DEL IV Om målbilde for nasjonal kontroll og aktuelle tiltak

11 En strukturert tilnærming til nasjonal kontroll

11.1 Proaktive og reaktive nivåer

Myndighetene har de siste årene måtte håndtere flere konkrete saker med betydning for nasjonal kontroll med digital infrastruktur, som nevnt i punkt 4.4.3. Tilnærmingen har vært å håndtere disse sakene enkeltvis og fra sak til sak. Det foreligger ikke i dag et overordnet og langsiktig målbilde for hva som er et tilstrekkelig nivå for nasjonal kontroll med kritisk digital infrastruktur.

Sikkerhetsloven har verktøy for å ivareta nasjonal kontroll, for eksempel gjennom eierskapskontroll for selskapene underlagt loven. Slik utvalget vurderer det, er denne eierskapskontrollen imidlertid ikke tilstrekkelig for å identifisere og proaktivt håndtere en potensielt langsiktig svekkelse av nasjonal kontroll som kan følge av gradvise endringer i markedssituasjonen, i teknologiutviklingen, og i de digitale infrastrukturenes internasjonale verdikjeder. Meld. St. 9 (2022–2023) er i så måte et viktig steg i å sette i gang en mer helhetlig og langsiktig prosess rundt spørsmål om nasjonal kontroll.

Etter utvalgets syn er det behov for å etablere et målbilde for nasjonal kontroll. Med et definert målbilde kan myndighetene vurdere om det er tilstrekkelig å opprettholde dagens nivå av nasjonal kontroll over digital infrastruktur, om dagens nivå kan reduseres uten at det har betydning for nasjonale sikkerhetsinteresser, eller om det er behov for å styrke den nasjonale kontrollen gjennom proaktive strategier og handlingsplaner.

Parallelt med dette må staten ha evne til å reaktivt håndtere oppdukkende saker, herunder screening av utenlandske investeringer. Med et etablert målbilde vil myndighetene enklere kunne vurdere hvordan disse sakene konkret påvirker den nasjonale kontrollen. Figur 11.1 illustrerer de proaktive og reaktive nivåene og beskrives nærmere under.

Figur 11.1 Illustrasjon av proaktivt og reaktivt nivå.

11.1.1 Det proaktive nivået – langsiktig målbilde, strategi og handlingsplaner

Det proaktive nivået innebærer at myndighetene etablerer et langsiktig mål på hvilke styringsevner og handlefriheter (jf. punkt 4.1.4) staten skal ha på ulike deler av den digitale infrastrukturen. Dette målbildet bør fastsettes etter føre-var-prinsippet, og være dimensjonert for scenarioer øverst i krisespekteret – krig og konflikt. Den proaktive tilnærmingen er viktig for å sikre at nødvendig styringsevne og handlefrihet over kritisk digital kommunikasjonsinfrastruktur allerede er etablert når det oppstår alvorlige situasjoner som utfordrer våre nasjonale sikkerhetsinteresser.

Målbildet må veies opp mot andre viktige samfunnshensyn. Dette presiseres også i Meld. St. 9 (2022–2023): « Nasjonal kontroll som virkemiddel må brukes på en slik måte at det bidrar til forutsigbarhet og tillit, og at det ikke fører til unødvendige begrensninger for verdiskapning og utenlandske investeringer i Norge, eller for norsk markedsadgang i utenlandske markeder. »

Når målbildet er definert, må gapet mellom dagens situasjon og målbildet identifiseres. En viktig forutsetning for dette er at myndighetene er i stand til å etablere en god oversikt over infrastrukturen, og løpende opprettholde oversikten gjennom teknologiske, markedsmessige og selskapsmessige endringer.

Myndighetene må etablere strategier og handlingsplaner for hvordan målbildet for nasjonal kontroll kan nås – og ivaretas – over tid. Dette kan gjøres gjennom å anvende en kombinasjon av hensiktsmessige virkemidler, nærmere omtalt i kapittel 9, overfor ulike deler av den digitale infrastrukturen. Virkemiddelapparatet spenner vidt, fra strategisk statlig eierskap til regulatoriske krav, tjenesteavtaler, tilskuddsordninger og internasjonalt beredskapssamarbeid.

Det er viktig å poengtere at målbildet ikke defineres i form av «utpeking» av enkeltselskaper som for eksempel må opprettholde nasjonalt eierskap. I sektoren for elektronisk kommunikasjon er markedet og risikobildet svært dynamisk, og selskapsstrukturene endrer seg fortløpende gjennom oppkjøp, salg av eiendeler, sammenslåinger, partnerskap og teknologiendringer. Målbildet må i stedet defineres i form av hvilke styringsevner og handlefrihet staten har behov for innenfor de ulike kategorier av digital infrastruktur, som omtalt i figur 5.1.

11.1.2 Det reaktive nivået – screening og kontroll med økonomiske aktiviteter

Det reaktive nivået innebærer at staten kan kontrollere og potensielt gripe inn i økonomiske aktiviteter som kan skade nasjonale sikkerhetsinteresser, enten gjennom tap av nasjonal kontroll eller gjennom andre sikkerhetstruende forhold.

Det primære reaktive virkemidlet vil være screening av utenlandske investeringer for å vurdere om den økonomiske aktiviteten kan ha sikkerhetstruende effekt. I dag er det sikkerhetsloven som gir det rettslige grunnlaget for screening og eventuell inngripen. Videre fremgår det av Meld. St. 9 (2024–2025) Totalberedskapsmeldingen punkt 8.2 at regjeringen er i gang med å videreutvikle dagens ordning for investeringskontroll til å gjelde også investeringer i virksomheter som ikke er underlagt sikkerhetsloven, blant annet gjennom en ny lov for kontroll av utenlandske investeringer.

I tillegg til screening av utenlandske investeringer, er det etter utvalgets syn også behov for at myndighetene har bedre oversikt og kontroll over andre økonomiske aktiviteter som påvirker nasjonal kontroll. Dette kan typisk være infrastrukturselskaper som velger nye partnerskap, driftskonsepter og teknologiløsninger som innebærer økt utenlandsk innflytelse og avhengighet. Dette trenger isolert sett ikke å ha en sikkerhetstruende effekt, men kan gradvis over tid bidra til å svekke statens styringsevner og handlefriheter over kritisk digital kommunikasjonsinfrastruktur. Eksempler på slik kontrollreduserende økonomisk aktivitet er nærmere beskrevet i punkt 4.3.

Ved hjelp av et etablert målbilde som omtalt over, vil myndighetene kunne vurdere hvilken konkret effekt slike økonomiske aktiviteter har på nasjonal kontroll. Om de økonomiske aktivitetene kan tillates eller ikke, avhenger blant annet av kravene i sikkerhetsloven, og kravene til forsvarlig sikkerhet og beredskap i ekomloven med forskrifter. I mange tilfeller vil aktivitetene i seg selv være lovlige, men samtidig bidra til å bringe staten lenger vekk fra målbildet om nasjonal kontroll. Denne erkjennelsen må da reflekteres tilbake inn i de proaktive strategiene og handlingsplanene som omtalt over, slik at kompenserende tiltak kan gjennomføres.

Kapittel 12 går nærmere inn på beskrivelsen av det reaktive nivået, og vurderingskriterier knyttet til screening av og kontroll med økonomisk aktivitet.

11.2 Definisjoner av styringsevner og handlefrihet som ivaretar nasjonale sikkerhetsinteresser

Utvalget har, jf. punkt 4.1.4, definert nasjonal kontroll som et produkt av statens selvstendige styringsevne til å ta effektive beslutninger, og statens handlefrihet til å gjennomføre beslutninger mest mulig uavhengig av utenlandske aktører.

I dette kapittelet drøfter utvalget nærmere hva slags styringsevne og hva slags handlefrihet staten bør ha for å ivareta nasjonale sikkerhetsinteresser knyttet til digital infrastruktur. Dette sees da i lys av utfordringsbildet beskrevet i punkt 4.2. Styringsevnene og handlefriheten utfyller hverandre, og påvirker hverandre, og utvalget presiserer at det også kan finnes andre sider av styringsevne og handlefrihet som ikke omtales her.

11.2.1 Statens styringsevner

Evne til å ta eller påvirke beslutninger om eierskapstransaksjoner

Denne styringsevnen handler om statens evne til å ta eller påvirke beslutninger om utenlandske eierskapstransaksjoner knyttet til selskaper som eier og forvalter kritisk digital kommunikasjonsinfrastruktur i Norge. Dette innebærer å kunne stoppe eller sette vilkår for transaksjoner som kan ha sikkerhetstruende effekt. Dette kan typisk være knyttet til at utenlandske aktører får tilgang til og kontroll med kunnskap, informasjon, infrastruktur eller eiendom, som kan utnyttes til for eksempel spionasje, påvirkningsoperasjoner, nedbygging av kapasitet, leveransenekt eller sabotasje.

Evne til å ta eller påvirke beslutninger om plassering av hovedkontorfunksjoner

Denne styringsevnen innebærer å kunne opprettholde nødvendig eierskapskontroll i statlig eide selskaper for å kunne ivareta de nasjonale sikkerhetsinteressene. Staten har ulike begrunnelser for statlig eierskap. I noen tilfeller er det å ivareta samfunnssikkerhet og beredskap det primære formålet. I andre tilfeller kan det være å ivareta hovedkontorfunksjoner i Norge. Utvalget mener at det å ivareta hovedkontorfunksjoner i Norge for strategisk viktige selskaper også har en betydning for nasjonal kontroll og derigjennom nasjonale sikkerhetsinteresser. Nasjonale sikkerhetsinteresser styrkes gjennom næringsklyngeeffekter, ved at norske hovedkontor gjerne tiltrekker seg kompetanse, forskningsressurser og investeringer, som sammen bygger opp et mer robust nasjonalt digitalt økosystem. Videre kan lokal tilstedeværelse bidra til å sikre tilgang til ekspertise i krisesituasjoner, og å styrke nasjonal beredskap gjennom tettere samarbeid med myndighetene.

Evne til å ta eller påvirke beslutninger om teknologi- og leverandørvalg

Statens evne til å ta eller påvirke beslutninger om teknologi- og leverandørvalg for kritisk digital infrastruktur kan være avgjørende for å sørge for at digital infrastruktur er pålitelig, trygg og i samsvar med nasjonale sikkerhetsinteresser. Styringsevnen handler om å kunne sette krav til hvilke leverandører og teknologier som tillates, basert på kriterier som sikkerhet og kvalitet, og som understøtter langsiktige strategiske mål. Dette innebærer også å redusere avhengigheten av utenlandske aktører som kan være underlagt fremmede staters interesser.

Evne til å ta eller påvirke beslutninger om driftskonsepter

Utkontraktering av kritiske funksjoner i tilknytning til digital infrastruktur til utlandet vil øke avhengigheten til utenlandske innsatsfaktorer. Videre kan driftskonsepter som opprettelse av fellesforetak eller konsortium sammen med utenlandske aktører øke den utenlandske innflytelsen på beslutninger som angår nasjonal kritisk digital infrastruktur. Statens styringsevne til å ta eller påvirke beslutninger om slike driftskonsepter handler da om å sørge for at den økte avhengigheten eller innflytelsen fra utlandet ikke får negativ påvirkning på nasjonale sikkerhetsinteresser. Aktuelle risikoer inkluderer blant annet redusert gjennomsiktighet og evne til å kontrollere sikkerhet hos de utenlandske tredjepartsaktørene, potensielle interessekonflikter mellom de samarbeidende partene i et fellesforetak eller konsortium, eller tap av strategisk nasjonal kunnskap og kompetanse.

Evne til å ta eller påvirke beslutninger om infrastrukturinvesteringer av strategisk interesse

Statens evne til å ta eller påvirke beslutninger om investeringer i digital infrastruktur som har strategisk og sikkerhetsmessig interesse, kan sees på fra to perspektiver. Det ene perspektivet er statens evne til å fremme infrastrukturinvesteringer som bygger opp under nasjonale strategiske sikkerhetsinteresser. Dette kan for eksempel være investeringer i fiberinfrastruktur for å bygge ut nasjonal redundans, styrke kapasitet og diversitet mellom Norge og utlandet, eller til Svalbard. Eller det kan være investeringer i sikkerhetsteknologi som skal styrke nasjonal digital infrastruktur.

Det andre perspektivet er statens evne til å kunne hindre infrastrukturinvesteringer i Norge («greenfield» investeringer) som svekker nasjonale sikkerhetsinteresser. Dette kan for eksempel være investeringer i fiberinfrastruktur til, eller i samarbeid med, land som Norge ikke har sikkerhetsmessig samarbeid med. Det kan være investeringer i nasjonal digital infrastruktur som skal benyttes til (fordekte) forskningsaktiviteter som kan true nasjonale sikkerhetsinteresser. Det kan også være investeringer i nye datasentre i Norge som direkte eller indirekte kan true nasjonale sikkerhetsinteresser, for eksempel på bakgrunn av hvem som eier eller er tenkt å ta i bruk datasenteret, hva datasenteret er tenkt å brukes til (f.eks. kryptoutvinning), eller omfanget av kraftressurser datasenteret beslaglegger.

Evne til å ta eller påvirke beslutninger om nasjonale beredskapstiltak for krise og krig

Denne evnen innebærer at staten kan ta beslutninger som legger til rette for at den nasjonale digitale infrastrukturen kan tåle påkjenninger i hele krisespekteret fred, krise og krig. Særlig i kontekst av stadig økende avhengighet til utenlandske innsatsfaktorer i den digitale infrastrukturen, så vil slike beslutninger ofte måtte handle om å sikre en nasjonal beredskap for krise og krig som kompenserer for avhengighetene som ligger utenfor nasjonal kontroll og jurisdiksjon. Men det kan også handle om å ta beslutninger om beredskapstiltak og -avtaler med internasjonale partnere og allierte, for å sikre tilgang til felles internasjonale innsatsfaktorer i krise og krig. Se for øvrig nedenfor om handlefrihet i punkt 11.2.2.

