Nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet. Så åpent som mulig, så sikkert som nødvendig

Telenor Norge eier og forvalter samfunnskritisk infrastruktur, og sørger for trygge og stabile leveranser av digitale tjenester på mobil, fastnett og bredbånd. Dette inkluderer å levere tale, data og sms som grunnleggende nasjonale funksjoner (GNFer), som er kritiske for at det norske samfunnet fungerer. En stor andel av all datatrafikk i Norge går gjennom våre tjenester og infrastruktur. Det gir oss et betydelig samfunnsansvar og innebærer at vi må levere stabile og trygge tjenester i fred, konflikt, krise og krig. Vi erkjenner samtidig at vi er et mål for avanserte trusselaktører, og har gjennom mange år bygget opp et av landets fremste ekspertmiljøer knyttet til digital sikkerhet. Vår virksomhet er underlagt sikkerhetsloven.  

Samarbeid om infrastruktur mv.

Den nye sikkerhetspolitiske situasjonen gir behov for økt grad av samarbeid på tvers av landegrensene. Det er positivt at «Regjeringen vil kartlegge strategisk viktig infrastruktur for å identifisere hvilke allierte og nære partnere vi er mest avhengig av for å sikre nasjonal kontroll, og etablere et tett, forpliktende og forutsigbart samarbeid med disse».

Vi har lange tradisjoner for å samarbeide tett i Norden. Med Sverige og Finland i NATO ligger alt til rette for ytterligere nordisk samarbeid også i det digitale domenet. Et slikt samarbeid er viktig mtp. soliditeten til nasjonale data og infrastruktur i krise og krig, jf. erfaringene fra Ukraina og internasjonalt samarbeid for å kunne holde digitale tjenester og infrastruktur oppe.

Vi har merket oss initiativet om mer forpliktende samarbeid og integrasjon mellom de nordiske landene på forsvarsfeltet, og ser det som naturlig at dette sees i sammenheng med tilsvarende prosesser på sivil side. Det er etter vår oppfatning nå svært viktig å formalisere muligheten for å dele tekniske løsninger og infrastruktur på tvers i Norden – innenfor rammen av forsvarlig sikkerhet – for økt motstandsdyktighet og robusthet.

Med tanke på lagring og prosessering av data anser Telenor det som fornuftig at meldingen slår fast at «Regjeringen ønsker at de funksjonene som samfunnet er mest avhengig av skal leveres fra datasentre i Norge eller hos nære allierte og partnere», og vi mener at det bør legges opp til at virksomheter med kritisk infrastruktur eller som leverer samfunnskritiske tjenester benytter datasentre basert i Norge eller i et nordisk land.

I denne forbindelse vil vi ellers bemerke at det per i dag ikke finnes kommersielle datasentre eller offentlige skyplattformer tilrettelagt for virksomheter underlagt sikkerhetsloven. Et stadig økende antall virksomheter vil få et behov for skyplattformer og datasenter til systemer som er utpekt eller som har skjermingsverdig gradert informasjon. Det er derfor viktig at myndighetene i ulike relevante prosesser – herunder konseptvalg for nasjonal sky eller regulering av datasentre – bidrar til at dette kan realiseres.

• Innenfor rammen av forsvarlig sikkerhet mener Telenor at autonomi må forstås i en nordisk kontekst, der Norge vil oppnå større grad av robusthet, redundans og digital motstandskraft gjennom samarbeid med våre nordiske naboland.

Kompetanse og sikkerhetsklarering

Telenor opplever en økende utfordring med tilgang på kompetanse på teknologi- og sikkerhetsfeltet. Det er et stort underskudd på slik spesialkompetanse i Norge i dag, og den varslede kartleggingen av denne utfordringen, jf. meldingens kap. 3.4.2, må ikke fortrenge nødvendige tiltak på kort sikt.  Ikke minst opplever Telenor utfordringer i tilgangen på personell med riktig sikkerhetsklarering, og vi mener et nordisk samarbeid rundt dette ville være fornuftig. Ut over nasjonale tiltak som økt utdanningskapasitet innen relevante fagretninger, mener Telenor det er behov for å styrke sikkerhetssamarbeidet om klarering av nordiske statsborgere for enklere å kunne benytte knappe personellressurser på tvers av grensene mellom våre nordiske naboland.

Telekom er en internasjonal bransje med multinasjonale leverandører, og fra leverandørsiden vil man generelt prioritere markeder av en viss størrelse. Nordisk samarbeid – og en mest mulig harmonisert sikkerhetslovgivning og -klarering – vil bidra til nødvendig skala og dermed i større grad kunne stimulere de multinasjonale teknologileverandørene til å etablere kompetansemiljøer i Norden. Ut over å bidra til regionens digitale motstandskraft vil dette også kunne styrke nordisk konkurranseevne.   

• Telenor mener at det snarest bør igangsettes et arbeid for å etablere et felles nordisk regime for sikkerhetsklarering og autorisasjon av personell.

Digital hendelseshåndtering

Som en sentral aktør i totalberedskapen, og kritisk viktig i forbindelse med samordning av arbeidet med digital sikkerhet, har Telenor merket seg Riksrevisjonens undersøkelse av myndighetenes samordning av arbeidet med digital sikkerhet i sivil sektor, jf. Dokument 3:7 (2022–2023). Vi noterer oss blant annet at Riksrevisjonen bekrefter at «[s]vak samordning av roller, ansvar og krav gjør arbeidet med digital sikkerhet krevende for virksomhetene», at det ikke er «lagt godt nok til rette for tverssektoriell hendelseshåndtering», og at det er «det er behov for mer øving av tverrsektoriell håndtering av hendelser på nasjonalt nivå». Telenor deler disse vurderingene.

Telenor merker seg meldingens formulering om at den «nasjonale innsatsen bør kraftsamles» i forbindelse med omtale av nasjonal hendelseshåndtering, jf. kap. 3.6.1. Etter Telenors oppfatning er det behov for et styrket tverrsektorielt samarbeid som samler alle domener, og hvor både offentlige og private aktører er med. Etter vår oppfatning kommer sektorprinsippet – og tilhørende fragmentert koordinering – til kort i denne forbindelse.

Telenor Norge har siden 2017 arrangert «Øvelse Bukkesprang», Norges største tverrsektorielle øvelse i digital hendelseshåndtering. Årlig samles deltakere fra sentrale aktører i offentlig sivil, militær og privat sektor på Fornebu og øver i «live» infrastruktur med tekniske spor etter simulerte trusselaktører av høyst reell karakter. I løpet av en ukelang øvelse oppnår vi erfaring, kunnskapsutveksling og nettverksbygging på tvers av sektorer, med et overordnet mål om å styrke det digitale totalforsvaret av Norge. Øvelsen er unik i norsk sammenheng, og et viktig bidrag til den digitale totalberedskapen.

