om forsvarlig IKT-sikkerhet, som behandles i punkt 15.2. Det vil følge av ny lov om IKT-sikkerhet at alle virksomheter som omfattes av loven skal gjennomføre risikovurderinger ved anskaffelser.

Vurderingen av hvilken risiko som knytter seg til den enkelte anskaffelsen legger viktige føringer for gjennomføring av anskaffelsen og hvilke krav som må stilles til leverandøren. Nedenfor redegjør utvalget for krav om IKT-sikkerhet i anskaffelsesregelverket og SSAer, samt behov for veiledning om anskaffelser og IKT-sikkerhet.

Utvalget har følgende anbefalinger:

• Det må stilles krav om IKT-sikkerhet ved alle offentlige anskaffelser. Anskaffelsesregelverket bør endres slik at oppdragsgiveren får en slik plikt.

• IKT-sikkerhet må ivaretas bedre i Statens standardavtaler

• Veiledning om IKT-sikkerhet ved anskaffelser må videreutvikles

16.1 Krav om IKT-sikkerhet i anskaffelsesregelverket og Statens standardavtaler

Utvalget påpeker i IKT-risikobildet (kapittel 3) og i kapitlet om anskaffelser og digitale sårbarheter (kapittel 12) at det kan knytte seg digital risiko til alle anskaffelser. Utvalget mener derfor at det må stilles krav om IKT-sikkerhet ved alle anskaffelser.

Utvalget har vurdert om det er behov for å endre regelverket om offentlige anskaffelser for å ivareta krav om sikkerhet. Anskaffelsesregelverket forutsetter at offentlige virksomheter stiller krav som leverandørene må oppfylle, og at det brukes tildelingskriterier for å skille ut hvilket tilbud som er best. Dette regelverket gjelder for alle typer anskaffelser og inneholder ikke spesifikke krav om for eksempel IKT-anskaffelser.

Utvalget legger til grunn at det innenfor rammene av anskaffelsesregelverket er fullt mulig å stille krav om IKT-sikkerhet ved anskaffelse av IKT-produkter og -tjenester. For utvalget er det ikke like tydelig om det er anledning til å stille krav om IKT-sikkerhet ved anskaffelse av andre produkter og tjenester som ikke like intuitivt kan innebære en digital risiko.

Utvalget mener at det må stilles krav om IKT-sikkerhet ved alle offentlige anskaffelser. Anskaffelsesregelverket bør endres slik at oppdragsgiveren får en slik plikt.

SSAene brukes av en rekke virksomheter, også ut over offentlig sektor. De har en del generelle krav om sikkerhet og personvern. I tillegg til de generelle avtaletekstene skal det fylles ut bilag med kravspesifikasjoner fra kunden og løsningsbeskrivelser fra leverandøren. Det må gjøres konkrete vurderinger av krav om sikkerhet ved hver anskaffelse, og de relevante kravene må beskrives i kravspesifikasjonene og bilagene til avtalen.

Utvalget mener det er behov for en helhetlig tilnærming til IKT-sikkerhet i standardavtalene. For eksempel bør det stilles krav om at leverandører som får tilgang til oppdragsgivers IKT-systemer, har forsvarlig IKT-sikkerhet i egen virksomhet. Det er klausuler om informasjonssikkerhet i flere av standardkontraktene. De ser imidlertid ikke ut til å dekke behovet for IKT-sikkerhet ved anskaffelser fullt ut.

Utvalget anbefaler at det vurderes om SSAene bør endres slik at IKT-sikkerhet blir tydeligere ivaretatt.

16.2 Bedre veiledning om anskaffelsesregelverket og Statens standardavtaler

Det er stort behov for kompetanse og veiledning om krav om IKT-sikkerhet ved anskaffelser. Dette omfatter blant annet hva virksomhetene må vurdere når det gjelder sikkerhet ved anskaffelser, og hvordan dette bør gjenspeiles i kravene som stilles i konkurransedokumentene og kontraktene. Difi har noe veiledning om dette på sine hjemmesider og på portalen anskaffelser.no. Det er viktig at veiledningen videreutvikles.

I tillegg bør også veiledningen til standardavtalene videreutvikles ved at det for eksempel gis bistand til å fylle ut bilag. Dette bør vurderes samkjørt med annen veiledning om IKT-sikkerhet. En mulighet er at et IKT-sikkerhetssenter (se kapittel 17) kan sørge for å koordinere slik veiledning.

17 Etablere et nasjonalt IKT-sikkerhetssenter

Flere land har de siste årene etablert egne IKT-sikkerhetssentre. Formålet har blant annet vært å skape en tydelig koordineringsmekanisme for å håndtere alvorlige uønskede digitale hendelser, og å etablere et nasjonalt kontaktpunkt for IKT-sikkerhet og en arena for offentlig–privat samarbeid. Utvalget er kjent med at det planlegges et tilsvarende nasjonalt senter også i Norge.

Utvalget mener at et IKT-sikkerhetssenter kan bidra til å styrke den nasjonale IKT-sikkerheten. Det kan legge til rette for bedre oppgaveløsning og sørge for et mer effektivt samarbeid mellom etater med tverrsektorielt ansvar for nasjonal IKT-sikkerhet og mellom disse og sektormyndighetene. Et senter kan også bidra til et mer hensiktsmessig samarbeid mellom offentlige myndigheter, private infrastruktureiere og næringslivet for øvrig.

Det er imidlertid nødvendig å gjennomføre en grundig behovs- og kostnadsanalyse før et nasjonalt IKT-sikkerhetssenter etableres.

Utvalget har følgende anbefalinger:

• Det må etableres et nasjonalt IKT-sikkerhetssenter for å styrke koordinering og samordning mellom sektorer og mellom offentlige og private aktører.