Evne til å ta eller påvirke beslutninger om prioritering av ressurser i krise og krig

I krise og krig må man legge til grunn at tilgjengeligheten til digital kommunikasjonsinfrastruktur og til ressursene for å drifte og vedlikeholde denne, kan bli kraftig redusert. Det er derfor viktig at staten har styringsevne til å ta eller påvirke beslutninger om hvordan begrensede ressurser skal prioriteres. Dette behovet kan forsterkes dersom man har sterk avhengighet til utenlandske ressurser og innsatsfaktorer som man mister tilgang til. For eksempel kan det være snakk om å kunne ta beslutninger om trafikkstyring (f.eks. hvilke kommunikasjonstjenester som skal prioriteres), at enkeltaktører skal få prioritert tilgang til elektroniske kommunikasjonsnett (f.eks. Forsvaret), eller at staten overstyrer beslutninger om hvor tilgjengelig entreprenørkapasitet skal settes inn, for å ivareta nasjonale sikkerhetsbehov.

Evne til å beskytte skjermingsverdig informasjon om digital infrastruktur

Informasjon om norsk digital infrastruktur og norske forhold kan skade nasjonale sikkerhetsinteresser dersom den kommer på avveie. Staten må ha evne til å sette vilkår om hvordan slik informasjon skal kunne håndteres opp mot utenlandske eiere, partnere og underleverandører. For eksempel er det innenfor sikkerhetslovens domene klare krav knyttet til kontroll av skjermingsverdig informasjon. Imidlertid kan mange informasjonselementer om kritisk digital infrastruktur som ikke er skjermingsverdig, likevel være av stor verdi for utenlandsk etterretning. Dette kan være informasjonselementer knyttet til teknologi, arkitektur, driftskonsepter, beredskapstiltak osv., som samlet gir omfattende innsikt om norske forhold.

11.2.2 Statens handlefrihet

Tilgang til fysisk digital infrastruktur på norsk jord

Fysisk lokalisering av den digitale infrastrukturen på norsk jord gir myndighetene jurisdiksjon og kontroll over de rent fysiske innsatsfaktorene som ligger til grunn for f.eks. lagring av data og produksjon av elektroniske kommunikasjonstjenester. Noe slik infrastruktur, som f.eks. fiberkabler, vil implisitt være lokalisert på norsk jord. Annen infrastruktur, som f.eks. datasentre og tjenesteproduksjonsinfrastruktur for mobil- og internettjenester kan imidlertid være fysisk lokalisert utenfor landets grenser. Å ha fysisk kontroll på og jurisdiksjon over den fysiske infrastrukturen, kan være avgjørende for handlefriheten til f.eks. å kunne ta effektive beslutninger om prioriteringer om bruk av infrastrukturen i krise og krig. Tilgang til beredskapsmateriell og reserveutstyr plassert på norsk jord er også relevant i denne sammenheng.

Tilgang til fysisk digital infrastruktur i utlandet

For noen scenarioer kan det å ha fysisk digital infrastruktur plassert utenfor landets grenser, hos nære allierte, være fordelaktig. Dette gjelder særlig for sabotasje- og angrepsscenarioer der den nasjonale fysiske infrastrukturen blir fysisk ødelagt. Da vil det også å kunne nyttiggjøre seg tjenesteproduksjonsinfrastruktur som er fysisk plassert utenfor landets grenser, også bidra til å bygge opp under den nasjonale handlefriheten. For eksempel inngår det derfor i NSMs konseptvalgutredning om nasjonal sky, at data skal kunne evakueres til utlandet. Dette vil forutsette at det finnes tilgjengelig fysisk digital infrastruktur i utlandet for å migrere og oppbevare disse dataene.

Tilgang til nasjonale ressurser og kompetanse

Tilsvarende som for fysisk infrastruktur på norsk jord, vil også tilgang til nasjonale ressurser og kompetanse styrke statens handlefrihet i krise og krig. Slik tilgang er viktig for blant annet design, konfigurasjon, overvåkning, drift, utbygging og feilretting av den digitale infrastrukturen. Koronapandemien i 2020 er et nært eksempel på hvordan tilgang til ressurser fra utlandet, for eksempel entreprenørkapasitet, kan bli strupet. I en krise- eller krigssituasjon må man forvente at både tilgjengeligheten til utenlandske ressurser og kompetanse reduseres, og samtidig som behovet for de samme ressursene øker.

Tilgang til internasjonale ressurser og kompetanse

Gitt de komplekse og internasjonale verdikjedene som inngår i digital infrastruktur, vil det i praksis være umulig å ivareta handlefrihet utelukkende i form av tilgang til nasjonale ressurser og kompetanse for utvikling og drift. Derfor vil det være nødvendig å sikre handlefrihet også gjennom samarbeid med nære allierte, i Norden, NATO og EU. Et slikt samarbeid må ikke bare være basert på å ivareta behov i fredstid, men også ta inn over seg potensiell knapphet på ressurser og kompetanse, og tilhørende prioriteringer mellom allierte, i en krise- og krigssituasjon.

11.2.3 Samlet oversikt – forholdet mellom styringsevner og handlefrihet og nasjonale sikkerhetsinteresser

I tabell 11.1 og 11.2 oppsummerer utvalget drøftingene i punktene over, gjennom å kort beskrive hva som er de generelle sikkerhetsmessige begrunnelsene for de styringsevnene og handlefrihetene som staten har behov for. Dette danner igjen grunnlag for å definere konkrete målbilder som omtales i neste delkapittel.

Tabell 11.1 Styringsevner

Tabell 11.2 Handlefriheter

11.3 Utarbeidelse av konkrete målbilder

Med utgangspunkt i styringsevnene og handlefrihetene i tabell 11.1 og 11.2 i punkt 11.2.3, så vil det være mulig for staten å bygge et samlet målbilde for de ulike kategoriene av infrastrukturer som vist i figur 5.1 i punkt 5.2. Dette kan gjøres ved å vurdere hvordan styringsevnene og handlefrihetene bidrar til nasjonale sikkerhetsinteresser i tabellen over, med konkrete målsetninger for hver enkelt infrastrukturkategori. På denne måten kan behovet for nasjonal kontroll identifiseres på tvers av «økosystemet» for digital infrastruktur:

• Passiv infrastruktur (f.eks. fiberinfrastruktur, herunder sjøfiber)
• Støtteinfrastruktur (f.eks. datasentre, fortifikatoriske anlegg, mobiltårn, jordstasjoner, klokkeinfrastruktur, nummerportering og opprinnelsesmarkering)
• Tjenesteproduksjonsinfrastruktur (f.eks. transportnett, bredbåndsnett, internett-infrastruktur, mobilnett og satellittkommunikasjonsinfrastruktur)

I tillegg vil behovet for nasjonal kontroll med personellressurser og kompetanse tas med i beregningen. Rasjonalet for denne helhetlige tilnærmingen er å unngå blindsoner som kan oppstå ved å rette for mye oppmerksomhet mot å sikre nasjonal kontroll med én eller noen typer infrastrukturer og funksjoner, mens man «glemmer» andre.

Det ligger utenfor utvalgets mandat å etablere et komplett målbilde som omfatter alle relevante infrastrukturkategorier. Denne oppgaven bør gjennomføres av myndighetene og vil også, avhengig av detaljeringsgrad, sannsynligvis være skjermingsverdig. Utvalget inkluderer likevel et eksempel i tabell 11.3 på hvordan et delmålbilde kan bygges ut for en gitt infrastrukturkategori. I eksemplet har utvalget gått nærmere inn på (passiv) fiberinfrastruktur.

Tabell 11.3 Eksempel på styringsevner som kan inngå i et målbilde for fiberinfrastruktur

Tabell 11.4 Eksempel på handlefriheter som kan inngå i et målbilde for fiberinfrastruktur

11.4 Gap mellom nåsituasjon og målbildene

Mens utvalget i punkt 11.3 går nærmere inn på hvordan myndighetene kan etablere konkrete målbilder for hver infrastrukturkategori, drøfter utvalget her hvordan et eventuelt gap mellom målbildene og nåsituasjonen kan identifiseres.

At et målbilde er realisert innebærer at staten har – og evner å ta i bruk – egnede virkemidler som gir de nærmere definerte styringsevnene. Videre innebærer det at staten har benyttet virkemidlene til å etablere den nødvendige handlefriheten i form av de beskrevne tilgangene til infrastruktur, ressurser og kompetanse. Dette forholdet illustreres i figur 11.2.

Figur 11.2 Forholdet mellom målbilde og virkemidler.

Utvalget har i kapittel 9 gitt en beskrivelse av de virkemidlene staten rår over, som kan gi grunnlag for slik nasjonal kontroll. Disse kan oppsummeres som følger:

• Nasjonalt eierskap (statlig, kommunalt/fylkeskommunalt og privat)
• Regulering (f.eks. sikkerhetsloven, ekomloven, digitalsikkerhetsloven, beredskapslovgivning, lov om militære rekvisisjoner, mv.)
• Statlige overføringer
• Kontrakter og avtaler (statlig tjenestekjøp og andre privatrettslige avtaler)
• Informasjon, veiledning, dialog og samarbeid
• Internasjonalt samarbeid

Det er åpenbart at de forskjellige styringsevnene og handlefrihetene forutsetter ulike typer virkemidler. Utvalget vurderer at regulering vil være det mest sentrale i virkemiddelapparatet for nasjonal kontroll med digital kommunikasjonsinfrastruktur, men at de øvrige virkemidlene også er viktige for å utfylle målbildet. Ser man på eksempelet med fiberinfrastruktur i tabell 11.3, vil regulering være sentralt for mange styringsevner, men også en rekke andre virkemidler.

For eksempel vil « styringsevne til å sikre at hovedkontorfunksjoner til statlig eide selskaper som råder over særlig strategisk viktig fiberinfrastruktur forblir i Norge » måtte realiseres gjennom eierskap, ved at staten beholder over en tredel eierskap i de aktuelle selskapene. Se eksempel i tabell 11.5, jf. figur 11.2.

Tabell 11.5 Eksempel på gapvurdering, og hvor fastsetting av gap/avvik mellom målbildet og gjeldende tilstand kan representeres langs tre nivåer (begrenset/moderat/betydelig gap).

Tilsvarende må myndighetene vurdere statens virkemidler for de andre styringsevnene og handlefrihetene innenfor infrastrukturkategorien. Dersom man for eksempel ser på styringsevnen « Beslutninger om fiberselskapers bestykking av beredskapslagre med fiber- og retteutstyr » kan dette realiseres gjennom regulatoriske krav – hovedsakelig beredskapskravene i ekomloven. Dersom staten har behov for beredskapsnivå ut over det fiberoperatørene er pålagt gjennom ekomloven å finansiere selv, kan det finansieres gjennom statlige overføringer, for eksempel tilskuddsordningen for telesikkerhet og beredskap.

Et annet eksempel er målsetningene om handlefriheter knyttet til fiberinfrastruktur. Når det gjelder «Internasjonalt samarbeid om rettekapasitet for sjøfiberkabler på norsk kontinentalsokkel» , vil det primære virkemidlet være internasjonale avtaler. I dag samarbeider europeiske operatører av sjøfiberkabler blant annet gjennom Atlantic Cable Maintenance & Repair Agreement (ACMA) som er en avtale for vedlikehold og reparasjon av undersjøisk infrastruktur. 136 Altibox, Tampnet og Equinor er norske selskaper som inngår i dette samarbeidet. Hendelser den siste tiden i våre nærområder tyder på at kapasitetsbehovet og internasjonalt samarbeid bør styrkes på dette området, og det er allerede igangsatt flere initiativer med internasjonalt samarbeid, f.eks. mellom nordsjølandene 137 , de nordiske landene 138 , gjennom FN 139 og NATO 140 , se omtale i punkt 9.7.

Når det gjelder handlefriheten «Nasjonal rettekapasitet for kystnære sjøfiberkabler (kabelskip, utstyr og kompetanse)» , så vil regulering være det sentrale virkemidlet, gjennom blant annet sikkerhets- og beredskapskravene i ekomloven. For eksempel oppgir Telenor å disponere to kabelskip til formålet, stasjonert i henholdsvis Harstad og Bergen. 141 Det er også inngått samarbeidsavtale mellom elleve andre operatører om kabelskip langs store deler av kysten. 142 Samarbeid og dialog mellom operatører, og mellom operatører og myndigheter vil være et viktig supplement til de regulatoriske virkemidlene i krise- og krigssituasjoner.

For handlefriheten «Nasjonal rettekapasitet for sjøfiberkabler på norsk kontinentalsokkel (kabelskip, utstyr og kompetanse)», så kan dette kreve andre kapasiteter enn kabelskipene som opererer i kystnære områder. Utover regulatoriske virkemidler, kan aktuelle virkemidler for slik kapasitet under nasjonal kontroll både være statlig eierskap (f.eks. kapasitet gjennom Forsvaret), eller statlig tjenestekjøp.

Der de nødvendige virkemidlene ikke finnes eller ikke er fullt ut dekkende, så vil det være et gap mellom nåsituasjonen og målbildet. Da kan det for eksempel være behov for å endre gjeldende regulering eller fastsette nye regler.

Det kan også oppstå et gap dersom aktuelle virkemidler finnes, men ikke tas i bruk. Dette kan typisk skyldes mangel på ressurser hos myndighetene, manglende myndighetsfinansiering (for tilskuddsordninger), eller at handels- eller sikkerhetspolitiske forhold setter begrensninger for bruken. I en gapanalyse er det derfor viktig å identifisere slike potensielle begrensninger.

En komplett gapanalyse for kritisk digital kommunikasjonsinfrastruktur vil kunne være omfattende, men samtidig gjennomførbar når arbeidet brytes ned i delmålbilder for konkrete infrastrukturkategorier med tilhørende definerte styringsevner og handlefriheter. Gapanalysen av én infrastrukturkategori kan da også aggregeres og analyseres sammen med gapanalysene til de andre infrastrukturkategoriene. Dette vil gjøre det mulig for myndighetene å trekke ut overordnede observasjoner. Tabell 11.6 illustrerer hvordan en aggregert gapanalyse kan identifisere at én type infrastrukturkategori har svak nasjonal kontroll sett i forhold til andre kategorier, og at én type handlefrihet mangler på tvers av alle infrastrukturkategorier.

Tabell 11.6 Illustrasjon på en samlet gapanalyse som viser hvordan trender på tvers av infrastrukturkategorier kan identifiseres. Dette er et fiktivt eksempel.