• Telenor mener at en videreutvikling av det nasjonale rammeverket for håndtering av digitale hendelser, slik meldingen foreskriver, både må bidra til en tydeligere ledelse, et styrket tverrsektorielt nasjonalt samarbeid, samt mer systematisk og omfattende øving på håndtering av kriser i praksis.

Lov om digital sikkerhet

Telenor merker seg at regjeringen vurderer å fremme et forslag til lov om digital sikkerhet, og at et sentralt mål med dette er å ansvarliggjøre virksomheter og sikre gjennomføring av nasjonale råd og anbefalinger, samt å legge til rette for innføring av EUs NIS-direktiv.

Telenor imøteser en slik lov, og viser til at jo flere tilbydere av samfunnsviktige tjenester innen sentrale områder som er forpliktet til å gjennomføre sikkerhetstiltak og varsle om alvorlige digitale hendelser, jo mer motstandskraftig blir vårt åpne og digitale samfunn. I tillegg kan dette være med på å bidra til en bedre koordinert multi-domene respons, jf. omtale over.

• Telenor anbefaler at norske myndigheter tilstreber størst mulig grad av parallellitet med de øvrige nordiske landene i arbeidet med EUs NIS-direktiv og en lov om digital sikkerhet.

Denne stortingsmeldingen er et godt eksempel på samordning av digitaliseringspolitikk. Digitalisering og teknologiutvikling gjennomsyrer og endrer hele samfunnet, både sosialt, politisk og økonomisk. Denne endringsprosessen foregår i alle områder, i alle nivåer, og derfor finnes det stort behov for å samordne digitaliseringspolitikken, under overordnede demokratiske prinsipper, for å ivareta landets interesser og befolkningens rettigheter. Attac har i flere anledninger, på Stortinget og på møter med regjeringen, etterlyst dette behovet. Utviklingen av digitaliseringspolitikk fremstå fragmentert og lite koordinert. Derfor håper vi at regjeringen tar liknende grep og samordner digitaliseringspolitikken i andre samfunnsområder.

Nasjonal kontroll

Dagens tilstand i det digitale markedet og den digitale økonomien skaper et reelt sikkerhetsproblem. Monopoler, ekstrem konsentrasjon av data og infrastruktur og økonomisk kontroll (spesielt fra Kina) truer nasjonal suverenitet, demokratisk kontroll og digital sikkerhet. Det er riktig, som denne stortingsmeldingen sier, at det kreves en mer aktiv rolle av staten gjennom eierskap og kontroll av strategiske verdier. Det er en helt ny industri og staten bør bidra til utviklingen av et bedre, sunt og rettferdig digitalt marked.

Vi anbefaler følgende merknad:

- Stortinget ber regjeringen utrede om å inkludere nasjonal sikkerhet i relevant regelverk om offentlige anskaffelser, særlig med tanke på digital nasjonal sikkerhet.

-I tillegg til Norges internasjonale forpliktelser innenfor handel og frihandelsavtaler må regjeringen ta i betrakting andre forpliktelser som ILO‑konvensjon nr. 169 om urfolk og stammefolk i selvstendige stater, FNs bestemmelser om kvinners rettigheter, forpliktelser med barnas rettigheter, og annet lovverk som beskytter sårbare befolkningsgrupper. Stortinget ber regjeringen å inkludere disse internasjonale forpliktelsene i vurdering av nasjonal kontrolls tiltak.

Kartlegging av verdier

Utviklingen av den digitale teknologien skaper nye strategiske verdier og endrer sikkerhetsbildet. Derfor er det viktig at regjeringen kartlegger disse nye verdiene, både når det gjelder infrastruktur og ressurser. Spesielt bør data som ressurs i den digitale økonomien utredes som en del av Norges strategiske ressurser. Dataøkonomien er spådd å passere verdiskapingen i norsk oljevirksomhet allerede i 2030[1], og det er derfor

I tillegg til kartleggingsforslag som inkluderes i stortingsmeldingen foreslår vi innføringen av noen prinsipper og ytterligere tiltak som også samsvarer med utviklingene i digitaliseringspolitikk og lovverk hos EU.

Vi anbefaler følgende merknad:

-Stortinget ber regjeringen å inkludere begrepet «strategiske digitale ressurser» i nasjonal sikkerhetsloven i likhet med begreper som «strategiske naturressurser». Dette må dekke strategiske digitale verdier som er avgjørende for å gjennomføre landets grunnleggende nasjonale funksjoner (GNF) og dermed må de underkastes sikkerhetsloven. Herunder ligger blant annet datasentre, skytjenester og andre lagringsløsninger, data og algoritmer, samt mer tradisjonell programvare som brukes i transport, helse, utdanning, forskning og arbeidslivet generelt, er eksempler på disse nye verdiene som er avgjørende for landets sikkerhet.

-Stortinget ber regjeringen å kartlegge mengde og hvilke type data og lagringskapasitet som staten må ha kontroll over for å ivareta Norges interesser og sikre landets suverenitet, og hvilke tiltak som må gjennomføres for å sikre dette. Regjeringen må også vurdere hvilke typer data som bør underkastes sikkerhetsloven (jmf §1 - 5).

Regulering (juridiske virkemidler)

For å samordne digitaliseringspolitikken må noen hovedprinsipper og -begreper legges til grunn slik at hele politikken bindes sammen på en systematisk og effektiv måte. Det er disse prinsippene som kan sikre den demokratiske digitaliseringen av Norge. Dette er et av målene som regjeringspartiene har inkludert i Hurdalsplattformen.

Vi anbefaler følgende merknader:

-Kommersiell overvåking og profilering av brukere gjennom sosiale medier og andre type digitale plattformer utgjør en stor sikkerhetsrisiko, selv om hovedformålet er å selge reklame. Stortinget ber regjeringen å legge til rette for innføring av forbud mot kommersiell overvåking og profilering i digitale plattformer.

-Stortinget ber regjeringen å innføre «digital suverenitet» som et mål i sikkerhetsloven. Nasjonal og demokratisk kontroll over strategiske digitale ressurser og kritisk infrastruktur er avgjørende for å ivareta landets sikkerhet. Håndheving av landets digitale suverenitet må ligge til grunn for alle tiltak innenfor digitaliseringspolitikk og regulering av ny teknologi.

- Nasjonal sikkerhet kan ikke sees uavhengig av personvern og generell digital sikkerhet. Etter anbefalingene fra Personvernkommisjonen bør håndheving av personvern være et sentralt element i Norges digitale sikkerhet. Stortinget ber regjeringen sette innebygget personvern som obligatorisk krav til digital infrastruktur som brukes og utvikles i Norge.

-Såkalt «kunstig intelligens» kan innebære svært omfattende endringer på alle nivåer i samfunnet, og spesielt for nasjonal sikkerhet. Omfanget av denne teknologiens konsekvenser er fortsatt uviss. Stortinget ber regjeringen utrede hvordan denne teknologien skal reguleres og kontrolleres, og inkludere i utredningen forslaget om et eget «algoritmetilsyn».  

