Utvalgte hurtiglenker

    Rapporter og planer

    Ekspertutvalget for nasjonal kontroll med kritisk digital kommunikasjonsinfrastruktur – Ekomsikkerhetsutvalget

    Til innholdsfortegnelse
    Neste kapittel
    Til forsiden

    DEL I Innledning

    Oversiktsbilde av et mobiltårn omgitt av skog på Odderøya i Kristiansand.

    1 Sammendrag

    Naturbilde tatt på nattestid med sterk belysning fra begynnelse som ligger langs kystlinje og en himmel som også lyses opp av Nordlys.

    De aller fleste samfunnsfunksjoner av betydning for nasjonal sikkerhet og samfunnssikkerhet er avhengige av velfungerende digital kommunikasjon. De infrastrukturene som muliggjør slik digital kommunikasjon er spesielt kritiske, fordi konsekvensene dersom de ikke fungerer som forutsatt, er omfattende. Det er derfor viktig at staten har nødvendig grad av nasjonal kontroll med hvordan kritisk digital kommunikasjonsinfrastruktur utvikles, driftes og vedlikeholdes. Denne kontrollen må brukes til å sikre og beskytte kritiske digitale kommunikasjonstjenester gjennom hele krisespennet fra fred til krise og krig.

    Krisespennet har blitt langt mer relevant i spørsmål knyttet til nasjonal kontroll enn hva som var tilfelle for bare få år siden. Russland sin fullskalainvasjon av Ukraina har ført til at norske myndigheter med større alvor må tenke igjennom hva den øvre delen av krisespennet krever av tiltak. Internasjonale spenninger øker behovet for kontroll over kritisk teknologi og kritisk digital infrastruktur, noe som er tydeliggjort i Totalberedskapskommisjonens 1 rapport, og i den etterfølgende Totalberedskapsmeldingen 2 . Hos våre samarbeidspartnere EU og USA har det de siste årene blitt gjort mye for å styrke kontrollen og sikkerheten, særlig med utenlandske investeringer og viktige verdikjeder. Dette utvalgsarbeidet inngår derfor i en internasjonal trend for økt nasjonal kontroll med kritiske innsatsfaktorer.

    Utvalget har sett på digital kommunikasjonsinfrastruktur som er viktig for statssikkerheten, har betydning for samfunnssikkerheten og som bærer tjenester som har høy betydning for kritiske samfunnsfunksjoner. Sikkerhetsloven gir hjemler som understøtter nasjonal kontroll innenfor deler av dette spennet, herunder eierskapskontroll, men utvalgets arbeid har omfattet et bredere spekter enn lovens nåværende rekkevidde. Utvalgets rapport må tolkes i lys av denne brede tilnærmingen.

    I utvalgets kartlegging av dagens situasjon knyttet til eierskap av kritisk digital infrastruktur, er det ikke avdekket eierforhold som i seg selv fremstår som spesielt problematiske. Riktignok er utenlandsk eierskap svært utbredt, men eierskapet er i all hovedsak knyttet til land vi har et sikkerhetspolitisk samarbeid med. Videre er det stor transparens i eierforholdene i den forstand at eierskap kan spores direkte tilbake til norsk eierskap eller kjent utenlandsk offentlig eller privat eierskap. Likevel er det slik at eierskapstransaksjoner knyttet til kritisk digital infrastruktur påvirker statens kontroll med de samme infrastrukturene. Slike transaksjoner kan i noen sammenhenger gi en betydelig fordel ved at kapital blir gjort tilgjengelig for videreutvikling av den norske infrastrukturen. De er på den måten ønsket. Samtidig kan slike transaksjoner også utfordre statens mulighet til å ha nasjonal kontroll med kritisk digital kommunikasjonsinfrastruktur.

    Eierskapstransaksjoner er imidlertid bare én type økonomisk aktivitet som kan utfordre nasjonal kontroll. Et annet eksempel kan være at tjenester som er avgjørende for å drifte eller vedlikeholde kritisk digital kommunikasjonsinfrastruktur, settes ut til utenlandske aktører. Et tredje eksempel kan være avhengighet av arbeidskraft som ikke har tilknytning til landet, slik at man risikerer at arbeidskraften ikke er tilgjengelig under en internasjonal krise.

    Krise- og krigssituasjoner er generelt svært uforutsigbare i sin natur. Tilgang til innsatsfaktorer som deles selv mellom nære geografiske og allierte land kan bli vanskeliggjort dersom innsatsfaktorene kun er dimensjonert for fredstid. Utvalget mener derfor at staten bør ha oppmerksomhet både på å identifisere direkte sikkerhetstruende økonomiske aktiviteter, og på virkningen av økonomiske aktiviteter som ikke anses å være direkte sikkerhetstruende, men som utilsiktet kan få en kontrollsvekkende effekt i en internasjonal krisesituasjon.