• Justis- og beredskapsdepartementet må, i samarbeid med Forsvarsdepartementet, sørge for at det gjennomføres en uavhengig behovs- og kostnadsanalyse før et nasjonalt IKT-sikkerhetssenter etableres.

  • Behovs- og kostnadsanalysen må baseres på en bred involvering av potensielle interessenter i privat og offentlig sektor.

  • Behovs- og kostnadsanalysen må avklare IKT-sikkerhetssenterets myndighetsforankring og kobling til NSM.

• Følgende oppgaver bør vurderes lagt til IKT-sikkerhetssenteret:

  • Koordinere myndighetenes råd og veiledning.

  • Være nasjonalt responsmiljø (NSM NorCERT).

  • Være sentralt kontaktpunkt for råd- og veiledning og ved uønskede digitale hendelser.

  • Tilgjengeliggjøre oppdatert informasjon om trusler og sårbarheter.

  • Motta rapportering og offentliggjøre informasjon om digitale sårbarheter i IKT-systemer («Coordinated Vulnerability Disclosure»).

  • Være pådriver for offentlig-privat samarbeid.

  • Stimulere til mer forskning, utvikling og innovasjon.

17.1 Oppgaver og innretning

Utvalget mener at flere av de utfordringene som drøftes i del III av utredningen, kan møtes ved å etablere et nasjonalt IKT-sikkerhetssenter. Særlig gjelder det utformingen av enhetlig rådgivning og veiledning fra myndighetene og bedre informasjonsdeling og koordinering ved uønskede digitale hendelser. Utvalget mener det er behov for å samle kompetanse, skape synergier på tvers av sektorer og miljøer og gjøre samarbeidslinjene kortere og mer effektive. Det er også behov for å styrke offentlig-privat samarbeid og å bedre innovasjonsevnen innenfor IKT-sikkerhet. Etablering av et nasjonalt IKT-sikkerhetssenter kan bidra til å oppnå dette. Utvalget har i vurderingen av et nasjonalt IKT-sikkerhetssenter blant annet hentet inspirasjon fra Danmark, Nederland og Storbritannia (se boks 17.1).

17.1.1 Oppgaver som kan inngå i et IKT-sikkerhetssenter

Gjennom utvalgets informasjonsinnhenting kommer det frem at flere virksomheter er usikre på hvem de skal kontakte når de trenger rådgivning, enten det gjelder å håndtere en hendelse eller andre typer henvendelser. Utvalget mener at et IKT-sikkerhetssenter bør fungere som nasjonalt kontaktpunkt for alle typer IKT-sikkerhetshenvendelser (se figur 17.1). Senteret skal kunne svare på henvendelser selv, eller sørge for at brukerne får kontakt med rett virksomhet som kan bistå. Virksomhetene må enkelt kunne skaffe seg oversikt over de samlede råd og veiledninger som myndighetene gir. Et godt eksempel er det svenske nettstedet informationssakerhet.se, som er et samarbeid mellom svenske myndigheters viktigste rådgivnings- og veiledningsaktører. Her finner man lenker til relevant lovgivning og sentrale veiledningsdokumenter om teknisk sikkerhet og om metoder for å systematisere arbeidet med IKT-sikkerhet. Et tilsvarende nettsted er nylig opprettet i Danmark – sikkerdigital.dk.

Også i Storbritannia er myndighetenes råd og veiledning samlet på ett sted. IKT-sikkerhetssenteret utarbeider mye rådgivnings- og veiledningsmateriell selv. På områder som andre har ansvaret for, lenkes brukeren videre til rett myndighet som kan bidra med riktig informasjon. Senteret fungerer således som selvstendig rådgivnings- og veiledningsaktør og som et knutepunkt som leder brukerne til rett informasjon. Utvalget mener det er behov for en tilsvarende løsning også i Norge, og det er naturlig at senteret har ansvaret for dette.

Det er også nødvendig at myndighetenes råd- og veiledningsmateriell er tilpasset teknologiutviklingen og aktuelle temaer. For eksempel er det uklart hvilken etat som har ansvaret for å gi råd og veiledning når det gjelder IKT-sikkerhet i tilkoblede produkter og tjenester. For brukerne kan det være vanskelig å vite hvor de skal henvende seg. Her vil senteret kunne være en sentral veiledningsaktør.

Senteret må legge vekt på forebygging, men samtidig ha evne til å avdekke og håndtere alvorlige uønskede hendelser. I andre land som utvalget har sett nærmere på, er den nasjonale responsfunksjonen lagt til IKT-sikkerhetssentre. Slik utvalget ser det, er det en sterk kobling mellom en nasjonal responsfunksjons ansvar og oppgaver og de øvrige forebyggende oppgavene senteret bør ha.

Utvalget mener derfor at den nasjonale responsfunksjonen, NSM NorCERT, må legges til et IKT-sikkerhetssenter. I tillegg mener utvalget at senteret ved behov må ha kapasitet til midlertidig å huse representanter eller liaisoner fra de sektorvise responsmiljøene. Det er visse utfordringer knyttet til disse responsmiljøenes ulikheter, som deres heterogene struktur, ansvar og oppgaveportefølje. Det å knytte miljøene tettere sammen med IKT-sikkerhetssenteret, for eksempel gjennom liaisonordninger, kan bidra til å løse disse utfordringene. Utvalget vil imidlertid understreke at de sektorvise responsmiljøene først og fremst må prioritere nærhet til egen sektor, sin egen ledelse og egne IKT-systemer, fremfor å være fysisk samlokalisert permanent i senteret. Ved behov (for eksempel ved en hendelse) bør senteret ha kapasitet til å huse også andre relevante aktører, som eiere av kritisk infrastruktur og sentrale myndigheter. Fleksibilitet bør være et kjennetegn ved senteret.