Folkeopplysning

Et kollektivt perspektiv i sikkerhetspolitikken er positivt. I lys av den digitale utviklingen kreves tilsvarende kollektive tilnærming, der man legger til rette for folkeopplysning og et mangfold av stemmer.  Slik kan man møte og drøfte de bekymringene digitaliseringen skaper på en demokratisk måte. Sivilsamfunnet utgjør i andre saker en kompetanse og et engasjement, men det er kun et fåtall sivilsamfunnsorganisasjoner som jobber med digitalisering.

Vi anbefaler følgende merknad:

-Stortinget ber regjeringen å styrke sivilsamfunnet som arena for debatt og folkeopplysning om landets digitale sikkerhet.

[1] Menon Economics (2019): Er verdiskaping med data noe Norge kan leve av?

Innledning

Næringslivets Sikkerhetsråd (NSR) viser til Justiskomiteens invitasjon til muntlig høring om Meld. St. 9. (2022-2023). Vi deler den generelle beskrivelsen av bakgrunnen for endrings-forslagene, og synes regjeringen legger frem en rekke gode forslag til forebyggende sikkerhetstiltak. Vi støtter behovet for økt kompetanse og kunnskap om trusselbildet. Men kunnskap og kompetanse er ikke tilstrekkelig. Det må også følges opp med andre konkrete tiltak. Vi vil i det etter følgende kommentere den strategiske innretningen og avslutningsvis fremme ett konkret forslag som kan styrke digital motstandskraft og nasjonal sikkerhet.

 Bruk av nasjonalt eierskap og kontroll for å styrke nasjonal sikkerhet

Nasjonal sikkerhet er forankret i internasjonal sikkerhet. Vår “fremste forsvarslinje” er internasjonal respekt for internasjonale lover og regler. Siden 1949 har vårt militære forsvar vært knyttet opp i NATO, med de rettigheter og forpliktelser det fører med seg. Teknologiutvikling er internasjonal, og det er langt utenfor en småstats muligheter å bygge opp nasjonal sikkerhet og motstandskraft alene. Dette må gjøres sammen med andre store og små stater som deler felles verdisyn. Risikohåndtering og -aksept blir langt enklere å ivareta om sikkerhet bygges i felleskap med andre. Det krever aktivt norsk engasjement i FN, NATO og EU gjennom EØS-avtalen. Nasjonalt eierskap må ikke bli et mål i seg selv, men understøtte gode internasjonale fellesskapsløsninger som gjør at vi ikke blir stående alene på den internasjonale arena der autoritære stater vil utfordre oss på stadig nye områder.  

 Økt oversikt over verdier som er strategisk viktige

NSR opplever at det er svært stor forskjell mellom departementene vedrørende status og fremdrift i dette arbeidet. Koordinering mellom departementene, og uttrykte og tydelige mål for dette arbeidet samlet sett, vil bidra godt til økt nasjonal sikkerhet.

 Bruk av regulering som virkemiddel for å ivareta nasjonal sikkerhet

Vår verdiskapning og tilhørende samfunnsutvikling har vært mulig på grunn av rik tilgang på utenlandsk kapital. Slik er det fortsatt, men i tillegg er vi gjennom Oljefondet en betydelig global finansiell aktør, som også bidrar til andres verdiskapning. Regulatoriske bestemmelser som oppfattes som tydelig nasjonale/sær-norske bestemmelser vil kunne hemme velferdsutviklingen.

Slike løsninger vil også kunne øke det politiske presset fra aktører som Russland og Kina i saker der Norge blir stående alene på grunn av disse bestemmelsene. Sikkerheten bygges og styrkes i vårt internasjonale verdi-fellesskap. Våre regulatoriske bestemmelser bør derfor samsvare med dette fellesskapets tilsvarende bestemmelser.

Styrket motstandskraft og robusthet gjennom økt kompetanse

Synliggjøring av kompetansebehov, forskning og tilrettelegging av kunnskap for økt bevisstgjøring om sikkerhetsutfordringene er meget gode tiltak. Utfordringene ligger i koordinering mellom departementer og etater, mellom det private og det offentlige, og mellom det sivile og militære. Sikkerhetsmyndighetene har i flere år offentliggjort sine trusselvurderinger. Vurderingene dekker tjenestenes ansvarsområder, og utfyller hverandre. Konkrete eksempler viser imidlertid at trussel- og risikoforståelsen spriker i betydelig grad i departementer, direktorater og etater. Skal motstandskraft og robusthet styrkes, krever det styrket evne til tydelig tverrsektoriell koordinering.

 Koordinering

Regjeringen påpeker i meldingen viktigheten av at den enkelte sektor og myndighetene i fellesskap er bevisst trusselbildet, egne verdier og sårbarheter innenfor og på tvers av samfunnsområder. Slik bevisstgjøring krever koordinering mellom myndigheter, og mellom myndigheter og næringsliv på kryss og tvers av sektorer og nivåer. Meldingen beskriver ingen målsetninger for styrket tverrsektoriell koordinering. Etter sabotasjen av Nord Stream, og den økte droneaktiviteten rundt kritisk norsk infrastruktur til havs og på land, erfarte vi at kommunikasjon om trusselbildet, iverksettingen av ulike tiltak og styrket beredskapsnivå bar tydelig preg av manglende overordnet koordinering. Flere av tiltakene som ble iverksatt harmoniserte ikke med det kommuniserte trusselbildet. En uttalt målsetting om styrket evne til tverrsektoriell koordinering basert på et felles, tverrsektorielt situasjonsbilde, ville styrket denne meldingens ambisjon om nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet.

 Næringslivets Sikkerhetsråd registrerer avslutningsvis at det i meldingen varsles mange tiltak. Disse er vi beredt til å kommentere når de foreligger, og bidra det videre arbeidet for styrket motstandskraft og nasjonal sikkerhet.

Vennlig hilsen

Odin Johannessen
Direktør

DNV er en uavhengig leverandør innen risikostyring og kvalitetssikring, med virksomhet i mer enn 100 land og mer enn 13000 ansatte. Selskapet er heleid av Stiftelsen Det Norske Veritas og har siden 1864 vært et verdensledende klasseselskap.

DNV er en totalleverandør av digitale løsninger for risikostyring og for å forbedre sikkerheten og ytelsen til blant annet skip, rørledninger, prosessanlegg, offshore-strukturer, strømnett og produksjon av fornybar energi. Vårt cybersikkerhets-miljø støtter forretningskritiske aktiviteter og utredninger på tvers av disse sektorene, inkludert shipping, petroleums sektoren, helsevesen, jernbane og luftfart for å øke beskyttelsen av kritisk infrastruktur og gjennom rådgivning bidra til å styrke tilliten til digitale systemer som fremmer sikkerhet og ytelse.