11.5 Strategier og handlingsplaner

Som beskrevet i punkt 11.1 anbefaler utvalget at det arbeides proaktivt med nasjonal kontroll, i tillegg til de reaktive kontrollene. Dette innebærer at det må etableres proaktive strategier og handlingsplaner for hvordan gap kan lukkes og målbildet for nasjonal kontroll nås – og ivaretas – over tid. Utvalget har pekt på at hvilken virkemiddelbruk som er best egnet, varierer på bakgrunn av både infrastrukturkategori, styringsevner og handlefriheter. Videre vil noen gap representere større risiko for nasjonale sikkerhetsinteresser enn andre. Det er derfor viktig å etablere overordnede strategier for virkemiddelbruken. Det kan for eksempel være at myndighetene ser behov for at staten tar en aktiv rolle gjennom eierskap på nye strategiske områder, slik Norge har gjort på satellittområdet. Eller det kan være det motsatte; at staten ser fordeler ved økt utenlandsk eierskap på visse områder, gjennom at det bidrar til styrket sikkerhet gjennom økte infrastrukturinvesteringer i Norge, og uten at det påviselig går på bekostning av styringsevnen og handlefriheten.

Etter utvalgets syn bør de proaktive grepene for å oppfylle målbilder for nasjonal kontroll integreres i eksisterende arbeid med strategier og handlingsplaner relatert til sikkerhet og beredskap. Utvalget vil særlig peke på følgende:

• Nasjonal digitaliseringsstrategi : Den nye strategien fra 2024 har et konkret tiltak om at regjeringen frem mot 2030 vil «sikre tilstrekkelig nasjonal kontroll med den delen av den digitale grunnmuren som understøtter kritiske samfunnsfunksjoner». Utvalget anser dette å være det overbyggende tiltaket som skal sikre oppfyllelse av et målbilde om nasjonal kontroll med digital kommunikasjonsinfrastruktur.
• Statens eierskapsstrategi, jf. eierskapsmeldingen : Statlig eierskap vil være et langsiktig virkemiddel som er aktuelt for å sikre nasjonal kontroll og kompetanse med de mest kritiske digitale kommunikasjonsinfrastrukturene. Dersom det avdekkes behov for å styrke det statlige eierskap på noen områder innenfor økosystemet for kritisk digital kommunikasjonsinfrastruktur, må dette integreres i statens eierskapsstrategi.
• Sivilt beredskapssystem (SBS) : SBS, som sammen med Forsvarets beredskapssystem (FBS) utgjør Nasjonalt beredskapssystem (NBS), vil være aktuelt å revidere i lys av tiltak for nasjonal kontroll. Dette kan være operasjonalisering av tiltak med hjemmel i ekomloven og sikkerhetsloven, og øvrige samarbeidstiltak.
• Ny nasjonal datasenterstrategi : Regjeringen har bebudet ny nasjonal datasenterstrategi i løpet av 2025. Utvalget mener at det i strategien bør tas høyde for at det kan etableres konkrete målbilder for nasjonal datasenterkapasitet herunder for fortifikatoriske datasentre, og for datasenterkapasitet i utlandet nødvendig for å ivareta nasjonal kontroll.
• Nasjonal strategi for posisjonsbestemmelse, navigasjon og tidsbestemmelse (PNT): Strategien fra 2018 har mål om at samfunnets sårbarhet for svikt i satellittbaserte PNT-systemer skal reduseres, men peker på at tiltak må vurderes innenfor hver sektor. Et målbilde om nasjonal kontroll gjennom nasjonal tidstjeneste basert på bakkebasert infrastruktur vil være til dels sektorovergripende. PNT-strategien bør derfor oppdateres og klargjøres i lys av dette.
• Langtidsplanen for Forsvaret og handlingsplaner som følger av Totalberedskapsmeldingen: Jf. kapittel 4.4.2 kommer begge inn på forhold rundt nasjonal kontroll knyttet til digital infrastruktur. Det er naturlig at utvalgets anbefalinger sees i sammenheng med disse handlingsplanene.
• Nasjonal sikkerhetsstrategi: Ifølge totalberedskapsmeldingen arbeider regjeringen med å utarbeide en nasjonal sikkerhetsstrategi som skal se helhetlig på utenriks-, sikkerhets-, forsvars-, og beredskapspolitikken. Strategien skal legges frem før sommeren 2025. I denne sammenheng vil det være naturlig å vurdere eventuell overføringsverdi av dette utvalgets arbeid innenfor ekomsektoren til andre sektorer som forvalter kritisk infrastruktur, slik det også presiseres i totalberedskapsmeldingen.

11.6 Oppsummering og anbefalinger

I dette kapittelet har utvalget beskrevet en strukturert tilnærming til nasjonal kontroll, gjennom en modell for å etablere et målbilde med konkrete styringsevner og handlefriheter, analysere aktuelle virkemidler for å nå målbildet, og å fastsette proaktive strategier og handlingsplaner. Dette proaktive nivået vil da utgjøre et fundament for håndteringen av de reaktive screening- og kontrollmekanismene som beskrives i kapittel 12.

11.6.1 Etablere oversikt

Som et første steg må myndighetene ha oversikt over hvilken kritisk digital kommunikasjonsinfrastruktur det er viktig å sikre nødvendig nasjonal kontroll med, og hvilke virksomheter som forvalter denne. Digital kommunikasjonsinfrastruktur består av komplekse verdikjeder som er i dynamisk utvikling. Som det fremgår i punkt 5.4 mener Nkom å ha tilstrekkelig oversikt og informasjonstilgang knyttet til kritisk digital kommunikasjonsinfrastruktur gjennom den løpende forvaltningen og tilsynet med sektoren, selv om denne informasjonen ikke er strukturert i form av en konkret database/oversikt per i dag.

Utvalget vil i denne sammenheng peke på at departementene etter sikkerhetsloven § 2-1 plikter å identifisere og holde oversikt over virksomheter som har vesentlig betydning for grunnleggende nasjonale funksjoner eller for nasjonale sikkerhetsinteresser innenfor sine ansvarsområder. Myndighetenes arbeid med dette bør også kunne utvides til å omfatte øvrig kritisk digital kommunikasjonsinfrastruktur og tilhørende virksomheter som det kan være viktig å sikre nødvendig nasjonal kontroll med. På denne bakgrunn mener utvalget følgende:

«Utvalget anbefaler at Digitaliserings- og forvaltningsdepartementet identifiserer og holder ved like en dokumentert oversikt over virksomheter i henhold til sikkerhetsloven § 2-1, samt øvrige virksomheter som forvalter digital kommunikasjonsinfrastruktur og funksjoner som anses samfunnskritiske.»

11.6.2 Etablere målbilder

Som beskrevet i dette kapittelet bør vurderingen av hva som er nødvendig grad av nasjonal kontroll med kritisk digital kommunikasjonsinfrastruktur brytes ned til delmålbilder med konkrete styringsevner og handlefriheter som understøtter nasjonale sikkerhetsinteresser innenfor ulike typer infrastrukturkategorier.

Det er utenfor utvalgets mandat å definere disse målbildene, da dette vil være en myndighetsoppgave. Utvalget har likevel beskrevet et eksempel på hvordan konkrete styringsevner og handlefriheter kan defineres innenfor kategorien fiberinfrastruktur. På tilsvarende måte anbefaler utvalget at myndighetene etablerer delmålbilder innenfor de andre infrastrukturkategoriene:

«Utvalget anbefaler at Digitaliserings- og forvaltningsdepartementet etablerer og vedlikeholder et målbilde for nasjonal kontroll med kritisk digital kommunikasjonsinfrastruktur. Målbildet bør definere nødvendige nasjonale styringsevner og handlefriheter i fred, krise og krig, for de viktigste infrastrukturkategoriene i økosystemet for digital kommunikasjonsinfrastruktur, som inkluderer:

• Passiv infrastruktur, herunder nasjonal fiberinfrastruktur og fiberkabler til utlandet
• Støtteinfrastruktur, herunder nasjonal datasenterkapasitet, fortifikatoriske anlegg, mobiltårn, og nasjonal infrastruktur for nøyaktig tid/takt
• Tjenesteproduksjonsinfrastruktur, herunder for bredbånd og transportnett, internettfunksjoner som DNS, ruting og samtrafikk, mobilkjernenett og basestasjoner, maritim kommunikasjonsinfrastruktur og bakkebasert satellittinfrastruktur

Herunder bør målbildene beskrive behovet for personellressurser og kompetanse nødvendig for design og konfigurasjon, utbygging, drift og overvåking, feilretting og gjenopprettingsevne. Dette omfatter både infrastruktur på land til havs, herunder rettekapasitet for undersjøiske fiberkabler.»

Utvalget mener det er noen infrastrukturkategorier som myndighetene bør følge opp relativt raskt. Disse kategoriene representerer områder hvor det pågår prosesser hvor et målbilde for nasjonal kontroll tidsmessig vil være relevant å ta hensyn til, og hvor samtidig nasjonal kontroll kan oppfattes særlig utfordrende på grunn av internasjonale verdikjeder.

Fiberinfrastruktur

Utvalget har i denne rapporten gitt et eksempel på hvordan et målbilde for nasjonal kontroll med fiberinfrastruktur kan utvikles. Denne infrastrukturen kan derfor være et naturlig utgangspunkt å starte med for myndighetenes målbildeutvikling. Som utvalget har vist til, så har myndighetene på dette området også satt i gang en rekke prosesser knyttet til fiberinfrastruktur, som sammenfaller godt med utviklingen av mål for nasjonal kontroll. Dette inkluderer allerede etablerte målbilder for robuste nett, regionale risiko- og sårbarhetsanalyser av fiberinfrastrukturen, og initiativer knyttet til kritisk undersjøisk fiberinfrastruktur.

Mobiltjenesteproduksjon

Mobilnettene er kanskje den mest samfunnskritiske kategorien kommunikasjonsinfrastruktur, ved at de understøtter svært mange kritiske samfunnsfunksjoner, og flere av GNF-ene innenfor elektronisk kommunikasjon. Samtidig er mobilnettene teknologisk svært komplekse og i kontinuerlig utvikling, gjennom virtualiserings- og skyteknologi, framvekst av nye leverandører og økosystemer, automatisering og integrasjon av kunstig intelligens. Denne kompleksiteten utfordrer betydelig statens evne til å opprettholde nødvendig nasjonal kontroll. Samtidig kan det tenkes at staten, gjennom å etablere et konkret målbilde for nasjonal kontroll med mobilnett og mobiltjenesteproduksjon, proaktivt kan utnytte de nye teknologiene. For eksempel legger skybasert mobiltjenesteproduksjon (5G og i fremtiden 6G), virtualisering og automatisering til rette for at funksjonalitet, data, drifts- og støttesystemer «sømløst» kan flyttes mellom datasentre og produksjonsplattformer på norsk territorium og hos allierte land i en krisesituasjon. Et slikt beredskapstiltak forutsetter at staten på forhånd har den nødvendige styringsevnen til å pålegge mobiloperatørene å gjennomføre beredskapstiltaket når det behøves, for eksempel i en konflikt- eller krigssituasjon, og at statens handlefrihet er oppnådd ved at mobiloperatørene på forhånd har etablert de tekniske løsningene som behøves for å gjennomføre tiltaket raskt.

Nasjonal datasenterkapasitet, herunder fortifikatoriske datasentre og datasenterkapasitet i utlandet

Datasenternæringen får en stadig mer kritisk og integrert rolle i digital kommunikasjonsinfrastruktur, og understøtter den grunnleggende nasjonale funksjonen «evne til å ivareta datalagring og prosesseringskapasitet i Norge». Datasenter er også omfattet i ny lov om elektronisk kommunikasjon i kraft fra 2025. Et målbilde om nasjonal datasenterkapasitet, og datasenterkapasitet i utlandet for beredskap, må sees i sammenheng med kritiske samfunnsfunksjoners behov for slik datasenterkapasitet. Dette omfatter både sektorens egne behov, som blant annet fremkommer av målbilde om nasjonal kontroll for mobiltjenesteproduksjon beskrevet over, etableringen av sikker nasjonal skytjeneste, og behovet for fortifikatoriske anlegg/datasentre. Når det gjelder de fortifikatoriske anleggene i Norge så har Nkom, med bistand fra FFI, i 2023 og 2024 gjennomført en behovsvurdering. Myndighetene vurderer nå hvordan disse bør benyttes i fremtiden. 143 En konkretisering av mål for styringsevner og handlefriheter knyttet til fortifikatoriske anlegg, vil etter utvalgets vurdering være nyttig for beslutninger om fremtidig bruk og utvikling.

Infrastruktur for distribusjon av nøyaktig tid/nasjonal tidstjeneste

Mange samfunnsfunksjoner, herunder elektroniske kommunikasjonsnett, er avhengig av nøyaktig tid for blant annet synkronisering. Denne tidsreferansen hentes i mange tilfeller fra satellittbaserte systemer (blant annet GPS) og er derfor utenfor nasjonal kontroll. Dette kan utgjøre en sårbarhet, som blant annet omtalt i nasjonal PNT-strategi. 144 Både Totalberedskapskommisjonen 145 og Sikkerhetsfaglig råd fra NSM 146 har påpekt behovet for at det etableres en nasjonal tidstjeneste basert på sikrede, bakkebaserte atomklokker og distribusjon via elektroniske kommunikasjonsnett. I januar 2025 fikk Nkom og Justervesenet i oppdrag fra sine eierdepartementer å kartlegge behovet og utrede løsninger for en nasjonal infrastruktur for distribusjon av nøyaktig tid/klokkesignal. 147 Utredningen skal være ferdig innen utgangen av juni 2025. Utvalget mener at en etablering av et målbilde for nasjonal kontroll med infrastruktur for nøyaktig tid etter modellen beskrevet over, vil kunne være en nyttig del av denne behovsvurderingen.

11.6.3 Gjennomføring av gapanalyse

Utvalget har beskrevet en metodikk for å analysere aktuelle virkemidler for å nå målbildet, og å fastsette proaktive strategier og handlingsplaner for å bruke disse virkemidlene for nå målbildene. Dette arbeidet vil måtte være en integrert del av det øvrige forvaltningsarbeidet med å ivareta sikkerhet og beredskap for nasjonal kommunikasjonsinfrastruktur, og ikke et isolert arbeid. Derfor har utvalget også anbefalt at dette integreres inn i de eksisterende strategier og handlingsplaner. Likevel må det gjennomføres en initiell gapanalyse av målbildet og deretter løpende vedlikehold av denne. Utvalget anbefaler derfor:

«Utvalget anbefaler at når et målbilde for nasjonal kontroll er etablert bør Digitaliserings- og forvaltningsdepartementet utvikle og vedlikeholde en gapanalyse av målbildet som beskriver de aktuelle virkemidlene staten rår over, og eventuelle svakheter, begrensninger og hindre for å bruke disse for å sikre de nødvendig styringsevner og handlefriheter.»