Videre mener utvalget at et IKT-sikkerhetssenter må holde seg oppdatert på gjeldende trusler og sårbarheter. Denne informasjonen må på et tilpasset nivå gjøres tilgjengelig for alle, med unntak av sikkerhetsgradert informasjon. Senteret i Storbritannia utarbeider for eksempel ukentlige trusselrapporter som publiseres på senterets nettsider. Utvalget mener dette er et tiltak som fører til åpenhet om aktuelle trusler, og det gir virksomhetene mulighet til å sikre seg innen rimelig tid. Trusselrapportene fra senteret i Storbritannia er et eksempel til etterfølgelse, og tilsvarende bør være en oppgave for et IKT-sikkerhetssenter i Norge også.

I Nederland har man utarbeidet retningslinjer for hvordan man skal ta imot varsler om og offentliggjøre digitale sårbarheter ved ulike produkter, tjenester og IKT-systemer. Tanken bak dette er at informasjon om en sårbarhet nettopp er den informasjonen som trengs for å redusere den samme sårbarheten. Fordelen med en slik offentliggjøring er at den gjør det mulig for alle å vite om sårbarheten, og tredjeparter kan for eksempel bestemme at kun oppdaterte produkter fra den aktuelle leverandøren får tilgang til nett og nettsider. Ulempen er at det gir mulighet for å utnytte sårbarheter før eventuelle oppdateringer gjøres.

Utvalget anbefaler at det igangsettes et arbeid i Norge for å finne ut hvordan informasjon om digitale sårbarheter i IKT-systemer mer systematisk skal offentliggjøres, og hva man bør gjøre for å håndtere dem. Det må utarbeides retningslinjer, og det må tilbys råd og veiledning på dette området. Utvalget mener det er mye å lære av andre land som har kommet lenger, blant annet Nederland. Et IKT-sikkerhetssenter kan etter mønster fra Nederland gis ansvar for å motta og koordinere oppfølgingen av informasjon om digitale sårbarheter.

Utvalget mener at konkrete tiltak for å styrke offentlig–privat samarbeid må legges inn i et IKT-sikkerhetssenter. Erfaringer fra andre land, særlig Nederland og Storbritannia, viser at det er mange tiltak som kan gjøres på dette området. Storbritannia fremhever spesielt et program de har kalt «100-secondees». Det innebærer at det til enhver tid skal være 100 hospitanter fra offentlige og private virksomheter i IKT-sikkerhetssenteret, herunder akademia. De jobber i senteret to til tre dager i uken i en periode på inntil et år. Ordningen innebærer en kompetanseheving for hospitantene og dermed for virksomhetene de representerer, samtidig som senteret får verdifull sektorkompetanse. Utvalget mener at hospitantordningen i Storbritannia er et eksempel til etterfølgelse, og at en tilsvarende ordning tilpasset norske forhold bør etableres i tilknytning til IKT-sikkerhetssenteret.

IKT-sikkerhetssenteret må unngå å komme i konkurranseforhold til kommersielle aktører. Ved etablering av nye tiltak for offentlig–privat samarbeid må senteret sørge for at tiltakene ikke kan oppfattes som konkurransevridende ut fra hvem som deltar og i hvilket omfang.

IKT-sikkerhetskompetanse er en knapp ressurs i Norge. Utvalget mener at det å bringe sammen kompetanse fra ulike miljøer kan ha positive synergieffekter. Særlig med tanke på å utnytte samfunnets IKT-sikkerhetskompetanse på en hensiktsmessig måte. Til en viss grad forventer utvalget at samarbeidet innenfor rammene av et IKT-sikkerhetssenter i seg selv bidrar til et kompetanseløft for aktørene.

Samtidig må IKT-sikkerhetssenteret være initiativtaker og pådriver for kompetansehevende tiltak i samarbeid med offentlige og private virksomheter, utdanningssektoren og akademia for øvrig. I Storbritannia samarbeider senteret med utdanningsmyndighetene om et program som kalles CyberFirst. Programmet retter seg mot barn helt ned i 11-årsalderen og videre oppover hele utdanningsløpet. Overfor de yngste er formålet å skape interesse og dermed et rekrutteringsgrunnlag for høyere utdanning innenfor IKT-sikkerhet. I arbeidet mot universiteter og høyskoler bistår senteret med kvalitetssikring av utdanningsprogrammer og sertifiserer både bachelor- og masterutdanninger. Videre støtter senteret ph.d.-kandidater og opprettelsen av Centres of Excellence innenfor IKT-sikkerhetsforskning. I samarbeid med næringslivet arbeider senteret blant annet med å bistå oppstartsbedrifter og andre med å videreutvikle IKT-sikkerhetsinnovasjoner gjennom programmet Cyber Accelerator. Liknende kompetanse- og innovasjonsfremmende oppgaver mener utvalget bør tillegges et IKT-sikkerhetssenter i Norge.

17.1.2 Organisering og myndighetsforankring

En av suksessfaktorene ved IKT-sikkerhetssentrene i Storbritannia og Nederland er at de har etablert sentrene som møteplasser for ulike aktører. Utvalget tror at å samle flere aktører under samme tak kan bidra til bedre koordinering, mer samarbeid, mer informasjonsdeling og mer innovasjon. Ved at flere virksomheter har en slik møteplass kan noen av utfordringene med overlappende ansvar og roller mellom etatene realiseres uten krevende organisasjonsendringer.

I tillegg mener utvalget at det er helt avgjørende at et IKT-sikkerhetssenter legger tillit og åpenhet til grunn for samhandlingen med andre. Trussel- og risikovurderinger, samt råd om tiltak, må ut til dem som skal forebygge eller håndtere uønskede digitale hendelser. Det krever betydelig samhandling med både offentlige og private aktører, og nettopp åpenhet og tillit fremheves av sentrene i Nederland og Storbritannia som viktige faktorer for å oppnå dette.