Det er viktig og positivt  at norske myndigheter nå retter et fokus på digital sikkerhet og beskyttelse av grunnleggende nasjonale funksjoner som faller utenfor Sikkerhetsloven. I lys av en endret geopolitisk situasjon, vet vi at fremmede makter Norge ikke har sikkerhetssamarbeid med, har endret sin virkemiddelbruk for å innhente informasjon som kan gi alvorlige konsekvenser for norsk infrastruktur og norsk næringsliv. I den åpne trusselvurderingen som kom i går, refererer NSM, PST og E-tjenesten til følgende områder 

• Sensor- og deteksjonsteknologi
• Marin- og undervannsteknologi
• Olje- og gassteknologi
• Halvlederteknologi
• Rom- og satellitteknologi
• Droneteknologi
• Laboratorie- og produksjonsteknologi
• Kommunikasjonsteknologi

Fellesnevneren er at flere av disse områdene tilhører sivil sektor og i virksomheter som ikke omfattes av Sikkerhetsloven.

DNV har følgende spesifikke kommentarer til Stortingsmeldingen:

Krav og plikt til at tilbydere av samfunnsviktige tjenester må stille krav, og påse de samme krav til sine leverandører og underleverandører, som loven vil stille til dem selv som tilbydere av samfunnsviktige tjenester. Med andre ord, hele leverandørkjeden må etterleve lovens krav og tilbydere av samfunnsviktige tjenester skal påse dette.

Vi ser at verdikjedene i dag er lange og komplekse og det er behov for tydelige råd og metoder for å kartlegge og vurdere leverandørkjedens modenhet i digital motstandskraft. Dette bør gjelde leverandører av både systemer og tjenester. Vi ser en økende grad av at digitale kapasiteter tilbys som tjenester, og ikke bare gjennom lokalt installerte systemer. Dette gjør det ekstra kritisk å kunne vurdere den digitale motstandskraften hos alle aktørene i verdikjeden.

En lov bør stille krav til direktoratene og tilsynene om at de har en plikt til å støtte bransjene ved utarbeidelse av tydelige, konkrete forskrifter, standarder og krav til hvordan virksomheter kan oppfylle lovkravene. Vi ser at aktører har et ønske om å være sikre, men det er komplekst å sette seg inn i lover, regelverk, standarder og metoder for digital sikring. Mange aktører mangler ofte personell, kompetanse og ressurser og har behov for tydelige retningslinjer og forskrifter.

Lovens virkeområde bør omfatte både tradisjonelle IKT-systemer (Informasjonsteknologi (IT)) og industrielle kontrollsystemer (operasjonell teknologi (OT)). Disse to domenene har tradisjonelt vært separert og har i liten grad påvirket hverandre. I dag ser vi at disse systemområdene kobles sammen i større og større grad og opererer i digital sameksistens som krever økt tillit til sikkerhet og beskyttelse.

En lov om digital sikkerhet må tydeliggjøre at digital sikkerhet skal vektes tungt i offentlige anskaffelser innenfor lovens virkeområde.  Dette bør innbefatte både tilbyderen selv og dens leverandørkjede.

En spent sikkerhetspolitisk situasjon 

Det er krig i Ukraina og en svært spent sikkerhetspolitisk situasjon. Et autoritært Kina blir stadig mer selvhevdende og demokratiet er på retur i større deler av verden. Verden er preget av sterk polarisering. Begrepet «hybrid krigføring» var for få år siden et begrep som kun en engere krets hadde et forhold til. Men som en stadig raskere digital utvikling og endret trusselbilde på grunn av denne har gjort at både befolkning, næringsliv, offentlig sektor og myndigheter har fått et forhold til begrepet.  Vi er i en tid med et digitalt demokrati hvor stater vil fortsette å bruke cyberangrep for å nå politiske mål. Teknologi påvirker stadig større deler av våre liv. Med koronapandemien som katalysator, har digitaliseringen skutt fart særlig de to siste årene. Ekspressdigitaliseringen gjør oss mer sårbare for cyberangrep. 

Regulering i tråd med teknologiutviklingen 

Digital motstandsdyktighet forutsetter forståelse av at dette er grenseoverskridende utfordringer. Regelverk må harmoniseres med resten av Europa. Norge mangler i dag regulering av området. EUs NIS-direktiv er ikke innført. Dette må implementeres i norsk rett, herunder NIS2 som er trådt i kraft og erstatter NIS-direktivet. Regjeringen må i sitt arbeid sikre at vi raskt får på plass et harmonisert regelverk med EUs nylig lansert Cyber Resilience Act og kommende Cyber Security Act.  

Nye utfordringer og nye krav- Å lære av tidligere feil  

Forsterket privat-offentlig samarbeid, økt kompetanse og  lovmessige reguleringer som følger teknologiutviklingen må på plass. Basert på gode analyser av fremtidige scenarioer. Justis- og beredskapsdepartementet må ivareta sitt samordnings- og pådriveransvar. Digital sikkerhet er avgjørende for å ivareta Norges kritiske samfunnsfunksjoner og nasjonale sikkerhetsinteresser. Riksrevisjonens undersøkelse av myndighetenes samordning av arbeidet med digital sikkerhet i sivil sektor (Dok 3:7 (2022-2023) er nedslående lesning etter at departementet har hatt dette ansvaret siden 2013.  Det samme gjelder Riksrevisjonens undersøkelse av Forsvarets informasjonssystemer ( Dok 3:3(2022-2023). Funnene må danne et viktig grunnlag for å gjennomføre de forslag og tiltak som behandlingen av denne stortingsmeldingen adresserer.   

Forsterket kollektivt motstandskraft gjennom privat-offentlig samarbeid  

Private teknologiaktører utvikler teknologien, opererer og eier infrastrukturen. Teknologiaktører er de første til å beskytte enkelt-individer og virksomheter. Norge må utnytte den nasjonale kapasiteten på privat og offentlig side for å avdekke og håndtere digitale angrep i fellesskap. Sårbarheter ett sted kan få store konsekvenser for mange virksomheter. Styrket cybersikkerhet vil være avhengig av et tettere, mer transparent og relevant partnerskap mellom myndigheter og teknologinæringen. Formaliserte partnerskap og samlokalisering er forutsetningen for bedre utnyttelse av de kapasitetene man har. Nasjonalt cybersikkerhetssenteret (NCSC) med fysisk samlokalisering og partnerskap mellom private og offentlige bør videreutvikles for å styrke Norges nasjonal operative evne.  

