DEL II Om kritisk digital kommunikasjonsinfrastruktur og nasjonal kontroll

3 Om ekomsektoren

3.1 Innledning

Den norske ekomsektoren leverer elektroniske kommunikasjonsnett og -tjenester til hele landet. Sammen med datasentre danner disse nettene og tjenestene det som gjerne omtales som den digitale grunnmuren . 4 Denne «grunnmuren» består av en rekke ulike tilbyderes infrastruktur, og de som leverer tjenestene sine via nettene, kan selv være eiere av nettene eller aktører som tilbyr tjenester basert på kjøp av tilgang til nett og tjenester fra andre.

I denne delen av rapporten gir vi en innføring i ekomsektoren for å vise på et helt overordnet nivå hvordan sektoren ser ut i dag, og hvordan den økende digitaliseringen av samfunnet vårt og ikke minst konkurranse om å levere ekomtjenester, har bidratt til å utvikle sektoren.

Utvalget har på ingen måte tatt mål av seg å gi en komplett beskrivelse av sektoren, da dette ikke er en del av mandatet, men heller sette sektoren inn i en ramme før vi ser nærmere på de ulike aktørene som i dag eier eller kontrollerer kritisk digital kommunikasjonsinfrastruktur.

3.2 Noen korte fakta om ekomsektoren

Nasjonal kommunikasjonsmyndighet (Nkom) samler inn og offentliggjør årlig informasjon om utviklingen i ekomsektoren. I etterkant av liberaliseringen av det gamle telemonopolet siste halvdel av 1990-tallet, har den norske ekomsektoren utviklet seg med etablering av en rekke tjenestetilbud og tilbydere som konkurrerer om å tilby sine tjenester til offentlige og private kunder. Tidligere krav om konsesjon ble med ekomloven fra 2003 erstattet av en generell tillatelse gjennom det rettslige rammeverket, samt en registreringsplikt hos Nkom. Individuelle tillatelser ble begrenset til å omfatte frekvenstillatelser og nummer innenfor nasjonal nummerplan.

Ser vi på nøkkeltall for sektoren, viser disse at ekomsektoren i 2023 samlet omsatte for i underkant av 39 milliarder kroner. Tallene er hentet inn fra 150 større og mindre tilbydere og tar utgangspunkt i tilbydernes fakturering av egne kunder, men inkluderer for eksempel ikke TV-abonnement eller utleie eller salg av utstyr som for eksempel mobiltelefoner.

Den norske ekomsektoren har gjort betydelige investeringer for å bygge ut infrastruktur i hele landet. Investeringsandelen målt mot omsetning har i en årrekke ligget på over 1/3. Det er særlig investeringer i mobilnett (4G og 5G), samt fiberbredbånd som har bidratt til de høye investeringstallene i de senere årene. Det ble foretatt investeringer i varige driftsmidler for elektroniske kommunikasjonsnett og -tjenester på mer enn 12,6 milliarder kroner i 2023, og samlet rundt 63,6 milliarder kroner for årene 2019-2023.

I tillegg kommer investeringer i datasentre. Dette er tall Nkom foreløpig ikke har tilgang til, men i en rapport estimerer Norsk Datasenterindustri investeringer på 20-30 milliarder kroner per år i årene fremover.

Romindustrien er heller ikke inkludert i disse tallene. På dette området er særlig introduksjonen av lavbane-satellitter (LEO – Low Earth Orbit) interessant fordi de vil kunne gi konnektivitet i områder som ikke er dekket av eksisterende fastnett eller mobilnett.

Knyttet til vurderingen av kritisk digital kommunikasjonsinfrastruktur, er det viktig å påpeke at det ikke nødvendigvis er et én-til-én-forhold mellom de som eier eller kontrollerer infrastruktur og de som tilbyr tjenester som leveres over infrastrukturen. Ekomsektoren består av en rekke tilbydere som baserer sitt tilbud på grossisttilgang hos ulike infrastruktureiere og på den måten konkurrerer om offentlige og private kontrakter. Dette innebærer at en samfunnskritisk tjeneste kan leveres over infrastrukturen til en infrastruktureier uten at denne nødvendigvis er kjent med kritikaliteten til virksomheter som benytter tjenestene som leveres over infrastrukturen.

3.3 Markedsmessig utvikling – konsolidering og konvergens mellom nett og tjenester

Det norske ekommarkedet består i dag av en rekke ulike selskaper som tilbyr tilgang til digitale kommunikasjonsnett og -tjenester, og dette landskapet er stadig i endring etter hvert som selskaper kjøpes opp eller avvikles, eller nye selskaper etableres. Forretningsmodellene bak de enkelte selskapene kan variere, avhengig av om eier for eksempel har en finansiell tilnærming til drift med ønske om fremtidig oppkjøp i tankene eller er en mer industriell og langsiktig eier.

Telenor har en solid markedsposisjon i det norske markedet, med utgangspunkt i selskapets landsdekkende mobil- og bredbåndsinfrastruktur. Denne posisjonen har i de senere årene blitt utfordret av både Telia og ice (nå Lyse Tele). Gjennom oppkjøp av andre selskap har Telia og Lyse Tele kontroll over infrastruktur som innebærer at de har både fastnett og mobilnett i Norge (dekningen er dog ikke nødvendigvis helt lik). Denne utviklingen bidrar for eksempel til at alle de tre selskapene kan tilby komplette løsninger i både bedriftsmarkedet og privatmarkedet, og er i ferd med å oppfylle den politiske målsettingen om å ha tre fullverdige mobilnett i Norge.

I markedet for fast bredbånd er Altibox-partnerne og GlobalConnect viktige aktører med utstrakt bredbåndsinfrastruktur som danner grunnlag for solide markedsposisjoner i privat- og bedriftsmarkedene.

Telenor er fortsatt den klart største aktøren i det norske markedet målt i total omsetning. Selskapets andel av samlet omsetning var på 43,8 prosent første halvår 2024, med Telia på andreplass med 23,5 prosent av samlet omsetning.

På tjeneste- og infrastruktursiden ser vi at det har vært en utvikling ved at flere tjenester som tidligere ble levert i ulike nett og med ulik teknologi, nå smelter sammen og leveres via internett-teknologi (pakke-svitsjede nett). Dette gir mulighet for sømløs overgang mellom ulike typer nett (fast/trådløst) for tjenester mange benytter seg av i det daglige. For arbeidslivets del er det for eksempel kan det være en fordel å kunne flytte samtaler på Teams mellom ulike enheter (PC til mobil) dersom man er nødt til å ta deler av et møte på farten.

3.4 Nye aktører med egen infrastruktur – en internasjonal sektor i stadig endring

Ekomsektoren er i sin natur internasjonal. Dette vises godt ved at flere aktører har etablert tjenestetilbud med egen infrastruktur i flere ulike land, men ikke minst fordi innholdet vi konsumerer og tjenestene vi benytter oss av, leveres av store internasjonale selskaper som Alphabet (Google), Amazon, Microsoft, Meta (Facebook) og ByteDance (TikTok) med opphav utenfor Europas grenser.

I Norden er Telenor, Telia og GlobalConnect eksempler på aktører som minst har et skandinavisk fotavtrykk for sine nettverk. I Europa for øvrig finnes flere eksempler på multinasjonale selskaper som drifter nett og tjenester i flere av medlemsstatene i EU og med forgreninger til andre deler av verden. Mens Telenor i en årrekke har hatt virksomhet i Asia, er for eksempel Deutsche Telekom blant de største mobilnettaktørene i USA, i tillegg til at selskapet har aktivitet i Canada.

Fremveksten av store internasjonale innholdsleverandører endrer måten bransjen og kundene tilnærmer seg tjenester og informasjon som leveres over ekomnettene, på. I Nkoms rapport «Internett i Norge – Årsrapport 2024» fremgår det for eksempel at man på et aggregert nivå har en årlig vekst i internettrafikken på om lag 20-30 prosent. Strømmetjenester er den største trafikkdriveren og står for omtrent 70 prosent av trafikken i nettene. I et 10-15 års perspektiv går det derfor an å trekke frem spesielt to viktige trender – fremveksten av sjøkabler og etablering av en ny datasenternæring i Norge. Disse to trendene henger tett sammen. Kombinasjonen sjøkabler og lokale datasentre gir brukerne rask tilgang til data med lav responstid.

De siste 10 årene er det etablert eller under planlegging flere store sjøfiberkabler som knytter Norge til Europa og verden for øvrig. Denne type internasjonal konnektivitet bidrar til både redundante og diversifiserte internettforbindelser for datatrafikken innad samt til/fra Norge, men kan også sees i sammenheng med det politiske siktemålet om å gjøre Norge til et attraktivt land å investere og bygge datasenter i. 5 Altibox Carrier, Bulk og Tampnet er eksempler på aktører som har etablert internasjonale sjøfiberforbindelser til/fra Norge.

Flere regjeringer har vært pådrivere for å legge til rette for etablering av datasentre i Norge. Regjeringen Gahr Støre ved digitaliserings- og forvaltningsminister Karianne Oldernes Tung har varslet at det skal legges frem en ny datasenterstrategi våren 2025. Datasenternæringen er i fremvekst, og flere eksisterende datasenteraktører som for eksempel Bulk, Lefdal Mine Datacenter, Green Mountain og Stack er omtalt i denne rapporten.

I tillegg er det naturlig å se på en tredje trend innen teknologiutvikling, nemlig utviklingen innen satellittkommunikasjonstjenester. Fremveksten av lavbane-satellitter er med på å kunne gi gode bredbåndstjenester i områder som hittil ikke har vært dekket av annen teknologi. Satellittkommunikasjonsløsninger basert på geo-stasjonære satellitter som er posisjonert mye lengre ut i verdensrommet har sine klare begrensninger knyttet til ned- og opplastingshastighet, i tillegg til lang responstid, men dette bildet endres nå. 6 Både amerikanske Starlink og Project Kuiper (Amazon) er aktive her, men også europeiske Eutelsat OneWeb er eksempel på europeisk selskap. I tillegg kommer EUs IRIS-program 7 der man har avsatt 2,4 milliarder euro i perioden 2023-2027 for å skape et sikkert satellittbasert kommunikasjonsalternativ for i medlemslandene, men som også tar sikte på å kunne tilby kommersielle kommunikasjonstjenester.

4 Nasjonal kontroll med digital infrastruktur

4.1 Hva er nasjonal kontroll

4.1.1 Innledning

Problemstillinger rundt nasjonal kontroll ble for alvor satt på spissen i forbindelse med Russlands fullskala angrepskrig mot Ukraina. Kort tid etter invasjonen i 2022 ble Elon Musk-eide SpaceX sin satellittjeneste Starlink tilgjengeliggjort for Ukraina. Også en rekke satellitterminaler ble anskaffet og donert, slik at ukrainske myndigheter kunne opprettholde kommunikasjon når deres egen telekom- og kraftinfrastruktur ble angrepet. Det er rapportert at Ukraina hadde stor nytte av dette. I ettertid var Musk imidlertid involvert i flere kontroverser, blant annet ved å nekte Ukraina tilgang til Starlink for offensive militæroperasjoner. 8 I dette tilfellet manglet Ukraina egnede kommunikasjonstjenester under egen nasjonal kontroll og var prisgitt én enkelt aktør utenfor egen jurisdiksjon, og som kunne sette egne betingelser for tilgang på tjenesten.

Et motsatt eksempel var hvordan Ukraina håndterte sine offentlige data i forbindelse med invasjonen. Tidligere ble disse lagret på lokale servere i Ukraina, under nasjonal kontroll. Imidlertid ble disse datasentrene vurdert som mulige mål for militære angrep. Rett før invasjonen ble det åpnet for at kritiske offentlige data kunne migreres over på offentlige skytjenester, blant annet på Microsofts skyplattform 9 , slik at dataene kunne flyttes ut av Ukraina og spres på datasentre i Europa. I dette tilfellet var det fordelaktig å «redusere» den nasjonale kontrollen med dataene for å beskytte dem.

Konseptet med å kunne evakuere kritisk data ut av landet i forbindelse med krise og krig er ikke nytt. I 2017 signerte statsministrene i Estland og Luxembourg avtale om å etablere en estisk «data-ambassade» i Luxembourg, i form av datasentre, med tilsvarende juridisk beskyttelse som en fysisk ambassade. 10 Her lagrer Estland backup av viktige offentlige data, som eiendomsregistre, folkeregister osv. 11

Innenfor elektronisk kommunikasjon vil ulike sikkerhetstiltak måtte tilpasses behovet for kommunikasjonens tilgjengelighet, integritet og konfidensialitet. For eksempel vil det i en ekstremværsituasjon være viktigere å sikre at mobilkommunikasjon er tilgjengelig for redningspersonell og innbyggere, enn at den er avlyttingssikker. Ved utveksling av informasjon som kan skade nasjonale sikkerhetsinteresser om den kommer på avveie, så vil det å sikre kommunikasjonens konfidensialitet som oftest være det viktigste behovet.

Ofte kan hensynene til elektronisk kommunikasjons tilgjengelighet, integritet og konfidensialitet komme i konflikt med hverandre. I tillegg må sikkerhet hele tiden avveies mot andre viktige samfunnshensyn. Digital infrastruktur er i hovedsak eid og driftet av private aktører i et fritt konkurransemarked, og en del av en teknologisk kompleks sektor som krever tunge investeringer. I et lite land som Norge er derfor utenlandske investeringer og partnerskap, samt tilgang til utenlandsk teknologi og kompetanse, avgjørende for å sikre konkurransekraft, innovasjon og utvikling.

Å legge til rette for konkurranse, innovasjon og teknologisk utvikling står ikke i motstrid med behovet for sikkerhet, heller tvert imot. For eksempel har norske myndigheter besluttet at dagens Nødnett, som er en separat og fullt ut statlig eid sambandsinfrastruktur for nød- og beredskapsetater, skal fases ut, og erstattes med nytt konsept for nød- og beredskapstjenester som kombinerer statlig eierskap med kjøp fra kommersielle mobiloperatører 12 :

«Kombinasjonen utnytter styrkene fra offentlig og privat sektor. Staten vil benytte ulike virkemidler, som eierskap, sikkerhetsloven, regulering, tilsyn og avtaler for å oppnå tilstrekkelig grad av nasjonal kontroll og forsvarlig sikkerhet i nytt nødnett.»

Den sentrale utfordringen er derfor å vurdere behovet for sikkerhet og nasjonal kontroll sammen med hensynet til konkurranse, innovasjon og utvikling. Som for sikkerhetstiltak for øvrig, er nasjonal kontroll et virkemiddel som kan ha stor betydning for sikkerheten i noen tilfeller, men begrenset eller ingen effekt i andre tilfeller. I noen tilfeller kan det sågar være hensiktsmessig at infrastruktur eller tjenester er plassert utenfor Norge, for å ivareta nasjonale sikkerhetsinteresser.

4.1.2 Ulike definisjoner og beskrivelser

Nasjonal kontroll er ett av flere virkemidler for å oppnå nasjonal sikkerhet. Meld. St. 9 (2022–2023) omtaler nasjonal kontroll sammen med en rekke andre virkemidler for å bygge digital motstandskraft. Andre virkemidler omfatter eksportkontroll, sikker teknisk design, hendelseshåndtering, spesialistkompetanse, veiledningsressurser mv. Dette kapitlet ser nærmere på begrepet nasjonal kontroll.

Nasjonal kontroll er ikke entydig definert. Siden ekomsikkerhetsutvalget har blitt nedsatt som et av tiltakene i Meld. St. 9 (2022–2023), er det naturlig å ta utgangspunkt i beskrivelsen av begrepet nasjonal kontroll i denne stortingsmeldingen. Her er begrepet knyttet til evnen til å ivareta nasjonale sikkerhetsinteresser. Nasjonale sikkerhetsinteresser er i sikkerhetsloven § 1-5 nr. 1 er definert som følger:

Det følger av Prop. 153 L (2016–2017) Lov om nasjonal sikkerhet at nasjonale sikkerhetsinteresser omfatter primært statssikkerhet, men også de deler av samfunnssikkerheten som har vesentlig betydning for Norges evne til å ivareta sikkerhetsinteressene. Loven fanger derfor i større grad enn tidligere lov opp samfunnssikkerhetsperspektivet i tillegg til statssikkerheten. Det uttales i den nevnte proposisjonen at det i dagens samfunn har blitt vanskeligere å trekke en klar linje mellom statssikkerhet og samfunnssikkerhet, gitt både det komplekse trusselbildet, og de komplekse og gjensidige avhengighetene på tvers av samfunnssektorer, privat og offentlig virksomhet, og sivil og militær virksomhet. På samme bakgrunn vurderer utvalget at også sektorreguleringen i ekomsektoren delvis griper inn i forhold som omhandler nasjonale sikkerhetsinteresser, ved at flere av kravene i ekomloven og forskriften er knyttet til å ivareta «nasjonal sikkerhet».

Ifølge mandatet skal utvalget se på digital kommunikasjonsinfrastruktur som er viktig både for statssikkerheten, har betydning for samfunnssikkerheten og som bærer tjenester som har betydning for kritiske samfunnsfunksjoner. Derfor vil utvalget i rapporten bruke begrepet nasjonale sikkerhetsinteresser i en bredere forstand, slik at det ikke bare er strengt avgrenset til definisjonen i sikkerhetsloven, men også kan omfatte nasjonal sikkerhet slik det omtalt i ekomloven. I utvalgets mandat er nasjonal kontroll tett knyttet til eierskap. Mandatet viser til Hurdalsplattformens budskap om at regjeringen skal vurdere i hvilke tilfeller staten bør ta eierskap til digital infrastruktur for å sikre verdiene som bæres over infrastrukturen. Her er kartlegging av dagens eierstrukturer til gjeldende digital infrastruktur et sentralt moment. Videre skal utvalget vurdere hvordan nasjonal kontroll påvirkes av ulike eierformer og eierskapstransaksjoner.