Utvalget mener at et nasjonalt IKT-sikkerhetssenter må ha en tydelig forankring i sivile myndigheter. Arbeidet med IKT-sikkerhet i kritiske samfunnsfunksjoner og kritisk infrastruktur foregår i all hovedsak på sivil side, både i offentlig og privat regi. Råd og veiledning fra et IKT-sikkerhetssenter vil først og fremst være til nytte for det sivile samfunn. Samtidig har forsvarssektoren en sentral rolle knyttet til statssikkerhet, og sivil og militær IKT-infrastruktur blir i økende grad integrert.

I rapporten fra Oslo Economics er vurderingen at tilgang på etterretningsinformasjon har stor samfunnsøkonomisk betydning. Denne informasjonen er også viktig for det sivile samfunnet. Forsvarssektorens informasjon om og vurderinger av trusler vil i mange tilfeller ha betydning for privat næringsliv og andre deler av offentlig forvaltning. Det vil også være informasjon om og vurderinger av trusler i det sivile samfunn som vil være nyttig og relevant for forsvarssektoren. Det er derfor nødvendig at IKT-sikkerhetssenteret også har en kobling til forsvarssektoren.

I løpet av 2018 har Kripos begynt arbeidet med å opprette nasjonalt cyberkrimsenter. I løpet av tre til fire år skal det ha rundt 200 ansatte. Ifølge Politidirektoratet skal nasjonalt cyberkrimsenteret ha kapasiteter som kan benyttes mot både kriminalitet som retter seg mot IKT-systemer og teknologi, og kriminalitet der teknologi er et vesentlig element eller verktøy i gjennomføringen av den kriminelle handlingen. I tillegg skal senteret ha avanserte kapasiteter innenfor datatekniske undersøkelser for spor- og bevissikring, uavhengig av kriminalitetsform. Etableringen av nasjonalt cyberkrimsenteret skal sette politiet i stand til å bli den koordinerende og sentrale ressursen på datakrimområdet.

Det er nødvendig at et IKT-sikkerhetssenter har et tydelig grensesnitt mot nasjonalt cyberkrimsenter. Tilsvarende cyberkrimsentre finnes i Sverige, Storbritannia, Danmark og i en rekke andre land. Utvalget har ikke kjennskap til land hvor cyberkrimsenteret og IKT-sikkerhetssenteret er en og samme enhet, men det er tett samarbeid mellom dem. Slik utvalget oppfatter det, er nasjonalt cyberkrimsenters formål etterforsking og påtale av straffbare handlinger, mens et IKT-sikkerhetssenter vil ha som formål å legge forholdene til rette for forsvarlig nasjonal IKT-sikkerhet. Det er allikevel ikke opplagt hvor grensene går mellom to slike sentre, blant annet når det gjelder arbeidet med å avdekke og håndtere digitale angrep. Det er derfor nødvendig at de detaljerte ansvarsforholdene mellom de to sentrene avklares, og at de har et godt samarbeid.

17.2 Behovs- og kostnadsanalyse

Utvalget er kjent med at NSM arbeider med å etablere et IKT-sikkerhetssenter i Norge.35 I et konseptnotat fra NSM, datert 24. august 2018, betegner de et slikt senter som et «Nasjonalt cybersikkerhetssenter». Det fremgår av notatet at senteret vil være et nasjonalt kontaktpunkt og et nav for IKT-sikkerhet i Norge. Det vektlegges at samarbeid mellom sentrale aktører, også private, skal ligge til grunn for aktivitetene. NSM NorCERT skal inngå som en del av senteret. I konseptnotatet beskrives det at aktivitetene innledningsvis vil vektlegge tre hovedleveranser:

• Utvikling og tilgjengeliggjøring av tiltak og anbefalinger, herunder rådgivning

• Forbedret nasjonal responsevne, med deteksjon og hendelseshåndtering

• Videreutvikling av nasjonale tekniske sikkerhetstjenester, herunder skanningstjenester og Sikret offentlig nett36

I følge konseptnotatet skal det samles bred nasjonal kompetanse i senteret, der ulike offentlige og private aktører samarbeider ut fra et felles risikobilde og felles situasjonsforståelse i samme lokale (fysisk samlokalisering eller tilstedeværelse) og over nettet (virtuelt). Det er planlagt at sektorvise responsmiljøer, andre myndigheter, næringsliv og akademia etter nærmere kriterier vil bli invitert inn, helt eller delvis, i senterets lokaler sammen med ekspertise fra NSM. De enkelte virksomhetene deltar på eget rettsgrunnlag.

Det vil også bli utviklet verktøy for informasjonsdeling med aktører som ikke er fysisk samlokalisert. Nasjonalt cyberkrimsenter i Kripos og Felles cyberkoordineringssenter vil ikke være en integrert del av senteret, men man vil i det videre arbeidet se på hvordan et tettest mulig samarbeid mellom senteret og disse skal etableres.37

Utvalget mener det kan stilles spørsmål om NSMs cybersikkerhetssenter vil favne bredt nok med tanke på de oppgavene som bør ivaretas, og de eksterne deltakerne som bør være med i et slikt senter. Konseptnotatet gir en for generell beskrivelse av senteret. Utvalget er ikke kjent med at det foreligger dokumentasjon og planer for hvordan senteret skal organiseres, hvilke kostnader som er forbundet med en slik etablering, hvordan offentlig–privat samarbeid skal styrkes gjennom senteret eller hvordan ulike fagmiljøer skal inkluderes. Langt på vei forstår utvalget det slik at cybersikkerhetssenterets oppgaver samsvarer med de oppgavene NSM allerede har i dag.