IKT sikkerhetsforum i regi av Justis- og beredskapsdepartementet under ledelse av NSM bør evalueres. Forumet bør erstattes med et privat-offentlig advisory board med representanter fra næringen for å sikre et godt strategisk samarbeid gjennom kompetansedeling og et felles situasjonsbilde. Dette organet bør ha god juridisk digital kompetanse. Vi støtter også Justis- og beredskapsdepartementets arbeid med å etablerer Norges  nasjonale koordineringssenter for digital sikkerhet, som kan bidra til tett samarbeid med øvrige privat-offentlige IKT-sikkerhetsmiljøer. 

Akutt kompetansebehov  

Behovet for tilgang til data og datakraft øker. Det samme gjør behovet for digital kompetanse og kunnskap. NHOs Kompetansebarometer 2022 viser at 2 av 3 bedrifter har et udekket kompetansebehov der nesten halvparten har behov ingeniør og teknisk fagkompetanse. Cybersikkerhetsutfordringene forsterkes av mangel på arbeidskraft. I Norge forsterkes dette ytterligere av behovet for kompetanse og fagfolk innenfor digital sikkerhet. Behovet for cybersikkerhetsfagfolk er akutt. Anslag viser at vi vil mangle 4.100 personer med digitale sikkerhetskompetanse i 2030 . Mangel på digital og IKT-sikkerhets kompetanse er en stor flaskehals for trygg digital omstilling av Norge. Fremtidens og nåværende jurister må også selv  ha en grunnleggende forståelse for teknologien og hvilke muligheter og begrensninger som ligger i lovverket for å regulere og legge til rette bruken av denne. Styrket forskningsinnsats på rettsvitenskapens rolle, utredning av juristprofesjonens utfordringer når den nye stortingsmeldingen om profesjonsutdanningene blir fremlagt i 2024 og utfordringene som jusutdanningen møter som følge av økt digitalisering, må adresseres.  For å skape økt digital trygghet.  

Justisdepartementet og justisministeren har et særskilt ansvar for å sørge for at de ulike departementene og fagstatsrådene koordinerer seg slik at utredninger av fremtidig kompetansebehov inkluderer det digitale sikkerhetsperspektivet. Regjeringens videre arbeid må ha særlig fokus på et felles kompetanse- og kunnskapsløft innen sikkerhet. Dette forutsetter at kompetansebehovsutvalget drøfter dette særskilt, herunder jussen og rettsvitenskapens ulike formål: Den er et verktøy som fungerer som en forutsetning for å nå alle de ulike politiske målene som settes og for å sikre innbyggernes rettssikkerhet. For å sikre at juridiske reguleringer og lovverk som utformes er basert på god digital sikkerhetsforståelse.    

Datasentre som digital grunnmur 

Datasentre er en del av vår digitale grunnmur på linje med ekom.  «Skyen» er dataene og tjenestene som befinner seg i datasentre. Disse er ekte, fysiske steder/bygninger som rommer databehandlingsenheter som summer i takt med våre digitale liv tilgjengelig fra datasentre innenfor Norges grenser. Krigen i Ukraina, et økt hybrid og digitalt trusselbilde, har skapet trusler vi aldri før har sett. Krigen i Ukraina har tydeliggjort sårbarheten ved å ha all datasentre plassert i eget land. Debatten om nasjonal suverenitet preget av fredstid i Europa er nå over. Flere nasjoner har nå flyttet fokus fra teknologisk suverenitet og proteksjonisme, der lagring av data på datasentre i eget land har stått sentralt, til å tenke hvordan opprettholde digital suverenitet i tilfelle invasjon ved datalagring på datasentre i alliert land. Som eiere av datasentre verden over spiller teknologiaktørene en hovedrolle i å hjelpe til med å forebygge og forsvare virksomheter, regjeringer og land mot cyberangrep. Tidlig observerte teknologiaktører det russiske militærest målrettede angrep mot Ukrainas statlige datasenter ved bruk av konvensjonelle våpen, koordinert med cyber angrep. Ukraina lyktes likevel  å opprettholde sivile og militære operasjoner muliggjort av hjelp fra teknologisektoren. Kritiske offentlige data ble "evakuert" inn i datasentre over hele Europa. Uten teknologien som datasentre muliggjør ville dette trolig vært umulig. Juristforbundet støtter derfor regjeringens behov for å sikre tilstrekkelig redundans, ved å kunne «evakuere» kritiske offentlige data inn i et alliert land gjennom internasjonalt samarbeid og avtaler.  

Kompetanse

Behovet for IKT-sikkerhetskompetanse har økt i takt med den økende digitaliseringen. Justis- og beredskapsdepartementet utarbeidet i 2019 en nasjonal strategi for digital sikkerhetskompetanse[1]. Vi viser til Riksrevisjonens nylig fremlagt rapport[2] hvor det påpekes at regjeringen ikke har fulgt opp sine egne strategier knyttet til samfunnssikkerhet, noe Tekna har påpekt gjentatte ganger gjennom de siste tre årene.

Regjeringen skriver i sin egen strategi følgende:
Det enkelte departement har et overordnet ansvar for digital sikkerhet innenfor sin sektor. I dette inngår også et ansvar for å tilrettelegge for at man i egen sektor/egen virksomhet har adekvat kompetanse.

Nasjonal strategi for digital sikkerhetskompetanse retter seg både mot myndigheter og offentlige og private virksomheter.

Tekna mener departementene har et klart overordna ansvar ansvar for digital sikkerhet innenfor sin sektor og ansvar for å kartlegge kompetansebehov. Basert på denne kartleggingen vil det være mulig og nødvendig for universiteter og høyskoler å vurdere dimensjonering av studieplasser, enten som etter- og videreutdanning, som gradsprogrammer eller doktorgradsprogrammer.

Tekna mener det ikke kan være universiteter og høyskolers oppgave alene å kartlegge arbeidslivets behov for IT-sikkerhetskompetanse slik regjeringen initierer. Tekna mener regjeringen har et ansvar for at sivil sektor utfordres til å avdekke eget kompetansebehov og at dette rapporteres til de utdanningsleverandørene som er best egnet til å gi eller utvikle kompetansetilbud.

Justis- og beredskapsdepartementet har også anbefalt at alle departementer, i samsvar med sikkerhetsloven, kartlegger hvilke lederstillinger i underliggende virksomheter som krever sikkerhetsklarering og sikkerhetsfaglig kompetanse. Resultatet skal nå foreligge.

 Tekna mener Stortinget må be regjeringen sikre at virksomheter innen samfunnskritiske områder melder inn kompetansebehovene til utdanningsinstitusjonene i tråd med regjeringens strategi.

Tekna erfarer at det er en stor utfordring å skaffe tilstrekkelig med vitenskapelig ansatte i UH-sektoren til å løse kompetansegapet innen IT og særlig IT-sikkerhet.

Tekna ber Stortinget sikre at det følger friske midler og rekrutteringstiltak for å ansette flere undervisere hvis Stortinget vedtar å øke antallet studieplasser.