12 Nærmere om screening og kontroll med økonomiske aktiviteter

12.1 Innledning

Utvalget har i kapittel 11, jf. også trussel- og risikobildet beskrevet i kapittel 4, påpekt at det er behov for at myndighetene gjennomfører screening og kontroll med ulike kategorier kontrollreduserende økonomiske aktiviteter. Dette omtaler utvalget som det reaktive nivået, ettersom screeningen eller kontrollen først aktiveres idet en markedsaktør planlegger å gjennomføre en nærmere bestemt økonomisk aktivitet.

I dag kan myndighetene med hjemmel i sikkerhetsloven gripe inn i utenlandske investeringer som medfører en ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser blir truet. Regjeringen har også foreslått å utvide denne screeningen til å omfatte virksomheter i kritiske sektorer som ikke er underlagt sikkerhetsloven, jf. Meld. St. 9 (2024–2025) Totalberedskapsmeldingen . I tillegg har utvalget beskrevet et behov for at myndighetene har oversikt over og kontroll med også andre aktiviteter enn utenlandsinvesteringer som kan svekke nasjonal styringsevne og handlefrihet. Dette gjelder for eksempel salg av eiendeler i infrastrukturselskaper, og ulike endringer av driftskonsepter. Selv om slike økonomiske aktiviteter både kan være lovlige (og i tillegg ha positive sikkerhetseffekter) isolert sett, kan de samtidig være del av utviklingstrekk som over tid bidrar til å svekke nasjonal styringsevne og handlefrihet gjennom økt utenlandsk innflytelse. Utvalget mener derfor at myndighetene må ha evne til:

1. Screening av utenlandsinvesteringer (nyetablering og erverv av eierandeler)
2. Oversikt/kontroll over salg av eiendeler i kritiske infrastrukturselskaper
3. Oversikt/kontroll over aktiviteter knyttet til vesentlige endring av driftskonsepter (strategiske partnerskap, leverandørvalg og utkontraktering)

I punkt 12.2 drøfter utvalget overordnede prinsipper for gjennomføringen av slik screening og kontroll. Deretter går utvalget i punkt 12.3 nærmere inn på de pågående prosessene knyttet til nytt screeningregelverk, og hva dette vil bety for screening i sektoren for elektronisk kommunikasjon, jf. punkt a) i listen over. I punkt 12.4 vurderer utvalget det eksisterende regelverket for screening og kontroll, herunder kontroll med salg av eiendeler og endringer i driftskonsepter, jf. punkt b) og c) i listen over.

12.2 Overordnede prinsipper for screening og kontroll av økonomiske aktiviteter som kan ha kontrollsvekkende effekt

Som beskrevet i kapittel 11 vil et målbilde for kritisk digital kommunikasjonsinfrastruktur utgjøre et viktig fundament for den reaktive screeningen og kontrollen. Målbildet og gapanalyser vil kunne bidra til å identifisere behov for nye inngrepshjemler eller reaksjonsmidler, og ha disse på plass i forkant av kontrollreduserende endringer som er i ferd med å skje. Et målbilde vil også gi myndighetene et bedre grunnlag for å gjøre de nødvendige risikovurderingene når de økonomiske aktivitetene skal screenes eller kontrolleres.

Screening eller kontroll forutsetter at myndighetene er kjent med at en økonomisk aktivitet er planlagt. Myndighetene kan få informasjon om den planlagte økonomiske aktiviteten gjennom at de involverte partene i transaksjonen har meldeplikt til myndighetene om dette, blant annet jf. kapittel 10 i sikkerhetsloven. Myndighetene kan også få informasjon ved at aktøren på eget initiativ ber myndighetene om råd, eller at myndighetene på annen måte blir gjort kjent med dette, for eksempel ved tilsyn.

Meldeplikten i sikkerhetsloven, og eventuelt utvidet meldeplikt etter nytt screeningregelverk vil gjelde erverv av eierandeler i en virksomhet. Meldeplikten dekker dermed ikke andre mulige kontrollsvekkende økonomiske aktiviteter, som salg av eiendeler som medfører at deler av virksomheten flyttes ut av et foretak, og endring av driftskonsepter, eksempelvis utkontraktering til en utenlandsk leverandør. I de tilfellene antar utvalget at myndigheten må gjøres kjent med disse gjennom at aktørene selv orienterer myndighetene. Dette vil være sårbart med tanke på myndighetenes behov for oversikt og kontroll, og utvalget anbefaler derfor følgende:

«Utvalget mener at Digitaliserings- og forvaltningsdepartementet bør vurdere om sektorregelverket i tilstrekkelig grad sikrer tidlig informasjon til myndighetene om kontrollsvekkende økonomisk virksomhet fra selskapene som eier kritisk digital kommunikasjonsinfrastruktur, og bøte på eventuelle svakheter.»

Forutsatt at myndighetene er gjort kjent med den økonomiske aktiviteten, må myndighetene ta stilling til om endringen vil representere en trussel mot nasjonale sikkerhetsinteresser, blant annet gjennom reduksjon av nasjonal kontroll. Dette innebærer at det må gjennomføres en helhetlig risikovurdering av hva den økonomiske aktiviteten kan innebære. Utvalget vil understreke at nasjonal kontroll er ett av flere virkemidler for å ivareta nasjonale sikkerhetsinteresser, og ikke et mål i seg selv. Derfor vil en risikovurdering først og fremst styres av hvordan den aktuelle økonomiske aktiviteten kan påvirke risikoen for at nasjonale sikkerhetsinteresser kan bli skadelidende. Dette kan skje gjennom reduksjon av nasjonal styringsevne eller handlefrihet, men det kan også være andre faktorer som spiller inn i risikovurderingen.

Utvalget tar ikke stilling til hva som er den mest egnede måten å gjennomføre risikovurderinger på, men vil i det følgende drøfte aktuelle vurderingsmomenter som det anbefales å ta stilling til i vurderingen. Disse er strukturert i henhold til en modell beskrevet i Moran (2009), men vurderingsmomentene er utvalgets egne. For øvrig vises det til kapittel 4 om det overordnede risiko- og trusselbildet og punkt 8.4 som nærmere beskriver risikofaktorer knyttet til utenlandsk eierskap.

Et første steg vil være en kritikalitetstest av den økonomiske aktiviteten, som kan bestå av følgende spørsmål:

• Hvilken strategisk fordel overfor Norge vil den utenlandske aktøren og dens nasjonale myndigheter få ved å gjennomføre den økonomiske aktiviteten?
• Hva vil konsekvensen være dersom den utenlandske aktøren utnytter kontrollen over den nasjonale kommunikasjonsinfrastrukturen til å hindre eller sette betingelser på tilgang til infrastrukturen eller tjenesteleveransen?
• Hvor stort vil skadepotensialet være dersom den utenlandske aktøren utnytter kontrollen til spionasje eller til å ramme infrastrukturens eller tjenestens integritet?

Utvalget presiserer at dersom myndighetene har etablert et målbilde for den aktuelle infrastrukturkategorien som den økonomiske aktiviteten er rettet mot, vil det være enklere å identifisere konkret hva som anses kritisk. Målbildet vil dermed være til hjelp i å gjennomføre denne vurderingen. Et eksempel kan være en planlagt utenlandsk investering i et norsk fiberselskap. Dersom det er snakk om passiv fiberinfrastruktur, kan myndighetene komme til at eierskapet ikke vil kunne utnyttes til å hindre eller sette betingelser i tilgangen til fiberinfrastrukturen (andre kulepunkt). Derimot kan vurderingen være at et definert målbilde om «styringsevne til å beskytte skjermingsverdig informasjon om nasjonal fibertopologi» kan svekkes. Da vil skadepotensialet først og fremst være knyttet til spionasje (tredje kulepunkt), som igjen kan gi en utenlandsk myndighet en strategisk fordel overfor Norge (første kulepunkt).

Dersom myndighetenes samlede vurdering på disse spørsmålene er at kritikaliteten er høy, så er neste vurderingsmoment hvor plausibelt det er at nasjonale sikkerhetsinteresser kan bli skadelidende. Et viktig spørsmål er da om det finnes aktuelle tilgjengelige substitutter for tjenestene man potensielt mister kontroll med. Det vil si, finnes det alternative aktører i markedet som kan tilby det samme, og til hvilken byttekostnad? Jamfør eksemplet over, vil denne vurderingen være avhengig av hvilken konkret fiberinfrastruktur det er snakk om. Er det snakk om en utenlandsk investering i et fiberselskap som forvalter et omfattende landsdekkende fibernett eller særlig strategiske fibernett, så vil byttekostnaden åpenbart være større enn om det er snakk om et regionalt/lokalt fibernett hvor det også finnes flere alternative substitutter. Når kritikaliteten er vurdert høy og det heller ikke finnes reelle substitutter dersom trusselen utløses, så vil dette kunne være et grunnlag for å blokkere den økonomiske aktiviteten.

Utvalget vurderer Morans modell å være for forenklet til å utgjøre det eneste grunnlaget for en risikovurdering i en screening eller kontrollsak. For eksempel viser utvalget til punkt 6.3 som også peker på behovet for landvurderinger av opprinnelseslandet til den utenlandske aktøren (herunder politisk system, stabilitet og gjennomsiktighet), og om eierskap og makt er konsentrert på enkeltpersoner. Ytterligere vurderingsmomenter vil være hvilket sikkerhetsmessig samarbeid Norge har med det aktuelle landet, hvilke bånd den utenlandske aktøren har til egen stats myndigheter, hvorvidt geografisk avstand til opprinnelseslandet har betydning for risikoen, og hvilke potensielle sikkerhetstruende virkemidler aktøren vil få tilgang til gjennom den økonomiske aktiviteten (plassering av innsidere, tilgang til cybervirkemidler, økonomiske virkemidler, virkemidler for påvirkningsoperasjoner osv.).

I tillegg mener utvalget at myndighetene må se på disse vurderingsmomentene både i forhold til kortsiktige og langsiktige effekter, og hvordan effektene kan endre seg i krisespekteret fred-krise-krig.

Gitt at myndighetene konkluderer med at det er en ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser kan bli skadelidende, finnes det ulike handlingsalternativer. Forenklet kan handlingsalternativene sorteres i tre kategorier:

• Blokkere aktiviteten
• Tillate aktiviteten på vilkår
• Tillate aktiviteten (uten vilkår)

En sentral forutsetning for å blokkere en økonomisk aktivitet er at det finnes en tydelig hjemmel til å gjøre dette. Det vil typisk være sikkerhetsloven § 10-3 når det er snakk om utenlandsinvesteringer som truer nasjonal sikkerhet, eller det kan være ekomloven § 3-1 eller § 3-7 dersom et er snakk om for eksempel et driftskonsept som bryter med kravet om forsvarlig sikkerhet. Unntaksvis kan også sikkerhetsloven § 2-5 benyttes.

Myndighetene kan vurdere at det ikke er nødvendig for å blokkere den økonomiske aktiviteten, men at den kan tillates på visse vilkår. Dette ble for eksempel gjort i saken fra 2023 hvor Mubadala Investment Company kjøpte en kvalifisert eierandel i GlobalConnect AS sitt svenske morselskap Nordic Connectivity AB. Vilkårene gikk da ut på å hindre at sensitiv informasjon om norske sikkerhetsmessige forhold skal tilflyte uvedkommende, at myndighetene skal varsles ved eventuelle fremtidige sikkerhetstruende eierskifter, og visse begrensninger for videresalg av aksjer. 148

Det tredje handlingsalternativet er å tillate aktiviteten uten vilkår, det vil si at myndighetene godkjenner – alternativt ikke griper inn i – selve transaksjonen. Dette kan være på grunn av at det enten ikke er hjemmelsgrunnlag for å stoppe aktiviteten, eller at det ikke er hensiktsmessig å gjøre det av andre grunner. Utvalget vil presisere at sistnevnte kan være tilfelle selv om det er åpenbart at aktiviteten svekker den nasjonale kontrollen og øker gapet til det definerte målbildet. Bakgrunnen for dette kan typisk være at økonomiske aktiviteter følger internasjonale markedstrender og teknologiutvikling som det er uhensiktsmessig å motarbeide, fordi det vil innebære en betydelig svekkelse av selskapets konkurranseevne.

Når myndighetene må tillate økonomiske aktiviteter som bidrar til å svekke den nasjonale kontrollen, mener utvalget at det er viktig å se på andre aktuelle kompenserende tiltak for å lukke målbildegapet. Dette kan da skje gjennom å revurdere eksisterende strategier og handlingsplaner som omtalt i det proaktive nivået i kapittel 11, og som kan innebære alt fra revisjon av regelverk, styrking av nasjonale beredskapslagre, statlige overføringer, styrking av internasjonalt beredskapssamarbeid, og styrket informasjon og rådgivning. De aktuelle virkemidlene er omtalt nærmere i kapittel 9.

12.3 Utredninger om behovet for og arbeid med nytt screeningregelverk

Investeringskontrollutvalget har utredet behovet for screening av økonomisk aktivitet mot virksomheter som ikke er underlagt sikkerhetsloven. Investeringskontrollutvalget mener at dagens investeringskontroll er for snever og fragmentert og at det er behov for en mer helhetlig investeringskontroll på tvers av dagens sektorer og regelverk. I NOU 2023: 28 foreslås derfor at det utarbeides et nytt regelverk som regulerer investeringskontroll ved en sektorovergripende investeringskontrollov.

Investeringskontrollutvalget gjør rede for flere utfordringer ved dagens investeringskontroll i kapittel 13 i sin NOU. Blant annet fremheves det at saker som kan innebære risiko for nasjonale sikkerhetsinteresser ikke fanges opp i tilstrekkelig grad, at dagens ordning etter sikkerhetsloven av flere grunner skaper uforutsigbarhet og at myndighetene kan mangle egnet hjemmelsgrunnlag til å gripe inn ovenfor sikkerhetstruende investeringer.