Utvalget mener det må ligge et godt beslutningsgrunnlag til grunn før det etableres et nasjonalt IKT-sikkerhetssenter. Det må gjøres en grundig behovsanalyse, herunder vurderinger av kostnader knyttet til etablering og drift av et slikt senter. Utvalget mener det er viktig at interessenter, for eksempel andre tverrsektorielle etater eller relevante aktører fra privat næringsliv, får anledning til å mene noe om behovet og oppgavene til et slikt senter. Et senter basert på samarbeid krever avklaringer om hvilke aktører som kan inngå i senteret, hva de skal bidra med, og hva de skal få ut av samarbeidet. For alle aktører innebærer deltakelse i senteret en viss ressursinnsats, særlig i form av personell. Behovsanalysen må gi avklaringer om aktørenes villighet og mulighet til å knytte seg til senteret.

Videre er det utvalgets oppfatning at sentrale oppgaver i et IKT-sikkerhetssenter, for eksempel samordning av råd og veiledning, koordinering og informasjonsdeling, først og fremst dekker sivile behov. Samtidig er forsvarssektoren opptatt av at digitale angrep kan utgjøre en trussel mot statssikkerheten dersom kritiske samfunnsfunksjoner settes ut av spill. Dessuten er forsvarssektoren i økende grad avhengig av sivil IKT-infrastruktur og -tjenester. Gjennom en behovsanalyse er det viktig å avklare hvilke behov i sivil sektor og i forsvarssektoren senteret skal bidra til å løse.

Som nevnt i kapittel 8 og 9 kan det være enkelte utfordringer med modellen for styring av NSM. Et IKT-sikkerhetssenter som er organisert som en del av NSM, vil bringe med seg disse styringsutfordringene. Utvalget mener det er viktig at myndighetsforankringen til IKT-sikkerhetssenteret drøftes og avklares i behovsanalysen.

Justis- og beredskapsdepartementet må derfor, i samarbeid med Forsvarsdepartementet, sørge for at det gjennomføres en uavhengig behovs- og kostnadsanalyse før et nasjonalt IKT-sikkerhetssenter etableres. Analysen må ha bred involvering fra potensielle interessenter i både privat og offentlig sektor og den må også avklare senterets myndighetsforankring og kobling til NSM. Som del av analysen bør også det rettslige rammeverket knyttet til informasjonsdeling vurderes. Dette for å fjerne unødvendige hindringer for informasjonsdeling, både mellom sektorvise responsmiljøer og overfor offentligheten. Det er også viktig at grensesnittet mellom et nasjonalt IKT-sikkerhetssenter og Nasjonalt cyberkrimsenter avklares.

18 Tydelig regulering og ansvar for tilkoblede produkter og tjenester

IKT-sikkerheten i tilkoblede produkter og tjenester vil være en sentral problemstilling i årene fremover, etter hvert som stadig nye produkter og tjenester kobles til internett. Utvalget er opptatt av at produkter og tjenester som selges i Norge, skal ha akseptabel IKT-sikkerhet. Manglende IKT-sikkerhet i slike produkter og tjenester kan utgjøre en trussel for den enkelte forbrukeren, for virksomheter og for samfunnssikkerheten.

Utvalget har følgende anbefalinger:

• Ansvaret for IKT-sikkerhet i tilkoblede produkter og tjenester bør i større grad flyttes fra forbrukeren til produsentene og leverandørene. For å oppnå dette, bør det blant annet stilles krav om innebygd sikkerhet («Security by design») i tilkoblede produkter og tjenester.

• Norge må fortsette sitt internasjonale samarbeid på dette området, særlig opp mot regelverksprosesser i EU.

• Myndighetene må gi bedre råd og veiledning til importører, forhandlere og norske produsenter av tilkoblede produkter og tjenester. Utarbeidelse av råd og veiledning må gjøres i samarbeid mellom myndighetene og bransjeaktørene.

• DSB bør få en tydelig rolle når det gjelder varsling, rapportering, tilbakekalling og håndtering i forbindelse med manglende IKT-sikkerhet i tilkoblede produkter og tjenester.

Når det gjelder IKT-sikkerhet i tilkoblede produkter og tjenester, mener utvalget at ansvaret for IKT-sikkerhet i større grad bør flyttes fra forbrukerne til produsentene og leverandørene. Det kan ofte være vanskelig for forbrukere å forstå hva som kreves av dem for å holde et produkt sikkert. Det kan for eksempel være stor usikkerhet på grunn av manglende informasjon fra produsenten eller uklare forventinger til hva brukeren må gjøre for å holde produktet oppdatert. Det kan også være usikkerhet knyttet til hvilke data som blir samlet inn gjennom produktet, og hva som skjer med disse. Denne usikkerheten er ikke bare begrenset til forbrukere. Bedrifter som designer eller utvikler tilkoblede produkter eller løsninger, har ofte vanskeligheter med å få, eller forstå, informasjon om sikkerheten ved de komponentene de skal bruke.

For å flytte mer av dette ansvaret over på produsentene og leverandørene må Norge fortsette sitt internasjonale samarbeid, særlig opp mot EU. Fordi mange tilkoblede produkter og tjenester krysser landegrenser, er det viktig å ha et harmonisert regelverk internasjonalt. På denne bakgrunn mener utvalget at det er bedre å bidra til et oppdatert regelverk på EU-nivå enn at Norge unilateralt endrer regelverket på feltet. Datatilsynet og Forbrukertilsynet bør fortsette å gå foran i europeisk sammenheng ved å samarbeide, dele informasjon og delta i relevante internasjonale sammenhenger gjennom for eksempel Digital Clearinghouse. De kan også arbeide for at det på grunnlag av EUs Cybersecurity Act utarbeides sertifiseringsordninger som ivaretar forbrukere og forbrukerrettigheter (se vedlegg 2, punkt 2.2).38

I denne sammenhengen er det også interessant at britiske myndigheter i 2018 tydelig har gitt uttrykk for at de forventer at markedet og produsentene selv sørger for tilstrekkelig IKT-sikkerhet i tilkoblede produkter og tjenester. De har blant annet utarbeidet et forslag til retningslinjer for sikkerhet i produkter og tjenester, som angir praktiske og prinsipielle krav til produsentene.39 Myndighetene truer imidlertid med å gjøre om anbefalingene til lovkrav hvis ikke produsentene innen kort tid følger anbefalingene.40