Rekruttering av doktorgradskandidater som kan sikkerhetsklareres er en utfordring innenfor ulike teknologiområder allerede i dag. De siste ti årene har godt over 60 prosent av dem som avlegger doktorgrad innenfor teknologi ved et norsk lærested utenlandsk statsborgerskap. Andelen med utenlandsk statsborgerskap som søker rekrutteringsstillinger innen matematikk, naturvitenskap og teknologi var nær 90 prosent i perioden 2016-2018. Dette er en utvikling som må tas på alvor.

Tekna ber Stortinget be regjeringen sette i gang tiltak for å øke rekrutteringen av vitenskapelig ansatte blant norske kandidater til forsknings- og undervisningsstillinger i MNT-fagene.

Regjeringen foreslår å videreføre øremerkede midler til nærings-ph.d.- og offentlig sektor-ph.d.-ordningene i Forskningsrådet rettet mot digital sikkerhet og kryptologi.

Tekna mener det ikke er tilstrekkelig å videreføre øremerkede midler, disse må økes og det må settes i gang et større arbeid med å utvikle konkrete tiltak for å øke rekrutteringen.

Tekna foreslår å øke andelen offentlig finansiering av nærings-PhD og offentlig PhD innen sektorovergripende samfunnskritiske områder som digital sikkerhet.

Digital motstandskraft i kommunesektoren

Regjeringen vil bidra til forebygging av uønskede digitale hendelser i kommunesektoren og vil utpeke et sektorvis responsmiljø som kan dekke kommunenes behov. Hovedutfordringen er, slik Tekna ser det, mangel på adekvat kompetanse i de fleste av våre kommuner. Vi viser til vår egen undersøkelse om kompetansebehov i kommunesektoren, hvor IT-kompetanse er den absolutte største utfordringen. Et sektorvis responsmiljø vil kunne være et godt tiltak, men hovedutfordringen ligger, slik vi ser det, i mangel på kompetanse og flukten fra kommunesektoren og over i privat næringsliv.

Tekna ber Stortinget be regjeringen komme tilbake med konkrete tiltak for å bidra til bedre rekruttering av IT-sikkerhets-kompetanse og tiltak for kompetanseheving for å møte behovet for avansert IT-sikkerhets-kompetanse i kommunene.

Nasjonal kontroll over verdier og virksomheter

I meldingen heter det at det er et mål at norske myndigheter skal ha mulighet til å fange opp, vurdere og eventuelt gripe inn i økonomisk aktivitet som kan true nasjonal sikkerhet. Samtidig er det viktig at Norges folkerettslige forpliktelser ivaretas og at det ikke legges unødvendige eller uforholdsmessige byrder på næringslivet eller begrensinger på handelen med andre land. Dette er utfordrende siden håndtering av sikkerhetstruende økonomisk aktivitet treffer i skjæringspunktet mellom sikkerhetsinteresser og næringslivs-, utenrikspolitiske og handelspolitiske hensyn. De ulike departementene jobber derfor tett sammen for å vurdere de ulike hensynene opp mot hverandre. Regjeringen foreslår å vurdere hvordan man på en hensiktsmessig måte kan få bedre oversikt over virksomheter og verdier som ikke dekkes av sikkerhetsloven, men som likevel kan ha betydning for nasjonal sikkerhet.

I arbeidet med utpeking av objekter og infrastruktur som skal ligge inn under sikkerhetslovens virkeområde, har sektordepartementene ansvaret for å gjøre gode risiko- og sårbarhetsanalyser (ROS-analyser) som grunnlag for utpekingsarbeidet. I denne vurderingen vil det avdekkes hvilke virksomheter som ligger i grenselandet. Tekna viser til Riksrevisjonens rapport hvor det fremgår at dette arbeide er sterkt forsinket.

Tekna mener Stortinget må be regjeringen sette tidsfrist for ROS-analysene i sektordepartementene for å få oversikt over virksomheter av betydning for nasjonal sikkerhet. Tekna er overrasket og bekymret over at det åpenbart ikke foreligger en slik oversikt i dag.

Nasjonal skytjeneste

Stadig flere virksomheter velger allmenne skytjenester for å imøtekomme behovet for nye og forbedrede IT-løsninger. For flere statlige virksomheter er det imidlertid en utfordring at det ikke finnes tilgang på funksjonelle og kostnadseffektive skytjenester med tilstrekkelig grad av nasjonal kontroll. Det kan føre til økt risiko dersom man likevel velger slike løsninger. Alternativet er at virksomhetene må velge lokale løsninger, noe som kan føre til høyere kostnader og begrenset tilgang til nye teknologiske verktøy. Problemet forventes å øke i tiden som kommer.

De funksjonene samfunnet er mest avhengig av bør leveres fra datasentre i Norge. Offentlig sektor i Norge benytter seg av IKT-tjenester som er lokalisert og driftet utenfor Norge. Så lenge disse sentrene er utenfor Norge vil det være utfordringer knyttet til sikkerheten og dermed vanskelig å bruke slike sentre til samfunnskritiske funksjoner eller skjermingsverdig informasjon. Dersom datasenternæringen skal fortsette å vokse i Norge, så er det viktig at formålstjenlige reguleringer og gode rammevilkår kommer på plass.

Tekna mener Stortinget må be regjeringen legge til rette for at flere norskeide datasentre leverer skytjenester i Norge. Det vil kunne bidra til å bygge opp en sentral verdikjede rundt datasentrene i Norge, og samtidig redusere sårbarheten med bruken av internasjonale skytjenester.

[1] https://www.regjeringen.no/contentassets/8ed748d37e504a469874ce936551b4f8/nasjonal-strategi-for-digital-sikkerhetskompetanse.pdf

[2] https://www.riksrevisjonen.no/globalassets/rapporter/NO-2022-2023/myndighetenes-samordning-av-arbeidet-med-digital-sikkerhet-i-sivil-sektor.pdf

NITO er Norges største organisasjon for ingeniører og teknologer med bachelor, master og høyere grad. Vi har mer enn 100 000 medlemmer fordelt på alle sektorer, deriblant et betydelig antall medlemmer fra virksomheter involvert i sikkerhet og beredskap, og i andre næringer som vil bli berørt av en satsing på nasjonal sikkerhet.

NITO er enig i meldingen om at den sikkerhetspolitiske utviklingen gjør det nødvendig med tiltak for å ivareta nasjonal sikkerhet. Samtidig mener vi det er viktig å ha et langsiktig perspektiv, der demokratiske verdier og rettsprinsipper blir ivaretatt. Stortingsmeldingen dekker viktige områder, men skriver lite om samlet leveransesikkerhet og robuste verdikjeder. Økt statlig eierskap er et godt verktøy, men meldingen beskriver ikke i særlig grad hvilke sikkerhetsmessige utfordringer som følger med økt statlig eierskap. For eksempel fare for økt sabotasje, hackingangrep mv. NITO er enig i meldingen om at relevant teknologisk kompetanse nasjonalt er viktig for å ivareta strategisk viktig teknologi og naturressurser.