Investeringskontrollutvalget foreslår derfor at det innføres en bredere investeringskontroll, hvor man heller har meldepliktordning for virksomheter i såkalte sikkerhetssensitive sektorer, fremfor utpeking av konkrete virksomheter som i dag. Investeringskontrollutvalget sier videre i punkt 19.2 at: « Selv om hensynet med investeringskontrollen vil være å ivareta nasjonale sikkerhetsinteresser, mener utvalget at regelverket bør utformes slik at det ligner på andre regelverk som regulerer lovlig næringsvirksomhet, fremfor regelverk som håndterer trusler mot nasjonale sikkerhetsinteresser. Dette er fordi hoveddelen av aktiviteten som regelverket skal kontrollere, er både lovlig og ønskelig»

Investeringskontrollutvalget foreslår også at alle saker om investeringskontroll behandles av én myndighet, at denne myndigheten skal motta alle meldinger som er omfattet av den foreslåtte meldeplikten og fatte vedtak i disse sakene. Investeringskontrollmyndigheten må kunne trekke på opplysninger fra andre relevante etater og en investeringskontrollov må tydelig angi et eventuelt behov for samarbeid med andre myndigheter. I NOU 2023: 28 punkt 13.5 redegjør utvalget for hvordan praktisering av sektorprinsippet kan hindre en enhetlig behandling av investeringskontrollsaker og sier blant annet følgende: Etter utvalgets syn er sektorprinsippet et viktig grunnlag for arbeidet med forebyggende sikkerhet i Norge. Sektorprinsippet fremstår imidlertid lite egnet til kompliserte investeringskontrollsaker, hvor det er behov for høy grad av enhetlig, effektiv og profesjonell analyse og saksbehandling.

I etterkant av at Investeringskontrollutvalget fremla NOU 2023: 28 i desember 2023, la Europakommisjonen i januar 2024 frem et forslag til ny forordning om obligatorisk screening av utenlandske direkte investeringer i EU. Forslaget, og også gjeldende screeningregelverk i EU, er nærmere beskrevet i punkt 10.5.

Meld. St. 9 (2024–2025) Totalberedskapsmeldingen ble lagt frem 10. januar 2025. I meldingens punkt 8.2 fremgår det at regjeringen har igangsatt et arbeid for å utarbeide forslag til en ny lov for kontroll av utenlandske investeringer og at dette arbeidet skal ses i sammenheng med regelverksutvikling i EU på området.

Ekomsikkerhetsutvalget mener som tidligere nevnt i kapittel 11, at det er nødvendig å konkret vurdere ulike kontrollreduserende økonomiske aktiviteter og kunne gripe inn dersom disse kan skade nasjonale sikkerhetsinteresser. Dette betyr at det er behov for at myndighetene får kunnskap om mulig kontrollreduserende økonomiske aktiviteter og at det gjøres risikovurderinger av disse. For at det reaktive nivået, jf. punkt 11.1.2, skal kunne operasjonaliseres tilstrekkelig effektivt, må kontrollomfanget utvides sammenliknet med i dag. Dette gjelder både med hensyn til type materielle saker og kretsen av virksomheter.

For transaksjoner som påvirker eierskap synes de pågående regelverksprosessene, både nasjonalt og i EU, å kunne legge bedre til rette for den kontrollmulighet utvalget mener at myndighetene må ha, for å reaktivt kunne følge opp etablerte målbilder som skal ivareta nasjonal kontroll.

Når det gjelder utvikling av et nytt norsk regelverk for investeringskontroll har Ekomsikkerhetsutvalget merket seg at både Investeringskontrollutvalget og Eldringutvalget har fremhevet behovet for harmonisering og samarbeid med EU.

Investeringskontrollutvalget peker blant annet på muligheten til å ta EUs gjeldene forordning om kontroll av utenlandske direkteinvesteringer inn i EØS-avtalen gjennom et tillegg til protokoll 31 og sier: «Uavhengig av om EU-forordningen om kontroll av utenlandske direkteinvesteringer tas inn i norsk rett, er forordningens krav til regelverk for investeringskontroll en hensiktsmessig ramme for innretningen av et norsk regelverk. Forordningen har vært toneangivende for EU-landene som har utarbeidet eller revidert sine nasjonale regelverk de siste årene. EU-forordningen kan følgelig fungere som veiledning for norsk regelverk uten at den er rettslig forpliktende. Dette vil gjøre samarbeidet med EU og EUs medlemsland enklere og regelverket vil være mer gjenkjennelig for investorer.»

Eldringutvalget tilråder at Norge bør følge samme regler og prosedyrer som våre europeiske handelspartnere når det gjelder investeringsscreening, og søke et tett samarbeid med EUs screeningmekanisme.

Eldringutvalget viser blant annet til at:

«I løpet av de siste årene har EU lansert handelspolitiske instrumenter, som CBAM 149 og investeringsscreening, som skal beskytte det indre marked og europeiske virksomheter. Flere av disse utfordrer EØS-avtalen, fordi de ligger i grenselandet mellom EUs felles handelspolitikk – som Norge ikke tar del i – og reguleringen av det indre marked. Der Kommisjonen velger å forankre de nye reglene i handelspolitikken, risikerer Norge å bli behandlet som et tredjeland. Det innebærer i ytterste konsekvens at tiltakene kan benyttes mot norske aktører. I den grad virkemidlene forankres i indre markedsbestemmelser, kan det nye regelverket påvirke Norges handelspolitikk, for eksempel dersom det er nødvendig å sikre like vilkår i det indre markedet gjennom identiske eller tilsvarende tiltak. Det åpner også for ulike variasjoner av «bakdør»-problematikk. Dette fordrer at myndighetene tidlig tar stilling til hvordan man skal forholde seg til denne typen regelverk, enten gjennom initiativ til å ta det inn i EØS-avtalen, eller gjennom initiativ til å tilpasse seg på andre måter. Som ledd i slike vurderinger, må ikke nye EU-regler kun vurderes isolert. Det må også vurderes om manglende tilpasning til EUs handelspolitiske virkemidler eventuelt kan få negative konsekvenser for adgangen for norske næringsaktører på det indre marked.

Der EU har kommet lengst i utviklingen av nye handelspolitiske instrumenter, er screening av utenlandsinvesteringer. EUs regelverk for investeringsscreening fra 2019 handler om å etablere en felles tilnærming til kontrollen av investeringer fra land utenfor EU (tredjeland), som kan utgjøre en risiko for sikkerhet eller offentlig orden. Utvalget støtter forslaget fra investeringskontrollutvalget om at Norge på dette området følger regler og prosedyrer som tilsvarer det som blir gjort av våre europeiske handelspartnere.»

Ekomsektoren er en kapitalintensiv næring hvor investeringsandelen målt mot omsetning i en årrekke har ligget på over 1/3. jf. punkt 3.2. Ekomsikkerhetsutvalget viser videre til punkt 8.4.8 hvor utvalget redegjør for negative konsekvenser ved redusert tilgang til finansiell kapital, fysisk kapital (teknologi) og human kapital (ekspertise) og at i dialogen med ekomaktørene har disse påpekt bekymringer for redusert tilgang til alle tre typene kapital. I valget mellom ellers like land, vil investorer foretrekke det landet som har færrest begrensninger eller usikkerhet knyttet til sitt regelverk. Utvalget legger til grunn at særnorske regler om investeringskontroll kan ha negativ innvirkning på blant annet kapitaltilgang, teknologitilgang og innovasjon, og mener at et EU-harmonisert norsk regelverk på dette området vil skape færre hindringer for norsk ekomsektor enn særnorske regler.

Avslutningsvis vil utvalget bemerke at Europakommisjonens nye forslag til forordning om obligatorisk screening av utenlandske direkte investeringer, er hjemlet i både i TEUF artikkel 114 og artikkel 207. Dette i motsetning til gjeldende forordning, som kun er hjemlet i TEUF artikkel 207. Kommisjonen anser at det er nødvendig å hjemle det nye regelverket i TEUF artikkel 114, fordi forslaget pålegger medlemsstatene å screene visse investeringer i det indre marked og avhjelpe forskjeller i medlemsstatenes screeningmekanismer som kan være til hinder for de grunnleggende friheter i traktaten, og dermed ha en direkte innvirkning på det indre markeds funksjon. Et regelverk hjemlet i TEUF artikkel 114 vil normalt tilsi at regelverket vil bli ansett EØS-relevant. Dersom ny forordning blir vedtatt med hjemmel i TEUF artikkel 114, vil regelverket trolig måtte tas inn i EØS-avtalen og gjennomføres i nasjonal rett i EØS EFTA-landene.

På denne bakgrunn har utvalget følgende forslag til tiltak:

«Utvalget mener regjeringen ved utarbeidelse av ny lov for kontroll av utenlandske investeringer bør se hen til EUs nye regelverk om screening av utenlandske direkte investeringer, uavhengig av om regelverket anses EØS-relevant.»

Utvalget tar ikke stilling til Investeringskontrollutvalget sitt forslag om det det bør opprettes én investeringskontrollmyndighet. Utvalget har gjennom sitt arbeid observert at spørsmål knyttet til hvilken nasjonal kontroll som er nødvendig over forskjellige arter av kritisk digital kommunikasjonsinfrastruktur vil ha en betydelig kompleksitet ved seg. Det vil derfor være vanskelig for en dedikert investeringskontrollmyndighet å gjøre gode vurderinger av dette spørsmålet uten betydelig støtte fra sektorspesifikk fagkompetanse.

«Utvalget mener at dersom Nærings- og fiskeridepartementet går videre med Investeringskontrollutvalget sitt forslag om én investeringskontrollmyndighet, må Nærings- og fiskeridepartementet sikre at sektorspesifikk fagkompetanse blir tilgjengeliggjort for en slik etat.»

12.4 Utfordringer med gjeldene regelverk

12.4.1 Innledning

Utvalgets vurderinger av regulatoriske grunnlag for screening og kontroll, omfatter både dagens regelverk og pågående prosesser om screeningregelverk. De foreslåtte tiltakene og anbefalingene i punkt 12.3 og 12.4, vil til en viss grad kunne være tematisk overlappende. Utvalget mener likevel at både tiltak og anbefaling knyttet til dagens eierskapskontroll er nødvendige, siden disse antas å kunne bli gjennomført betydelig raskere enn etableringen av en ny investeringskontrollov.

12.4.2 Sikkerhetsloven § 10-3

Som tidligere nevnt i punkt 9.3.4.2 gir sikkerhetsloven § 10-3 Kongen i statsråd mulighet til å stanse eller sette vilkår for gjennomføring av kjøp av en kvalifisert andel i en virksomhet som er underlagt sikkerhetsloven, hvis det er en ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser blir truet.

Som vist til i punkt 9.3.3 etablerer prinsippene om de fire friheter i EØS-retten at Norge i utgangspunktet ikke kan ha regler som behandler grenseoverskridende bevegelser og transaksjoner mellom Norge og andre EØS-stater strengere enn rent nasjonale bevegelser og transaksjoner. Slik forskjellsbehandling vil anses som en restriksjon på den frie bevegeligheten over landegrensene. Det er likevel en mulighet for å treffe visse tiltak gjennom artikkel 33 og 123 i EØS-avtalen. I Prop. 153 L (2016–2017) Lov om nasjonal sikkerhet (sikkerhetsloven) s. 152 sier departementet følgende om forholdet mellom sikkerhetslovens regler om eierskapskontroll og EØS-avtalens regler om etableringsfrihet etter artikkel 31 og fri bevegelse av kapital etter artikkel 40:

«Stans av et erverv i en virksomhet vil i utgangspunktet være i strid med EØS-avtalens regler om fri etableringsrett og den frie bevegelighet av kapital, jf. EØS-avtalens artikkel 31 og 40. Imidlertid vil et inngrep bare gjøres i særlige tilfeller, hvor formålet med inngrepet ikke kan oppnås på en mindre inngripende måte. Det må videre være forholdsmessighet mellom den konkrete risiko for skadevirkning for nasjonale sikkerhetsinteresser og negative konsekvenser for de involverte aktørene. Departementet antar at artikkel 123, men også i enkelte tilfeller artikkel 33, da vil kunne hjemle inngripen.»

Om muligheten til inngrep sier Investeringskontrollutvalget at: «Virkeområdet til artikkel 123 er sannsynligvis ganske snevert i praksis. Bestemmelsen kan trolig kun brukes når det er snakk om en investering i et foretak som opererer i forsvarssektoren. Videre inneholder bestemmelsen krav om at det må foreligge alvorlig indre uro, fare for krig mv., hvilket gjør bestemmelsen lite anvendelig i fredstid. Artikkel 33 kan være et mer dekkende unntak for tiltak av hensyn til nasjonal sikkerhet, men kun når det gjelder brudd på forpliktelsen om retten til fri etablering».

Å ikke godkjenne erverv eller stille vilkår for ervervet med hjemmel for inngrepet i EØS-avtalen artikkel 33, innebærer en vesentlig lavere terskel – «nødvendig tiltak for å ivareta nasjonal sikkerhet».

Det er imidlertid ikke tilstrekkelig at reglene er begrunnet i sikkerhetshensyn etter EØS-avtalen artikkel 33 eller andre lovlige allmenne hensyn. EØS-rettens regler om de fire friheter stiller også minstekrav til hvordan lovgivningen skal utformes for å gi forvaltningen hjemmel til å pålegge private parter plikter. Ifølge Eriksen (2024) 150 setter EØS-rettens hjemmelskrav først og fremst krav til lovhjemlers presisjon på de områdene lovgivningen anses som restriksjoner på fri bevegelse av varer, personer, tjenester og kapital. Ved denne vurderingen vil det være avgjørende om reglene er tilstrekkelig transparente, slik at investorene, ESA, Kommisjonen og andre land i EØS kan få innblikk i hvordan investeringer vil kunne bli screenet.

Ifølge Eriksen (2024) er reglene om eierskapskontroll i sikkerhetsloven kapittel 10 upresise fordi det verken i lov eller forarbeider er angitt noen klare kriterier for vurdering av om investeringer skal godkjennes, utover at disse vurderingene skal være forholdsmessig. Han sier at det derfor i praksis vil «være svært krevende for domstoler å kontrollere lovligheten av avgjørelser om å stanse eller sett vilkår for godkjenning av investeringer. Det er klart at det er mulig å formulere klarere og mer presise kriterier både i lov og forarbeider. En kunne for eksempel presisert at investeringer skal godkjennes med mindre visse vilkår er oppfylt. Sett i lys av EU- og EFTA-domstolens praksis antar jeg derfor at mangel på åpenhet om hvem som er underlagt reglene i kapittel 10 og mangel på presise retningslinjer for adgangen til nekte eller stille vilkår for erverv, kan medføre at reglene i sikkerhetsloven kapittel 10 går lenger enn det som er nødvendig i å begrense etableringsretten og kapitalfriheten, jf. EØS-avtalen artikkel 31 og 40, og at mekanismen i lovens kapittel 10 neppe kan forsvares etter EØS-avtalen artikkel 33 eller læren om allmenne hensyn». Eriksens konklusjon er at det er betydelig risiko for at reglene i sikkerhetsloven kapittel 10 er i strid med EØS-avtalen artikkel 31 og 40, noe som innebærer at vedtak om stans av erverv og vedtak om vilkår for erverv, kan være ugyldige.