    En særlig kategori av utfordringer for nasjonal kontroll er knyttet til avhengighet til digitale infrastrukturer som på grunn av sin funksjon helt eller delvis befinner seg utenfor Norges grenser. Et eksempel er satellittbaserte systemer som blant annet benyttes til tidssynkronisering av kommunikasjonsnett. Mange slike internasjonale strukturer inngår som en integrert del av vår nasjonale kritiske digitale kommunikasjonsinfrastruktur. For slike strukturer må norske interesser ivaretas gjennom deltakelse og innflytelse i internasjonalt samarbeid. Nasjonal kontroll handler derfor langt på vei også om internasjonalt samarbeid.

    I dialogen med aktørene har det kommet fram et ønske om økt nordisk samarbeid på sikkerhetsområdet. Utvalget mener at det er viktig å benytte de nordiske landenes samlede ressurser på best mulig måte. Samarbeid mellom myndighetene i de nordiske landene kan styrke situasjonen for ekomtilbydere knyttet til teknologisk utvikling, tilgang på personell og økende krav til robusthet i infrastrukturen.

    Etter utvalgets syn gir det ikke mening å gi en statisk tilstandsbeskrivelse av hva som er nødvendig nasjonal kontroll med kritisk digital infrastruktur. Endringshastigheten i de digitale infrastrukturene i seg selv, hvordan de blir brukt og hva de blir brukt til, er for stor til at en slik beskrivelse vil gi mening over tid. Likeledes vil endringer i selskapsstrukturer føre til at de mekanismene som gir nasjonal kontroll over hver enkelt infrastruktur også vil kunne endres over tid.

    Utvalget har derfor konsentrert seg om å foreslå tiltak knyttet til hvordan staten bør innrette sitt kontinuerlige arbeid med å opparbeide og opprettholde nødvendig nasjonal kontroll med kritisk digital infrastruktur. Disse tiltakene er i noen grad generiske og ikke direkte knyttet til egenskaper ved kritisk digital infrastruktur. De kan derfor vurderes til å ha overføringsverdi også til andre sektorer.

    Et nødvendig utgangspunkt for et slikt kontinuerlig arbeid er en presis definisjon av begrepet nasjonal kontroll. Utvalget har lagt følgende definisjon til grunn for sine forslag til tiltak:

    Nasjonal kontroll innebærer at staten, knyttet til kritisk digital kommunikasjonsinfrastruktur, har

    1. styringsevne til å ta effektive beslutninger gjennom for eksempel regulering, eierskap eller avtaler
    2. handlefrihet til å gjennomføre beslutningene mest mulig uavhengig av utenlandske aktører og innsatsfaktorer.

    Nedenfor gis en kort gjennomgang av de mest sentrale tiltakene som utvalget foreslår. Utvalget vil presisere at det å etablere nødvendig nasjonal kontroll, og å forvalte denne kontrollen, er et langsiktig arbeid som krever proaktiv handling. Når en krise-, konflikt- eller krigssituasjon oppstår, må den nødvendige nasjonale styringsevnen og handlefriheten allerede være etablert.

    1.1 Et kontinuerlig arbeid for å etablere og vedlikeholde et målbilde av nasjonal kontroll med kritisk digital infrastruktur

    Utvalget har identifisert at det ikke finnes noen enhetlig definisjon eller samlet organisert oversikt over hva som utgjør kritisk digital infrastruktur som er av betydning for nasjonal sikkerhet eller for samfunnssikkerhet. Dette kan forklares ved at det er et dynamisk bilde som stadig endrer seg. I relevante departementer og underliggende etater, foreligger det samlet sett mye informasjon om infrastruktur, kritikalitet, eierforhold og så videre. Likevel er det etter utvalgets syn vanskelig å arbeide systematisk med nasjonal kontroll over kritisk digital infrastruktur, uten at det foreligger en omforent forståelse av hva infrastrukturen består av og hvem som kontrollerer den. Utvalget foreslår derfor at Digitaliserings- og forvaltningsdepartementet (DFD) definerer og vedlikeholder en helhetlig oversikt over kritisk digital kommunikasjonsinfrastruktur og selskapene som eier denne. Dette arbeidet kan integreres som del av departementets arbeid med å identifisere og holde vedlikeholde oversikt over virksomheter i henhold til sikkerhetsloven § 2-1.

    Det er også avgjørende at sektormyndighetene har tilgang til nødvendig informasjon om hvem som eier eller kontrollerer kritisk digital infrastruktur. Finansdepartementet (FIN) bør derfor utrede muligheten for større åpenhet i register over reelle rettighetshavere slik at departementer med sektoransvar etter sikkerhetsloven får tilgang til informasjon fra registeret.

    Et kontinuerlig arbeid med nasjonal kontroll vil kreve at det finnes et målbilde over hva staten skal anse som nødvendig nasjonal kontroll med kritisk digital kommunikasjonsinfrastruktur. Dette målbildet må jevnlig vedlikeholdes og oppdateres i tråd med både teknisk og kommersiell utvikling på området. Utvalget mener at DFD bør etablere og vedlikeholde et målbilde for nasjonal kontroll over kritisk digital kommunikasjonsinfrastruktur. Målbildet bør omfatte nærmere definerte infrastrukturkategorier og funksjoner, og beskrive statens behov for styringsevne og handlefrihet i fred, krise og krig, innenfor disse kategoriene. Utvalget beskriver i kapittel 11 hvordan målbildet kan struktureres, og gir et eksempel på hvordan et målbilde kan formuleres i form av styringsevne og handlefrihet for en kategori av digital infrastruktur.