3.4.2 Tilstrekkelig nasjonal spesialkompetanse

NITOs behovsundersøkelse fra 2022[1] viser at virksomheter i alle sektorer har en utfordring med å rekruttere nødvendig ingeniørkompetanse, og da særlig IKT-kompetanse. Samfunnsøkonomisk analyse[2] anslår at Norge vil mangle 40.000 personer med IT-kompetanse i 2030. NITO er derfor skuffet over at 1500 studieplasser innen realfag og IKT fases ut i statsbudsjettet for 2023. For å sikre tilstrekkelig rekruttering må antallet IKT-studieplasser økes, ikke kuttes. Dette må skje parallelt med opptrapping av tiltak for å styrke realfag og teknologi i norsk skole, i tillegg til satsing på fagskoler.

NITO er enig i at det er et behov for å kartlegge kompetansebehov, og å se dette opp mot arbeidslivets behov. Digitaliseringen av samfunnet skjer i en rasende fart. Ny teknologi skaper ikke bare muligheter, men også behov for kompetansepåfyll. Økt omstilling og kvalifikasjonskrav i arbeidslivet fordrer at flere får tilgang til etter- og videreutdanning. Å ha oppdatert kompetanse er særlig viktig i et sikkerhetsperspektiv. For å styrke livslang læring har NITO rådet regjeringen til å opprettholde bransjeprogrammene.

Meldingen peker på viktigheten av å rekruttere kandidater med mastergrad og forskerutdanning som kan sikkerhetsklareres. Det er ingen tvil om at personer som gis tilgang til sensitiv informasjon må være skikket til å håndtere den. Samtidig er det prinsipielt viktig at arbeidstakere blir sikret grunnleggende rettsikkerhet i disse prosessene. Etter kritikk fra EOS-utvalget varslet justisministeren i 2021 at regjeringen ville foreta en gjennomgang av praksisen i klareringssaker, og gjøre eventuelle justeringer for å sikre at sikkerhetsklarering av personell skjer basert på individuelle og ikke skjematiske vurderinger, slik loven krever. Dette problemet er fremdeles ikke løst. NITO mener det er viktig at gjennomgangen blir gjort, for slik å sikre at feil lovanvendelse ikke bidrar til mangel på kompetente arbeidstakere.

Meldingen peker også på at over 60 prosent av de som avlegger doktorgrad innen teknologi ved et norsk lærested har utenlandsk statsborgerskap. En person som har utenlandsk statsborgerskap kan etter loven få klarering, etter en konkret helhetsvurdering. Dette viser viktigheten av at sikkerhetsklarering av personell skjer basert på individuelle og ikke skjematiske vurderinger, og innen rimelig tid. Samtidig er det viktig å bruke flere virkemidler for å rekruttere kandidater med nødvendig kompetanse. NITO støtter derfor forslaget om å videreføre de øremerkede midlene til Forskningsrådet rettet mot digital sikkerhet og kryptologi.

4.3.1 Nasjonal skyløsning

NITO mener det bør etableres en nasjonal skyløsning for offentlige data. I forlengelse av dette ber vi om at det gjøres vurderinger av hvilke data og tjenester som bør holdes på norsk jord for å opprettholde personvernet om befolkningen. Det er vår mening at offentlige registre som lagrer sensitive eller samfunnskritiske data, må driftes i og lagres på servere i Norge.

Innkjøpskompetansen i offentlig sektor må styrkes. En god måte å oppnå robusthet på, er å plassere dataene i en distribuert sky med lokal tilstedeværelse. NITO mener det bør bygges ut regionale distribuerte skyløsninger som kan sikre nasjonal og regional IKT-beredskap. Vi ber i tillegg om at det offentlige går foran i å utvikle kravspesifikasjoner som kan sikre robuste leveranser ved offentlige anskaffelser.

4.3.2 Datasentre

NITOs tillitsvalgte var involverte i Helse Sør-Øst-saken, og var tidlig ute med å advare om outsourcing av IKT-infrastruktur i helseforetakene. Felles organisering av norske datasentre vil redusere sårbarheten i vår digitale infrastruktur ved at det offentlige vil kunne stille krav for å sikre vedvarende robusthet.

For å sikre tilstrekkelig redundans ved utbygging av digital infrastruktur, mener NITO det er hensiktsmessig å foreta en vurdering av et nordisk samarbeid. Spesielt hvis ambisjonen er å legge til rette for storskala datasentre. Det er nødvendig at store datasentrene sikres på best mulig måte. NITO mener det må stilles krav om at offentlige virksomheter legger vekt på beredskap og robusthet når de anskaffer og/eller bygger IKT-løsninger.

[1]https://www.nito.no/aktuelt/2022/5/arbeidsmarkedet-skriker-etter-ingeniorer/

[2]https://www.nito.no/politikk/undersokelser/norges-behov-for-ikt-kompetanse-i-dag-og-framover/

Takk for anledningen til å gi IKT Norges synspunkter.

Trusselen fra cyberkriminelle har vokst sterkt de siste 12 månedene. Samtidig har Norge blitt den viktigste gassleverandøren til et Europa i krig.  Samlet har dette gjort Norge til et av de mest utsatte landene i Europa. Både for cyberkriminalitet, påvirkningsoperasjoner og for konkrete sabotasjeaksjoner. 

Så er spørsmålet: 

• Har det norske samfunnet nå en ny, felles, situasjonsforståelse og kunnskap om hva som kreves av hver enkelt?
• Har Norges samlede innsats økt i samme tempo som truslene mot Norge?
• Har Norge gjort ekstraordinære tiltak - ekstraordinære endringer - ekstraordinære bevilgninger - for å møte denne nye og alvorlige situasjonen?
• Eller fortsetter vi som før - med kun små justeringer?
• Og med å diskutere nye Stortingsmeldinger som slår fast det vi allerede vet, og hvor de viktigste tiltakene er å sette ned utvalg som skal utrede mer? 

Det er positivt med en Stortingsmelding i den akutte situasjonen vi er i, men vi mener den ikke i stor nok grad tar inn over seg behovet for en mer helhetlig tenkning. Vi synes heller ikke den er tydelig nok på hva som konkret må gjøres, og hva de beste virkemidlene er.  

Vi er i en alvorlig og ekstraordinære situasjon. Riksrevisjonen har i flere ulike rapporter varslet om kritikkverdige forhold knyttet til digital sikkerhet og motstandskraft. Vi må gjøre mer, innsatsen må koordineres bedre, samarbeidet mellom privat og offentlig sektor må styrkes, og ansvaret må bli tydeligere. Både på lang, mellomlang og kort sikt. Lite av disse utfordringene svarer Stortingsmeldingen på.

Team Warholm har mottoet: Godt gjort er bedre enn godt sagt. 