Også Investeringskontrollutvalget peker på problemer med uforutsigbarhet knyttet til bruken av sikkerhetsloven § 10-3 om investerings- og eierskapskontroll, og viser i rapportens punkt 13.7 til at: «Både OECDs prinsipper og EUs minimumskrav til medlemslandenes regelverk legger vekt på at man skal ha mest mulig åpenhet og forutsigbarhet både rundt hvilke investeringer som er omfattet av regelverket, og hvordan saker skal behandles. Prinsippene i EU-forordningen og OECDs retningslinjer bygger på de grunnleggende prinsippene i det multilaterale handelsregelverket, se kapittel 9. Dette er prinsipper som Norge har sluttet seg til».

Ekomsikkerhetsutvalget erkjenner at det eksisterer ulike syn på hvorvidt sikkerhetsloven § 10-3 er i tråd med EØS-avtalen.

På denne bakgrunn har utvalget følgende forslag til tiltak:

«Utvalget anbefaler at Justis- og beredskapsdepartementet klarlegger om bestemmelsen i sikkerhetsloven § 10-3 er i tråd med EØS-avtalen».

12.4.3 Sikkerhetslovens regler om virksomheter med «vesentlig betydning»

Reglene i sikkerhetsloven kapittel 10 gjelder bare virksomheter som er underlagt sikkerhetsloven etter § 1-3. Sikkerhetsloven § 2-5 omfatter enhver aktivitet som kan medføre en ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser blir truet, herunder erverv av eierandeler i en virksomhet. Bestemmelsen har derfor blitt brukt for å stanse erverv av eierandeler i virksomhet som ikke er underlagt sikkerhetsloven.

Per i dag er det ingen meldeplikt for erverv av eierandeler i selskaper med mindre disse er underlagt sikkerhetsloven. Derfor er staten selv nødt til å fange dette opp, og vurdere inngripen etter § 2-5 dersom oppkjøpet kan innebære en ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser blir truet.

Sikkerhetslovens bestemmelser om eierskapskontroll kan med hjemmel i § 1-3 annet ledd utvides til å gjelde virksomheter som et departement vurderer å ha vesentlig betydning for grunnleggende nasjonale funksjoner eller for nasjonale sikkerhetsinteresser – altså en lavere terskel enn for virksomheter som skal utpekes fordi de har avgjørende betydning. Å bruke dette mulighetsrommet til å utvide meldeplikten, vil gi departementet informasjon om viktige eierskapstransaksjoner og adgang til å bruke sikkerhetsloven kapittel 10, og dermed ikke måtte vurdere ervervet etter § 2-5 som er ment som en sikkerhetsventil. I praksis kan dette brukes til å oppnå en meldeplikt ved erverv av andeler i virksomheter, for eksempel de selskapene som samlet sett har evnen til å ivareta kritiske digitale kommunikasjonsfunksjoner.

En utpeking av slike virksomheter, vil i tillegg til å utvide meldeplikten og gi muligheten til å anvende sikkerhetsloven § 10-3, også skape større forutsigbarhet for selskaper, eiere og potensielle investorer, om at eierskapstransaksjoner vil bli underlagt screening. I dag må som nevnt en slik screening eventuelt skje med hjemmel i § 2-5, og det gir aktørene lite veiledning om når myndighetene kan komme til å ta i bruk bestemmelsen.

Utvalget mener derfor at muligheten til å utvide kretsen av virksomheter som kan underlegges meldeplikt og eierskapskontroll bør prioriteres. Dette vil gi tilgang på nødvendig informasjon om potensielt kontrollsvekkende transaksjoner, inngrepsmulighet dersom transaksjonene svekker nasjonal kontroll i kvalifisert grad samt gi berørte virksomheter større forutsigbarhet for at erverv blir underlagt kontroll sammenliknet med å benytte sikkerhetsloven § 2-5.

12.4.4 Forholdet mellom sikkerhetsloven § 2-5 og ekomregelverket

Utenlandske direkte investeringer gjennom nyetablering

Utenlandsk eierskap kan oppnås gjennom erverv av eierandeler i eksisterende norske selskaper som er i drift («brownfield investment»), men også gjennom at utenlandske eiere oppretter norske datterselskaper og bygger opp en virksomhet fra bunnen av («greenfield investment»/nyetablering). Sistnevnte typer selskaper kan på lengre sikt vokse organisk i form av sin konkurransekraft og komme til å utgjøre en vesentlig, kanskje dominerende, aktør på sitt område i det norske markedet.

Utvalget anser det hensiktsmessig at også slike etableringer bør omfattes av en investerings-screening på linje med erverv av eierandeler etter sikkerhetsloven kapittel 10. Etter Kommisjonens forslag til nytt regelverk om screening av utenlandske direkte investeringer, skal også greenfield-investeringer underlegges slik kontroll.

Etter ekomloven § 2-1 skal tilbyder av offentlig elektronisk kommunikasjonsnett og offentlig elektronisk kommunikasjonstjeneste registrere seg hos departementet før virksomheten starter opp. Tilsvarende plikt til registrering av datasentre følger av ekomloven § 3-7. Det betyr at dersom det foretas en greenfield-investering ved at det etableres en ny virksomhet i Norge, vil myndigheten bli kjent med etableringen ved oppstart av slik virksomhet.

Det følger av ekomloven § 3-5 (omtalt i punkt 9.3.5) at myndigheten kan nekte en tilbyder adgang til markedet både ved oppstart av virksomhet og ved løpende virksomhet. Som sikkerhetsloven § 2-5, er bestemmelsen ment å være en sikkerhetsventil for særlige tilfeller og terskelen for å nekte noen adgang til markedet vil være høy. Forholdet mellom de to bestemmelsene er for utvalget noe uklart, bortsett fra at ekomloven § 3-5 åpner for å nekte adgang til markedet på grunnlag av svekket sikkerhet ut over nasjonale sikkerhetsinteresser, for eksempel offentlig sikkerhet, helse eller andre særlige forhold. Utvalget mener at det er behov for at forholdet mellom de to bestemmelsene klarlegges, og at rekkevidden av inngrepsmuligheten etter sektorregelverket tydeliggjøres.

Salg av eiendeler eller endring av driftskonsepter

Utvalget legger til grunn at både salg av eiendeler/ressurser og ulike typer driftskonsepter som kan føre til en nedbygging og overføring til virksomhet kontrollert av utenlandske eierinteresser, er aktiviteter som, hvis de innebærer en ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser blir truet, kan være omfattet av sikkerhetsloven § 2-5. Bestemmelsen er imidlertid ment å være en sikkerhetsventil der terskelen for å ta i bruk bestemmelsen er høy. Det er heller ingen generell meldeplikt for slike disposisjoner.

Når det gjelder utkontraktering vil ekomloven §§ 3-1 og 3-7 kunne anvendes hvis for eksempel utkontraktering av funksjoner knyttet til drift, IT-sikkerhetstjenester og nettverksovervåking, vil medføre at virksomheten ikke lenger har forsvarlig sikkerhet og beredskap. Utvalget er imidlertid usikker på i hvilken grad nasjonale sikkerhetsinteresser kan vektlegges i vurderingen av §§ 3-1 og 3-7. Også her mener utvalget at det er behov for en avklaring av forholdet mellom de sektorspesifikke bestemmelsene ekomloven og sikkerhetslovens bestemmelser.

På denne bakgrunn har utvalget følgende forslag til tiltak:

«Utvalget mener Digitaliserings- og forvaltningsdepartementet bør avklare om det sektorspesifikke regelverket er i stand til å ivareta situasjoner der man står overfor kontrollsvekkende aktivitet i ekomsektoren. I første omgang er det behov for å vurdere rekkevidden av bestemmelsene i ekomloven §§ 3-1, 3-5 og 3-7 opp mot sikkerhetsloven § 2-5.»

13 Kritikalitet i infrastruktur som ligger utenfor norsk jurisdiksjon

13.1 Innledning

En viktig del av utvalgets mandat er å beskrive status for nasjonal kontroll med kritisk digital kommunikasjonsinfrastruktur. En viktig del av dette bildet er at flere digitale tjenester er tilstrekkelig kritiske til at en grad av nasjonal kontroll kunne være ønskelig, samtidig som de virksomhetene som leverer disse tjenestene ligger utenfor norske myndigheters kontroll og norsk jurisdiksjon. Felles for disse er at de er utviklet utenfor Norge, at de kan tilby sine tjenester globalt uten behov for nasjonal fysisk tilstedeværelse og at deres kritikalitet for norske samfunnsfunksjoner har kommet gradvis og over tid.

Dette kapittelet går gjennom noen slike sentrale tjenester, og for hver av dem diskuterer utvalget både tjenestens kritikalitet og hvilke muligheter som foreligger for nasjonal kontroll.

13.2 IP-adresser

IP-adresser er den sentrale identifikatoren for internett og som muliggjør at datapakker kan flyte fra en avsendermaskin til en mottakermaskin. For å få det globale internettet til å fungere har det vært avgjørende at det eksisterer en internasjonal enighet om adressesystemet, og om hvilke deler av nettet som benytter hvilke adresser. Denne enigheten er organisert gjennom Internet Corporation for Assignet Names and Numbers (ICANN), som er en non-profit organisasjon som ligger under amerikansk jurisdiksjon. ICANN delegerer ansvaret til fem regionale internettregistre. Registeret som dekker Europa, Midtøsten og deler av Sentral-Asia heter RIPE NCC 151 . RIPE NCC er en medlemsstyrt non-profit organisasjon, den er basert i Nederland og den ligger under nederlandsk jurisdiksjon.

RIPE NCC tilordner adresser til lokale internettregistrarer (gjerne kalt LIR) i Norge. Norge er i en god situasjon på dette området ved at vi har et godt antall av lokale internettregistrarer, og et tilstrekkelig antall IP-adresser til rådighet.

En standard for validering av IP-adresser er under rask utbredelse. Denne standarden kalles RPKI ROV 152 , og hensikten med den er å gjøre internett sikrere ved at ingen kan påstå å eie IP-adresser som er i bruk hos andre. Denne utviklingen representerer en betydelig styrking av den strukturelle sikkerheten i internett. Samtidig representerer den en potensiell utfordring ved at standarden gir RIPE NCC verktøy som er rapportert å kunne invalidere IP-adresser som Norge er avhengig av. 153 Medlemmene i RIPE NCC er organisasjoner og selskaper som benytter IP-adresser og den norske staten har således ikke ingen naturlig plass som medlem i denne organisasjonen. Nkom er medlem i kraft av sitt eierskap til IP-ressurser. RIPE har imidlertid etablert en struktur for dialog med myndigheter og regulatører i sin region ved å jevnlig invitere disse til rundebordskonferanser.

13.3 Domenenavn

Domenenavn er sentrale ressurser for alle anvendelser av internett. I motsetning til IP-adresser er domenenavn lett leselige for mennesker, og de benyttes derfor i alle sammenhenger der mennesker er ment å interagere direkte med internettets struktur. E-postadresser og web-adresser er begge eksempler på bruk av domenenavn til et slikt formål. Domenenavn benyttes også til en rekke andre formål, og de er av avgjørende betydning for internettets funksjon både i Norge og i resten av verden.

DNS 154 er et globalt og standardisert system som oversetter domenenavn til IP-adresser. Dette systemet aktiveres ved enhver bruk av internett, og det er således en helt sentral ressurs. Systemet har en svært distribuert organisering, både hva gjelder teknisk implementering og hva gjelder beslutninger om hvem som har bruksrett til hvert enkelt domenenavn. Registeret for domenenavnene «.no» (Norge), «.sj» (Svalbard og Jan Mayen) og «.bv» (Bouvetøya) drives av Norid 155 , som er et direkte eid selskap under DFD. ICANN har tildelt Norid kompetanse til å forvalte .no-domenet. ICANN har således innflytelse over både IP-adresser og domenenavn, og beslutninger som tas der har potensielt stor betydning i Norge. Gjennom Nkom spiller Norge en aktiv rolle i arbeidet i ICANN, og det er utvalgets syn at denne innsatsen er viktig for å ivareta norske interesser knyttet til domenenavn og IP-adresser. Arbeidet bør derfor fortsette å få prioritet.

Den tekniske løsningen for DNS har en kjerne bestående av 13 rot-servere. Det er utpekt totalt tolv operatører av rot-servere i verden, og hver av disse opererer mange servere verden over. Ifølge nettstedet http://root-servers.org har sju av disse en fysisk tilstedeværelse i Norge i form av en server som leverer den nødvendige tjenesten fra norsk territorium. 156 Ingen av dem er styrt av norske virksomheter, men det er verdt å merke seg at én av de tolv utpekte rot-serveroperatører er svenske Netnod.

Styring av domenene «.no», «.sj» og «.bv» gjøres som nevnt over av Norid. Ut over dette har vi som nasjon svært begrenset kontroll med utviklingen av DNS, da verken beslutningen om at Norge skal kontrollere disse domenene eller driften av rot-servere, gjøres av norske virksomheter. Den distribuerte naturen til DNS-systemet, og det faktum at den sentrale styringen av systemet gjøres fra land Norge har sikkerhetspolitisk samarbeid med, gjør at situasjonen fremstår som lite kritisk.

En større bekymring er knyttet til hvordan norske virksomheter og personer benytter DNS-systemet. Alt utstyr vil ha IP-adressen til den DNS-tjenesten de skal benytte kodet inn i seg. Kodingen av denne IP-adressen gjøres som regel av det nettverket som utstyret er koblet opp mot, og det foreligger ingen samlet oversikt over hvilke DNS-tjenester, norske eller utenlandske, som benyttes i norske nettverk.

Bruk av DNS-tjenere som ligger utenfor landets grenser har to sider ved seg som grenser opp mot nasjonal kontroll. Den første er knyttet til tilgjengelighet, da bortfall av DNS-tjenester vil få de aller fleste informasjonssystemer til å slutte å virke. Den andre er knyttet til faren for misbruk av informasjon om norske forhold som en lekkasje av DNS-oppslag vil kunne medføre. Utvalget mener derfor at en definert grad av nasjonal autonomi knyttet til DNS bør være en del av målbildet for nasjonal kontroll med kritisk digital infrastruktur. Målbildet bør være basert på et faktagrunnlag knyttet til hvordan DNS-systemet benyttes av norske virksomheter.