Men utvalget skal ikke se utelukkende på eierskap som virkemiddel for nasjonal kontroll med digital infrastruktur. Det spesifiseres i mandatet at også andre virkemidler skal vurderes, som for eksempel regulering i lov og forskrift og nasjonalt eierskap (kommune, fylkeskommune og privat norsk eierskap). Stortingsmeldingen peker på ytterligere virkemidler, som offentlig-privat/sivil-militært og internasjonalt samarbeid, råd og veiledning, og det å ha tilstrekkelig oversikt over verdiene.

I «Konseptvalgutredning for nasjonal skytjeneste» (NSM, 2023), fremgår det at begrepet nasjonal kontroll brukes for å « beskrive en tilstand der staten kan ivareta sin handlefrihet og styringsevne gjennom hele krisespekteret », og at «fravær av nasjonal kontroll kan kjennetegnes ved at staten står i et avhengighetsforhold til eksterne aktører utenfor norsk jurisdiksjon».

Videre beskriver NSMs temarapport «Nasjonal kontroll av IKT-tjenester» (2023) at begrepet, i konteksten av IKT-tjenester, i praksis kan innebære at

«[…] utvalgte norske data og tjenester er underlagt reell norsk teknisk og juridisk kontroll, og at man med høy sannsynlighet kan utelukke at utenlandske selskaper og andre land har teknisk tilgang til norske data og tjenester. Dette innebærer at det ikke skal være teknisk mulig for noen utenfor Norge (inkludert utenlandske leverandører og andre lands myndigheter) å lese, manipulere eller sabotere norske data og tjenester. […] Data og tjenester skal fungere godt i hele krisespekteret […].»

4.1.3 Tilstøtende begreper – autonomi og suverenitet

Det finnes også tilstøtende begreper til nasjonal kontroll som har dels overlappende betydning. Et slikt begrep er nasjonal autonomi . Autonomi betyr selvstyre , og brukes i mange ulike sammenhenger, fra et lands selvråderett, til tekniske systemer som tar beslutninger uten menneskelig intervensjon, og til et menneskes individualitet og evne til å ta egne beslutninger.

I kontekst av elektronisk kommunikasjon, er nasjonal autonomi omtalt i en egen bestemmelse, § 2-9, i forskrift om elektronisk kommunikasjon og elektroniske kommunikasjonstjenester (ekomforskriften):

«Nasjonal kommunikasjonsmyndighet kan i krise- og beredskapssituasjon pålegge tilbyder å utføre drift og vedlikehold av tjenestetilbudet med personell og tekniske løsninger som er lokalisert på norsk territorium.»

Et annet tilstøtende begrep er digital suverenitet. Begrepet har blant annet blitt brukt i forbindelse med EUs felleseuropeiske visjon for digital omstilling «Det digitale tiåret 2030», hvor målet blant annet er å styrke europeisk konkurransekraft og Europas digitale suverenitet og digitale sikkerhet og slik gjøre seg mindre avhengig av USA og Asia.

For å bidra til å nå disse målene har EU blant annet etablert et investeringsprogram DIGITAL 13 14 , som har seks satsingsområder: 1) tungregning og superdatamaskiner, 2) skyteknologi, data og kunstig intelligens, 3) digital sikkerhet, 4) avansert digital kompetanse, 5) anvendelse av digitale teknologier, og 6) halvledere (mikrobrikker). Norge deltar i dette programmet.

I sammenheng med den store utbredelsen av skytjenester brukes suverenitets-begrepet også i formen «sovereign cloud». Med dette menes i de fleste sammenhenger en skytjeneste-infrastruktur som sikrer at data lagres og skytjenester prosesseres innenfor et lands grenser og jurisdiksjon.

4.1.4 Utvalgets definisjon av nasjonal kontroll med digital infrastruktur

Som angitt i mandatet skal eierskap være sentralt i utvalgets vurderinger av nasjonal kontroll. Samtidig er det helt avgjørende at eierskap som virkemiddel sees i sammenheng med øvrige virkemidler for å ivareta nasjonal kontroll, slik som regulering, avtaler, internasjonalt samarbeid osv.

På den ene side har utvalget dermed et bredere perspektiv enn for eksempel investeringskontrollutvalget, som ser utelukkende på screening av utenlandske investeringer. På en annen side har utvalget et spissere fokus, hva gjelder den sektorspesifikke avgrensningen til digital kommunikasjonsinfrastruktur.

Begrepene nasjonal kontroll, nasjonal autonomi og digital suverenitet tar opp i seg de samme momentene, er dels overlappende og ser også ut til å brukes om hverandre i ulike sammenhenger.

Digital suverenitet er et generisk begrep som kan brukes til å omtale alt fra en enkelt virksomhets kontroll med sin egen digitale infrastruktur og egne data, til EUs digitale suverenitet overfor andre stormakter.

Nasjonal autonomi i kontekst av digital kommunikasjonsinfrastruktur virker å være nærmere knyttet til en teknisk implementasjon, jf. § 2-9 om nasjonal autonomi i ekomforskriften. Det vil si, at drift og vedlikehold av infrastruktur/tjenester skal gjennomføres med personell og tekniske løsninger som er lokalisert på norsk territorium.

Slik utvalget vurderer det, omhandler nasjonal kontroll på sin side to sentrale aspekter; statens styringsevne , og statens handlefrihet . Styringsevne kan sees på som den myndigheten og det mandatet staten har til å fatte effektive beslutninger om digital infrastruktur gjennom for eksempel eierskap, regulering eller avtaler. Handlefrihet beskriver den fleksibiliteten og det handlingsrommet som staten har til å få implementert og gjennomført disse beslutningene uten å bli begrenset av utenlandske aktører eller andre eksterne faktorer.

Forholdet mellom styringsevne og handlefrihet kan illustreres i figur 4.1.

Figur 4.1 Nasjonal kontroll som produkt av styringsevne og handlefrihet

Forholdet mellom styringsevne og handlefrihet kan for eksempel illustreres med autonomi-bestemmelsen i ekomforskriften. Sett for eksempel at en norsk mobiloperatør i fremtiden etablerer produksjon av 5G-tjenester på en utenlandsk skyplattform. Autonomi-bestemmelsen er i seg selv ikke til hinder for dette, så lenge myndigheten ikke har gitt mobiloperatøren pålegg om å innføre nasjonal autonomi. Bestemmelsen gir derimot myndighetene nødvendig styringsevne til å kunne pålegge nasjonal autonomi dersom en krise- eller beredskapssituasjon inntreffer.

Hvis operatøren ikke på forhånd har forberedt drift av 5G-tjenestene med infrastruktur, ressurser og kompetanse i Norge, vil statens handlefrihet imidlertid være begrenset, og beslutningen om å innføre nasjonal autonomi vil ikke kunne gjennomføres i praksis. I dette tilfellet oppnås handlefrihet gjennom at det faktisk er forberedt tilgjengelige innsatsfaktorer på norsk jord som legger til rette for nasjonal drift av 5G-tjenestene i en krise- eller beredskapssituasjon. Dette kan være at skyplattformen er designet slik at den enkelt kan flyttes og kjøres fra norske datasentre, at mobiloperatøren har tilrettelagt for et nasjonalt operasjonssenter, og at det er sikret driftsressurser med nødvendig kompetanse i Norge. Eksemplet viser at både styringsevne og handlefrihet er nødvendig for å oppnå reell nasjonal kontroll.

Det er viktig å påpeke at det i alle beskrivelser av nasjonal kontroll (og autonomi og suverenitet) er en erkjennelse av at kontrollen ikke kan være fullstendig (100 %). Alle digitale infrastrukturer, produkter og tjenester vil ha visse avhengigheter til funksjoner eller innsatsfaktorer, direkte eller i indirekte i leverandørkjeden, som reduserer den nasjonale kontrollen. Dette omtales nærmere i kap. 13 .

Oppsummert legger utvalget derfor følgende definisjon av nasjonal kontroll i digital kommunikasjonsinfrastruktur til grunn:

4.2 Trussel- og risikobildet

Det er et stort spenn av farer og trusler som kan ramme sektoren for digital infrastruktur. Dette omfatter både utilsiktede hendelser som naturhendelser, menneskelige feil og programvarefeil, og tilsiktede hendelser som fysisk sabotasje, cyberangrep og spionasje. For utvalgets arbeid avgrenses omtalen til det som anses mest relevant i kontekst av nasjonal kontroll. Det vil si, aktiviteter som truer de nasjonale sikkerhetsinteressene gjennom å svekke statens styringsevne eller handlefrihet, eller hvor den sikkerhetstruende effekten av aktiviteten forsterkes av manglende nasjonal kontroll.

4.2.1 Sikkerhetsmyndighetens vurderinger

Etterretningstjenestens rapport «Fokus 2024» 15 peker på at Norge nå står overfor et mer alvorlig trusselbilde enn på flere tiår. Russlands militærmakt forblir den dimensjonerende militære trusselen mot Norges suverenitet, sentrale samfunnsfunksjoner og infrastruktur. E-tjenesten peker videre på både petroleums- og internettinfrastrukturene som særlig utsatt, herunder undersjøisk infrastruktur. Disse infrastrukturene har blitt kartlagt over flere år, og er potensielle mål for sabotasje. Russland har vist både vilje og evne til å ramme kritisk infrastruktur i konfliktsituasjoner.

Når det gjelder innpass i vestlige verdikjeder og kritisk infrastruktur så har imidlertid sanksjonsregimet overfor Russland etter Ukraina-krigen gjort det vanskeligere for Russland å slippe inn. Det er derfor først og fremst Kina som i dag har evne og vilje til å forfølge en slik strategi, ifølge Etterretningstjenesten. Den peker på at slik innpass har høy verdi for fremmede makter, ved at det kan gi tilgang til sensitiv informasjon, gi mulighet til å kartlegge sårbarheter, og utnyttes til å forstyrre eller sabotere forsyningskjeder enten digitalt eller fysisk.

Politiets sikkerhetstjeneste (PST) vurderer i sin «Nasjonal trusselvurdering 2024» 16 at Russland og Kina vil fortsette å utgjøre de største truslene når det gjelder spionasje og sikkerhetstruende økonomisk virksomhet mot Norge. Russland og Kina forventes å bruke oppkjøp og investeringer i norske selskaper for strategiske fordeler. Selv om disse økonomiske tiltakene ofte er lovlige, kan de true nasjonale interesser når de utnyttes samlet sett. Russland fokuserer på å dekke militære og teknologiske behov, for eksempel gjennom oppkjøp av eiendom nær norske militære installasjoner. Kina søker kontroll over kritiske råvarer og verdikjeder, som sjeldne jordarter, som er viktige for høyteknologi og det grønne skiftet. Bruk av kinesisk teknologi i norsk infrastruktur kan også utgjøre en sikkerhetstrussel ved å åpne for skjulte bakdører, ifølge PST.

I tillegg til sikkerhetstruende økonomiske virkemidler, peker PST på at fremmede stater bruker en rekke andre metoder mot mål i Norge. Dette inkluderer cyberoperasjoner, rekruttering av menneskelige kilder, etterretning ved bruk av sivile fartøy, påvirkningsoperasjoner, sabotasje og fordekte anskaffelser.

NSM fremhever i sin «Risiko 2024»-rapport 17 at privat næringslivet har stor betydning for både nasjonal og internasjonal sikkerhet, og peker blant annet på den norske petroleumsnæringen, men også andre deler av næringslivet. Herunder sier NSM at endringer i eierstrukturer kan medføre risiko for at blant annet sikkerhetsgradert informasjon kan tilflyte uvedkommende. Videre er NSM bekymret for det kinesiske «fotavtrykket» i nasjonale kritiske verdikjeder, noe som gir et handels- eller sikkerhetspolitisk maktmiddel som kan unyttes til å ramme grunnleggende nasjonale funksjoner i Norge. De viser til at flere vestlige land nå fører en strategi for å redusere avhengigheten av Kina i kritiske sektorer som forsvar, elektronisk kommunikasjon og energi, for å minimere slik risiko.

4.2.2 Risiko- og sårbarhetsvurdering av ekomsektoren

Nkom gjennomfører jevnlig risiko- og sårbarhetsvurderinger for sektoren elektronisk kommunikasjon (EkomROS). Dette er sektorspesifikke vurderinger som bygger på de overordnede risiko- og trusselvurderingene til sikkerhetsmyndighetene. I EkomROS 2024 18 peker Nkom på syv områder som anses som de største utfordringene, hvor særlig fire har relevans for nasjonal kontroll. Dette er avhengigheter og konsentrasjon i verdi- og leverandørkjeder, cyberangrep, innsidetrusselen og sabotasje (herunder sjøfiberkabler).

Nkom advarer om at den forverrede sikkerhetspolitiske situasjonen kan redusere tilgang til kritisk utstyr samt utenlandsk arbeidskraft som tar tid å sikkerhetsklarere. Avhengigheten til få leverandører for sentralt utstyr og programvare øker risikoen for omfattende skade dersom sårbarhetene utnyttes. Dette utgjør en sikkerhetsutfordring særlig for norske ekomtilbydere som er under sikkerhetsloven.

Cyberangrep utgjør en konstant trussel mot ekomnett og -tjenester, og den geopolitiske og teknologiske utviklingen påvirker dette trusselbildet. Økt bruk av skytjenester gir i mange tilfeller sikkerhetsfordeler, men kan også introdusere nye sårbarheter. En utfordring er at skybaserte løsninger til dels innebærer å gi fra seg kontroll med hvor tjenester blir produsert og data lagret, hvem som har tilganger, og hvordan uønskede hendelser håndteres. Nkom er spesielt bekymret for destruktive angrep på styringssystemer, og viser blant annet til angrepet på den ukrainske mobiloperatøren Kievstar i 2023 som førte til at mer enn 24 millioner abonnenter ble rammet i over en uke.

Når det gjelder sabotasjetrusselen, viser Nkom blant annet til at flere sjøfiberkabler har blitt skadet som følge av menneskelig aktivitet de siste årene. I Norge gjelder dette blant annet Svalbardfiberen, som ble utsatt for skader gjennom tråling i 2022. Det har også vært flere tilfeller i Østersjøen den siste tiden. Skader på undersjøisk infrastruktur er ofte utilsiktet som følge av fiskeriaktivitet eller ankring. Samtidig peker Nkom på at tilsiktede handlinger kan skjules som uhell slik at attribusjon mot en spesifikk aktør blir vanskelig, og viser blant annet til Russlands hybride virkemiddelbruk. Slike kamuflerte uhell kan brukes blant annet for å kartlegge de berørte landenes rettekapasitet og avdekke svakheter ved disse.

4.2.3 Nærmere om sikkerhetstruende økonomiske aktivitet

Som omtalt i PSTs og NSMs trussel- og risikovurderinger over, så er oppkjøp og investeringer i norske virksomheter et virkemiddel som andre stater benytter for å opparbeide seg strategiske fordeler som kan true våre nasjonale sikkerhetsinteresser. Forsvarets forskningsinstitutt (FFI) har i en rapport 19 undersøkt hvordan andre staters økonomiske virkemidler kan true nasjonal sikkerhet og hvordan dette kan integreres i risiko- og sårbarhetsanalyser.

Begrepet sikkerhetstruende økonomisk aktivitet er beskrevet i NSMs veiledninger knyttet til bestemmelsene i sikkerhetslovens kapittel 10 om eierskapskontroll. I veiledningen 20 skriver NSM:

«Flere stater bruker økonomiske virkemidler til andre formål enn forretninger. Utenlandske investeringer i og oppkjøp av norske virksomheter kan benyttes for å få innsikt i sensitiv informasjon og tilgang til teknologi og ressurser av strategisk betydning. Her benytter vi begrepet «sikkerhetstruende økonomisk virksomhet» om sikkerhetstruende investeringer og oppkjøp.

Statens ønske om kontroll med eierskap i strategisk viktige sektorer kommer av økt bevissthet om at oppkjøp av norske virksomheter kan være sikkerhetstruende virksomhet.

Med sikkerhetstruende virksomhet menes en tilsiktet handling som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser. Et eksempel kan være at virksomheten i forbindelse med et oppkjøp blir gjort kjent med at kjøper har koblinger til en trusselaktør, for eksempel et land som representerer en etterretningstrussel mot Norge.

Sikkerhetstruende økonomisk virksomhet kan omfatte mange ulike typer aktiviteter. Det kan blant annet dreie seg om informasjonsinnhenting, påvirkning og skadeverk som søkes oppnådd gjennom at eksisterende eierskap styres eller manipuleres inn i posisjon, eller gjennom oppkjøp og overdragelser av eierskap som allerede er i posisjon.

Strategiske investeringer og oppkjøp kan skje gjennom stråselskaper og komplekse selskapsstrukturer og kan dermed være vanskelig å avdekke. Videre kan det være vanskelig å skille strategiske oppkjøp med illegitime hensikter fra ordinær porteføljeforvaltning foretatt ut fra rene kommersielle hensyn. Det vil følgelig kunne være utfordrende å avdekke slik aktivitet, samt å vurdere risikoen knyttet til aktiviteten.»

FFI beskriver ulike typer økonomiske aktiviteter, både direkteinvesteringer i Norge som nyetableringer («greenfield»), sammenslåinger og oppkjøp, men også import/eksport, sanksjoner og økonomisk spionasje og korrupsjon. Videre beskriver de ulike typer målsetninger som kan ligge bak slike sikkerhetstruende økonomiske aktiviteter, og hvor det å sikre nasjonal kontroll blir viktig. Ett mål er å fremtvinge politisk endring gjennom å opparbeide seg en posisjon til å enten kortsiktig eller langsiktig kunne påvirke norske politiske prosesser og standpunkt. Et annet mål er å forsvare sin egen (militære) handlefrihet gjennom å få kontroll på kritiske innsatsfaktorer eller infrastruktur i Norge som man selv er avhengig av, for å opprettholde egen makt. Et tredje mål kan være å oppnå en strategisk fordel. Dette kan være gjennom tilgang på informasjon, teknologi eller andre ressurser, som igjen kan være springbrett for å gjennomføre alvorlige handlinger.

Når en trusselaktør har oppnådd en strategisk fordel overfor et annet land, er hensikten med dette å kunne «utløse» fordelen i situasjoner som gir maksimal gevinst for aktøren. Dette kan være gjennom handlinger av både politisk, økonomisk eller militær art – og dermed i ytterste konsekvens ved væpnet konflikt og krig.