I Norges arbeid med cybersikkerhet generelt, og også i denne Stortingsmeldingen spesielt - er mye godt sagt  - men for lite godt gjort. Jeg har lyst til å legge til: Det er typiske norsk å være god … på situasjonsbeskrivelse.

Jeg vil peke på seks områder vi konkret mener må styrkes:

1. Kompetanse

Kompetansekrisen i Norge innen teknologi er akutt og voksende, spesielt innen datasikkerhet. Dette er avgjørende for Norges evne til “digital motstandskraft for å ivareta nasjonal sikkerhet”.

I meldingen skriver regjeringen at kunnskap og kompetanse er avgjørende for kollektiv motstandskraft.

Dessverre har ikke Regjeringen vist vilje til å prioritere dette:

• Norge trenge flere med IKT utdanning - men Regjeringen har varslet kutt i antall studieplasser innen IKT
• Regjeringen konkluderer i meldingen at det er kritisk at 60% av dr.grad studenter innen cybersikkerhet kommer fra utlandet. Men i steden for tiltak nå, vil de sette ned et utvalg som skal vurdere om man skal gjøre noe. Vi mener man ikke trenger et utvalg for å konkludere med at det er viktig med sikkerhetsklarerte personer med høyeste grad innen cybersikkerhet i fremtiden.
• Vi mener i tillegg vi må se på kompetansen i de nordiske landene samlet, og åpne for felles sikkerhetsklarering på tvers i Norden. Det vil skape et større marked, og gjøre at felles kritisk kompetanse kan utvikles og utnyttes bedre.
• Vi må også stille krav om cyberkompetanse.  Alle ledere i stat og kommune må f.eks. pålegges å ta NSMs grunnkurs i cybersikkerhet som et minimum.

2. Teknologi

Justisdepartementet skriver i punkt 4.5 at det er viktig å vurdere hvilke teknologier som er av betydning for nasjonal sikkerhet. Eksempler som nevnes er kvanteteknologi, kunstig intelligens, og datavitenskap

IKT NORGE er helt enige i beskrivelsen, men regjeringen har ikke fulgt dette opp med handling:

• Norge fikk sin første AI strategien for 3 år siden - men ingenting har skjedd etter dette.
• Norge er eneste landet i Norden som ikke har en egen kvantedata-strategi.
• I tillegg kommer det tilbakevendende punktet om kompetanse, spesielt innen teknologi  og behovet for utdanning av flere med realfag

Det foregår et teknologisk kappløp mellom demokratiske og autoritære allianser. Konsekvensene av å ikke ha et teknologisk forsprang vil direkte true våre verdier og vår nasjonale sikkerhet. Det er derfor avgjørende at teknologisk innovasjon prioriteres høyere fremover.

3. Autonomi

Det er hverken mulig eller ønskelig med nasjonal autonomi. Derimot er det er det ekstremt viktig med regional autonomi og allianse-autonomi. Norge må raskest mulig få på plass et omfattende og forpliktende samarbeid i Norden. IKT-Norge foreslår tre strakstiltak:

Sikkerhetsklarering: Norge må få plass en sikkerhetsklarering av personell på tvers i Norden. Dette vil styrke Norden som et sikkerhetsmessig kraftsentrum og lette tilgangen på kompetanse.

Infrastruktur: Vi må se på Norden som en enhet når det gjelder redundans av kritiske komponenter i den digitale infrastrukturen. Dette gjelder blant annet føringsveier, kontrollsenter og sikkerhetslager av komponenter.

Lagring av data: Vi må se på lagring av data i et Nordisk perspektiv. Krigen i Ukraina har lært oss mye, bl.a.at det ikke er sikkert å lagre alle data, og ha ha alle kritiske systemer, kun i sitt eget land.

4. Lover og regulering

Sikkerhetsloven må faktisk implementeres i alle sektorer. Det er nå tre år siden den trådte i kraft, men i følge Riksrevsjonens rapport har ikke Justisdepartementet god nok oversikt over statusen i de ulike sektorene, eller kontroll på når den faktisk vil være ferdig implementert. 

NIS 2 må forberedes godt og implementeringsplanen til Norge må på plass så fort som mulig. Det skaper både forutsigbarhet for berørte aktører og høynet beredskap.

5. Internasjonalt samarbeide

Norge har vært verdens beste på analog fredsarbeid i 50 år. Nå må vi ha ambisjon om å bli best på digitale fredsarbeide. Vi burde brukt plassen vår i Sikkerhetsrådet til nettopp å tatt den posisjonen. Den muligheten lot vi gå fra oss. Men ambisjonene må være at vi spiller en ledende rolle i det internasjonale samarbeidet. Norge er blant verdens mest digitale samfunn, og er dermed også blant de mest sårbare. Samtidig har vi erfaring og kompetanse vi må utnytte til å ta en ledende rolle internasjonalt.

6. Kultur og ledelse

Riksrevisjonen har de siste 18 mnd kommet med en rekke ulike rapporter som til dels er svært kritisk til digital sikkerhet i offentlig forvaltning. Det gjelder svært kritiske områder som NVEs, Politiets, Forsvarets, Utenriksdepartementets, Oljedirektoratets, Helseforetakene og nå siste regjeringens, dv.s Justisdepartementets arbeid. 

Ingenting av dette er spesielt overraskende. Den neste rapporten fra Riksrevisjonen vil høyst sannsynlig inneholde det samme – uansett hvilke sektor som blir undersøkt.

Hvorfor?

• Vi  mangler en felles situasjonsforståelse og en sikkerhetskultur
• Vi mangler evne og vilje til å sanksjonere. Når frister ikke nås, når aktiviteter ikke blir gjennomført, når nødvendig lederskap ikke blir utført
• Vi mangler en tydelig ledelse og rolleavklaring som sikrer riktige beslutninger til riktig tid i en krise
• Og vi mangler en trygghet for en effektive hendelseshåndtering og kriseledelse når de store og omfattende angrepene kommer.

Dette dreier seg ikke først og fremst om innføring av nye lover og regler - men om kunnskap, kultur - og ledelse. Vi har for mange eksempler på det motsatte. Det gjelder både Stortinget og regjering. Vi har vært, og er, grunnleggende naive i vår tilnærming til digital og hybride trusler både mot Norge som nasjon, men også mot norske institusjoner og næringsliv. 

Vi trenger mer kompetanse, bedre kultur og ledelse.

Stoltenberg sa for noen uker siden når det gjaldt dagens situasjon:

• Krig – er for alvorlig til å overlates til generalene
• Næringslivet – er for alvorlig til å overlates til næringslivsledere
• Jeg vil føye til at politikk – IKKE er for alvorlig til å overlates til politikere
• MEN: Politikk er for alvorlig – til at handling ikke følger ord eller konkret innsats. 
• Og tiden fra ord til handling er nå mer avgjørende enn noen gang!

Takk for oppmerksomheten