Utvalget mener at importører, forhandlere og norske produsenter av tilkoblede produkter må få bedre veiledning fra myndighetene. Slik veiledning bør utarbeides i samarbeid med bransjeaktører. Målsettingen med bedre veiledning bør være å forebygge at produkter uten tilfredsstillende IKT-sikkerhet lanseres på det norske markedet, og å håndtere varsling om sårbarheter i slike produkter på en god måte. Det bør gis mer veiledning om dagens regelverk, og om hvordan utviklere kan ha innebygd sikkerhet i sine produkter og tjenester. Innebygd sikkerhet («Security by design») vil si at produsenter må tenke på sikkerhet allerede i utviklingen og gjennom hele livsløpet til produktet. De må regelmessig vurdere sikkerhetsrisikoer og implementere tiltak for å imøtekomme disse.41 Spesielt gjelder det produkter som biler, medisinsk utstyr og velferdsteknologi, hvor konsekvensene av manglende sikkerhet kan være særlig store. Andre høyrisikoprodukter kan være produkter rettet mot barn, smarte-hjem-produkter og ulike sikkerhetsprodukter.

Utvalget registrerer at forskjellig regelverk og forskjellige tilsynsmyndigheter kan være relevante for ett og samme tilkoblede produkt. Dette øker risikoen for at ingen tar tak i saken hvis produkter har mangelfull IKT-sikkerhet, eller at saken blir en kasteball mellom ulike myndigheter. Både Datatilsynet og Nkom undersøkte for eksempel høsten 2017 GPS-klokker for barn. Mens Datatilsynet fant alvorlige brudd på personopplysningsloven ved tre produkter som Forbrukerrådet varslet inn, fant Nkom mangler i etterlevelsen av radioutstyrsdirektivet (knyttet til blant annet CE-merking og dokumentasjon på stråling) i alle produktene som ble undersøkt. Dette viser at det må være tett samarbeid mellom tilsynsmyndigheter som Datatilsynet, Forbrukertilsynet, DSB og Nkom.

Et slikt samarbeid bør ikke bare begrenses til tilsyn. Økt samarbeid mellom relevante etater kan bidra til å avdekke digitale sårbarheter i produkter og forebygge alvorlige uønskede hendelser hvor tilkoblede produkter benyttes i nettverksangrep. Det foreslåtte IKT-sikkerhetssenteret kan være en hensiktsmessig arena for et samarbeid mellom sentrale aktører.

Konkrete målsettinger for et tettere samarbeid bør være at produkter som ikke har tilstrekkelig IKT-sikkerhet, effektivt oppdages, at det kan varsles om svakheter, og at produkter som ikke utbedres, kan tilbakekalles. Det bør også være mulig for forbrukerne å heve kjøp når produkter og tjenester ikke har tilstrekkelig IKT-sikkerhet.

Utvalget mener at myndighetsansvaret for IKT-sikkerheten i tilkoblede produkter og tjenester, må tydeliggjøres. Det er viktig at DSB som produktsikkerhetsmyndighet holder seg oppdatert på utviklingen, og utvalget mener DSB bør få en tydelig rolle når det gjelder varsling, rapportering, tilbakekalling og håndtering i forbindelse med manglende IKT-sikkerhet i tilkoblede produkter og tjenester.

19 Tydeligere styring og bedre koordinering av nasjonal IKT-sikkerhet

Som det fremgår av utfordringsbildet i del III, er det særlige utfordringer knyttet til hvordan IKT-sikkerhet griper inn i alle sektorer og virksomheter i samfunnet. Denne kompleksiteten utfordrer styringen og samordningen av nasjonal IKT-sikkerhet.

Det foreligger ingen enkel oppskrift på hvordan myndighetene skal organisere seg best mulig for å møte disse utfordringene. Utvalgets undersøkelser viser også at andre land har ulike måter å organisere sitt arbeid med IKT-sikkerhet.

Utvalgets informasjonsinnhenting har ikke avdekket noe åpenbart behov for å gjøre større endringer i ansvar, roller eller oppgaver til etatene. Det er imidlertid viktig at ansvarsforholdene er tydelig definert der det er tilgrensende områder, og at det er et godt og koordinert samarbeid på tvers av sektorer og etater (se punkt 7.2).

Justis- og beredskapsdepartementet har et overordnet ansvar for flere av disse utfordringene. Utvalget ser ikke behov for å endre eller utvide departementets ansvar innenfor nasjonal IKT-sikkerhet. Dette er godt definert i ulike kongelige resolusjoner og instrukser.42 Utvalget mener imidlertid at departementet må utvise et tydeligere lederskap for det samordningsansvaret de allerede har for IKT-sikkerhet i sivil sektor.

Det er grunn til å utvise en viss grad av nøkternhet når det gjelder mulighetene Justis- og beredskapsdepartementet har til å håndtere sektorovergripende oppgaver og utfordringer på nye og bedre måter innenfor regjeringsapparatet. Med vårt konstitusjonelle system med ministeransvar som en grunnleggende forutsetning, vil det alltid være utfordrende å være et samordningsdepartement på et sektorovergripende område som nasjonal IKT-sikkerhet.

Utvalget har følgende anbefalinger:

• Justis- og beredskapsdepartementet må utøve et tydeligere lederskap for nasjonal IKT-sikkerhet.

  • Etablering av et nasjonalt IKT-sikkerhetssenter og den nye loven om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning vil styrke departementets evne til å utøve et tydeligere lederskap for nasjonal IKT-sikkerhet.

  • Justis- og beredskapsdepartementet og Forsvarsdepartementet må gjennomgå modellen for styring av NSM for å sikre at IKT-sikkerhet i sivil sektor blir bedre ivaretatt, samtidig som koblingen mellom sivil sektor og forsvarssektoren beholdes.