    Et målbilde vil danne utgangspunkt for å vurdere nåsituasjonen, og et grunnlag for å vurdere om situasjonen er av en slik art at staten må kompensere med tiltak. Slike vurderinger må gjøres jevnlig i tråd med endringer i tekniske og organisasjonsmessige forhold. Utvalget mener derfor at DFD må sikre at det utvikles og løpende vedlikeholdes en analyse av nasjonal kontroll over alle kategorier av kritisk digital kommunikasjonsinfrastruktur. Dette innebærer å vurdere i hvilken grad statens tilgjengelige virkemidler gir den nødvendige styringsevne og handlefrihet som er definert i målbildet for den aktuelle kategorien av infrastrukturer. Slike analyser vil identifisere mulige gap mellom målbildet og realitetene. Utvalget mener at staten ved DFD må arbeide proaktivt med å identifisere gapene og risikoen med dem, planlegge og gjennomføre tiltak for å lukke gapene eller eventuelt akseptere risikoen.

    Utvalget ser et tydelig samsvar mellom det proaktive arbeidet som må gjøres for å identifisere og redusere gap mellom målbildet og realitetene, og det arbeidet som må gjøres for å håndtere potensielt kontrollsvekkende endringer i sektoren. Når eksempelvis en eierandel i et selskap som kontrollerer kritisk infrastruktur vurderes solgt til utlandet, vil DFD måtte analysere hva situasjonen vil være etter et mulig salg, opp mot det etablerte målbildet for nasjonal kontroll. En slik analyse vil tydeliggjøre i hvilken grad salget kan svekke den ønskede styringsevnen eller handlefriheten. Om svekkelsen er vesentlig kan avbøtende tiltak identifiseres gjennom analysen, eller salget kan stanses i tilfeller der lovverket åpner for dette. Det kontinuerlige arbeidet med å vedlikeholde et bilde av vår nasjonale kontroll med kritisk digital kommunikasjonsinfrastruktur, vil således også sette myndighetene bedre i stand til å vurdere de mest egnede tiltakene i slike situasjoner.

    1.2 Tiltak som setter myndighetene bedre i stand til å identifisere situasjoner som potensielt kan svekke nasjonal kontroll

    Den omfattende dynamikken i sektoren for elektronisk kommunikasjon gjør at det ofte oppstår teknologiske eller markedsmessige endringer som kan påvirke den nasjonale kontrollen, og der myndighetene må vurdere hvorvidt det er nødvendig å gripe inn med tiltak. Dette kan være situasjoner der en eierandel i et selskap som kontrollerer kritisk digital kommunikasjonsinfrastruktur, skal selges til utenlandske aktører, eller der sentrale kontrakter for utvikling, drift og vedlikehold av kritisk digital infrastruktur skal inngås. I slike situasjoner er det avgjørende at informasjon om den forestående hendelsen når frem til de relevante myndigheter tidsnok. Dette krever et regelverk som sikrer rettidig informasjon til myndighetene. Kravene til eierskapskontroll i sikkerhetsloven er et eksempel på dette. Utvalget mener i tillegg at DFD bør avklare om det sektorspesifikke regelverket er i stand til å også identifisere andre typer situasjoner der man står overfor kontrollsvekkende aktivitet i ekomsektoren.

    En egenart ved ekomsektoren er at de anvendelsene som underbygger kritikaliteten til infrastrukturene ofte avhenger av innsatsfaktorer som ligger utenfor norsk jurisdiksjon. Utvalget observerer at selv om hver enkeltstående avhengighet isolert sett kan være uproblematisk, kan de samlet sett utgjøre et uønsket tap av nasjonal kontroll. For installasjoner og anvendelser som er avhengige av tilgang til infrastrukturer utenfor Norge, vil dette kunne være kritisk, særlig i den høye enden av krisespennet. Utvalget mener derfor at DFD bør vedlikeholde et faktagrunnlag knyttet til nasjonale avhengigheter av utenlandske innsatsfaktorer. Dette faktagrunnlaget bør danne basis for utvikling og vedlikehold av målbilde og virkemidler for nasjonal kontroll, herunder hvordan nasjonale beredskapstiltak og internasjonale beredskapsavtaler kan kompensere for kritiske avhengigheter til infrastruktur og innsatsfaktorer som ligger utenfor norsk jurisdiksjon.

    1.3 Tiltak som bedrer nåsituasjonen knyttet til nasjonal kontroll

    I eierskapsmeldingen fra 2022 angir Nærings- og fiskeridepartementet (NFD) seks ulike begrunnelser for statlig eierskap i selskaper, hvorav ett er «Samfunnssikkerhet og beredskap». Denne begrunnelsen benyttes for flere av statens eierskap i selskaper som eier kritisk digital kommunikasjonsinfrastruktur. Eierskap i selskaper fremstår språklig sett som et svært sterkt virkemiddel for nasjonal kontroll med slike strukturer. Utvalget har imidlertid en klar oppfatning om at staten ved NFD i forvaltningen av eierskapet bør være tydeligere på hvordan hensynet til samfunnssikkerhet og beredskap veies mot hensynet til avkastning, andre aksjonærer og for eksempel statsstøtteregler.