13.4 Digitale sertifikater

En sentral del av sikkerhetsregimet på internett består av å validere identiteten til enheter, til programkode og til dokumenter, samt å kryptere informasjon slik at den ikke kan leses av uvedkommende. Slik validering foregår i praksis ved at en sertifikatautoritet (CA) opererer som en tiltrodd tredjepart, og utsteder digitale sertifikater. Sertifikatene benyttes blant annet til følgende:

• For autentisering og kryptering av informasjon som flyter mellom to maskiner.
• Som kodesigneringssertifikater for digital signering av programvare.
• Som grunnlag for kryptering og autentisering av e-post.
• Som grunnlag for elektronisk signatur av dokumenter.

Sertifikatautoritetene har en struktur av tillit seg imellom. Denne strukturen er forankret i et antall rot-sertifikatautoriteter som antas å ha bred, eller endog global tillit. En slik rot-sertifikatautoritet har således betydelig myndighet til å validere, men også invalidere en stor mengde sertifikater. En invalidering av mange sertifikater vil over noen tid få alvorlige konsekvenser for de aller fleste tjenestene som nå går over internett. Hvor lang tid som vil gå fra en invalidering til konsekvensene viser seg, vil variere fra sertifikat til sertifikat, og det vil avhenge av syklusen for fornyelse av sertifikatene. Sertifikater fornyes typisk hvert kvartal eller hvert år. Enkeltsertifikat kan også invalideres direkte ved å inkluderes i «certificate revocation lists» av sertifikatautoriteten, noe som kan stanse en digital tjeneste umiddelbart.

Det finnes flere norske sertifikatutstedere som er knyttet opp mot utenlandske rot-sertifikataktører. Buypass er den eneste rot-sertifikataktøren som er lokalisert i Norge og som kan sies å ha global tillit. Deres sertifikater er anerkjent og inkludert i rotsertifikat-programmene til både Apple, Google og Microsoft. Buypass er eid av Total Specific Solutions som har hovedkontor i Canada.

Dersom man ønsker nasjonal kontroll med en sertifikatstruktur, må den være forankret i en grad av nasjonal kontroll med en rotsertifikataktør. I EU har det i lengre tid vært oppmerksomhet rundt utfordringene knyttet til tjenester for digitale sertifikater. I april 2024 ble forordningen European Digital Identity Framework (eIDAS 2.0) 157 vedtatt i EU, som blant annet gjør det lettere for nasjonale myndigheter å pålegge leverandører av nettlesere å godkjenne nasjonale rot-sertifikater.

Utvalget mener at det bør skaffes oversikt over graden av nasjonal kontroll med de sertifikat-tjenestene som er i faktisk bruk i Norge, for på den måten å ha et godt beslutningsgrunnlag for hvorvidt det er behov for en nasjonal rot-sertifikattjeneste.

13.5 Nøyaktig tid

Sentrale deler av landets grunnleggende nasjonale funksjoner er avhengig av tilgang til en nøyaktig og synkronisert tidstjeneste. Behovet er spesielt uttalt i mobilnettene og i kraftdistribusjonen, der ny teknologi og nye bruksmønstre stiller helt andre krav til nøyaktig og synkronisert tidsangivelse enn tidligere.

Aktørene løser i dag behovet for nøyaktig tid på en av to måter. Telenor og Statkraft har etablert – eller er i ferd med å etablere – sine egne infrastrukturer for tidstjenester, med bakkebasert distribusjon av nøyaktig tid. Andre aktører med behov for tilgang til nøyaktig tid henter fra satellitt ved bruk av mottakere for satellittbaserte navigasjonssystemer (ofte forkortet til GNSS). GPS-systemet som drives av The United States Space Force er det mest kjente av disse. Alternative navigasjonssystemer som kan tilby eksakt tid er GLONASS (Russland), Beidou (Kina) and Galileo (EU).

Telenor og Statkraft sine løsninger for distribusjon av tidstjenester kan sies å ha en høy grad av nasjonal kontroll over seg. I den utstrekning de også gjør disse tidstjenestene tilgjengelig for andre aktører kan det også sies at effekten av denne nasjonale kontrollen går ut over grensene for Telenor og Statkraft sine egne virksomheter. Det er imidlertid verdt å merke seg at Norge ikke har noen nasjonal kontroll med de tidstjenestene som leveres fra satellitt. De installasjonene i Norge som henter nøyaktig tid fra satellittbaserte navigasjonstjenester har derfor en avhengighet til tjenester som ligger utenfor nasjonal kontroll. I noen tilfeller vil denne avhengigheten være av avgjørende karakter.

Problemstillinger knyttet til nøyaktig tid er omtalt i Nasjonal strategi for posisjonsbestemmelse, navigasjon og tidsbestemmelse 158 . I denne står det at Regjeringen vil «vurdere evnen til å opprettholde nøyaktig tid i digitale nett og om det er hensiktsmessig å innføre nasjonale krav til hvor lenge slike nett bør kunne fungere ved svikt i GNSS».

Det finnes i dag ingen samlet nasjonal infrastruktur for tidstjenester. Denne mangelen har vært behandlet av Totalberedskapskommisjonen 159 som skriver at « … svært mange samfunnsfunksjoner er avhengige av nøyaktig tid fra satellitter som er utenfor nasjonal kontroll. En nasjonal tidstjeneste som sikrer nasjonal egenevne med tanke på nøyaktig tid, vil være et viktig virkemiddel for å redusere denne sårbarheten ». Videre anbefaler NSM i sitt sikkerhetsfaglige råd fra 2023 at det bør etableres en nasjonal tidstjeneste. I den samme rapporten påpekes det at Sverige allerede har etablert en statlig kontrollert tjeneste for distribusjon av nøyaktig tid. Utvalget støtter Totalberedskapskommisjonen sitt syn om at en nasjonal tidstjeneste vil være et viktig virkemiddel for å redusere sårbarhet.

Utvalget er kjent med at DFD har gitt Nkom og Justervesenet i oppdrag å kartlegge behovet for, og utrede løsninger for en nasjonal infrastruktur for distribusjon av presis tid/klokkesignal i Norge.

I den sammenheng bør det vurderes i hvilken grad den nasjonale tjenesten kan bygge på, eller dra nytte av infrastrukturer som allerede er etablert av virksomheter som staten har eierskap i. Videre bør det vurderes om det norske behovet kan dekkes gjennom et samarbeid med våre nordiske naboland.

13.6 Skytjenester

Noen få superskalære sky-leverandører – Google, Amazon og Microsoft – kontrollerer store deler av markedet for skytjenester. Felles for disse er at de er børsnoterte kommersielle selskaper med hovedkontor i USA. Kun Microsoft har foreløpig etablert skytjenester i Norge med et datasenter på Vestlandet og et på Østlandet, mens Google har startet bygging av et stort datasenter utenfor Skien. Ingen skytjenesteleverandør har foreløpig et komplett tjenestetilbud levert fra datasentre i Norge. Det betyr at norske kunder som ønsker å benytte de standardiserte tjenestene fra disse store leverandører i mange tilfeller er henvist til å legge sky-implementasjonen sin til utlandet.

Plassering av skytjenester utenfor Norge representerer ikke nødvendigvis en svekkelse av nasjonal sikkerhet. Nasjonal kontroll kan gjenopprettes avtalemessig gjennom en kontraktsposisjon som kunde, noe som gir god kontroll langt opp i krisespennet så lenge tjenesten er kontrollert fra et land Norge har sikkerhetspolitisk samarbeid med. I de helt øverste delene av krisespennet kan det også være et poeng i seg selv å produsere tjenester utenfor landets grenser.

Det er imidlertid to sider av denne saken som fortjener oppmerksomhet. Den ene er at skytjenester plassert utenfor landet kan gi tapt nasjonal kontroll over informasjon om norske individer og norske forhold. Denne problemstillingen er grundig belyst EU-domstolen gjennom to rettssaker. 160

Det andre forholdet som er verdt å reflektere over er om totaliteten av tjenester som er lagt til utlandet samlet sett gir et uønsket tap av nasjonal kontroll. Merk at dette også gjelder såkalte «mikrotjenester» som f.eks. autentisering, lagring, databaser, osv. som ofte benyttes i moderne software-utvikling, og som gjør det vanskelig for tjenesteyter å holde oversikt over avhengigheter og verdikjeder. Det bør settes i gang et arbeid for å holde oversikt over slik utilsiktet tap av nasjonal kontroll.

Justissektoren har gjennomført et konseptvalgarbeid for en nasjonal skytjeneste for ugradert, skjermingsverdig informasjon og andre beskyttelsesverdige data. I totalberedskapsmeldingen sier regjeringen at de vil planlegge en nasjonal skytjeneste for å sikre økt nasjonal kontroll med kritisk digital infrastruktur, viktige samfunnsfunksjoner og digitale verdier, og de har valgt et konsept der det inngås avtale med én eller noen få leverandører som skal utvikle, drifte og forvalte en nasjonal skytjeneste. En nasjonal skytjeneste vil inngå i et målbilde for nasjonal kontroll med datasenterinfrastruktur, herunder nasjonale kapasitetsmål, geografisk spredning, eventuelle fortifikatoriske sikringsbehov og mål for beredskapskapasitet i utlandet.

«Utvalget ser behov for etablering av nasjonal skyløsning ut fra behovet for nasjonal kontroll, og mener at dette arbeidet bør gis høy prioritet. Det anbefales at Justis- og beredskapsdepartementet tydeliggjør videre ambisjonsnivå og plan, og gjør nødvendige midler tilgjengelig for arbeidet.»

13.7 Internettsamtrafikk

For at internett i Norge skal fungere må de norske nettstrukturene utveksle trafikk med nettstrukturer i utlandet. Mesteparten av internettrafikken som går ut og inn i Norge formidles gjennom de to internasjonale transittleverandørene Arelion og Lumen, samt de større norske internettilbyderne Telenor, Telia, GlobalConnect og Altibox. 161

Hverken Lumen eller Arelion har norsk eierskap, og virksomheten de driver fremstår som vanskelig tilgjengelig for norsk jurisdiksjon. Samtidig vil slike selskaper være helt sentrale aktører i verdikjeden til internettjenester som ble beskrevet i forrige avsnitt. Utvalget ser det som viktig at norske myndigheter holder oversikt over vår avhengighet av enkeltleverandører innen Internettsamtrafikk, og legger til rette for en grad av diversitet i leverandørbildet som sikrer at norsk internettsamtrafikk med utlandet er robust i hele krisespennet.

13.8 Tjenester for kommunikasjon med befolkningen

I diskusjonen om kritisk digital infrastruktur har mobiltelefon som plattform for å kommunisere med- og mellom borgerne en sentral plass. Dette er gjenspeilet i at norske nummerserier som grunnlag for tale- og meldingstjenester er definert som en grunnleggende nasjonal funksjon etter sikkerhetsloven. Viktigheten av tale- og meldingstjenester er tilsvarende viktig utenfor sikkerhetslovens virkeområde, da det knapt er mulig å se for seg en virksomhet av betydning som ikke har en avhengighet til slike tjenester.

Det er imidlertid omfattende internasjonal kommersiell interesse i å tilby alternative meldings- og taletjenester. Eksempler på slike alternative tjenester som er mye i bruk er Instagram, Messenger, Snapchat, TikTok, FaceTime/iMessage, Skype, Google Meet og Teams. Felles for disse tjenestene er at de ikke ligger under noen form for nasjonal kontroll, at de ikke baserer seg på norske nummerserier og at de har stor utbredelse blant nordmenn.

Til tross for at internasjonale tjenester i noen grad ser ut til å fortrenge tale- og meldingstjenester basert på norske nummerserier, ser ikke utvalget at det er noen umiddelbare behov for tiltak på dette området. Grunnen til dette er at tale- og meldingstjenester basert på norske nummerserier fortsatt er tilgjengelige på alle mobiltelefoner som har utbredelse i Norge, og det er etablert systemer for masseutsending av nødvarsler i samarbeid med mobiloperatørene. 162

13.9 Lavbanesatellitter

Det gjøres for tiden store investeringer i systemer av lavbanesatellitter for internett-tilgang. De mest kjente systemene er Starlink som opereres av SpaceX 163 , og OneWeb som opereres av Eutelsat 164 , men det finnes flere andre kommersielle systemer som er i drift. EU utvikler en europeisk konstellasjon av lavbanesatellitter ved navn Infrastructure for Resilience, Interconnectivity and Security by Satellite (IRIS²), og som planlegges å være fullt operativ i 2027. 165 Tilgang til IRIS er ikke omfattet av EØS avtalen. Programmet anses være av betydning for norsk samfunnssikkerhet og beredskap, Forsvaret, samt for utviklingen av norsk romindustri, og utvalget viser til at regjeringen arbeider for å muliggjøre norsk deltakelse i programmet. 166 Det pågår ingen utvikling av lavbanesatellitt-konstellasjoner som kan sies å være under noen form for nasjonal norsk kontroll.

Lavbanesatellitter har foreløpig svært liten utbredelse som plattform for nett-tilgang i Norge. Potensialet i teknologien er imidlertid stort. Spesielt vil den nærmest fullstendige flatedekningen et system av lavbanesatellitter gir samt den høye båndbredden som har blitt demonstrert gjøre slik teknologi til et attraktivt alternativ for nett-tilgang i områder som er kostbare å nå med fiber. Lavbanesatellitter vil også kunne spille en betydelig rolle som backup-løsning i situasjoner der bakkebasert nettilgang har falt bort.

Utvalget er forsiktige med å spå i hvilken grad lavbanesatellitter vil være en disruptiv kraft i det norske telekom-markedet. Vi observerer likevel at de investeringene som gjøres i slike infrastrukturer er svært omfattende, og disse investeringene gjøres med en forventning om inntjening også fra norske brukere . Utvalget anbefaler derfor norske myndigheter om å følge utviklingen nøye, og at det søkes å spille en rolle i det pågående europeiske initiativet. Basert på ovennevnte støtter utvalget regjeringens mål om aktiv deltakelse i IRIS².

13.10 Oppsummering

Vi har i dette kapittelet belyst flere digitale infrastrukturer som er kritisk viktige for digital kommunikasjon, men som ikke er underlagt norsk jurisdiksjon. Disse infrastrukturene er svært mangeartede, og de tiltakene vi foreslår vil av den grunn falle i flere kategorier.