4.2.4 Den ytterste enden av krisespekteret – konflikt og krig

Sikkerhetstruende økonomiske virkemidler som nevnt i kapittel 4.2.3 kan, sammen med en rekke andre sikkerhetstruende virkemidler, være motivert av å oppnå strategiske fordeler, som kan utløses i situasjoner der dette behøves. I ytterste konsekvens kan dette være i væpnet konflikt og krig. Når behovet for nasjonal kontroll skal vurderes i hele krisespekteret, er det derfor også viktig å se hen til scenarier i den ytterste enden av spekteret. Treffsikkerheten og effekten av angrep mot digital infrastruktur med både konvensjonelle og cyberbaserte våpen, kan da avhenge av hvilke etterretning og informasjon trusselaktøren sitter på. Dette informasjonstilfanget kan være opparbeidet over lang tid gjennom økonomiske eller andre typer virkemidler – enten rettet direkte mot den aktuelle infrastrukturen, eller indirekte via leverandør- og verdikjeder.

I 2024 publiserte FFI en rapport 21 som oppsummerer de viktigste erfaringene og læringspunktene fra krigen i Ukraina, og hvilken overføringsverdi dette har for det norske og vestlige lands forsvar. FFI tar blant annet opp Russlands hybridkrigføring, og på cyberangrep på ukrainske informasjonssystemer i forkant av invasjonen i 2022. Slike angrep må påregnes som en integrert del av en væpnet konflikt, hvor formålet kan være å ramme kommunikasjonen mellom militære og sivile myndigheter og mellom myndigheter og befolkningen, ramme beredskapstiltak og generelt slite ned tilliten i samfunnet.

Når det gjelder bruk av konvensjonelle våpen viser FFI til at Russland gjennom krigen i omfattende grad har brukt langtrekkende missiler og droner mot ukrainske mål, først militære mål, deretter forsvarsindustrimål, kommunikasjonsinfrastruktur, jernbane, drivstofflagre og raffinerier, og til slutt rene sivile mål og sivil infrastruktur. Det er også gjennomført cyberangrep mot mål i vestlige land som har sendt våpen og annen hjelp til Ukraina.

FFI mener at Russlands handlingsmønster om bruk av hybride og irregulære virkemidler sammen med væpnet konflikt har høy signifikans og overførbarhet til norske forhold. De mener derfor at Norge må bygge opp både en militær og sivil motstandsdyktighet mot slike sammensatte trusler. Når det gjelder informasjonssystemer uttrykker de:

«Konsekvensen er at det må legges stor vekt på å beskytte de informasjonssystemene norske myndigheter er avhengige av i krig og konflikt, både ved å gjøre systemene robuste og sørge for redundans som muliggjør bruk av alternative kommunikasjonskanaler.»

Utvalget vil presisere at robusthet og redundans må sees på som komplementære strategier, og viser da henholdsvis til omtalen av nasjonale fortifikatoriske anlegg i kapittel 5, og eksempelet med å etablere redundante systemer for datalagring og prosessering i «data-ambassader» i utlandet, som nevnt i kapittel 4.1.1.

4.3 Økonomiske aktivitet som kan ha kontrollsvekkende effekt

For de aller fleste tilfeller av økonomiske aktiviteter knyttet til norsk digital infrastruktur som innebærer utenlandske aktører, må man anta at det ikke ligger noe direkte sikkerhetstruende formål bak. Den utenlandske aktøren vil som oftest ha et rent kommersielt motiv, eventuelt støttet opp under legitime handelspolitiske og innenrikspolitiske mål fra hjemstaten. Likevel, selv om den utenlandske aktørens motiv er legitimt, kan effekten av slike økonomiske aktiviteter samtidig svekke vår nasjonale styringsevne og handlefrihet. Dette kan typisk skje ved at det utilsiktet oppstår bortfall eller forstyrrelser i de utenlandske innsatsfaktorene man er avhengig av (f.eks. feilsituasjoner eller ressursknapphet). I slike situasjoner kan staten som kontrollerer innsatsfaktoren bli tvunget til å prioritere egne behov fremfor andre lands behov. Sågar kan endringer i det handelspolitiske eller sikkerhetspolitiske landskapet gjøre at den utenlandske staten finner grunnlag for å utnytte maktposisjonen også til andre formål. Dette peker også FFI på i sin rapport om sikkerhetstruende økonomiske virkemidler:

«Samtidig kan det ikke utelukkes at selv om motivasjonen i utgangspunktet er ressurssikkerhet av innenrikspolitiske hensyn, så kan kontroll over selskaper og ressurser gi avsenderstaten makt som senere kan brukes også til andre formål.»

Utvalget vil i denne sammenheng peke på at den norske digitale kommunikasjonsinfrastrukturen både er kapitalkrevende, og avhengig av internasjonale innsatsfaktorer. Kapital, utstyr, teknologi, programvare og kompetanse må i stor grad skaffes til veie gjennom utenlandske investeringer, eller gjennom utenlandske leverandører og samarbeidspartnere. Nedenfor omtaler utvalget noen aktuelle typer økonomiske aktiviteter som observeres i sektoren for elektronisk kommunikasjon. Disse økonomiske aktivitetene kan i mange tilfeller bidra til å styrke sikkerheten, men kan også ha en kontrollsvekkende effekt, selv uten at det nødvendigvis ligger et sikkerhetstruende motiv bak.

4.3.1 Konsolideringer

Det er i økende grad diskusjoner om behov for europeiske konsolideringer innenfor den europeiske (og nordiske) telekomsektoren, for å styrke den europeiske konkurranse- og innovasjonskraften, i møte med de stadig sterkere amerikanske og asiatiske teknologimotorene. Dette kan innebære at det i fremtiden blir færre og større selskaper innenfor sektoren i Norden og innenfor EØS, og for Norges del mer utenlandsk eierskap i nasjonal digital kommunikasjonsinfrastruktur. Disse utviklingstrekkene er beskrevet i mer detalj i kapittel 7. Konsolideringer vil typisk skje gjennom oppkjøp eller fusjoner av selskaper, altså eierskapstransaksjoner. Eierskap samt regulering av eierskap (eierskapskontroll) er virkemidler for nasjonal kontroll som omtales i mer detalj i kapittel 8.

4.3.2 Nyetablering (greenfield)

En nyetablering (greenfield-investering) refererer til utbygging av helt ny infrastruktur fra grunnen av, i motsetning til brownfield-investeringer som involverer oppgradering eller utvidelse av eksisterende infrastruktur. I sammenheng med kritisk digital kommunikasjonsinfrastruktur har vi for eksempel sett en betydelig datasenteretablering i Norge de siste årene.

I forhold til nasjonal kontroll kan denne type etablering være tveegget. På den ene siden vil utenlandske aktørers etablering av datasenter i Norge bidra til å styrke den nasjonale kontrollen ved at tjenester produseres og data lagres på norsk jord. Regjeringens gjeldende politikk er også at Norge skal være attraktiv for datasenteretableringer som bidrar til verdiskaping i Norge. 22 Et konkret eksempel på en slik større utenlandsk greenfield-investering er Googles planlagte etablering av datasenter i Skien. 23

På en annen side kan utenlandsk nyetablering sette nasjonale sikkerhets- eller samfunnsinteresser på prøve. De siste årene har det for eksempel vært flere eksempler på uønskede utenlandske datasenteretableringer, hovedsakelig knyttet til kryptoutvinning, noe som forsøkes å avbøtes blant annet gjennom krav i den nye ekomloven som ble vedtatt i 2024. Også TikToks etablering i Norge, via Green Mountains nyetablering av datasenter i Innlandet, var omstridt. Saken ble behandlet i det interdepartementale screeningnettverket, men det ble ikke funnet grunnlag for å stoppe prosessen. 24

4.3.3 Strategiske partnerskap

Et strategisk partnerskap er et langsiktig samarbeid mellom selskaper som har kompetanse, ressurser og teknologi som utfyller hverandre. For selskaper som forvalter kritisk digital infrastruktur, som for eksempel mobiloperatører, kan et strategisk partnerskap med utenlandske teknologipartnere eller skytjenesteleverandører gi flere fordeler som tilgang til teknologi, ekspertise og innovasjon som kan hjelpe dem å holde tritt med den raske teknologiske utviklingen, utvikle nye tjenester og forretningsmodeller, styrke sikkerheten, effektivisere driften osv.

I Norge er det mange eksempler på strategiske partnerskap mellom operatører av digital infrastruktur og internasjonale teknologiselskaper. Dette inkluderer for eksempel Telenor og Google Cloud 25 , Telenor og NVIDIA 26 , Telia og Microsoft 27 , og Tampnet og OneWeb. 28

Hvordan det strategiske partnerskapet kan påvirke den nasjonale kontrollen med den digitale infrastrukturen varierer selvsagt, avhengig av hvordan partnerskapet er utformet og graden av operasjonell eller teknologisk integrasjon. Jo tettere den utenlandske aktøren er integrert i selskapets teknologi og drift, desto større kan deres innflytelse bli. Et partnerskap vil typisk være regulert gjennom en avtale, et virkemiddel for nasjonal kontroll som omtales i mer detalj i kapittel 9.

4.3.4 Fellesforetak og konsortium

Et fellesforetak («joint venture») er et samarbeid der to eller flere selskaper etablerer en egen juridisk enhet for å nå et felles mål, for eksempel utviklings- og investeringsprosjekter. Partnerne deler på finansiering, kompetanse, fortjeneste og risiko i det nye selskapet. Graden av nasjonal kontroll påvirkes da av fordelingen av eierskap i det nye selskapet, og selvsagt opprinnelseslandet til selskapene som har inngått samarbeidet. For eksempel signerte i 2019 den finske telekomaktøren Cinia og den russiske telekomaktøren Megafon en intensjonsavtale om å bygge ut ny sjøfiberkabel som skulle forbinde Europa med Asia gjennom Nordøstpassasjen gjennom selskapet «Arctic Link Development Oy». Senere koblet også et norsk selskap seg på prosjektet, et datterselskap av det offentlig eide selskapet Bredbåndsfylket, med tanke på ilandføring av kabelen i Nord-Norge. Utviklingsprosjektet ble imidlertid ikke gjennomført, og ble avsluttet i 2021. 29

4.3.5 Salg av innhold i selskaper

Som del av teknologi- og markedsutviklingen har tradisjonelle vertikalt integrerte telekomselskaper, som for eksempel Telenor, gjennom ulike faser foretatt salg av innhold i selskapene. Ved å skille ut eierskap til slike eiendeler i egne selskaper og eventuelt selge hele eller deler av det nye selskapet, kan selskapene redusere sin gjeld, øke likviditeten og bruke midlene til å investere i nye vekstområder. Det etableres da gjerne samarbeidsmodeller med det nye selskapet for å sikre fortsatt tilgang til infrastrukturen, uten å binde opp like store ressurser som når man eide den selv. Samtidig skapes det også et avhengighetsforhold til det nye selskapet som da blir en, potensielt kritisk, del av leverandør-/verdikjeden. For eksempel har nå alle tre norske mobiloperatører, Telia, Telenor og Lyse Tele /Ice flyttet operasjon av mobiltårn, inkludert utstyrshytter, strøm og kjøling, ut i egne mobiltårnselskaper, henholdsvis Telia Towers, Telenor Towers og Tårnselskapet. I 2023 ble også Telenors fibernett skilt ut i eget selskap, Telenor Fiber, hvorpå 30 prosent av selskapet ble solgt til det globale investeringsselskapet KKR og Oslo Pensjonsforsikring. 30 Staten satte betingelser i forbindelse med denne transaksjonen, som omtales nærmere i kapittel 9.2.2.

4.3.6 Leverandørvalg og administrerte tjenester

Innenfor elektronisk kommunikasjon går også teknologiutviklingen svært raskt. Utvikling, innovasjon og effektiv drift krever mer og mer spesialisert kompetanse som norske aktører må innhente gjennom tettere integrert samarbeid med utenlandske utstyrsleverandører, som for eksempel Cisco, Juniper, Palo Alto, Nokia, Ericsson og Huawei. I økende grad drifter også leverandørene tjenestene i tilknytning til utstyret på vegne av kunden (administrerte tjenester – managed services). Dette er grunnet kompleksiteten i leveransene, og gjør det mer skalerbart og fleksibelt for kunden, som da kan fokusere på kjerneoppgaver. I norsk telekom-sammenheng er nok den mest omtalte leverandørvalgsaken knyttet til Telias og Telenors valg av leverandør for deres 5G mobilnett i perioden 2020-2021. Her satte sikkerhetskravene i ekomloven og sikkerhetsloven begrensninger for hvordan operatørene kunne benytte leverandører fra land som Norge ikke har sikkerhetsmessig samarbeid med. 31 Dette omtales også nærmere i kapittel 9.6.

4.3.7 Utkontraktering og offshoring

Utkontraktering og offshoring av forretningsfunksjoner, som for eksempel IT utvikling og drift, IT-sikkerhetstjenester, nettverksovervåking, osv. er også en vanlig strategi for å optimalisere driften. Dette gjelder for stort sett alle typer virksomheter, inkludert operatører av kritisk digital infrastruktur. Slike leverandører har ofte spesialiserte ressurser som kan tilby kontinuerlig overvåking og en robust infrastruktur som møter høye sikkerhetsstandarder, geografisk spredning og redundans.

Avhengigheten til utenlandske leverandører av slike tjenester, og deres leverandørkjeder igjen, kan imidlertid også få negative konsekvenser for sikkerheten i den nasjonale digitale infrastrukturen. Utilsiktede feil i leverandørkjeder har potensiale til å spre seg raskt og få vidtrekkende konsekvenser gjennom at det kan ramme alle kunder som er avhengig av leverandøren samtidig, noe som forsterker omfanget og konsekvensene av avbruddet. Dette ble blant annet tydelig sommeren 2024 da en programvareoppdatering hos sikkerhetsleverandøren Crowdstrike førte til krasj av Windows-systemer, og som påvirket samfunnskritiske tjenester over hele verden 32 – dog med begrensede konsekvenser i Norge. Et annet eksempel er «Nødnett-saken» tilbake i 2016-2017, hvor det ble avdekket at IT-driftspersonell i India satt med uautoriserte tilganger til Nødnett gjennom Nødnetts sambandsleverandørkjede. 33 Tilgangene var i strid med sikkerhetslovens bestemmelser, medførte fare for tap av nasjonal kontroll gjennom at skjermingsverdig informasjon om kritisk digital infrastruktur kunne komme på avveie, og en evne til å kunne ramme driften av Nødnett i Norge, fra India.

4.4 Aktuelle myndighetsprosesser

Regjeringens digitaliseringsstrategi «Fremtidens digitale Norge – Nasjonal digitaliseringsstrategi 2024-2030» 34 viser til at den strategiske retningen for å ivareta digital sikkerhet er nedfelt i Meld. St. 9 (2022–2023). Under digitaliseringsstrategiens mål om en sikker og fremtidsrettet digital infrastruktur fremgår det blant annet at regjeringen vil « sikre tilstrekkelig nasjonal kontroll med den delen av den digitale grunnmuren som understøtter kritiske samfunnsfunksjoner ». I den sammenheng har det de siste årene pågått flere myndighetsprosesser som har relevans i forhold til nasjonal kontroll med digital infrastruktur. Noen av disse omtales i det følgende.

4.4.1 Konseptvalgutredning om nasjonal sky

En konseptvalgutredning for nasjonal skytjeneste 35 ble gjennomført av NSM på oppdrag fra JD i perioden februar 2022 til januar 2023. Bakgrunnen for utredningen var erkjennelsen av at avhengigheten av utenlandske skytjenester kan utgjøre en sårbarhet for visse datatyper og IKT-systemer i statsforvaltningen, som er viktige å beskytte og ha kontroll på for å ivareta nasjonale sikkerhetsinteresser. Utredningen gjaldt ikke sikkerhetsgradert informasjon, men skjermingsverdig ugradert informasjon (iht. sikkerhetsloven) og annen ugradert beskyttelsesverdig informasjon. Dette kan typisk være statlige IT-systemer og data knyttet til valgsystemet, personregistre, helseregistre, eiendomsregistre, infrastruktur- og transportsystemer mv.

I analysen estimerer NSM at om dagens utviklingstrender knyttet til bruk av skytjenester fortsetter, så vil om ti år om lag 80 % av slike beskyttelsesverdige data og systemer ligge på skybaserte løsninger, de fleste helt eller delvis utenfor nasjonal jurisdiksjon. NSM mener derfor det er viktig å styrke den nasjonale kontrollen på disse løsningene for å sikre myndighetenes evne til å ivareta konfidensialiteten, tilgjengeligheten og integriteten i både fred, men også i krise og i væpnet konflikt. Konseptvalgutredningen vurderer ulike skybaserte løsningskonsepter som skal ivareta tilstrekkelig nasjonal kontroll, samtidig som de balanseres opp mot behovet for kostnadseffektivitet, funksjonalitet og innovasjon som følger av moderne (kommersielle) skyløsninger. NSM vurderer fem ulike konsepter hvor de anbefaler en harmonisering av regelverk og sterkere regulering av det offentliges bruk av skytjenester samt et kombinasjonskonsept bestående av 1) en statlig lukket skyløsning for de mest kritiske dataene og systemene, og 2) en lukket kommersiell sky for de øvrige data og systemer.

Det inngår i statens prosjektmodell at konseptvalgutredninger skal kvalitetssikres av eksterne rådgivere. I kvalitetssikringsrapporten konkluderes det med at konseptet med en lukket kommersiell sky kommer best ut på de prissatte virkningene. En statlig lukket skyløsning vurderes å ville både koste vesentlig mer og gi dårligere funksjonalitet og innovasjon, men vil samtidig gi større nasjonal kontroll. Imidlertid påpeker kvalitetssikrerne at det ikke nødvendigvis er en direkte sammenheng mellom økt nasjonal kontroll og økt sikkerhet, og at en lukket kommersiell sky kan komme like godt eller bedre ut enn en statlig lukket skyløsning. De mener derfor det er betydelig usikkerhet knyttet til nytteverdien for en statlig lukket skyløsning sett opp mot ekstrakostnadene som en slik løsning vil innebære. Oppsummert anbefaler kvalitetssikrerne at det gjennomføres supplerende analyser før endelig beslutning om konsept tas.