    Det har over lengre tid pågått et arbeid for å vurdere og forberede opprettelsen av en nasjonal skytjeneste i Norge. I totalberedskapsmeldingen sier regjeringen at de vil planlegge en nasjonal skytjeneste for å sikre økt nasjonal kontroll med kritisk digital infrastruktur, viktige samfunnsfunksjoner og digitale verdier, og de har valgt et konsept for en slik tjeneste. Utvalget ser behov for etablering av nasjonal skyløsning ut fra behovet for nasjonal kontroll, og mener at dette arbeidet bør gis høy prioritet. Det anbefales at Justis- og beredskapsdepartement (JD) tydeliggjør videre ambisjonsnivå og plan, og stiller nødvendige ressurser tilgjengelig for arbeidet.

    1.4 Tiltak som sikrer forutsigbarhet for aktørene

    I dialogen med aktører fra bransjen har utvalget fra flere fått innspill om at statens arbeid med nasjonal kontroll må foregå på en måte som ikke fremstår som uforutsigbar for aktørene. En slik uforutsigbarhet kan i neste instans føre til at aktørene nøler med å initiere økonomisk sunne omstruktureringer, da det er vanskelig å forutse hvordan staten vil reagere. I den grad statens målbilde for nasjonal kontroll blir kommunisert til aktørene, vil et slikt målbilde i seg selv bidra betydelig til øket forutsigbarhet. Det er imidlertid også andre tiltak som vil kunne fremme forutsigbarhet, og som vi omtaler under.

    Når en aktør vurderer erverv av eierandel i et norsk selskap, må man normalt legge til grunn at det er sunne bedriftsøkonomiske vurderinger som ligger bak. Et slikt oppkjøp kan føre til at kapital blir tilgjengelig for videreutvikling av norsk infrastruktur. Derfor bør myndighetenes arbeid for å sikre nasjonal kontroll med kritisk digital infrastruktur i så liten grad som mulig forstyrre aktørenes evne og vilje til slike investeringer.

    Sikkerhetsloven § 10-3 gir staten mulighet til å fatte vedtak om stans i erverv av eierandeler i virksomheter dersom nasjonale sikkerhetsinteresser blir truet. Bestemmelsen er et viktig virkemiddel for å sikre nasjonal kontroll med kritisk digital kommunikasjonsinfrastruktur. Utvalget merker seg imidlertid at det er juridisk uenighet om hvorvidt bestemmelsen står seg mot de forpliktelsene Norge har i henhold til EØS-avtalen. JD bør derfor klarlegge om sikkerhetsloven § 10-3 kan være i strid med EØS-avtalens forpliktelser.

    Dersom vi ønsker tilgang til utenlandsk kapital til norsk digital kommunikasjonsinfrastruktur, vil det være viktig at Norge fremstår som et forutsigbart og gjenkjennelig marked for potensielle investorer. Det arbeidet som skal gjøres i Norge for å sikre nasjonal kontroll over virksomheter som forvalter kritisk digital kommunikasjonsinfrastruktur bør derfor gjøres tett harmonisert med hva sammenlignbare land gjør på området. DFD og JD bør i den utstrekning det er mulig og relevant se til at Norge gjennomfører EØS-relevant regelverk knyttet til digital kommunikasjonsinfrastruktur. Nytt regelverk bør innføres i så nær tid som mulig med tilsvarende regulering i EU.

    1.5 Rapportens oppbygging

    Utvalget har skrevet en omfattende rapport som omhandler mange aspekter av problemstillingen nasjonal kontroll med digital kommunikasjonsinfrastruktur. Rapporten er delt opp i fire hoveddeler. Nedenfor i del I redegjøres det nærmere for utvalgets mandat og sammensetning. Del II inneholder beskrivende kapitler som utgjør bakgrunnsfakta for utvalgets diskusjoner og forslag til tiltak. Del III er dedikert til det virkemiddelapparatet staten rår over, og som er relevant for å forstå statens kontroll med kritisk digital infrastruktur. Del IV gir en nærmere beskrivelse av på hvilken måte staten bør arbeide systematisk og målrettet med nasjonal kontroll, kritikalitet til infrastruktur utenfor norsk jurisdiksjon, samt beskrivelse av økonomiske og administrative konsekvenser for de tiltakene utvalget foreslår. En samlet oversikt over utvalgets forslag til tiltak er inntatt i vedlegg 1.

    2 Utvalgets mandat, sammensetning og arbeid

    Bilde av en person som skriver på et tastatur til en bærbar PC.

    2.1 Utvalgets oppnevning og sammensetning

    Utvalget ble oppnevnt av regjeringen i januar 2024 med oppdrag om å gi konkrete forslag til hvordan staten kan ivareta nasjonal kontroll med kritisk digital kommunikasjonsinfrastruktur.