• Justis- og beredskapsdepartementet må tilrettelegge for at tilsyn på IKT-sikkerhetsområdet koordineres bedre, og at tilsyn med teknisk IKT-sikkerhet gis økt oppmerksomhet.

19.1 Justis- og beredskapsdepartementet må være tydeligere i sitt lederskap på IKT-sikkerhetsområdet

På flere områder har Justis- og beredskapsdepartementet tatt et tydeligere lederskap de siste årene. I 2017 ble for eksempel den første stortingsmeldingen om IKT-sikkerhet lagt frem for Stortinget.43 Meldingen peker på satsingsområder og gir en strategisk retning i arbeidet med nasjonal IKT-sikkerhet fremover. Et annet eksempel er departementets arbeid med en ny nasjonal strategi for digital sikkerhet som er forventet i begynnelsen av 2019. I dette arbeidet har Justis- og beredskapsdepartementet tatt initiativ til et samarbeid med næringslivet, akademia og andre virksomheter, og gjennom dette vært pådriver for å få til et tettere samarbeid mellom private og offentlige aktører.

Utvalget mener at å etablere et nasjonalt IKT-sikkerhetssenter (se kapittel 17) og å utarbeide og forvalte en ny lov om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning (se kapittel 15) vil styrke departementets evne til utøve et tydeligere lederskap for nasjonal IKT-sikkerhet.

Justis- og beredskapsdepartementet må også i større grad være en synlig aktør som tar initiativ, løser opp i uklarheter, definerer mål, koordinerer og samordner arbeidet på dette området. Samordning kan dreie seg om organisering og styring av oppgaver og prosesser, men det kan også handle om å avveie og prioritere ulike verdier og formål som kan være motstridende eller stå i ressursmessig konkurranseforhold til hverandre. Det betyr at Justis- og beredskapsdepartementet må bidra til mer aktiv samordning med andre departementer som har ansvar for tilgrensende områder innenfor IKT-sikkerhet.

Særlig viktig er det at Justis- og beredskapsdepartementet og Forsvarsdepartementet har et godt og velfungerende samarbeid når det gjelder å avklare prioriteringene og målsettingene til NSM. De skal understøtte Justis- og beredskapsdepartementet og Forsvarsdepartementet i deres ansvar på IKT-sikkerhetsområdet i sivil sektor og i forsvarssektoren.44 Selv om det er tette koblinger mellom sivil sektor og forsvarssektoren innenfor IKT-sikkerhet, er dette en krevende styringsmodell. Det gjelder ikke bare den administrative styringen av etaten, men også hvilke prioriteringer, veivalg og målsettinger som skal gjelde for det strategiske arbeidet med nasjonal IKT-sikkerhet.

Utvalget anbefaler at Justis- og beredskapsdepartementet og Forsvarsdepartementet gjennomgår modellen for styring av NSM for å sikre at IKT-sikkerhet i sivil sektor blir bedre ivaretatt, samtidig som koblingen mellom sivil sektor og forsvarssektoren beholdes.

I den forbindelse bør det også vurderes hvordan NSM i større grad kan bidra til politikkutforming på området. NSM har selv pekt på at både Forsvarsdepartementet og Justis- og beredskapsdepartementet har behov for substansielle bidrag til støtte for sin politikkutforming innenfor samfunnssikkerhet og beredskap. Behovet er større enn det NSM er i stand til å etterkomme.45 Et NSM som i større grad sørger for substansielle bidrag innenfor IKT-sikkerhet vil styrke Justis og beredskapsdepartementets evne til å utøve tydeligere lederskap på området.

Det må være godt kjent at Justis- og beredskapsdepartementet sørger for å ivareta helhet, sammenheng og forvaltningspolitisk styring av IKT-sikkerhetsområdet. Departementet må bidra til mer langsiktig og strategisk tekning på tvers av sektorer. Nasjonal IKT-sikkerhet er et politikkområde på linje med andre store tverrsektorielle samfunnsutfordringer som miljø, arbeidslivkriminalitet og ruspolitikk. Det er mulig å løfte dette området og gjøre det mer synlig som politikkområde, både i samfunnsdebatten og i regjeringen.

Statsrådene spiller hovedrollene for å oppnå helhet, sammenheng og samordning i statens virksomhet, i deres egenskap av å være sjef i eget departement og i rollen som medlem i regjeringskollegiet. Det kan i større grad legges sterkere politiske føringer og krav til samarbeid og koordinering på tvers av departementene. Statssekretærutvalg, enten permanente eller situasjonsoppnevnte, kan med fordel benyttes i større grad for styrke arbeidet med nasjonal IKT-sikkerhet. Ved det unngår man også at mindre saker må behandles i samlet regjering. Det er derfor viktig å finne gode koordineringsmekanismer som kan settes i verk på tidligere stadier i beslutningsprosessen.

Det kan også gjøres mer for å styrke samordningen og samarbeidet på tvers av sektorer uten at departementsnivået blir belastet. I tildelingsbrev og i styringsdialogen kan det for eksempel gis større mulighet for, og oppmuntres til, å finne løsninger i direkte kontakt mellom underliggende etater og organer. Dette kan for eksempel gjøres ved at etatsjefer får et bredere handlingsrom og at de gis i oppdrag aktivt å samarbeide med andre etater når det er behov for det. I mange tilfeller vil etatene med tverrsektorielt ansvar for IKT-sikkerhet selv ta ansvar for å koordinere seg. I tilfeller hvor det ikke skjer, bør Justis- og beredskapsdepartementet i større grad tilrettelegge for og bidra til et hensiktsmessig samarbeid mellom etatene.