Regjeringen har deretter tatt beslutning om konsept og arbeidet er tatt videre. 36 Konseptet innebærer en lukket skytjeneste hvor det gjennom sikkerhetsgraderte anskaffelser inngås en avtale med en eller noen få leverandører som skal utvikle, drifte og forvalte en nasjonal skytjeneste. Videre er det presisert at det skal stilles krav til nasjonal kontroll i leveransen.

4.4.2 Langtidsplanen for Forsvaret og totalberedskapsmeldingen

I desember 2021 nedsatte regjeringen Forsvarskommisjonen av 2021. Kommisjonens mandat var å vurdere sikkerhets- og forsvarspolitiske veivalg for Norge i et 10-20-års perspektiv. I januar 2022 ble Totalberedskapskommisjonen nedsatt, som en parallell prosess for å vurdere samfunnets samlede beredskapsressurser. De to utredningene ble avgitt i 2023, som henholdsvis NOU 2023: 14 Forsvarskommisjonen av 2021 – Forsvar for fred og frihet og NOU 2023: 17 Nå er det alvor – Rustet for en usikker fremtid . Til sammen gir utredningene en omfattende gjennomgang av Norges sikkerhet og beredskap i et stadig mer komplekst trusselbilde.

Forsvarskommisjonen tegner et alvorlig situasjonsbilde av dagens norske forsvarsevne. Etter en fredelig periode i vår del av verden etter den kalde krigen og frem til Russlands fullskala invasjon av Ukraina i 2022, så samsvarer ikke lenger dagens forsvarsevne med dagens sikkerhetspolitiske situasjon, og utviklingen som ventes de neste 10–20 årene. Kommisjonen peker derfor på tre sentrale erkjennelser som må ligge til grunn for videre politikkutforming: Norske myndigheter og befolkning må ta innover seg alvoret i situasjonen, myndighetene må handle raskt, og utfordringene stiller krav til en helhetlig politikk.

I tillegg til de rent forsvarsfaglige anbefalingene, understreker Forsvarskommisjonen at Norge ikke kan forsvares utelukkende med militære virkemidler. Blant annet skriver de:

«Vårt totalforsvar er tilpasset en tid der trusselen om krig på eget territorium har vært ansett som liten. Reaksjonsevnen og utholdenheten er for dårlig til å møte dagens og fremtidens utfordringer. Norske myndigheter må systematisere arbeidet med nasjonalt og alliert planverk, slik at sivil og militær side baserer seg på de samme planforutsetningene. Næringslivets rolle og ansvar for å bidra til å gjøre landet vårt tryggere blir viktigere.»

Som del av dette mente Forsvarskommisjonen at den nasjonale kontrollen med digitale verdier bør styrkes, herunder i form av digital infrastruktur på norsk territorium, og at det bør etableres et minimumsnivå av tilgjengelighet og digital forsyningsevne.

5. april 2024 la regjeringen frem Prop. 87 S (2023–2024) Forsvarsløftet – for Norges trygghet . Denne langtidsplanen innebærer en betydelig styrking av forsvarssektoren fra 2025 og frem til 2036. Gjennom et bredt forlik på Stortinget ble den endelige langtidsplanen fastsatt i juni 2024. Planen innebærer både en utbedring av kritiske mangler i dagens forsvar, og betydelige satsinger på flere områder. Dette omfatter styrkinger både på det maritime området, i Hæren og Heimevernet, på styrket luftvern og styrket overvåkning og kontroll, herunder på satellittområdet. I forholdet til samhandlingen med sivil side, peker langtidsplanen blant annet på at Norden nå er samlet i NATO og at dette muliggjør videreutviklingen av et totalforsvar i en nordisk kontekst. Videre legger planen vekt på å styrke samarbeidet med sivile myndigheter og sivilt næringsliv, og viser blant annet til de positive erfaringene med gjensidig støtte for å kartlegge og beskytte undersjøisk infrastruktur på norsk sokkel etter sabotasjen på Nord Stream-ledningene. 37 Også når det gjelder forsvarets virksomhet i cyberdomenet, herunder beskyttelse og videreutvikling av forsvarets IKT-systemer, så påpekes behovet for å samarbeide tett med sivile aktører.

På sivil side går Totalberedskapskommisjonens rapport nærmere inn på temaet nasjonal kontroll med digital infrastruktur. De peker på at ekomnett og -tjenester er bygget opp og dimensjonert for fredstid, og at sektoren er sårbar for langvarige forstyrrelser i internasjonale forsyningskjeder. Videre peker de på et underskudd av tilgang på teknologi- og sikkerhetskompetanse i Norge:

«Gitt den sikkerhetspolitiske situasjonen i Europa og erfaringene vi har med koronapandemi og større globale hendelser, mener kommisjonen at det må utarbeides operasjonelle krav til nasjonal egenevne til produksjon, vedlikehold og gjenoppretting. Ved en større internasjonal krise vil utenlandske ressurser måtte benyttes i landet de befinner seg i. Det må derfor fastsettes hvilken grunnleggende kompetanse, hvilke funksjoner og hvilket utstyr som skal være tilgjengelig innenfor Norges grenser. Det vil ta tid for sektoren å tilpasse seg, og arbeidet må derfor sette i gang så raskt som mulig.»

Blant annet anbefaler Totalberedskapskommisjonen at kravene til nasjonal autonomi operasjonaliseres, men også at man vurderer hvordan et styrket nordisk samarbeid kan styrke robustheten og motstandsdyktigheten i sektoren.

Blant annet med grunnlag i NOU 2023: 17 la regjeringen 10. januar 2025 frem Meld. St. 9 (2024–2025) Totalberedskapsmeldingen . Stortingsmeldingen identifiserer tre hovedmål for regjeringens arbeid med å styrke totalberedskapen. Dette er å sikre et sivilt samfunn som 1) er forberedt på krise og krig, 2) motstår sammensatte trusler, og 3) understøtter militær innsats. For å nå målene legger regjeringen frem syv strategiske retninger, hvor ett av de er å « styrke digital motstandskraft og nasjonal kontroll over kritisk infrastruktur og strategisk viktige virksomheter, naturressurser, eiendom og verdie r». Regjeringen påpeker i meldingen at den nasjonale kontrollen skal innrettes slik at den ivaretar forutsigbarhet for næringslivet, og som bevarer Norge som en åpen økonomi.

4.4.3 Proaktive og reaktive myndighetstiltak relatert til nasjonal kontroll

Myndighetene har de siste årene håndtert flere konkrete saker relatert til digital kommunikasjonsinfrastruktur hvor nasjonal kontroll er et sentralt moment. Noen av disse aktivitetene er proaktive prosjekter initiert av myndighetene, andre er reaktive kontroller og tiltak av for eksempel utenlandsinvesteringer.

Av proaktive grep så er kanskje satsingen innenfor norsk romvirksomhet det mest fremtredende. Romteknologi og satellitter er sentrale for kommunikasjon så vel som andre viktige samfunnsfunksjoner innenfor transport, energiforsyning, overvåking og værvarsling. Satellittjenestene spiller også en viktig rolle for Norge i suverenitetshevdelse, militær beredskap og etterretning. Viktige milepæler som styrker nasjonal kontroll i kommunikasjonssammenheng ble nådd i 2024. I august ble to norske bredbåndssatellitter i Arctic Satellite Broadband Mission fra statlig eide Space Norway skutt opp fra California i USA. I desember ble systemet satt i drift, og sikrer nå at Norge har kontroll over strategisk viktige kommunikasjonstjenester for blant annet Forsvaret i store områder i Arktis som før har vært uten dekning. 38 Tidlig i 2024 gjennomførte også Space Norway oppkjøp av selskapet Telenor Satellite AS. Oppkjøpet forutsatte en kapitaltilførsel til Space Norway på 2,36 milliarder kroner, som ble godkjent av Stortinget like før jul 2023. Oppkjøpet ble av myndighetene vurdert både strategisk og markedsmessig fornuftig, samtidig som det bidrar til å sikre nasjonal kontroll over satellitter som er viktig for samfunnsviktige funksjoner. 39

Innenfor ekomsektoren har det de siste årene også vært flere reaktive saker knyttet til screening av utenlandsinvesteringer og kontroll av andre typer økonomiske aktiviteter. Flere av disse omtales ulike steder i rapporten, og inkluderer blant annet myndighetenes presiseringer av begrensninger i valg av utstyrsleverandører til 5G-mobilnettene 40 , screening av Telenors salg av en minoritetseierandel av Telenor Fiber AS 41 , screening av GlobalConnects salg av kvalifisert eierandel til Mubadala 42 , og vurderinger av Green Mountains etablering av datasenter i Innlandet med TikTok som kunde. 43

4.5 Oppsummering

Utvalget har beskrevet hvordan nasjonal kontroll med kritisk digital kommunikasjonsinfrastruktur vil være et viktig virkemiddel for å ivareta nasjonale sikkerhetsinteresser. Nasjonal kontroll handler da om at staten er posisjonert til å kunne opprettholde en selvstendig styringsevne til å ta effektive beslutninger om kritisk digital kommunikasjonsinfrastruktur, og handlefrihet til å operere mest mulig uavhengig av utenlandske innsatsfaktorer, ressurser og kompetanse.

Sikkerhetsmyndighetenes trussel- og risikovurderinger, Forsvarskommisjonen og Totalberedskapskommisjonens analyser, og analysene til FFI, tegner et alvorlig bilde av den sikkerhetspolitiske situasjon i dag og i fremtiden. Disse vurderingene gir et tydelig signal om at denne styringsevnen og handlefriheten bør dimensjoneres etter scenarioer som befinner seg i den ytre enden av krisespekteret, som væpnet konflikt og krig.

Sikkerhetstruende økonomisk virksomhet er det som kanskje oftest knyttes til temaet nasjonal kontroll, og som kan svekke handlefriheten og styringsevnen. Dette inkluderer utenlandske investeringer i Norge hvor det kan ligge en skjult intensjon bak som kan true nasjonale sikkerhetsinteresser. Samlet vurderer utvalget at det er tre hovedmålsetninger som vil kunne ligge bak sikkerhetstruende økonomisk virksomhet fra utenlandske aktører. Det ene er makt og innflytelse over norsk kritisk digital infrastruktur for å kunne påvirke beslutningsprosesser som fremmer egen nasjons interesser. Det andre er å få tilgang på informasjon om for eksempel teknologi, infrastrukturtopologi, driftsforhold, beredskapstiltak, nøkkelpersonell osv. som har etterretningsverdi for den fremmede staten. Det tredje er å etablere evne til å kunne sabotere, hindre eller legge betingelser for norsk tilgang på kritisk digital infrastruktur i en krise- eller krigssituasjon.

Utvalget anser at ettersom elektronisk kommunikasjon er en kritisk innsatsfaktor for nær alle andre samfunnsfunksjoner, vil det at andre stater opparbeider seg en posisjon til å kunne forsinke, nekte eller legge betingelser på vår egen tilgang til elektronisk kommunikasjon, være et kraftfullt virkemiddel for å svekke Norges evne i krise og krig.

For de aller fleste økonomiske aktiviteter som innebærer investeringer eller innflytelse fra utenlandske aktører, ligger det imidlertid ikke en skjult intensjon bak, men rene forretningsmessige motiver. Effekten av slike aktiviteter kan på den ene siden være at den styrker den nasjonale sikkerheten, for eksempel ved at det investeres mer i norsk digital infrastruktur som for eksempel bidrar til å bygge ut en sterkere og mer robust nasjonal infrastruktur som ellers ikke ville ha blitt bygd ut.

På den andre siden kan en utilsiktet effekt av slike aktiviteter være en svekkelse av den nasjonale kontrollen, enten direkte eller indirekte, og på kort sikt eller lang sikt. For det første, kan aktører som etablerer en større og større maktposisjon i norsk digital infrastruktur, senere finne grunnlag for å utnytte denne maktposisjonen til formål som kan true nasjonale sikkerhetsinteresser. Dette er også poengtert av FFI i rapporten om sikkerhetstruende økonomiske virkemidler. For det andre vil utvalget understreke at en utenlandsk maktposisjon også utilsiktet kan ramme våre nasjonale sikkerhetsinteresser, ved at Norge får redusert handlefrihet. Selv der norsk digital infrastruktur har avhengigheter til kritiske innsatsfaktorer i allierte og vennligsinnede land, så kan det i en krise- og krigssituasjon for eksempel oppstå ressursunderskudd. Siste års hendelser og konflikter har illustrert hvor sårbare de globale verdikjedene er. Dette viser at tilgang til for eksempel reserveutstyr og materiell for digital infrastruktur etter just-in-time-prinsippet, ikke lenger kan tas for gitt.

Tilgang til felles innsatsfaktorer som deles mellom nære geografiske og allierte land kan også bli utilgjengelige, særlig dersom innsatsfaktorene kun er dimensjonert for «fredstid». Dersom det oppstår hendelser som skaper underskudd på for eksempel kompetanse, utstyr eller rettekapasitet, kan man ikke se bort fra at landet som har førstehånds kontroll på ressursene, vil måtte prioritere å ivareta egne nasjonale behov fremfor andres. Dette påpekes også av totalberedskapskommisjonen.

Krise- og krigssituasjoner er generelt svært uforutsigbare i sin natur, noe som gjør at en må ta høyde for at uventede virkninger kan oppstå. Utvalget mener derfor det er avgjørende at staten har oppmerksomhet både på å identifisere sikkerhetstruende økonomiske aktiviteter, men også virkningen av økonomiske aktiviteter som ikke anses å være direkte sikkerhetstruende, men som utilsiktet kan få en kontrollsvekkende effekt på kortere eller lengre sikt.

5 Selskaper som forvalter digital kommunikasjonsinfrastruktur

5.1 Innledning

Utvalget er bedt om å beskrive dagens eierskapsstrukturer i selskapene som eier eller råder over kritisk digital kommunikasjonsinfrastruktur. I tillegg skal selskaper som er av avgjørende betydning for utbygging, drift og vedlikehold av infrastrukturen, og deres eiere, identifiseres.

Dette kapittelet redegjør for hvilke infrastrukturkategorier utvalget har lagt til grunn som kritiske, og selskaper som eier kritisk infrastruktur innen disse kategoriene er identifisert. Hvilke underleverandører 44 utvalget har sett nærmere på, samt beskrivelsen av eierskapsstrukturene i de identifiserte selskapene i dette kapittel og utvalgte underleverandører, fremgår av kapittel 6.

Formålet med dette kapittelet er i første rekke å etablere rammene for den oversikt og status på eierskap som utvalget skal legge til grunn i sitt arbeid. Identifiserte infrastrukturkategorier og selskaper viser naturlig nok et øyeblikksbilde, og oversikten ville sett annerledes ut for 10 år siden, og vil se annerledes ut 10 år frem i tid.

5.2 Vurdering av kritisk digital kommunikasjonsinfrastruktur

Utvalget skal, til eget formål og på overordnet nivå, utarbeide en oversikt over kritisk digital kommunikasjonsinfrastruktur, av regional eller nasjonal betydning som:

• er viktig for statssikkerheten
• er av betydning for samfunnssikkerheten
• bærer tjenester av høy betydning for kritiske samfunnsfunksjoner

I denne vurderingen vil arbeidet med grunnleggende nasjonale funksjoner etter sikkerhetsloven være sentralt. Grunnleggende nasjonale funksjoner (GNF) er i loven definert som «tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser». 45 I ekomsektoren vil kritisk digital kommunikasjons-infrastruktur være avgjørende for å opprettholde følgende grunnleggende nasjonale funksjoner:

• Evne til å ivareta talekommunikasjonstjenester basert på norsk nummerplan
• Evne til å ivareta tekstbaserte meldingstjenester basert på norsk nummerplan
• Evne til å ivareta grunnleggende internettilgang
• Evne til å ivareta datalagring og prosesseringskapasitet i Norge
• Satellittbasert kommunikasjon

I tillegg til rammeverket som definerer kritikalitet med bakgrunn i nasjonale sikkerhetsinteresser etter sikkerhetsloven, skal utvalget også inkludere infrastruktur som har betydning for samfunnssikkerhet og samfunnskritiske funksjoner. Etter utvalgets oppfatning omfatter dette de følgende to dimensjoner: betydningen av elektronisk kommunikasjon som en samfunnskritisk funksjon i seg selv 46 og andre samfunnskritiske funksjoners avhengighet til elektronisk kommunikasjon.

Det gjeldende rammeverket for vurderinger knyttet til samfunnssikkerhet finnes i Direktoratet for samfunnssikkerhet og beredskap (DSB) sin rapport fra 2016 «Samfunnets kritiske funksjoner» . 47 Av rapporten fremgår det at med kritisk samfunnsfunksjon menes «en funksjon som samfunnet ikke kan klare seg uten i syv døgn eller kortere, uten at dette truer befolkningens sikkerhet og/eller trygghet». Det er identifisert 14 kritiske samfunnsfunksjoner hvor ekomnett og -tjenester og satellittbaserte tjenester 48 er inkludert.

I det første vedlegget til DSBs rapport fremgår en oversikt over ulike infrastrukturer de identifiserte samfunnsfunksjonene er avhengig av. Angitte infrastrukturer for elektronisk kommunikasjon er «kjernenett, regionalnett, aksessnett og svitsjer». For satellittbaserte tjenester nevnes satellitter og bakkestasjoner. I det andre vedlegget til DSBs rapport redegjøres det for kritiske innsatsfaktorer og her fremkommer det at elektronisk kommunikasjon er « avgjørende for en rekke samfunnsfunksjoner: helse, redningstjenester, lov og orden, finans, transport osv.» Videre at: «De fleste innsatsfaktorene er avhengig av elektrisk energi og fungerende ekomtjenester som slik sett fremstår som enda viktigere i et samfunnsmessig perspektiv enn de øvrige».