    Utvalget har bestått av ni medlemmer, sammensatt av et bredt utvalg av eksperter fra akademia og privat og offentlig sektor:

    • Olav Lysne (leder). Direktør for Simula Metropolitan Center for Digital Engineering (SimulaMet) og professor ved OsloMet.
    • Alexander Iversen. Sjefkonsulent for digital sikkerhet i DNV Cyber, DNV AS.
    • Anna Grinaker. Direktør for finansiell infrastruktur i Norges Bank.
    • Bente Hoff. Avdelingsdirektør i Nasjonal sikkerhetsmyndighet.
    • Hanne Tangen Nilsen. Direktør for Sykehuspartner HF.
    • Hilde Walmestad. Leder for kunde og nettdrift i nettselskapet Lede
    • Kenneth Fjell. Professor ved Norges Handelshøyskole
    • Toril Nag. Seniorpartner i HitecVision.
    • Camilla Ongre. Seniorrådgiver i Nasjonal kommunikasjonsmyndighet.

    Camilla Ongre erstattet Pål Wien Espen som medlem i utvalget etter at han gikk av som direktør for Nasjonal kommunikasjonsmyndighet i mars 2024.

    Utvalgets sekretariat har bestått av følgende personer: Irene Åmot (sekretariatsleder og spesialrådgiver i Nasjonal kommunikasjonsmyndighet), Hans Jørgen Enger (underdirektør i Nasjonal kommunikasjonsmyndighet) og Andreas Løhren (seniorrådgiver i Digitaliserings- og forvaltningsdepartementet).

    2.2 Utvalgets mandat

    Mandat for ekspertutvalg

    Nasjonal kontroll med kritisk digital kommunikasjonsinfrastruktur (ekomsikkerhetsutvalget)

    1. Sammendrag

    Norge er et av verdens mest digitaliserte land, og alle sektorer er i økende grad avhengig av digitale tjenester. Dette innebærer at den digitale infrastrukturen bærer stadig større verdier og mer kritiske tjenester for det norske samfunnet. Det er et klart budskap i Hurdalsplattformen at regjeringen skal vurdere i hvilke tilfeller staten bør ta eierskap til digital infrastruktur for å sikre disse verdiene. Den skjerpede sikkerhetspolitiske situasjonen i Europa aktualiserer dette ytterligere. Regjeringen setter derfor ned et ekspertutvalg for å vurdere hvordan staten kan ivareta nasjonal kontroll over kritisk digital kommunikasjonsinfrastruktur.

    Utvalget skal på et overordnet nivå identifisere kritisk digital kommunikasjonsinfrastruktur. Utvalget skal også identifisere selskaper som eier eller råder over slik infrastruktur og deres bakenforliggende eierforhold. I tillegg skal selskaper som er av avgjørende betydning for utbygging, drift og vedlikehold av infrastrukturen, og deres eiere, identifiseres.

    Ekspertutvalget skal videre vurdere i hvilken grad dagens regulering og øvrige virkemidler er tilstrekkelig til å ivareta nasjonal kontroll og forsvarlig sikkerhet. Utvalget skal identifisere eventuelle restbehov eller restrisiko, og foreslå løsninger for å redusere denne ytterligere, blant annet gjennom reguleringer, nasjonalt eierskap og andre virkemidler, og hvordan ulike virkemidler i så fall bør innrettes.

    2. Mål med arbeidet

    Arbeidet deles inn i tre delmål:

    • Identifisere kritisk infrastruktur på et overordnet nivå
    • Status for nasjonal kontroll og dagens virkemidler
    • Vurdere tiltak for styrket nasjonal kontroll

    2.1 Identifisere kritisk infrastruktur

    Ekspertutvalget skal til eget formål og på overordnet nivå lage en oversikt over kritisk digital kommunikasjonsinfrastruktur, av regional eller nasjonal betydning som:

    • Er viktig for statssikkerheten
    • Er av betydning for samfunnssikkerheten
    • Bærer tjenester av høy betydning for kritiske samfunnsfunksjoner

    DFD vil dele vurderinger som er relevante for dette arbeidet.

    I tillegg skal ekspertutvalget identifisere selskaper av betydning for denne infrastrukturen, blant annet selskaper som:

    • Helt eller delvis eier eller råder over slik infrastruktur
    • Har en viktig eller kritisk rolle for utbygging, drift og vedlikehold av infrastrukturen.

    I tillegg skal leverandører, underleverandører og entreprenører som er avgjørende betydning for utbygging, drift og vedlikehold av infrastrukturen, herunder utstyr og software, identifiseres. Behovet for reservedels-, beredskapslagre og beredskapsutstyr skal inngå i vurderingene.

    Oversikten skal inkludere en vurdering av følgende typer infrastruktur (både hardware og software):

    • mobil- og bredbåndsnett
    • transportnett
    • undersjøiske fiberkabler
    • datasentre
    • satellittkommunikasjonssystemer
    • særlig viktige anlegg som er viktig for hele krisespennet, blant annet fortifikatoriske anlegg/fjellanlegg

    Utvalget skal legge til grunn samfunnets avhengighet til digitale tjenester i dag, og vurdere utviklingen av denne frem mot 2030, herunder etableringen av en sikker skyløsning for staten. Utvalget skal tydeliggjøre hvilke kriterier og definisjoner som er lagt til grunn for dette arbeidet

    2.2 Status for nasjonal kontroll og dagens virkemidler

    Utvalget skal beskrive hvilke virkemidler myndighetene har for å ivareta nasjonal kontroll over digital infrastruktur, og i hvilken grad dagens virkemidler ivaretar behovet. Regulering og nasjonalt eierskap skal inngå i denne vurderingen.