Justis- og beredskapsdepartementet må legge bedre til rette for å koordinere råd og veiledning. Utvalgets informasjonsinnhenting viste at råd og veiledning oppleves som fragmentert og lite koordinert (se punkt 9.2). Utvalget anbefaler at departementet tar initiativ til å etablere en samordningsarena for etater som driver med råd og veiledning innenfor IKT-sikkerhet. Formålet med arenaen bør være at brukerne opplever myndighetene som mer koordinerte og enhetlige. Justis- og beredskapsdepartementet bør se hen til og eventuelt ta utgangspunkt i allerede etablerte arenaer, for eksempel NSMs nylig etablerte arena med Difi og Datatilsynet (se punkt 5.4). Det vil være naturlig at arenaen blir en del av oppgavene til et IKT-sikkerhetssenter, som nevnt i kapittel 17. Utvalget mener imidlertid at etablering av samordningsarenaen ikke bør avvente etablering av senteret.

19.2 Tilsyn må koordineres bedre

Selv om utvalget har fått mange positive tilbakemeldinger på gjennomførte IKT-sikkerhetstilsyn, kommer det også frem at det kan være manglende koordinering og samordning av tilsyn. Det er også uklarheter knyttet til begrepsbruk og metodikk. Utvalget mener Justis- og beredskapsdepartementet må tilrettelegge for at tilsyn på IKT-sikkerhetsområdet koordineres bedre.

Utvalget vil trekke frem måten dette er løst på for HMS-regelverket. Sju ulike departementer, og flere etater, har under ledelse av Arbeidstilsynet gått sammen om en felles tilnærming til tilsyn.46 Formålet med samarbeidet mellom tilsynsmyndighetene er at arbeidslivet blir behandlet på en enhetlig måte, og at virksomhetene møter et samordnet tilsyn fra myndighetenes side. Samarbeidet skal bidra til at myndighetene fremstår med en felles statlig tilsynsprofil, og at tilsynsressursene blir utnyttet effektivt. Tilsynsmyndighetene skal ha et felles rammeverk for hvordan tilsyn skal gjennomføres og samordnes, slik at de blir enhetlige og koordinert.

Utvalget mener at noe lignende kan gjennomføres for tilsyn innenfor IKT-sikkerhet. På denne måten kan IKT-sikkerhetstilsyn foregå på en mest mulig enhetlig og koordinert måte. På samme måte som Arbeidstilsynet har koordineringsrollen ved HMS-tilsyn, kan NSM ha koordineringsrollen ved IKT-sikkerhetstilsyn. Utvalget mener et samordnet tilsyn innen IKT-sikkerhet bør legge vekt på brukernes behov, både når det gjelder veiledning og koordinering.

Koordineringen av tilsyn kan også bedres gjennom etableringen av en felles tilsynskalender og arenaen for IKT-tilsyn som NSM har etablert.47 Den vil i første omgang bli videreutviklet til å omfatte de sektortilsynene som blir utpekt etter den nye sikkerhetsloven. Utvalget ser det som viktig at man i koordineringsarbeidet ikke avgrenser seg til de tilsynene som vil bli utpekt som sektortilsyn etter sikkerhetsloven, men anlegger en bredere tilnærming.

Det bør unngås at flere tilsynsorgan fører tilsyn som skal ivareta samme formål. I den grad det skjer, må det være tilstrekkelig koordinering av de aktuelle tilsynene.48 I den nye sikkerhetsloven er det lagt opp til at sektortilsynene skal kunne føre tilsyn med IKT-sikkerheten i egen sektor. Da vil koordineringen med andre tilsyn være særlig viktig. NSMs rolle blir å sikre en helhetlig, samordnet og tverrsektoriell tilnærming. De vil føre tilsyn med de utpekte sektortilsynene, men også med virksomheter i sektorer med utpekte sektortilsyn der det er «tvingende nødvendig».49 NSM har i den forbindelse allerede fått et sterkt samordningsmandat for tilsyn, og dette mener utvalget det bør bygges på i den utvidede samordning av IKT-sikkerhetstilsynene.

En felles tilsynskalender er et verktøy for tilsynsmyndighetene som bidrar til å koordinere varslede og planlagte tilsyn i tid. Det skal sikre at brukerne ikke opplever at tilsynene belaster det samme tilsynsobjektet i unødvendig grad. En tilsynskalender kan være offentlig, som fylkesmannens felles tilsynskalender, eller den kan være skjermet for andre enn tilsynsførerne. For at en tilsynskalender skal fungere, er det viktig at de ulike tilsynsførerne gir en oversikt over alle planlagte tilsyn de skal utføre det neste året, og at dette skjer på samme tidspunkt i alle virksomhetene som omfattes av kalenderen. Deretter er det viktig at den som koordinerer tilsynskalenderen, finner hensiktsmessige tiltak hvis det blir avdekket at to etater vil åpne tilsyn med samme objekt nært i tid.

Utvalget mener at tilsyn med teknisk IKT-sikkerhet må gis økt oppmerksomhet. Dette er nødvendig for å kunne kontrollere at aktuelle sikringstiltak faktisk er implementert, og at de fungerer etter hensikten. Den nye loven om IKT-sikkerhet vil være et verktøy for å gi økt oppmerksomhet. Det er imidlertid få tilsynsmyndigheter som har nødvendig kompetanse til å føre slikt tilsyn. De ulike tilsynsorganene bør derfor styrke egen kompetanse på dette området. Utvalget peker i den forbindelse på den ovenfor nevnte arenaen som er etablert i regi av NSM, og på arbeidet de gjør for å etablere en sentral kapasitet med IKT-sikkerhetskompetanse som kan benyttes som ressurs for tilsynsmyndighetene. Dette arbeidet skal være sluttført i 2018. Utvalget er også kjent med at NSM har etablert et utviklingsprosjekt for automatisering av tilsyn med tekniske IKT-sikkerhetstiltak med sluttleveranse i løpet av 2019. Slik utvalget ser det, vil disse tiltakene kunne avhjelpe kompetanseutfordringen.