I kontekst av nasjonal kontroll kan det være hensiktsmessig å illustrere hvordan ulike kategorier av digital kommunikasjonsinfrastruktur hører til i et «økosystem», jf. figur 5.1.

Figur 5.1 Et økosystem for digital kommunikasjonsinfrastruktur, som viser kategorier av infrastrukturelementer gruppert som passiv infrastruktur, støtteinfrastruktur og tjenesteproduksjonsinfrastruktur. Innenfor alle kategoriene vil det være behov for personellressurser og kompetanse for planlegging og drift.

I økosystemet som vist i figuren vil det være avhengigheter på kryss og tvers. For eksempel vil produksjon av 5G mobiltjenester i et mobilnett være avhengig av både infrastrukturelementer som transportnettjenester, datasentertjenester, mobiltårn, klokkeinfrastruktur og fysiske fiberkabler, men også tilgang til personellressurser og kompetanse til drift, overvåkning, feilretting osv. Noen enkeltselskaper, som Telenor, forvalter infrastrukturelementer og ressurser i flere deler av dette økosystemet. Andre selskaper forvalter typisk én type infrastruktur eller funksjon, f.eks. fiberselskaper, datasenterselskaper, tårnselskaper og entreprenørselskaper.

Utvalget har i sitt arbeid ikke funnet det hensiktsmessig å utarbeide en komplett liste over infrastrukturelementer som er kritiske, men snarere trukket ut noen kategorier av infrastrukturelementer. Utvalget har derfor tatt utgangspunkt i følgende kategorier:

• Mobilnett
• Bredbåndsnett
• Transportnett
• Fiberkabler som forbinder oss til sokkelen og til utlandet, herunder undersjøiske fiberkabler
• Datasentre
• Satellittkommunikasjonssystemer
• Fortifikatoriske anlegg
• Infrastruktur knyttet kritiske basalfunksjoner som DNS og NRDB 49
• Samtrafikkpunkter

Kritisk digital kommunikasjonsinfrastruktur vil i utvalgsarbeidet således omfatte enhver struktur som faller inn under en av kategoriene over, og som er, eller snart vil bli, av vesentlig, kritisk eller avgjørende betydning for en eller flere av de overnevnte grunnleggende nasjonale funksjonene, eller for en funksjon som samfunnet ikke kan klare seg uten i syv døgn eller kortere, uten at det truer befolkningens sikkerhet eller trygghet. En struktur som kun har betydning innenfor et mindre geografisk område, faller utenfor mandatet.

5.3 Identifiserte selskaper

Utvalget har ikke tatt mål av seg til å identifisere alle selskaper som eier infrastruktur som omfattes av kategoriene over. Oversikten er derfor ikke uttømmende, men utvalget mener at de identifiserte selskapene utgjør et representativt utvalg som er dekkende for formålet.

Etter avklaring med DFD har utvalget avgrenset sitt arbeid mot offentlig eide tjenestenett og deres infrastrukturer 50 da eierskapsproblemstillinger i mindre grad er direkte relevant når det gjelder disse aktørene. Utvalget har imidlertid hatt dialog og fått innspill til sitt arbeid også fra slike aktører.

I sikkerhetsloven er det et skille mellom virksomheter som råder over kritisk infrastruktur som har henholdsvis avgjørende og vesentlig betydning for grunnleggende nasjonale funksjoner og nasjonale sikkerhetsinteresser.

Det er den første kategorien som ved vedtak fattet av relevant sektordepartement underlegges sikkerhetslovens bestemmelser. 51 Selskapene dette gjelder innen ekomsektoren er det naturlige utgangspunkt når man skal identifiserte aktører som eier eller råder over kritisk digital kommunikasjonsinfrastruktur. Disse er følgelig inkludert i oversikten under.

Når det gjelder virksomheter som råder over infrastruktur med «vesentlig betydning», finnes det på nåværende tidspunkt ikke informasjon som utvalget kan benytte i sitt arbeid. Det fremgår av sikkerhetsloven 52 at sektordepartementet skal identifisere og holde oversikt over virksomheter med «vesentlig betydning». Dette er ment å være en dynamisk prosess, hvor oversikten oppdateres ved behov. Virksomheter av «vesentlig betydning» er i utgangspunktet ikke underlagt sikkerhetslovens bestemmelser. Sektormyndigheten har imidlertid mulighet til å fatte vedtak om at sikkerhetsloven kapittel 10 om eierskapskontroll, skal gjelde for den enkelte virksomhet. DFD har hittil prioritert arbeidet med å definere sektorspesifikke grunnleggende nasjonale funksjoner, og utpeking og oppfølging knyttet til virksomheter med «avgjørende betydning». Arbeidet med kartlegging av virksomheter med «vesentlig betydning» er derfor ikke igangsatt.

Utvalget har, i tillegg til selskapene som i dag er utpekt etter sikkerhetsloven, inkludert aktører for å sikre tilstrekkelig representativitet og bredde til også å ivareta samfunnssikkerhetsperspektivet. Videre er seleksjonen basert på aktørenes størrelse, betydning innenfor angjeldende infrastrukturkategori og regional betydning.

Utvalget har inkludert alle de tre mobiloperatørene med egne nettverk i Norge. 53 Siden alle disse har organisert sin passive infrastruktur i egne selskaper er også disse selskapene tatt med. I kategorien mobilnett er derfor følgende selskap inkludert: Telenor ASA, Telenor Towers Norway AS, Telia Norge AS, Telia Towers Norway AS, Lyse Tele AS 54 og Tårnselskapet AS.

Utvalgte selskaper som eier bredbåndsinfrastruktur er: Telenor ASA, Telia Norge AS, Lyse Tele AS, GlobalConnect AS, Eidsiva Bredbånd AS, Eviny Digital AS, NTE Telekom AS, Viken Fiber AS, Bredbåndsfylket AS og Ishavslink AS.

Transportnett er infrastruktur som forbinder ulike regionale og lokale nettverk sammen. I denne kategorien har utvalget tatt utgangspunkt i følgende selskaper: Bredbåndsfylket AS, Bulk Infrastructure Holding AS, Eviny Digital AS, GlobalConnect AS, KystTele AS, Lyse Tele AS, N0r5ke Fibre AS, NTE Telekom AS, Tampnet AS, Telenor ASA, Telia Norge AS, Viken Fiber AS og Stamfiber AS.

Når det gjelder infrastruktur som anvendes til internasjonal samtrafikk har utvalget definert kategorien « fiberkabler til utlandet 55 , inkludert undersjøiske fiberkabler» Identifiserte selskaper er: Arelion Norway AS, Bredbåndsfylket AS, Bulk Infrastructure Holding AS, GlobalConnect AS, De-Cix Management GmbH, Lumen Technologies Norway AS, Lyse Tele AS, Space Norway AS, Tampnet AS, Telenor ASA og Telia Norge AS.

Datasenter er også en identifisert infrastrukturkategori. En datasentertjeneste er en tjeneste som legger til rette for innplassering, tilkobling og drift av IT – og nettverksutstyr for datalagring, dataprosessering og dataoverføring. Tjenesten omfatter i tillegg fysisk sikkerhet, strøm og kjøling, og kan inkludere andre relaterte tjenester. 56 Når det gjelder selskaper som eier infrastruktur som anvendes til datasentertjenester har utvalget identifisert: Bulk Infrastructure Holding AS, Eidsiva Bredbånd AS, Green Mountain AS, Lefdal Mine Datacenter AS, Infrastructure Nordics 4 AS (Stack) og Orange Business Digital Norway AS.

Satellittbasert kommunikasjon understøtter kommunikasjon på en rekke områder hvor andre ekomnett ikke har dekning. På et overordnet nivå blir satellittkommunikasjon i Norge brukt til kringkasting og datakommunikasjon. Utvalget har lagt til grunn et representativt utvalg av aktører som eier slik infrastruktur/tilbyr slik konnektivitet. Disse er: Inmarsat Solutions AS, Kongsberg Satellite Services AS, OneWeb Norway AS, Space Norway AS, Space Norway Satcom AS og Starlink Norway AS.

Fortifikatoriske anlegg forstås som et anlegg som i tillegg til naturlig fjelloverdekning eller armert betong (bunker), har beskyttelsestiltak mot CBR-elementer (kjemisk, biologisk og radioaktivt). Slike anlegg benyttes til innplassering og eventuelt samlokalisering av kjerneinfrastruktur for å kunne drifte ekomtjenester også i situasjoner høyt oppe i krisespennet. Det er kun Telenor som har slike anlegg innen sektoren og infrastrukturen eies av Telenor Towers Norway AS.

Norid AS og Nasjonal Referansedatabase AS (NRDB) er identifisert som selskaper som eier infrastruktur knyttet til kategorien « kritiske basalfunksjoner ».

Norid AS er registerenhet for de norske landkodetoppdomenene 57 og drifter navnetjenesten og registreringstjenesten for .no. Domenenavnsystemet (DNS) knytter IP-adresser til unike domenenavn. Når en bruker forsøker å kontakte en tjeneste på internett (nettsider, e-post mv.) utløser det en rekke oppslag i DNS for å finne den aktuelle IP-adressen. Navnetjenesten som Norid drifter er en nødvendig del av denne DNS-infrastrukturen under .no.

NRDB leverer tekniske fellesløsninger til ekomtilbydere, eksempelvis er NRDB mellomledd i prosessen med å portere kunders telefonnummer over til ny tilbyder ved tilbyderbytter. NRDB leverer også geografisk lokalisering og overføring av abonnementsinformasjon ved anrop til nødetatene (opprinnelsesmarkering). Ved bortfall av NRDB sine tjenester vil man fortsatt kunne ringe og motta samtaler. Man mister imidlertid mulighet for å gjennomføre nummerportering og på kort sikt også automatisk støtte til opprinnelsesmarkering.

Et samtrafikkpunkt er et fysisk eller virtuelt knutepunkt i telenettene hvor ulike operatører kobler seg sammen for å utveksle nasjonal og internasjonal trafikk mellom ulike nettverk. Identifiserte selskaper i denne kategorien er: Bulk Infrastructure Holding AS, De-Cix Management GmbH, GlobalConnect AS, Infrastructure Nordics 4 AS (Stack), Lyse Tele AS, Orange Business Digital Norway AS, Telenor ASA, Telia Norge AS og Norwegian Internet Exchange (NIX).

Tabell 5.1 Oversikt over relevante virksomheter kategorisert etter infrastrukturtype

5.4 Innspill fra relevante sektormyndigheter

Utvalget har forelagt tilnærmingen beskrevet over for NSM, DSB og Nkom. Utvalget har bedt om synspunkt på om infrastrukturkategoriene og identifiserte virksomheter er dekkende for formålet etter deres syn, eventuelt om de har forslag til endringer.

NSM og DSB mener begge at infrastrukturkategoriene og identifiserte virksomheter virker hensiktsmessig for formålet.

Når det gjelder infrastrukturkategorier påpeker Nkom at utvalget kunne supplert denne listen med tjenester som autentiserer og sikrer transaksjoner, såkalte tillitstjenester. Utvalget mener at dette er viktige tjenester, men at de ligger utenfor rammen av utvalgtes definisjon av kritisk digital kommunikasjonsinfrastruktur. Utvalget omtaler likevel disse tjenestene i kapittel 13.4. Videre påpeker Nkom kritikaliteten knyttet til tidssynkronisering av ekomnett som en sentral funksjon for stabil tjenesteproduksjon. Utvalget ser nærmere på tidssynkronisering i kapittel 11.6, og også i kapittel 13.5.

Nkom har også supplerende forslag til aktører som eier infrastruktur i kategoriene utvalget har lagt til grunn, men sier samtidig at: « Listen over selskaper ser ut til å omfatte en stor andel av aktører som det vil være naturlig for utvalget å ha dialog med, gitt mandatets formulering. En kan alltids utvide til flere aktører, men Nkom antar at det er trukket en grense ut fra hva som er praktisk mulig å håndtere innenfor utvalgets tidsrammer, samt hva en definerer som digital samfunnskritisk infrastruktur.»

Utvalget oppfatter på denne bakgrunn at relevante sektormyndigheter i stor grad støtter utvalgtes tilnærming og at de identifiserte selskapene gir tilstrekkelig representativitet, selv om listen ikke er uttømmende.

Utvalget har videre ønsket å klargjøre sektormyndighetenes eventuelle rolle knyttet til å definere og vedlikeholde oversikt over kritisk digital kommunikasjonsinfrastruktur i dag, utover arbeidet med grunnleggende nasjonale funksjoner etter sikkerhetsloven. Utvalget ønsket også synspunkter på om det er behov for at noen har et slikt dedikert ansvar, dersom dette ikke er tilfelle i dag.

På bakgrunn av tilbakemeldingene legger utvalget til grunn at ingen av de relevante sektormyndighetene har et dedikert ansvar for å definere og vedlikeholde en helhetlig oversikt over all kritisk digital kommunikasjonsinfrastruktur i dag. Når det gjelder behovet for dette påpeker DSB at når nye EØS-relevante regelverk som CER 58 - og NIS2 59 -direktivet er implementert i norsk rett, kan dette gi føringer for offentlige myndigheter når det gjelder å definere og vedlikeholde oversikt over kritisk digital kommunikasjonsinfrastruktur.

Nkom påpeker at de som sektormyndighet har bred oversikt over aktørbildet, herunder også viktige aktører som ikke er utpekt etter sikkerhetsloven. De beskriver et sett med tilsynsoppgaver og regelverk som til sammen gjør at tilsynet mener å ha tilstrekkelig oversikt og informasjonstilgang knyttet til kritisk digital kommunikasjonsinfrastruktur. Samtidig påpeker de at en sammenstilling av eksisterende informasjon i et eventuelt register vil gi en høyere informasjonsrisiko, og også merarbeid med vedlikehold av informasjonen. Nkom mener derfor at det ikke er hensiktsmessig å etablere en egen samlet oversikt over kritisk infrastruktur, utover det som nå blir registrert.

Ingen av de relevante sektormyndighetene har i dag et dedikert ansvar for å definere og vedlikeholde helhetlig oversikt over kritisk digital kommunikasjonsinfrastruktur og selskapene som eier denne. Utvalget oppfatter at relevant informasjon i stor grad allerede finnes og fortløpende blir generert gjennom Nkoms gjennomføring av tilsynets samfunnsoppdrag. Eksisterende informasjon og oppdatering av denne er imidlertid ikke strukturert slik at den er egnet til å gi en slik helhetlig oversikt. Utvalget kommer tilbake til behovet for en slik oversikt i kapittel 11.

6 Dagens eierstrukturer

6.1 Om kapittelet

Kapittel 6 gir en overordnet oversikt over dagens eierforhold og eierstrukturer i selskaper som eier eller kontrollerer kritisk digital kommunikasjonsinfrastruktur i Norge, eller selskaper som er av avgjørende betydning for utbygging, vedlikehold eller drift av infrastrukturen.

Listen av kartlagte selskaper er utarbeidet på bakgrunn av utvalgets kjennskap til ekomsektoren og innspill fra Nkom. Dette er de samme selskapene utvalget har identifisert og omtalt i kapittel 5 over. Utvelgelse av underleverandører er basert på tilbakemeldinger utvalget mottok i forbindelse med en spørreundersøkelse utvalget gjennomførte våren 2024. Her ble aktørene bedt om å navngi noen sentrale leverandører i ekomsektoren, hvorpå utvalget har plukket ut noen som er gjenstand for kartlegging. Utvalget ga et oppdrag til Menon Economics (Menon) om å lage en oversikt over eierstrukturer og eierforhold i selskaper som utvalget har identifisert.

Informasjonen som gjengis i dette kapittelet er i hovedsak et konsentrat av informasjon Menon har skaffet til veie for utvalget. Kartleggingen gir et øyeblikksbilde av eierforhold og eierstrukturer i disse virksomhetene og kan brukes til å identifisere potensielle problemområder knyttet til utenlandskdominerte eierforhold.

6.2 Status for nasjonal kontroll gjennom eierskap

6.2.1 Ulike eierformer og typer eiere

Menons kartlegging viser at det er en betydelig variasjon i selskapene som eier og forvalter kritisk digital kommunikasjonsinfrastruktur i Norge i dag. Selskapene som undersøkes er alt fra mindre lokale aktører til store internasjonale konsern. Det er eiere av satellitter som Kongsberg Satellite Services AS, datasentre som Green Mountain AS, og virksomheter som Telenor ASA som omsetter for titalls milliarder kroner hvert år. Mindre virksomheter som KystTele AS som omsetter for under 20 millioner kroner er også omfattet av undersøkelsen. Samtlige kartlagte selskaper er aksjeselskap, med unntak av Telenor ASA som er allmennaksjeselskap og De-Cix Management GmbH, som er et tysk selskap som tilsvarer den norske selskapsformen aksjeselskap, og som i Norge er registrert som et NUF.

Majoriteten av selskapene har enten norske offentlige eiere som stat, fylke og kommune (for eksempel Lyse, Telenor) eller utenlandske eiere (for eksempel Telia, GlobalConnect). Omfanget av norsk personlig eierskap og øvrige småaksjonærer (aksjonærer med mindre enn 5 prosent eierskap), er begrenset. 60

6.2.2 Kartlagte selskaper

Menon har i sin analyse kartlagt eierskapet i totalt 50 selskaper som eier kritisk digital kommunikasjonsinfrastruktur eller som er viktige underleverandører til disse. Underleverandører inkluderer både entreprenører og leverandører som er av avgjørende betydning for utbygging, drift og vedlikehold av infrastrukturen, samt enkelte viktige utstyrsleverandører.

De to tabellene nedenfor gir en oversikt over selskapene Menon har kartlagt, med en kort beskrivelse av den enkelte virksomhet. Den første tabellen under, tabell 6.1, gir oversikt over infrastruktureiere, mens tabell 6.2 inneholder informasjon om viktige underleverandører for kritisk digital kommunikasjonsinfrastruktur. For underleverandører fremgår det i tillegg hvilke selskaper som har vært gjenstand for enten en begrenset kartlegging av eierskapet (kun norske aksjonærregistre) og de selskapene der man har kartlagt eierskap så langt som mulig for å avdekke ultimat eier (på samme måte for infrastruktureierne).