    Dagens eierstrukturer skal beskrives for selskapene som eier eller råder over kritisk infrastruktur. Det er viktig at ulike sider ved utenlandsk eierskap belyses, blant annet de markedsmessige, økonomiske, juridiske og sikkerhetsmessige. Utvalget skal vurdere hvilken innvirkning de ulike formene for eierskap (nasjonalt, statlig, offentlig og privat) har for nasjonal kontroll.

    Ekspertutvalget skal belyse ulike eierformer og transaksjoner, og vurdere hvordan disse kan utfordre nasjonal kontroll, blant annet:

    • oppkjøp av andeler eller hele selskaper
    • oppkjøp av mindre andeler av et selskap i flere omganger
    • oppstykking og oppkjøp av verdiene i ulike selskaper
    • hvilken innflytelse et selskap og dets eiere har over forvaltningen av selskapet ved ulike eierstrukturer,
    • komplekse eierkjeder og endret eierskap; dersom det er flere selskaper i eierstrukturen, eierskifte bakover i eierstrukturen
    • styringsstrukturer

    Digitale kommunikasjonsnett bygger på internasjonale standarder og et sterkt globalt økosystem med rask teknologisk utvikling. Innovasjon i bransjen er viktig, og Norge ligger langt fremme med digitalisering og utbygging av slik infrastruktur, med høy grad av dekning og kapasitet i mobil- og bredbåndsnettene. Utvalget skal vurdere hvilken effekt virkemidlene for nasjonal kontroll kan ha for videre utvikling og innovasjon. Forslagene fra utvalget skal ta hensyn til behovet for videre utvikling og innovasjon, og skal i størst mulig grad legge til rette for dette. Utvalget skal også ta hensyn til sikkerhetssidene ved lange, komplekse og internasjonale digitale verdikjeder.

    Utvalget skal beskrive hvordan reguleringsregimer eller andre hensyn til nasjonal kontroll er ivaretatt i nordiske land.

    2.3 Vurdere tiltak for styrket nasjonal kontroll

    Utvalget skal foreslå konkrete tiltak for videre arbeid med nasjonal kontroll over kritisk infrastruktur. Tiltakene som foreslås skal begrunnes og være konkrete. Konsekvensene av tiltakene, herunder kostnader, nyttevirkninger og konsekvenser for videre utvikling og innovasjon, skal belyses.

    Utvalget oppfordres til å gjøre seg kjent med relevante deler av Investeringskontrollutvalgets rapport, som ble levert i desember 2023. Utvalget ble oppnevnt av NFD om eierskapskontroll i virksomheter som ikke er underlagt sikkerhetsloven. I tillegg oppfordres utvalget til å gjøre seg kjent med lov om endringer i sikkerhetsloven (eierskapskontroll og lovens virkeområde) av 20. juni 2023.

    3. Tidsplan for arbeidet

    Ekspertgruppen etableres 1-2 måneder etter besluttet sammensetning. Arbeidet er omfattende, og har en ambisiøs tidsplan på 12 måneder, med en muntlig rapportering i form av «forankringsmøter» med departementet etter 3, 5 og 9 måneder. Ekspertgruppen skal levere utkast til rapport etter 9 måneder og endelig rapport 12 måneder etter oppstart, som skissert i tidsplanen. Leveranse av endelig rapport blir 1. februar 2025 3 :

    Eventuelle spørsmål kan avklares med departementet underveis i arbeidet.

    4. Leveranse:

    Arbeidet skal resultere i en rapport, der resultatene fra alle tre delmålene beskrives:

    • Identifisere kritisk infrastruktur på et overordnet nivå
    • Status for nasjonal kontroll og dagens virkemidler
    • Vurdere tiltak for styrket nasjonal kontroll

    Materiale som er gradert utarbeides i separat(e) vedlegg.

    Utredningsinstruksen skal legges til grunn for arbeidet til ekspertutvalget: Utredningsinstruksen – regjeringen.no .

    Det vises videre til Meld. St. 6 (2022–2023) eierskapsmeldingen: Meld. St. 6 (2022–2023) – regjeringen.no . Videre vises det til Meld. St. 9 (2022–2023) om nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet. Meld. St. 9 (2022–2023) – regjeringen.no

    2.3 Utvalgets tolkning av mandatet

    Utvalget har fått et meget omfattende mandat som i sin videste tolkning vil overskride rammene for et utvalgsarbeid. Det har derfor vært nødvendig å gjøre avgrensninger og prioriteringer for å kunne ferdigstille arbeidet innenfor de rammene som var til rådighet. I denne seksjonen beskrives de mest sentrale av disse avgrensningene og prioriteringene.