Selskapsbeskrivelsene i begge tabellene er offentlig tilgjengelig og hentet fra Brønnøysundregistrene og lignende.

Tabell 6.1 Oversikt over eiere og forvaltere av kritisk digital infrastruktur

Kilde: Menon Economics (2024), tabell 3-2.

Tabell 6.2 Oversikt over leverandører til kritisk digital infrastruktur

Kilde: Menon Economics (2024), tabell 3-3.

6.2.3 Metode for kartlegging og eierkategorier

Menon har benyttet egne databaser (eierskapsdatabase og regnskapsdatabase), men også internasjonale kilder som Orbis, andre nasjonale eierskapsdatabaser, og årsrapporter mv. En mer utfyllende beskrivelse av metode og kilder fremgår av kapittel 2, 4 og Vedlegg A i Menons rapport.

Menon har kartlagt selskapenes ultimate norske eierskap , dvs. eierskap som kan spores tilbake til en ultimat norsk eier, eller til første utenlandske eierledd. I tillegg har de gjennomført en tilnærmet fullstendig kartlegging også av det utenlandske eierskapet i alle selskap der dette er relevant. I tekstboksen nedenfor forklares tre av begrepene som er benyttet i Menons rapport:

I figuren under gis en illustrasjon av hvordan eierdatabasen til Menon definerer ultimat eier.

Figur 6.1 Illustrasjon av hvordan eierskapsdatabasen definerer ultimat eier. Blå bokser indikerer ultimat eier

Kilde: Menon Economics (2024), figur V-1.

De aller fleste selskapene Menon har gjennomgått har transparente eierforhold der eierskap kan spores direkte tilbake til norsk eierskap eller kjent utenlandsk offentlig eller privat eierskap, eller børsnoterte selskaper der eierskapet er spredt på svært mange mindre aksjonærer.

Enkelte selskap har mer komplekse eierstrukturer som gjør eierforholdene vanskeligere å avdekke. Dette gjelder særlig eierskap som spores tilbake til land der det ikke lenger er mulig å hente ut eierskapsdata, eller til investeringsselskap uten kjente investorer.

En illustrasjon av ulike kategorier eierskap som er avdekket ved kartleggingen er inntatt nedenfor.

Figur 6.2 Illustrasjon av kategorisering av norsk og utenlandsk eierskap

Kilde: Menon Economics (2024), figur 4-1.

6.2.4 Usikkerhet

Menon viser til at eierskaps- og selskapsinformasjon i all hovedsak er basert på selskapers egenrapportering til myndigheter og offentligheten. Slik egenrapportering medfører en viss risiko for feilkilder, særlig av to årsaker:

1. Utdatert informasjon : Informasjonen var korrekt ved registrering, men det har senere blitt gjort endringer som ikke er fanget opp. Dette kan eksempelvis skyldes manglende innmeldingsrutiner hos selskapet, eller at enkelte nasjonale registre ikke krever løpende oppdateringer.
2. Feilinformasjon : Informasjonen er nylig oppdatert, men ukorrekt. Dette kan både være ubevisste misforståelser av regelverk, og bevisste handlinger for f.eks. å skjule reelle rettighetshavere. Her kan det også finnes mer komplekse tilfeller hvor informasjonen på papiret er korrekt, men hvor det kan virke som andre personer eller enheter utøver makt over de registrerte rettighetshaverne.

I tillegg er dette kun et øyeblikksbilde av hvordan eierskapet ser ut akkurat nå. Det kan ha blitt gjort vesentlige endringer i eierskapet til enkeltselskaper på kort tid.

På tross av dette viser likevel Menons analyse på et overordnet nivå at den historiske fordeling av eierskapet i alle selskapene som har vært omfattet av kartleggingen (vektet etter omsetning) har vært ganske stabil i perioden 2014-2023:

Figur 6.3 Historisk fordeling av ultimat eierskap i alle selskapene som kartlegges, vektet etter omsetning

Kilde: Menon Economics (2024), figur 4-3.

6.2.5 Eierskap i selskaper som eier/råder over kritisk digital kommunikasjonsinfrastruktur

Menons kartlegging viser at utenlandsk eierskap dominerer, og er mer utbredt i kritisk digital kommunikasjonsinfrastruktur enn i norsk næringsliv generelt. I følge Menon var 35 prosent av næringslivet utenlandsk eid i 2021, mens tilsvarende eierandel for kritisk digital kommunikasjonsinfrastruktur var på om lag 64 prosent, målt i omsetning. 61

Undersøkelsene viser også at offentlig eierskap er langt mer utbredt i kritisk digital infrastruktur, sammenlignet med eierskapet i øvrig norsk næringsliv. I følge Menon viser analysen at det offentlige (norske og utenlandske myndigheter) eier nesten halvparten av selskapene kartlagt her, men det offentlige eide 22 prosent av norsk næringsliv i 2021 (omfatter kun eierskapet til den norske stat). 62

Menon viser til at en naturlig forklaring på at offentlig eierskap er utbredt, er at det er svært kapitalkrevende å bygge ut infrastrukturen, samtidig som det er samfunnskritisk. Av samme årsaker er privat eierskap mindre utbredt for disse selskapene, sammenlignet med næringslivet som helhet.

Utvalget vil her peke på at utbredt statlig eierskap også må sees i sammenheng med at det tidligere var staten selv som leverte teletjenester, og at de store selskapene har sitt opphav i at denne statlige virksomheten ble omdannet til kommersielle selskaper da markedene ble liberalisert. I tillegg har flere av selskapene sitt utspring i lokale kraftselskaper, der man så synergier mellom utbygging av kraftnett og kommunikasjonsinfrastruktur.

Figuren nedenfor angir en overordnet fordeling av eierskapet basert på ulike vektinger.

Figur 6.4 Fordeling av eierskap blant eiere og forvaltere, etter vekting

Kilde: Menon Economics (2024), figur 4-4.

Menon har videre analysert fordelingen mellom norsk og utenlandsk eierskap innenfor de ulike infrastrukturkategoriene utvalget har basert arbeidet sitt på. Som vist i figur 6.5 under er fordelingen av eierskap ganske lik på tvers av ulike eierskapskategorier. Unntakene er datasentre som i større grad har utenlandsk eierskap, og i motsatt ende fortifikatoriske anlegg (eid av Telenor Towers) og infrastrukturkritiske basalfunksjoner (Norid og NRDB). Oversikt over de hvilke selskaper som inngår i de ulike infrastrukturkategoriene er inntatt på side 21-22 i Menon (2024).

Figur 6.5 Fordeling mellom norsk og utenlandsk ultimat eierskap innenfor ulike infrastrukturkategorier, vektet etter omsetning. Antall selskaper i parentes. Kun eiere og forvaltere.

Kilde: Menon Economics (2024), figur 4-6.

Kartleggingen viser også at en betydelig del av eierskapet består av småaksjonærer uten vesentlig innflytelse. Dette gjelder særlig Telenor ASA og Telia AS. Telenor ASA er børsnotert og Telia AS er heleid av svenske børsnoterte Telia AB. En betydelig andel av begge selskapene eies av aksjonærer med mindre enn to prosent eierandel.

På overordnet nivå for selskapene som inngår i analysen, viser funnene at majoriteten av det utenlandske eierskapet består av aksjonærer med små eierandeler, her vist ved figuren under.

Figur 6.6 Fordeling av ultimat utenlandsk eierskap blant eiere og forvaltere, vektet etter omsetning

Kilde: Menon Economics (2024), figur 4-5.

Fordeling utenlandsk eierskap, Norden, EØS, NATO og andre

Menon har sporet utenlandsk eierskap så langt det har latt seg gjøre. Som nevnt, består majoriteten av det utenlandske eierskapet av aksjonærer med små eierandeler som ikke har blitt videre kartlagt. Dette medfører at det utenlandske eierskapet i denne gruppen ikke kan knyttes til ett enkelt land.

Figur 6.7 Geografisk fordeling av utenlandsk ultimat eierskap blant eiere og forvaltere, vektet etter omsetning.

Kilde Menon Economics (2024), figur 4-7.

Som det fremgår av figuren så peker Sverige seg ut som det fremste eierlandet blant ultimate utenlandske eiere, etterfulgt av USA og Luxembourg. Det er likevel viktig å understreke at det kan finnes andre aktører i andre land selv om dette er der eierskapskjeden Menon har kartlagt stopper. Eksempelvis er alt eierskapet registrert i Luxembourg i stor grad knyttet til fond forvaltet av EQT (en av Europas største fondsforvaltere) – som igjen er eid av et bredt sett av investorer med små effektive eierandeler. I slike tilfeller har det ifølge Menon ikke vært hensiktsmessig å gå videre bakover i eierkjeden fordi de fleste investorene har små eierandeler i disse fondene, og eierkjeden stopper derfor i Luxembourg i Menons data.

For å få et bedre overblikk over hvordan eierskapet fordeler seg på ulike regioner, har Menon også gruppert utenlandsk eierskap etter hvorvidt er en del av Norden, EØS eller NATO.

Figur 6.8 Regionvis fordeling av kjent ultimat utenlandsk eierskap blant eiere og forvaltere, vektet etter omsetning

Kilde: Menon Economics (2024), figur 4-8.

Oversikten viser at majoriteten av det utenlandske eierskapet ligger i Norden. Til sammen ligger noe mer av eierskapet i EØS, og tilnærmet alt ultimat eierskap kan spores tilbake til et NATO-land. Det er kun en andel på fire prosent av den samlede omsetningen i selskapene som eies utenfor disse landene. Blant disse er eierskap fra Israel størst, med én prosent effektivt eierskap i selskapene som eiere eller kontrollerer kritisk digital kommunikasjonsinfrastruktur.

Når det gjelder eierskapsinformasjon ned på selskapsnivå så vises det til tabell 4-1 i Menons rapport der det gis en kort omtale av eierskapet. Et utvalg av informasjonen er likevel gjengitt under for enkelte selskaper innenfor et utvalg infrastrukturkategorier.

Tabell 6.3 Beskrivelse av eierskap i et utvalg av de kartlagte selskaper

Kilde: Menon Economics (2024).

6.2.6 Eierskap for underleverandører som er avgjørende for utbygging, drift og vedlikehold av infrastrukturen

Som det fremgår av tabell 6.2 over, foretok Menon en kartlegging av i alt 15 viktige under-leverandører til eiere av kritisk digital kommunikasjonsinfrastruktur. Underleverandørene ble delt inn i to kategorier der Menon for den ene kategorien (i rapporten omtalt som kategori 2A) skulle gjennomføre en full kartlegging på lik linje som for identifiserte infrastruktureiere. For den øvrige delen av underleverandørene (i rapporten omtalt som kategori 2B) foretok Menon en kartlegging begrenset til eierskap i norske aksjonærregistre.

Blant funnene Menon trekker frem fra den generelle kartleggingen av underleverandører (kategori 2A+2B) er at underleverandørene har betydelig mindre offentlig eierskap enn selskapene som eier eller kontrollerer kritisk digital kommunikasjonsinfrastruktur, og heller en større andel personlig og utenlandsk eierskap.

Fordelingen av eierskap varierer noe mer etter hvordan selskapene vektes mot hverandre, men dette anser Menon som naturlig ettersom denne kategorien omfatter et mindre antall selskaper. Fordeling av eierskap er gjengitt i figuren under.

Figur 6.9 Fordeling av eierskap blant leverandører, etter vekting

Kilde: Menon Economics (2024), figur 6-2.

En overordnet fordeling av det utenlandske eierskapet er inntatt i figur 6.10 under. Tilsvarende som for infrastruktureierne, fordeler det utenlandske eierskapet blant underleverandørene med fullstendig kartlegging seg primært mellom aksjonærer med små eierandeler, investeringsselskap og offentlige eiere. Samtidig ser man en større andel eierskap hos privatpersoner og selveide aktører (primært stiftelser), og mindre eierskap hos offentlige aktører (13 prosent mot 20 prosent i figur 6.6) og aksjonærer med lav eierandel (50 prosent mot 58 prosent i figur 6.6). Menon tar forbehold om at eierskapsfordelingen baserer seg på et svært begrenset utvalg selskaper – kun fem av leverandørene med full kartlegging (kategori 2A) spores tilbake til utenlandsk eierskap. Dermed vil denne fordelingen kunne endres betydelig ved endringer i eierskapet til enkeltselskaper.

Figur 6.10 Fordeling av utenlandsk ultimat eierskap hos leverandører med fullstendig kartlegging (kategori 2A), vektet etter omsetning

Kilde: Menon Economics (2024), figur 4-10.

Menons funn viser at de største andelene eierskap innen denne kategorien knyttes enten til Sverige eller Storbritannia. 63 Når Menon grupperer eierskapet etter ulike regioner (Norden, EØS og EØS+NATO) finner de at det er en mindre andel av det utenlandske eierskapet for leverandørene (kategori 2-selskapene) som kan knyttes til Norden og EØS enn for selskapene som eier kritisk digital kommunikasjonsinfrastruktur. Dette skyldes i hovedsak den høye andelen av eierskapet som kan knyttes til Storbritannia. Samtidig kan mesteparten av eierskapet, på samme måte som for eiere av infrastrukturen (kategori 1), knyttes til et NATO-land. Som vi ser av figuren nedenfor, kan kun tre prosent av eierskapet knyttes til land utenfor NATO og EØS. Blant disse landene er eierskap fra Chile størst, hvor 1,3 prosent av det ultimate eierskapet i selskapene kan spores til Chile.

Figur 6.11 Regionvis fordeling av kjent utenlandsk eierskap blant leverandører i kategori 2A, vektet etter omsetning.

Kilde: Menon Economics (2024), figur 4-12.

For nærmere informasjon om ulike ultimate eierskap kartlagt av Menon for under-leverandører, se punkt 4.2.1 tabell 4-2 i Menon (2024).

6.2.7 Menons vurderinger knyttet til utenlandsk eierskap

Menon har ikke avdekket eierforhold som de mener fremstår som problematiske i de selskapene de har undersøkt. Eierskap er en viktig del av risikovurderingen for mulige sårbarheter i infrastrukturen, men gir ikke det hele bildet.

Ifølge Menon må risikovurderingen også inkludere andre faktorer som kontrollmuligheter utover eierskap, inkludert leverandører av hardware, software og sabotasjekapasitet. Dette gjør risikovurderinger komplekse, spesielt ved spesialiserte tjenesteleverandører som kan ha små men kritiske leveranser av viktige komponenter som inngår i en stor forsyningskjede.

Når Menon har vurdert eventuell risiko knyttet til hvert enkelt eierforhold, har det blitt lagt vekt på to ulike elementer; innflytelse (eierandel) og risikoprofil på eieren. Hvor vanskelig det er å innhente eierskapsinformasjon på selskapet bør også anses som en risikofaktor – både fordi det gir usikkerhet knyttet til hvem som eier selskapet, men også fordi vanskeligheten ved å innhente informasjon ofte er korrelert med risikoprofilen på eieren.

Det er generelt få tilfeller der konsulentselskapet enten ikke har lykkes med å nøste eierskapet tilbake til en ultimat eier eller hvor eieren fremstår som et åpenbart risikoelement. Man har hatt særlig søkelys på å avdekke ultimate eiere av norsk digital infrastruktur i stater som kan utgjøre en risiko for Norge og norsk infrastruktur. I praksis finner man i liten grad eierforhold som anses som direkte problematisk med tanke på bindinger til fremmede makter eller statsborgerskap i stater som vurderes som en etterretningstrussel.

En viktig nyanse er at man kategoriserer investeringsselskap som en type ultimat eier. Dette omfatter i all vesentlig hovedsak er forvaltningsselskaper hvor de som eier investeringsselskapet forvalter midler på vegne av investorer. Det er med andre ord ikke (bare) forvalterne av kapitalen som eier kapitalen. Man har derfor i enkelte tilfeller kartlagt de største eierne av investeringsselskapet (forvaltningsselskapet), mens man i andre tilfeller har kartlagt de største innskyterne av kapital som forvaltes av investeringsselskapet.

Menon påpeker at innskyterne av kapitalen (såkalte «limited partners») vanligvis har lite innflytelse på forvaltningen av kapitalen. I begge tilfeller har man identifisert og undersøkt eierne, enten de står bak en vesentlig andel av kapitalen eller de eier en vesentlig andel av investeringsselskapet. Det er identifisert et begrenset antall utenlandske privatpersoner med en eierandel i en størrelsesorden som gjør det interessant å undersøke privatpersonene. For samtlige utenlandske private eiere med mer enn 10 prosent eierandel har Menon har gjort omfattende undersøkelse av hvem eieren er og om de har kontroverser knyttet til seg og/eller kjente bindinger til regimer som utgjør en risiko. Det har ikke blitt avdekket slike kontroverser eller kjente bindinger.

Identifiserte risikoelementer som man bør være bevisst på:

Til tross for at det ikke er identifisert alvorlig risiko ved eierskapet til de kartlagte selskapene er det likevel noen elementer knyttet til enkelte selskap og eierforhold Menon mener at det er naturlig å adressere i en risikovurdering. Det er særlig tre forhold som er ønskelig å belyse med disse eksemplene:

• Selskaper eid fra udemokratiske land
• Eierskap og makt konsentrert på enkeltpersoner som er politisk markerte
• Eierskap gjennom lavskatteland (definert som jurisdiksjon med gunstig skatteregime).

Huawei Technologies Norway AS , eid av Huawei Technologies Co., Ltd., er en global leverandør av kommunikasjonsinfrastruktur. Selv om Huawei formelt sett er eid av ansatte, er det bekymringer rundt selskapets tilknytning til kinesiske myndigheter, spesielt på grunn selskapet sivilmilitære funksjoner, grunnleggerens militære bakgrunn og Kinas etterretningslovgivning som innebærer at selskaper til enhver tid kan bli pålagt å dele informasjon med myndigheten. Dette har ført til at Huawei anses som en sikkerhetsrisiko i flere vestlige land, inkludert Norge.

Et annet tilfelle med eierskap som Menon trekker frem er Starlink Norway AS , der Elon Musk Trust er majoritetseier. Dette er det fremste tilfellet av de undersøkte eierforholdene på at en utenlandsk privatperson sitter med majoritetseierskap og kontroll av en eier av digital kommunikasjonsinfrastruktur. Starlinks rolle i Ukraina har vært både kontroversiell og essensiell. Tjenesten har vært viktig for Ukrainas kommunikasjon under krisen, og har blant annet vært brukt til flere forsvarsformål. Samtidig har det også vært diskusjoner rundt Starlinks påvirkning og potensielle begrensninger i bruk. Spørsmålet om hvorvidt russiske styrker kan eller har brukt Starlink er også relevant i sikkerhetssammenheng.

Det er bekymringer rundt maktkonsentrasjon over kritisk infrastruktur hos enkeltpersoner med politiske engasjement. Selv om dette ikke utgjør en direkte trussel mot norsk infrastruktur, understreker det ifølge Menon behovet for årvåkenhet over eierskap og kontroll av sentral teknologi.

Menon trekker frem at eierskap gjennom lavskatteland kan være motivert av flere forhold: Eierskap kan være drevet av skattemessige hensyn, ønske om diskresjon og hemmelighold, samt for å forenkle internasjonale investeringer. Dette er vanlig blant aktører som ønsker å tiltrekke kapital fra medinvestorer, spesielt i Nord-Amerika. Norfund har også benyttet slike jurisdiksjoner for å tilrettelegge investeringer, til tross for økt omdømmerisiko.

6.3 Oppsummering

Menons vurdering er at det i kartleggingen ikke er avdekket eierforhold som fremstår som problematiske, bortsett fra eierskapet til Huawei som allerede er godt kjent for norske myndigheter. Rapporten viser at utenlandsk eierskap er utbredt i kritisk digital kommunikasjonsinfrastruktur, og mer utbredt blant leverandørene enn i selskapene som eier infrastrukturen. Kartleggingen viser også at utenlandsk eierskap er mer utbredt i kritisk digital infrastruktur enn i norsk næringsliv generelt.

Utvalget viser til Menons vurdering av at følgende forhold bør inngå i en risikovurdering av utenlandsk eierskap:

• Selskaper eid fra udemokratiske land
• Eierskap og makt konsentrert på enkeltpersoner som er politisk markerte
• Eierskap gjennom lavskatteland

Utvalget deler Menons bekymring knyttet til eierskap fra udemokratiske land, eierskap gjennom lavskatteland og eierskap og makt konsentrert til enkeltpersoner. Samtidig finner utvalget at det verken er «skattenivået» eller «demokratinivået» i seg selv som skal være vurderingskriteriet. At lavskatteland kan ha mangel på transparens knyttet til eierskap, er derimot en bekymring fordi det reelle eierskapet kan være skjult. Videre vil svake eller manglende demokratiske institusjoner kunne føre til uforutsigbarhet i beslutningsprosesser og i rettssystemet. Det er denne uforutsigbarheten som vil være kjernen i en risikovurdering, og ikke styreformen i seg selv. Det er i risikovurderinger knyttet til eierskap fra andre land også nødvendig å ta hensyn til scenarioer som kan oppstå på et senere tidspunkt, og når man befinner seg høyt i krisespennet.

7 Teknologiske og markedsmessige utviklingstrekk frem mot 2030

Utvalget har som ledd i sitt arbeid gitt Oslo Economics (OE) og Norsk Utenrikspolitisk Institutt (NUPI) (heretter OE/NUPI) i oppdrag å analysere hvordan teknologiske- og markedsmessige endringer og geopolitisk utvikling kan påvirke nasjonal kritisk infrastruktur de neste årene frem mot 2030. Oppdraget har vært delt i inn i tre deler der man beskriver de viktigste driverne for:

1. Forventede utviklingstrekk knyttet til samfunnets avhengighet av de digitale tjenestene de neste 5-8 årene. Dette innebærer en beskrivelse av hvor store samfunnsverdier som kan forventes å leveres over den digitale infrastrukturen.
2. Utviklingstrekk som har betydning for hvordan myndighetene kan ivareta nasjonal kontroll over viktige verdier og virksomheter i verdikjeden for disse digitale tjenestene. Dette inkluderer elementer som kan øke sårbarheten i forsyningen av de digitale tjenestene. Beskrivelsen skal også dekke forventede eierskapsstrukturer på nasjonalt, nordisk, EU- og globalt nivå.
3. Eventuelle utviklingstrekk som bidrar til å redusere sårbarheten i forsyningen av de digitale tjenestene.

I det følgende har utvalget valgt å benytte flere momenter fra utredningen til OE/NUPI inn i utvalgets egne vurderinger.

7.1 Utviklingen i de digitale tjenestene og samfunnets avhengighet av disse

Samfunnet blir stadig mer avhengig av digitale tjenester, og i flere offentlige rapporter fremheves at Norge er et av verdens mest digitaliserte land. Digitaliseringen har gjennomgått flere bølger siden de første datamaskinene ble oppfunnet rundt midten av forrige århundre.

Etter internetts utbredelse fra tidlig 90-tallet ble informasjon mer tilgjengelig, og raskere utveksling av informasjon over store avstander ble mulig. Dette reduserte behovet for fysisk nærhet mellom leverandører og kunder, og sammen med lavere fraktkostnader og liberalisering av internasjonal handelspolitikk, bidro det til økt internasjonal handel fra slutten av 1990-tallet og utover 2000-tallet.

Utviklingen i verdenshandelen har gitt økt handelsvolum, men også endret hvordan varer produseres og kjøpes. Selskaper som samarbeider med strategiske partnere og spesialiserte leverandører har ført til mer desentraliserte og nettverksbaserte verdikjeder. Mange verdikjeder er derfor avhengige av varer produsert i flere land, og de globale forsyningskjedene er igjen avhengige av digitale tjenester for å utveksle informasjon, gjennomføre transaksjoner og organisere disse logistikkverdikjedene.

7.1.1 Skyteknologi og smarttelefoner

Det neste store skiftet kom med oppfinnelsen av smarttelefoner og skyteknologi. Skytjenester, som inkluderer dataprosessering og datalagring på eksterne servere, har gjort det mulig for selskapene å kjøpe slike tjenester fra skyleverandører i stedet for å lagre data i egne lokale datasentre.

Fordelene med skytjenester inkluderer skalerbarhet og rask tilgang til nye applikasjoner og teknologi, samt enklere samarbeid og datadeling. Bruk av skytjenester kan også føre til høyere sikkerhet fordi man får tilgang til mer oppdaterte IT-systemer og gir mulighet for å kvitte seg med utdatert programvare og systemer som kan ha innebygget sårbarhet som kriminelle/fiendtlige aktører kjenner til og kan utnytte.

Mange virksomheter i både offentlig og privat sektor har tatt i bruk skytjenester. I 2023 oppga 71 prosent av alle næringer, utenom finansnæringene, at de har kjøpt en eller flere skytjenester. Blant statlige virksomheter benytter omtrent 97 prosent skytjenester.

Økt bruk av skytjenester har ført til sentralisering av datalagring og prosessering i store datasentre, noe som har økt datasentrenes betydning i den digitale infrastrukturen. Dette har gjort mange virksomheter avhengige av internett for tilgang til data og applikasjoner, og verdien som bæres over transportnettene mellom datasentre, bedrifter og sluttbrukere har økt.

Utviklingen av smarttelefoner har gjort det mulig å utvikle nye digitale økosystemer med applikasjoner for nær sagt alt fra rene underholdningstjenester/sosiale medier (TikTok, Instagram. Facebook, Snapchat, Netflix, YouTube og Spotify mv.) til nyttetjenester som interaksjon med det offentlige (Helsenorge, Digipost, DFØ, BankID osv.) eller private tjenester som reise, strøm, bank og forsikring for å nevne noe.

7.1.2 Digitale tjenester

Mobilbetalinger er en av de andre trendene som fremkommer i rapporten fra OE/NUPI. Denne betalingsmetoden har blitt fremtredende og utgjør nå en stor del av betalingene i Norge. Ifølge Norges Bank ble 82 prosent av alle betalinger mellom privatpersoner i 2023 utført med mobiltelefon, mens bruk av mobilbetaling på utsalgssteder utgjorde 16 prosent. 64 Etter utvalgets oppfatning tilsier dette at tilgang til digitale betalingsmidler/-løsninger også bidrar til å øke befolkningen og samfunnets avhengigheter til de digitale kommunikasjonsnettene.

Det digitale offentlige Norge. Norge har en befolkning med høye digitale ferdigheter og høye forventninger til digitale offentlige og private tjenester. Dette har også ført til at Norge rangeres høyt sammenlignet med andre land i digitalisering av offentlige tjenester. Allerede i april 2012 besluttet regjeringen at digital kommunikasjon skal være den foretrukne kanal for all skriftlig kommunikasjon mellom forvaltningen på den ene siden og innbyggerne og næringslivet på den andre.

Statlige virksomheter og kommuner tilbyr stadig flere digitale selvbetjeningsløsninger og informasjonsløsninger knyttet til ulike tjenester, som Helsenorge for helsetjenester og Altinn for bl.a. rapportering om skatt, avgift og regnskap, arbeidsgiverrapportering, registrering knyttet til næringsvirksomhet og søknader knyttet til støtte- og tilskuddsordninger.

I tillegg kommer satsninger på ulike velferdsteknologier som kan bidra til å avlaste og hjelpe personer med ulike helseutfordringer, nedsatt funksjonsevne osv. Bruk av velferdsteknologi kan bidra til økt trygghet, sosial deltakelse, mobilitet, og styrker den enkeltes evne til å klare seg selv i hverdagen.

Digital hjemmeoppfølging av pasienter innebærer at hele eller deler av et behandlingstilbud skjer digitalt enten det være seg dialog eller deling av data og informasjon. 65 Digitalisering av helse- og omsorgssektoren kan bidra til å øke effektiviteten i tjenestene som leveres slik at helsepersonell får bedre tid til å utføre kjerneoppgaver, noe som samtidig vil kunne øke kvaliteten på tjenestene og øke pasient- og brukertilfredsheten. 66 Samtidig stiller dette også økte krav og forventninger til de ulike digitale kommunikasjonsnettene som bærer tjenestene.

Internasjonalt anerkjennes Norge for å ligge langt fremme, men det pekes også på at vi som nasjon har noen utfordringer foran oss slik det kommer til uttrykk i OECD-rapporten «Going Digital: Shaping Norway’s Digital Future»: 67

«Norway is at the digital frontier in many areas. The challenge for Norway is how to keep pace with rapid technological developments and competition, while improving performance in areas in which there are opportunities to catch up. Staying at the frontier requires agility, flexibility and well-co-ordinated digital policies. A national digital strategy can play an important role to ensure the policy framework in place makes the most of digital technologies and data for growth and well-being.»

7.1.3 Digitaliseringsstrategi 2024-2030

Regjeringens digitaliseringsstrategi for offentlig sektor 2024-2030 har klare ambisjoner om ytterligere digitalisering, med mål om at enda flere oppgaver skal løses digitalt og at brukerne skal oppleve én digital offentlig sektor. Strategien er ambisiøs og vektlegger fem kategorier med tiltak som blant annet omfatter:

1. Et enklere og tryggere hverdagsliv – Høyhastighets bredbånd for alle med minst 1 Gbit/s nedlastingshastighet og bedre mobildekning. Tilbud om digital lommebok og elektronisk ID, samt utvikling av grunnleggende digitale ferdigheter. Personvernet skal styrkes, og folks motstandskraft mot desinformasjon skal økes.
2. Mer moderne, offentlige tjenester – Hele den offentlig sektor skal digitaliseres for å tilby raskere saksbehandling, bedre digitale tjenester, og frigjøre tid og ressurser til de viktigste oppgavene. Digitaliseringstiltak skal prioriteres langsiktig for å sikre at de skjer på områdene med størst behov og gir størst gevinst for samfunnet.
3. Skape verdier med data og KI – En nasjonal infrastruktur for kunstig intelligens (KI) skal bygges for bruk i forskning, næringsutvikling og en mer moderne offentlig sektor. En ny lov om datadeling skal fremmes, og offentlige og private virksomheter skal få tilgang til data fra offentlig sektor for innovasjon og verdiskaping.
4. Verktøy for vår tids omstillinger – Kompetanse skal fortsatt være Norges fremste konkurransefortrinn, og derfor skal det bygges sterkere digital kompetanse fra grunnskolen til høyere utdanning og etter- og videreutdanning. Næringslivets konkurranseevne skal styrkes gjennom innovativ bruk og deling av data, KI mv. Digitalisering skal være en drivkraft for omstillinger og for å skape nytt næringsliv og nye selskaper.
5. Trygg digital oppvekst – Alle skal få mulighet til å delta i det digitale samfunnet, og innbyggere skal beskyttes mot digitale trusler og angrep. Barn og unge skal lære å bruke teknologi på en ansvarlig måte, i tillegg til at det for eksempel skal settes krav til store tech-selskaper der de har for mye makt.

Dersom Norge lykkes i omstillingen til en enda mer digital hverdag så innebærer det samtidig en betydelig forsterket avhengighet til de digitale kommunikasjonsnettene våre. Dette støttes også av rapporten fra OE/NUPI.

Selv om totalen dermed innebærer at verdiene som bæres over den digitale infrastrukturen vil øke, så kan det likevel trekkes frem at OE/NUPI også tar for seg enkelte forhold som kan bidra til å begrense eventuelle negative konsekvenser ved sikkerhetsbrudd hos enkeltstående aktører eller systemer:

• den digitale infrastrukturen er ikke en enkeltstående enhet, men består av flere aktører og systemer. Over de siste årene har vi hatt en trend mot mer diversifisering i enkelte deler av infrastrukturen, blant annet ved at vi har fått flere transportnett og flere utenlandsforbindelser.
• sluttbrukere er i økende grad opptatt av sikker kommunikasjon, og implementerer tiltak for å spre trafikk og data geografisk og hos flere tilbydere.

7.2 Viktige teknologiske trender fremover

Når man skal se på hvordan samfunnets avhengigheter til kritisk digital infrastruktur kan utvikle seg fremover er det samtidig viktig å se på hvilke teknologiske fremskritt eller utviklingstrekk som kan bli avgjørende. I det følgende omtales flere av de momentene OE/NUPI tar opp i sin rapport til utvalget.

7.2.1 Bruk av kunstig intelligens (KI)

Få ting har så til de grader vært med på å prege den teknologiske utviklingen i de senere år som kunstig intelligens og forventningene til hva teknologien skal kunne brukes til er mange.

Bruk av KI vil føre til at flere oppgaver som i dag gjennomføres manuelt vil kunne automatiseres, samtidig gir det større avhengighet til de digitale tjenestenes verdikjeder. Dette vil igjen føre til en økning i verdiene som bæres over den digitale kommunikasjonsinfrastrukturen.

I Teknologirådets årsrapport beskrives 2023 som året da kunstig intelligens (KI) for alvor ble en del av norsk samfunnsliv og politikk En undersøkelse utført av Samfunnsøkonomisk Analyse (SØA) på vegne av NHO, Abelia, Finans Norge og Nelfo høsten 2023, viste at én av fire virksomheter har tatt i bruk KI, og det forventes at bruken vil øke.

I sin rapport peker OE/NUPI på andre mulige bruksområder knyttet til kunstig intelligens, for eksempel hvordan kunstig intelligens og maskinlæring kan brukes for å drifte nettverk. Det vises til rapport fra sammenslutningen av europeiske ekommyndigheter (BEREC – Body of European Regulators for Electronic Communications) som bl.a. peker på at ved overgang til mer bruk av softwarebaserte nett og visualiserte nettverksfunksjoner, så vil kunstig intelligens og maskinlæring kunne benyttes for å automatisk drifte og kontrollere nettverkene, optimalisere bruken av nettene, forutse fremtidig behov og skreddersy løsninger til kunder mm. 68

OE/NUPI viser videre til forsøk med å utvikle teknologiske løsninger som vil gjøre det mulig å kjøre KI-applikasjoner nær sluttbruker på kanten av nettverket (edge). Treningen av store språkmodeller krever betydelig prosesseringskapasitet, noe som gjør at denne treningen sannsynligvis må utføres sentralt i større datasentre. Etter treningen kan modellene tolke og analysere nye data basert på kunnskapen de har opparbeidet seg fra treningsdatasettet på kanten av nettverkene (edge). Dette vil redusere behovet for dataoverføring mellom sluttbruker og datasenter, redusere tidsforsinkelser, og gjøre det mulig for enheter å fungere uten konstant internettforbindelse. Flere selskaper utvikler derfor teknologi for å kjøre KI-applikasjoner på edge-enheter.

Også telekom-operatører vurderer muligheten for å tilby tilstrekkelig prosessor- og lagringskapasitet i sine nettverk for å støtte KI-applikasjoner hos sluttbrukere. Det finnes flere slik samarbeidsprosjekter mellom aktører i verdikjeden, for eksempel samarbeider NVIDIA, Ericsson, Nokia og T-Mobile om å etablere et AI-RAN Innovation Center. Målet er å utvikle en plattform for å optimalisere mobilnettverkene med KI og levere edge computing-tjenester til sluttbrukere.

7.2.2 Migrering til sky

Markedet for allmenne skytjenester er dominert av noen få store amerikanske aktører. Bekymringer knyttet til personvern og kontroll over egne data, samt regulatoriske uklarheter knyttet til hvilke data som kan plasseres i allmenne skytjenester og hos utenlandske leverandører, har ifølge OE/NUPI skapt usikkerhet om hvilke skytjenester som kan benyttes for ulike typer data.

I statsforvaltningen har det vært gjennomført flere prosjekter som har utredet hvilke typer løsninger som kan benyttes for lagring og prosessering av ulike typer data. Flere statlige virksomheter har derfor vært avventende med å migrere beskyttelsesverdig ugradert data over i skytjenester, og har fortsatt å benytte on-premise løsninger for disse dataene. Etter hvert som det utvikles ulike skytjenester for ulike deler av statsforvaltningen vil mer data i statsforvaltningen som i dag lagres on-premise migreres over i ulike skytjenester.