    På overordnet nivå sier mandatet at utvalget skal vurdere hvordan staten kan ivareta nasjonal kontroll over kritisk digital kommunikasjonsinfrastruktur. Utvalget har på denne bakgrunn valgt å konsentrere seg om hva som gir staten nasjonal kontroll, og avgrense mot hva den nasjonale kontrollen skal benyttes til. Utvalget ser her på nasjonal kontroll som statens evne til å skaffe beslutningsgrunnlag, evne til å ta eller påvirke beslutninger, og handlefrihet til å sette beslutninger ut i live.

    Eksempelvis tar utvalget ikke stilling til hvorvidt enkelte grupper av selskaper skal pålegges å opprette beredskapslager for en gitt type komponenter. Statens evne til å identifisere behovet for et slikt lager, påvirke en beslutning om at et beredskapslager skal opprettes, samt evne til å sørge for at en slik beslutning får effekt, tolkes imidlertid å ligge innenfor utvalgets mandat. I noen tilfeller er det krevende å trekke en klar grense mellom grep som gir nasjonal kontroll, og hva staten i en gitt situasjon kan ønske å benytte den nasjonale kontrollen til. Når det har oppstått tvilstilfeller har utvalget søkt å legge seg på en restriktiv linje. Tiltak som ikke i vesentlig grad påvirker statens kontroll har vi derfor latt ligge, selv om de isolert sett kan være gode i et sikkerhetsperspektiv.

    Utvalget har også fått i oppgave å identifisere kritisk digital kommunikasjonsinfrastruktur og å identifisere selskaper som eier eller råder over slik infrastruktur. Vi har sett denne delen av oppgaven i lys av mandatets to andre hovedoppgaver, som er å redegjøre for status for nasjonal kontroll og vurdere tiltak for styrket nasjonal kontroll. Vi har ansett disse to siste oppgavene som viktigst i vårt mandat.

    Heller enn å gi en fullt utarbeidet og begrunnet oversikt over hva som kan karakteriseres som kritisk infrastruktur, har utvalget konsentrert seg om å lage en oversikt som danner et hensiktsmessig grunnlag for vårt eget arbeid med tiltak for nasjonal kontroll. Vi har derfor på et overordnet nivå definert kategorier av infrastruktur som er viktig for statssikkerheten, av betydning for samfunnssikkerheten eller som bærer tjenester av høy betydning for kritiske samfunnsfunksjoner. Videre har vi identifisert virksomheter av betydning for disse klassene av infrastrukturer. Med utgangspunkt i disse virksomhetene har vi analysert dagens nasjonale kontroll med de kritiske delene av selskapenes virksomhet. Denne generiske analysen danner grunnlag for våre forslag til tiltak for styrket nasjonal kontroll.

    En sentral begrunnelse for at utvalget ble opprettet, lå i et antall konkrete saker der salg av aksjeposter i enkeltselskaper ble vurdert. I disse sakene måtte norske myndigheter ta stilling til hvorvidt endringen i eierskapet ville utgjøre en risiko av betydning for samfunnssikkerheten og kritiske samfunnsfunksjoner. Disse sakene dreiet seg om eierskap, men den risikoen som oppstår gjennom sikkerhetstruende endringer i eierskap, er bare ett forhold som kan svekke nasjonal kontroll i kritisk digital kommunikasjonsinfrastruktur. Utvalget har derfor sett bredere på ulike forhold som kan svekke nasjonal kontroll, hvilken styringsevne og handlefrihet staten trenger for å opprettholde nasjonal kontroll og hvilke ulike virkemidler som kan brukes for å oppnå dette.

    Utvalget har ikke gjort noen klare avgrensninger knyttet til krisespennet. De virkemidlene vi foreslår må i all hovedsak gjennomføres i fredstid, men effekten av dem vil være viktigst ved en eskalering oppover i krisespennet. Videre har vi ikke avgrenset oss mot noen deler av trusselbildet i den forstand at vi ser nasjonal kontroll som et virkemiddel for å bygge nasjonal sikkerhet i møte med alle relevante trusler. Likevel er det slik at de truslene som utfordrer nasjonal kontroll, står i en særstilling i vårt arbeid. Sikkerhetstruende økonomisk virksomhet som gir en grad av kontroll over selskaper som eier kritisk digital kommunikasjonsinfrastruktur, har derfor blitt viet spesiell oppmerksomhet.

    En diskusjon om nasjonal kontroll med digital infrastruktur er ufullstendig uten en vurdering av det internasjonale bildet. Dette berøres i noen grad av mandatet ved at det omtaler internasjonalt samarbeid, et sterkt globalt økosystem og komplekse internasjonale verdikjeder. Det er et faktum at norske kritiske systemer og norsk kritisk infrastruktur er tett sammenvevd med internasjonale systemer som ikke er underlagt norsk jurisdiksjon. Nasjonal påvirkningsevne på disse systemene må skje gjennom internasjonalt samarbeid. Rapporten inneholder et eget kapittel som omhandler slike systemer.

    2.4 Utredninger med grenseflater mot mandatet for dette utvalget

    Utvalget har benyttet en rekke ulike kilder i sitt arbeid, både når det gjelder bakgrunnsinformasjon og vurderinger knyttet til nasjonal kontroll, eierskap og innflytelse i virksomheter og ulike trusler.