Innen telekomsektoren har BEREC gjort undersøkelser av hvordan sektoren selv benytter skytjenester. 69 Undersøkelser viser at telekomselskaper har en risikobasert tilnærming til hvilke tjenester de plasserer i skytjenester som de ikke drifter selv. Tjenester med lav risiko, som fakturering og kundeanalyser, plasseres ofte i allmenne skytjenester. Mer kritiske funksjoner, som drift av kjernenett, holdes i egne løsninger.

Rapporten viser også en trend mot økt bruk av teknologier som virtualisering av kjernettfunksjoner for å drifte nettverkene. Virtualisering og softwarebaserte nettverk gjør det mulig å kontrollere nettverkene med software i stedet for dedikert hardware. Dette bidrar til å sentralisere styringen og gjør driften av nettverkene mer effektiv, samtidig som det reduserer behovet for ytterligere investeringer i nettverksinfrastruktur. På den annen side øker dette kompleksitetene i nettene og øker verdien av operasjonene som gjøres sentralt.

Men som det også fremkommer i BEREC-rapporten så er det også enkelte telekomselskaper som har inngått samarbeid med skytjenesteleverandører der de tester å plassere 5G-kjernen i virtuelt lukkede skytjenester fra allmenne skytjenesteleverandører.

7.2.3 Utvikling av datasenterindustrien

OE/NUPI peker i rapporten på en forventning om at det vil skje relativt store endringer i markedet for lagring og prosessering av data. Utviklingen av store språkmodeller vil kreve stor prosesseringskraft for å trene modellene, noe som medfører behov for en ny generasjon datasentre (high performance datacenters) som har stabil tilgang til energi og har stor prosesseringskraft. Trening av modellene har heller ikke behov for å gjennomføres nær sluttbruker. Denne trenden taler derfor for økt bygging av nye store sentraliserte datasentre med stor prosesseringskraft i områder med stabil tilgang på store mengder kraft.

Her kan Norge være et attraktivt sted å etablere neste generasjons datasentre. Dette skyldes blant annet at Norge har tilgang på regulerbar grønn energi, kaldt klima og god forbindelse til utlandet. Derfor kan det tenkes at flere aktører vil velge å etablere datasentre som understøtter KI i Norge i fremtiden.

7.2.4 Større verdier bæres over de kommersielle kommunikasjonsnettene

Større verdier bæres over de kommersielle kommunikasjonsnettene – den teknologiske utviklingen gjør det mulig å opprette virtuelle private nettverk innad i kommersielle 5G-nett. Dette vil gjøre at kunder som i dag har egne fysisk private nettverk i større grad kan kjøpe dette som en tjeneste fra kommersielle telekomoperatører. Dette muliggjør blant annet at dagens Nødnett kan migrere over i de kommersielle mobilnettene, i tillegg til at Forsvaret over tid også tester ut ulike løsninger i de kommersielle mobilnettene.

7.2.5 Internet of Things og virtuell virkelighet

Internet of Things (IoT) og Machine-to-Machine (M2M) dekker et vidt spekter av teknologier. IoT refererer til alle tingene rundt oss som kan kobles til internett. Når tingene er koblet til nett, kan de kommunisere med hverandre og omgivelsene. Typiske bruksområder spenner fra smarthøyttalere og sporingstjenester til digitale kjørebøker og sensorer som måler temperatur, strøm, luftkvalitet, fuktighet og vann. Antallet IoT-enheter som er koblet til internett har økt betydelig, og det er forventet at antallet vil fortsette å øke i fremtiden. Disse enhetene vil produsere store mengder data og drive utviklingen mot stadig mer digitaliserte verdikjeder. Utbygging av 5G-nett med lav forsinkelse og bruk av kunstig intelligens vil gi nye muligheter innen ulike industrisektorer og bidra til vekst innen IoT.

Virtuell virkelighet (VR) er kunstig gjengivelse av miljø med bruk av bilder og lyd. VR-simuleringer blir stadig bedre innen felt som medisin, byggeteknikk og spillindustrien. Det er stor usikkerhet knyttet til hvilken grad VR blir tatt i bruk frem mot 2030. Dersom det blir tatt i bruk i økende grad, vil denne typen teknologi sannsynligvis ha høye krav til båndbredde og lav tidsforsinkelse.

7.3 Viktige markedsmessige trender fremover

I Europa er det, i likhet med Norge, stort søkelys på utbygging av fremtidsrettet ekominfrastruktur, både 5G-nett og fibernett. I enkelte europeiske land har utrullingen av fullverdige 5G-nett kommet svært kort, noe som skaper en generasjonsforskjell i mobilnett mellom enkelte EU-land. Dette gjelder også utbyggingen av fibernettdekning. For Norges del arbeider også de tre norske mobilnetteierne med utvikling av egne fullverdige 5G-nett, dvs. at både radio- og kjernenett er basert på 5G-arkitektur.

Europakommisjonen er bekymret for at utbyggingen ikke er i rute til å nå målene i strategien for EUs digitale tiår (Digital Decade Policy Programme 2030). Kommisjonen anslår at det er behov for investeringer på mellom 150 og 220 milliarder euro for å oppnå målet om at alle europeiske husstander har tilgang til et gigabit nettverk, og alle befolkede områder har 5G-dekning.

Flere rapporter om europeisk konkurransedyktighet og fremtiden til det indre markedet understreker behovet for en velutbygget kommunikasjonsinfrastruktur for at EU skal lykkes med omstillingen til en konkurransedyktig, grønn og digital økonomi. 70 I denne sammenheng løftes også frem mulighet for ytterligere konsolidering innen ekomsektoren i de samme nasjonale markedene. Hittil har Kommisjonen og nasjonale konkurransemyndigheter opprettholdt streng kontroll over fusjoner mellom konkurrerende mobiloperatører for å sikre flere uavhengige mobilnett og opprettholde konkurransen. Fokuset har i svært stor grad vært rettet mot forbrukerpriser og ikke mot andre og viktige forhold som investeringer i økt sikkerhet i kritisk kommunikasjonsinfrastruktur som også har stor betydning for forbrukerne og som gagner samfunnet som helhet. Dette bildet kan være i ferd med å endre seg. Det europeiske ekommarkedet er under økt press, og det pekes på behovet for å stimulere investeringer i utbygging av infrastrukturen og styrke europeiske virksomheters innovasjonskraft og konkuranseevne. Det er den klare konklusjon på bakgrunn av Mario Draghis omfattende analyse til Kommisjonen fra september 2024. Samtidig må den digitale infrastrukturen styrkes for å fortsatt være motstandsdyktig, og det krever økte investeringer og sterke aktører for å sikre den nødvendige robustheten og sikkerheten i nettene. Konsolidering av nettverksinfrastruktur i sektoren kan bidra til å skape stordriftsfordeler og sikre forutsetningene for de nødvendige investeringer.

7.4 Viktige geopolitiske trender

I rapporten sin viser OE/NUPI gjennom utstrakt kildebruk at det i løpet av de siste 20 årene har skjedd betydelige endringer i samspillet mellom digital teknologi og globale maktrelasjonene. I de tidlige fasene av digitaliseringen var det en utbredt oppfatning, spesielt i vestlige land, at digital teknologi krevde unike styringsformer med minimal statlig inngripen. Denne tilnærmingen ble drevet av troen på at dette ville fremme økonomisk vekst og utnyttelse av ny teknologi. I tillegg reduserte vestlige selskapers dominans i teknologisektoren behovet for sterk statlig kontroll. Autoritære stater som Kina og Russland argumenterte på sin side for «digital suverenitet» og sterkere statlig kontroll i møte med det de oppfattet som amerikansk dominans.

På 2010-tallet ble behovet for nasjonal kontroll mer fremtredende i Europa og USA, særlig drevet fremover av flere faktorer:

1. Sikkerhetsutfordringer : Store sikkerhetsbrudd som WannaCry og NotPetya i 2017 synliggjorde de alvorlige konsekvensene cyberangrep kunne få for viktige sektorer som helse og global handel. Angrepene førte til økt politisk oppmerksomhet og krav om sterkere statlig regulering for å beskytte kritiske samfunnsinteresser.
2. Økonomisk vekst i Kina : Kinas økonomiske vekst og fremveksten av nettverkskritiske leverandører som Huawei og ZTE skapte bekymringer i en rekke vestlige land om deres egen teknologiavhengighet til land man ikke var sikkerhetspolitisk alliert med.
3. Monopoltendenser : Store teknologiselskapers økende makt og innflytelse ble problematisert, noe som førte til politisk mobilisering for sterkere statlig inngripen.

Den geopolitiske utviklingen har ført til at digital teknologi nå er et mer sensitivt område mellom stater. Økte spenninger mellom USA og Kina, samt en gradvis endring i Europa mot å se handel og geopolitikk i sammenheng, har forsterket behovet for nasjonal kontroll. Uforutsette globale hendelser som Covid-19-pandemien og den russiske invasjonen av Ukraina har ytterligere understreket risikoene ved teknologiske og økonomiske avhengigheter, og behovet for robust nasjonal digital infrastruktur.

I de kommende årene forventes økt statlig inngripen og nasjonal kontroll over digital infrastruktur. Nasjoner vil fokusere på å redusere problematiske avhengigheter og forsterke samarbeidet med allierte for å styrke nasjonal kontroll og legge sterkere føringer for økonomisk samhandling basert på hensynet til nasjonal sikkerhet.

Teknologiske og økonomiske avhengigheter blir i økende grad sett på som potensielle sårbarheter. Avhengighet av utenlandske teknologileverandører kan føre til tap av sensitiv informasjon og usikkerhet rundt kritiske tjenesters tilgjengelighet i hele spennet mellom fred-krise-krig. Manglende nasjonal kontroll kan også svekke evnen til å sikre verdikjeder, spesielt under sikkerhetspolitiske kriser.

Den geopolitiske situasjonen vil ikke bare påvirke behovet for kontroll i Norge, men også hos våre allierte. For et lite land som Norge er det nasjonale handlingsrommet for handels- og industripolitiske tiltak begrenset. Det er derfor særlig relevant å se på transatlantisk sikkerhetspolitisk samarbeid som, gitt industripolitisk koordinering blant vestlige land, antakelig vil kunne gjøre behovet for nasjonal kontroll langt mindre.

I rapporten tar OE/NUPI derfor også for seg viktige regulatoriske utviklingstrekk i USA og EU.

7.4.1 USA

Utviklingen i USA er sterkt påvirket av forholdet til Kina. Kinas økonomiske vekst har skapt gjensidig avhengighet, men også økt skepsis i USA mot avhengighet innen handel, investeringer og ikke minst teknologi. Denne skepsisen har også sitt opphav i oppfatningen om at kinesiske selskaper i stor grad opererer i forlengelse av den kinesiske staten. Amerikanske myndigheter har jevnlig anklaget kinesiske selskaper for industrispionasje og urettferdige praksiser, noe som har ført til økt interesse om å begrense kinesiske selskapers tilgang til den amerikanske økonomien.

Da Donald Trump ble president i USA i 2016 endret USA sin tilnærming til global handel, og økonomisk velstand ble definert som et mål for nasjonal sikkerhet. Denne retorikken har fortsatt under Biden/Harris administrasjonen med subsidier, lån, tariffer og skatteinsentiver for å sikre at USA leder an også i neste generasjons kritiske teknologier. Ledet an av Infrastructure, Investment and Jobs Act (IIJA), Inflation Reduction Act (IRA) og Chips and Science Act er det anslått at USAs samlede investeringer her vil bli opp mot 4 billioner dollar.

USA har også strammet grepet om nasjonal kontroll gjennom Committee on Foreign Investment in the United States (CFIUS), som har fått utvidede fullmakter til å blokkere investeringer som truer nasjonal sikkerhet. I 2022 ble det spesifisert at CFIUS særlig skulle vurdere effekten av utenlandske investeringer på verdikjeder, amerikansk lederskap i nye teknologier, cybersikkerhetsrisiko og risikoen for amerikanske borgeres personopplysninger. For utvalgte teknologiområder har amerikanske myndigheter indikert en politikk der det for særlig kritiske teknologier og innsatsfaktorer bak disse pålegges strenge begrensninger, også på utgående investeringer.

For telekombransjen har «Team Telecom» vurdert sikkerhetsrisikoen ved utenlandsk deltakelse. 71 I 2021 ble prosessen formalisert med et tydelig mandat om å vurdere sikkerhet ved utstedelse av lisenser. USA har også fokusert på verdikjeder og mulige avhengigheter, med tiltak for å utestenge leverandører som antas å kunne samarbeide med fiendtlige makter.

7.4.2 EU

Mens USA og Kina har vært i sentrum av stormaktsrivaliseringen, har EU lenge vært en mindre aktiv aktør i sammenvevingen av økonomi og sikkerhet. De siste årene har EU imidlertid gjennomgått et betydelig skifte med mer omfattende reguleringer og et sterkere ønske om teknologisk uavhengighet.

Siden 2017 har EU gradvis endret sin tilnærming til kontroll og utvidet sitt regelverk for økonomisk sikkerhet. Dette inkluderer strategi rundt forholdet til Kina (2019), gjennomgang av handelspolitikken (2021), oppdaterte regler for eksportkontroll (2021), tiltak mot utenlandske subsidier (2023), et felles instrument mot økonomisk maktbruk (2023) og utviklingen av en økonomisk sikkerhetsstrategi (2023). Mest relevant er reguleringen rundt investeringskontroll vedtatt i 2019 og i bruk siden oktober 2020. Denne reguleringen gir EU-kommisjonen myndighet til å vurdere potensielle investeringer fra tredjeland som kan påvirke kritisk infrastruktur, teknologi, råvarer, sensitiv informasjon og mediestyring. Se for øvrig ytterligere omtale av investeringskontroll-regelverket og forslag fra januar 2024 til endret EU-regulering i kapittel 10.

Samtidig med dette har EU også iverksatt tiltak for å styrke Europas posisjon innenfor viktige områder som eksempelvis det grønne skiftet og digital teknologi. Blant disse kan European Chips Act som trådte i kraft i 2023 nevnes spesielt fordi den setter søkelys på konkrete mottiltak til Europas avhengighet av importerte halvledere gjennom forskning på halvlederteknologi, innovasjon og produksjon av halvledere mv. Regjeringen har i statsbudsjettet for 2025 foreslått en årlig bevilgning på 40 millioner kroner for å sikre norsk deltakelse i programmet.

For særlig kritiske teknologier har EU også introdusert Strategic Technologies for Europe Platform (STEP) som skal legge til rette for investeringer og styrke Europas uavhengighet. Den totale budsjettrammen er på 160 milliarder euro, og digitale sektorer som skytjenester, 5G, kunstig intelligens og cybersikkerhet er eksplisitt nevnte satsningsområder.

EU har i de senere årene også tatt viktige regulatoriske grep innen cybersikkerhetsområdet, for eksempel gjennom Cybersecurity Act (vedtatt 2019) som etablerer en sertifiseringsordning for cybersikkerhetsprodukter og tjenester og Cyber Resilience Act (vedtatt oktober 2024) som sikter på å heve sikkerhetsnivået for hardware og software på det europeiske markedet. Regelverket vil også potensielt gi Europakommisjonen myndighet til å utestenge produkter som ikke har tilfredsstillende standard fra EU.

Av andre viktige initiativ fra EU-siden kan med fordel også NIS 2 (direktivet om tiltak for å sikre et høyet felles nivå for sikkerhet i nettverks- og informasjonssystemer, vedtatt 2022), CER (direktivet om kritiske enheters motstandsdyktighet, vedtatt 2022) og Cyber Solidarity Act (forslag 2023) nevnes. Det samme gjelder for hvitboken som Kommisjonen publiserte i februar 2024 som har en egen del viet til sikker og motstandsdyktig digital infrastruktur i Europa, herunder også en egen anbefaling knyttet til internasjonale sjøfiberkabler.

Alle disse initiativene er med på å underbygge at Europa tar på alvor ulike sikkerhetstruende aktiviteter og samtidig forsøker å sikre europeisk uavhengighet i viktige leverandørkjeder.

7.4.3 Konklusjon

EU har de 10 siste årene utviklet seg til å ta en større rolle i styringen av global økonomi og teknologi. Gjennom sitt globale avtrykk som regulatorisk supermakt har EU satt som mål å heve minstenivået for cybersikkerhet og digital regulering. EU har endret karakter fra en forkjemper for frihandel til en mer strategisk orientert geoøkonomisk aktør. Dette har resultert i reguleringer som strammer kontrollen over økonomisk samhandling, koordinering blant medlemslandene, og investeringer i nøkkelindustrier for å styrke europeisk teknologiuavhengighet. Draghi-rapporten fra 2024 peker på en retning for Europa som bruker økonomisk politikk for å styrke strategisk posisjon og geopolitiske innflytelse. Hvilken retning EU tar videre vil ha stor betydning for Norges handlingsrom og behov for nasjonal kontroll.

Det er mer uro i verden, og spenninger internasjonalt øker behovet for kontroll over kritisk teknologi og kritisk digital infrastruktur. Hos våre samarbeidspartnere EU og USA har det de siste årene blitt gjort mye for å styrke kontrollen og sikkerheten med økonomiske avhengigheter, særlig med utenlandske investeringer og viktige verdikjeder. Økt robusthet hos våre samarbeidspartnere kan øke vår egen robusthet, men skaper også forventninger om at Norge fatter lignende tiltak. Tiltak for nasjonal kontroll må derfor være tilpasset den geopolitiske konteksten, og ikke avvike for mye fra våre nærmeste samarbeidspartnere.

I rapporten tar OE/NUPI til orde for en utvikling over de neste 5-10 årene der man vil se at verdikjeder i EU og USA blir mindre avhengige av leverandører fra land man ikke har sikkerhetspolitisk samarbeid med. Økt robusthet hos Norges samarbeidspartnere vil da være med på å øke vår egen robusthet, slik at eventuelle tiltak for nasjonal kontroll kan målrettes mot risikoer knyttet til investeringer og eierskap.