    Som det fremgår av mandatet, ble utvalget oppfordret til å gjøre seg kjent med Investeringskontrollutvalgets rapport NOU 2023: 28 Investeringskontroll – En åpen økonomi i usikre tider . Flere av de vurderinger og beskrivelser av regelverk som fremkommer i NOU-en er relevant for dette utvalget

    Andre relevante dokumenter har vært Meld. St. 9 (2022–2023) Nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet – Så åpent som mulig, så sikkert som nødvendig , Forsvarets forskningsinstitutt rapport 20/03149 Utenlandske investeringer og andre økonomiske virkemidler – når truer de nasjonal sikkerhet?, Totalberedskapskommisjonen NOU 2023: 17 Nå er det alvor – rustet for en usikker fremtid og Meld. St. 9 (2024–2025) Totalberedskapsmeldingen – Forberedt på kriser og krig .

    Når det gjelder Totalberedskapsmeldingen, ble denne meldingen ble lagt frem helt på tampen av utvalgets arbeid. Utvalget har derfor ikke hatt mulighet til å vurdere alt innholdet eller alle forslagene i meldingen.

    2.5 Utvalgets møter og reiser

    Utvalget startet arbeidet 2. februar 2024 og har avholdt 12 møter av en til to dagers varighet. Møtene har vært fysiske og avholdt i Oslo-området, men med mulighet for digital deltakelse. Det har i tillegg vært gjennomført digitale møter mellom enkelte utvalgsmedlemmer og utvalgsleder underveis i arbeidet.

    Utvalget har i løpet av arbeidet hatt digitale møter med Telenor, Tampnet, Space Norway, Green Mountain, Helsenett og Nasjonal sikkerhetsmyndighet, Cyberforsvaret og Nkom.

    2.6 Skriftlige innspill og utredninger bestilt av utvalget

    Utvalget gjennomførte våren 2024 en informasjonsinnhenting for å få innsikt i hvordan ulike deler av ekomsektoren selv vurderer problemstillinger knyttet til eierskapstransaksjoner og da særlig knyttet til utenlandsk eierskap. Utvalget ba også om tilbakemeldinger om leverandører som ekomtilbyderne selv anser som viktige med tanke på utbygging, drift og vedlikehold av den kritiske digitale kommunikasjonsinfrastrukturen.

    Spørreundersøkelsen er nærmere omtalt i vedlegg 5.

    Utvalget har mottatt innspill fra Universitetet i Oslo som drifter et av samtrafikkpunktene for internettrafikk (NIX) i Norge, og Norsk Datasenterindustri. Innspillene omhandler temaer som omtales i denne rapporten, for eksempel utviklingen av datasentre i Norge, behov for infrastruktur knyttet til nøyaktig tid og synkronisering av frekvensbånd i mobilnett, forhold for å sikre basis internettjenester i Norge dersom deler av nettet er nede eller isolert, samt beredskap rundt fysisk infrastruktur.

    Utvalget har underveis innhentet tre utredninger som benyttes aktivt i denne rapporten:

    1. En fremtidsanalyse for utviklingstrekk og trender for kritisk digital infrastruktur frem mot 2030, gjennomført som et samarbeid mellom Oslo Economics og Norsk utenrikspolitisk institutt (NUPI).
    2. Denne rapporten analyserer hvordan teknologiske- og markedsmessige trender og geopolitisk utvikling kan påvirke nasjonal kritisk infrastruktur i årene fremover, også i lys av samfunnets avhengigheter til digitale tjenester. Rapporten er behandlet i kapittel 7.
    3. En eierskapsanalyse for å avdekke reelle (utenlandske) eiere til selskaper som eier kritisk digital kommunikasjonsinfrastruktur eller underleverandører til disse, gjennomført av Menon Economics.
    4. I rapporten har det særlig vært fokus på å bringe på det rene utenlandsk eierskap gjennom flere ledd i eierskapskjeden, i tillegg til at det også for eksempel gjøres vurderinger av risiko knyttet til utenlandsk eierskap. Rapporten er behandlet i kapittel 6.
    5. En juridisk vurdering av rettslige rammer for kontroll med kritisk digital infrastruktur, foretatt av professor Christoffer Conrad Eriksen ved Institutt for offentlig rett, Det juridiske fakultet, Universitetet i Oslo.

    Utredningen tar for seg hvilke forutsetninger som må til for at norske myndigheter kan pålegge og håndheve vilkår som fastsettes overfor utenlandske selskaper som blir eier av eller får kontroll over kritisk digital kommunikasjonsinfrastruktur i Norge. Vurderinger fra rapporten er benyttet i kapittel 9 og 13.

    I denne rapporten vil vi heretter referere til de tre utredningene som følger: OE/NUPI (2024), Menon (2024) og Eriksen (2024).

    De tre utredningene er inntatt som vedlegg 2-4 i denne rapporten.

    Fotnoter

    1  NOU 2023: 17 Nå er det alvor – Rustet for en usikker fremtid
    2  Meld. St. 9 (2024–2025) Totalberedskapsmeldingen – Forberedt på kriser og krig
    3  Ny frist ble i dialog med departementet (DFD) satt til 28. februar 2025.
    Neste kapittel
    Til forsiden
    Neste kapittel
    Til forsiden
    Til forsiden
    Til toppen