I diskusjonene knyttet til nasjonal sky og til nøyaktig tid er det både teknisk og økonomisk gjennomførbart å lage nasjonalt kontrollerte alternativer til de utenlandske infrastrukturene som nå benyttes. Slike løsninger vil kunne gi tilfredsstillende grad av handlefrihet ved at de gjør de virkemidlene som er beskrevet i kapittel 9 virksomme på områder der de tidligere ikke har hatt effekt.

Våre forslag om aktiv deltakelse i ICANN, samt å søke norsk deltakelse i IRIS² er av en annen karakter. Disse forslagene vil i noen grad sørge for at norske behov har plass i de vurderingene som skal gjøres på sentrale teknologiområder, og som vil kunne få effekt for Norge.

Den siste kategorien av tiltak er utvikling av faktagrunnlag knyttet til våre internasjonale avhengigheter. Institusjoner og individers avhengighet av skytjenester, mikrotjenester, DNS-servere, og digitale sertifikater utenfor landets grenser er i liten grad regulert. Det er en fare for at de samlet sett utgjør et betydelig tap av nasjonal kontroll både over systemers integritet og over lekkasje av informasjon om norske forhold. Likeledes er alle disse tjenenestene avhengig av velfungerende strukturer for internettsamtrafikk for å kunne fungere.

« Digitaliserings- og forvaltningsdepartementet bør vedlikeholde et faktagrunnlag knyttet til nasjonal avhengighet av utenlandske innsatsfaktorer, herunder mikrotjenester, DNS-tjenere, sertifikattjenester, og internettsamtrafikk. Dette faktagrunnlaget bør danne basis for utvikling og vedlikehold av målbilde og virkemidler for nasjonal kontroll, og i den sammenheng vår avhengighet til infrastruktur som ligger utenfor norsk jurisdiksjon.»

14 Økonomiske og administrative konsekvenser

Utvalget legger i denne rapporten fram en rekke konkrete forslag for å øke myndighetenes evne til å styrke nasjonal kontroll med kritisk digital kommunikasjonsinfrastruktur, som vil få administrative og økonomiske konsekvenser for både myndigheter og virksomheter. De økonomiske og administrative konsekvensene er imidlertid usikre.

Enkelte av utvalgets anbefalinger som

• at alle myndigheter som har sektoransvar etter sikkerhetsloven, gis tilgang til opplysninger fra registeret over reelle rettighetshavere,
• at der det er finnes relevant EU-regelverk, sørger for at dette regelverket gjennomføres i Norge og i så nær tid som mulig med tilsvarende regulering i EU, og
• at der statlig eierskap er begrunnet i hensynet til samfunnssikkerhet og beredskap, bør være tydeligere hvordan det hensynet veies mot hensynet til avkastning, andre aksjonærer og for eksempel statsstøtteregler,

er anbefalinger som utvalget mener vil ligge under ulike departementers ordinære oppgaver. Utvalget mener disse oppgavene bør prioriteres, men vil etter utvalgets syn ikke medføre nevneverdig økning av administrative eller økonomiske kostnader.

Ekomsikkerhetsutvalget foreslår som et utgangspunkt at DFD bør definere og vedlikeholde en helhetlig oversikt over kritisk digital kommunikasjonsinfrastruktur og selskapene som eier denne Til dette arbeidet kreves ressurser. Det er grunn til å anta at det ved etableringen av en slik oversikt vil være behov for særlige ressurser både knyttet til å definere kritisk digital kommunikasjonsinfrastruktur og identifisere selskapene som eier den. I tillegg er det behov for ressurser som kan sikre tilstrekkelig beskyttelse av informasjonen både når det gjelder oppbevaring og behandling av den. For at denne oversikten skal ha verdi over tid, er det nødvendig at det også gis tilstrekkelige ressurser for å vedlikeholde den. Departementet har allerede i dag plikt etter sikkerhetsloven til å utpeke virksomheter som har infrastruktur som har avgjørende eller vesentlig betydning for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser. Utvalget antar at en utvidelse til å kartlegge infrastrukturer og virksomheter som anses samfunnskritiske og relevante i forhold til nasjonal kontroll, men som ikke er så kritiske at de skal utpekes etter reglene i sikkerhetsloven, vil medføre et ikke ubetydelig behov for ytterligere ressurser. Fordi departementet ennå ikke har identifisert virksomheter med vesentlig betydning for grunnleggende nasjonale funksjoner eller for nasjonale sikkerhetsinteresser, er det vanskelig å anslå omfanget av gjenstående kartlegging og konkretisere de årlige økte kostnadene.

Utvalget foreslår videre en strukturert metode for å etablere et målbilde med konkrete styringsevner og handlefriheter staten bør ha for å ivareta nasjonal kontroll av kritisk digital kommunikasjonsinfrastruktur. Når målbildet er definert, må det gjennomføres en analyse av aktuelle virkemidler som er nødvendig for å nå målbildet, for å avklare om de virkemidlene som finnes er tilstrekkelige. Arbeidet både med å etablere og vedlikeholde et slikt målbilde og å avklare om og eventuelt sikre at man har nødvendige virkemidler, vil åpenbart påføre kostnader for myndighetene. Utvalget finner det vanskelig å kvantifisere kostnadene fordi det ligger utenfor utvalgets mandat å definere disse målbildene og har kun foreslått en metodikk som kan anvendes. Samtidig vil utvalget peke på at når det etableres og vedlikeholdes et målbilde og gjennomføres gapanalyser av målbildet og virkemidler, må det være et mål at dette arbeidet blir en integrert del av det øvrige forvaltningsarbeidet for å ivareta nasjonal kontroll av kritisk digital kommunikasjonsinfrastruktur, og at det bygges videre på dette i arbeidet med strategier, handlingsplaner og regelverksarbeid. Målet er at et etablert målbilde vil forenkle videre arbeid med å ivareta nasjonal kontroll av kritisk digital infrastruktur, og dermed redusere ressursbehovet i slike prosesser.

Utvalget mener at kontrollomfanget knyttet til økonomiske sikkerhetstruende aktivitet må utvides sammenliknet med i dag både når det gjelder type sikkerhetstruende aktivitet og kretsen av virksomheter som har kritisk digital kommunikasjonsinfrastruktur. Utvalget viser i denne sammenheng til at regjeringen i Meld. St. 9 (2024–2025) Totalberedskapsmeldingen punkt 8.2 mener det er behov for å videreutvikle dagens ordning for håndtering av potensielt sikkerhetstruende utenlandske investeringer i virksomheter som ikke er underlagt sikkerhetsloven, og at det er igangsatt et arbeid for å utarbeide forslag til en ny lov for kontroll av utenlandske investeringer. Etter utvalgets syn bør gjennomføringen av de nedenfor nevnte vurderinger, kartlegginger og avklaringer, bli en naturlig del av det arbeidet regjeringen har startet:

• vurdere om sektorregelverket i tilstrekkelig grad sikrer tidlig informasjon om kontrollsvekkende virksomhet fra de selskapene som er eier av kritisk digital infrastruktur.
• ved utarbeidelse av ny lov for kontroll av utenlandske investeringer se hen til EUs nye regelverk om screening av utenlandske direkte investeringer, uavhengig av om regelverket anses EØS-relevant.
• dersom det opprettes en investeringskontrollmyndighet, sikre at sektorspesifikk fagkompetanse blir tilgjengeliggjort for en slik etat.
• klarlegge om bestemmelsen i sikkerhetsloven § 10-3 er i tråd med EØS-avtalen.
• avklare om det sektorspesifikke regelverket er i stand til å ivareta situasjoner der man står overfor kontrollsvekkende aktivitet i ekomsektoren. I første omgang er det behov for å vurdere rekkevidden av bestemmelsene i ekomloven §§ 3-1, 3-5 og 3-7 opp mot sikkerhetsloven § 2-5.

Siden utvalget ikke tar konkret stilling til hvordan en ny ordning med kontroll av utenlandske investeringer skal utformes, men viser til at det er behov for å utvide kontrollen av økonomisk aktivitet samt at regjeringen må se hen til det arbeidet med et nytt screeningregelverk som er satt i gang i EU, har ikke utvalget grunnlag for å konkretisere hvilke økte kostnader dette vil medføre verken for virksomhetene eller myndighetene. Det er likevel klart at en bredere kontroll av økonomisk aktivitet vil gi flere transaksjoner som skal kontrolleres, og dermed økte kostnader både for virksomhetene og for myndighetene. For myndighetene vil de økte kostnadene særlig være knyttet til større veiledningsbehov overfor investorer om regelverk og prosedyrer for meldepliktige saker, økte kostnader knyttet til saksbehandling av meldingene, samt økte kostnader med oppfølging særlig av vedtak der det er stilt vilkår for at transaksjonen kan gjennomføres. For næringslivet vil økte kostnader følge av at flere transaksjoner skal meldes og gjennomgå investeringskontroll, samt knyttet til tidstapet fra melding er sendt til myndighetene har truffet en beslutning, og det blir klart om en transaksjon kan gjennomføre eller ikke.

Utvalget har foreslått et arbeid med å etablere et faktagrunnlag knyttet til avhengighet av internasjonale infrastrukturer som mikrotjenester, DNS-tjenere, sertifikattjenester og internettsamtrafikk.

Dette er et tiltak av vesentlig betydning for å holde oversikt over hvilke land og aktører som har kontroll over kritisk digital infrastruktur som ligger utenfor norsk jurisdiksjon. Kostnadene ved å opprette og vedlikeholde et slikt faktagrunnlag vil være avhengig de behovene som fremkommer under utarbeidelsen av et målbilde, og av den grunn er det ikke mulig å tallfeste kostnadene. Utvalget er imidlertid ikke kjent med at det foregår vesentlig arbeid på dette området fra før, og man må forvente at en meningsfull dimensjonering og gjennomføring av dette tiltaket vil kreve tilleggsbevilgninger, og i noen grad også oppbygging av teknisk ekspertise. Utvalget bemerker at flere nærliggende land står overfor samme utfordring, og at et internasjonalt samarbeid om dette fremstår som en mulighet som også vil kunne påvirke kostnadsbildet.

15 Referanseliste

Aftenposten 2023, https://www.aftenposten.no/verden/i/zE3RRq/starlink-systemet-gir-elon-musk-stor-makt-det-skaper-bekymring

ANALYSIS Perspectives on the Economic Effects of FDI and Investment Screening (2022), https://www.kommerskollegium.se/globalassets/publikationer/rapporter/2022/perspectives-on-the-economic-effects-of-fdi-and-investment-screening.pdf

A New European Commission Proposal on Foreign Direct Investment Screening: Towards Greater Harmonization? (2024), Crowell & Moring LLP, https://www.crowell.com/en/insights/client-alerts/a-new-european-commission-proposal-on-foreign-direct-investment-screening-towards-greater-harmonization

Atlantic Cable Maintenance and Repair Agreement (ACMA), https://www.acma2017.com/

BEREC Report (2023) on the impact of Artificial Intelligence (AI) solutions in the telecommunications sector on regulation, https://www.berec.europa.eu/en/document-categories/berec/reports/berec-report-on-the-impact-of-artificial-intelligence-ai-solutions-in-the-telecommunications-sector-on-regulation

BEREC Report (2024) on Cloud and Edge Computing Services, https://www.berec.europa.eu/en/all-documents/berec/reports/berec-report-on-cloud-and-edge-computing-services

Cai, D., og J. Li (2019) «To favor more or less? Corporate lobbying over preferential treatment to state-owned enterprises,» Journal of Regulatory Economics 55, 334–57

Cooper, D., Heilman, E., Brogle, K., Reyzin, L., & Goldberg, S. (2013, November). On the risk of misbehaving RPKI authorities. In Proceedings of the Twelfth ACM Workshop on Hot Topics in Networks (pp. 1-7)

Datasenterindustrien i Norge 2023-2024, Rapport Norsk datasenterindustri, https://static1.squarespace.com/static/6129463e215bea534c574c7f/t/65a92c45d4a60f02b227271f/1705585734796/Datasenterindustrien+i+Norge+2023-2024.pdf

Diesen, Karlsen, Kosiander, Løvik, Nyhamar (2024), Erfaringer fra krigen i Ukraina – læringspunkter etter tusen dager med krig, FFI-rapport 24/01299 https://www.ffi.no/publikasjoner/arkiv/erfaringer-fra-krigen-i-ukraina-laeringspunkter-etter-tusen-dager-med-krig

Digi.no (2024), https://www.digi.no/artikler/starlink-vil-levere-1-gbit-s-fra-satellittene/551895

Digi.no (2024), https://www.digi.no/artikler/nsm-etter-crowdstrike-still-kritiske-sporsmal-om-programvareutviklingen/549154

e-Estonia (2019), https://e-estonia.com/data-embassy-the-digital-continuity-of-a-state/

Ekominfrastruktur i Nordland Regional risiko- og sårbarhetsanalyse for Nordland (2023), Nkom, file:///C:/Users/DFD1112/Downloads/Risiko%20og%20s%C3%A5rbarhetsanalyse%20for%20Nordland%20-%20Offentlig%20rapport.pdf

Ekominfrastruktur i Trøndelag Regional risiko- og sårbarhetsvurdering for Trøndelag (2024), Nkom, https://www.regjeringen.no/contentassets/4b9d05c6dd134d8aa67dfbe576605a45/off_rapport_sarbarhetsanalyse_for_trondelag_2024-02-05.pdf

eidsiva.no, https://www.eidsiva.no/om-eidsiva/eiere/

erhvervsstyrelsen.dk, https://erhvervsstyrelsen.dk/vejledning-aktiviteter-omfattet-af-investeringsscreeningsloven

(EU) 2016/1148 av 6. juli 2016 om tiltak for å sikre et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i hele Unionen (NIS-direktivet), https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016L1148

(EU) 2018/151 av 30. januar 2018 om fastsettelse av regler for anvendelse av europaparlaments- og rådsdirektiv (EU) 2016/1148 med hensyn til ytterligere spesifisering av de elementene som tilbydere av digitale tjenester skal ta hensyn til for å håndtere risikoene knyttet til sikkerheten i nettverks- og informasjonssystemer, og av parametrene for å avgjøre om en hendelse har en betydelig innvirkning, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32018R0151

(EU) 2019/881 av 17. april 2019 om ENISA (Den europeiske unions cybersikkerhetsbyrå), https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019R0881

(EU) 2019/452 av 19. mars 2019 om kontroll av utenlandske direkteinvesteringer, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019R0452

(EU) 2021/694 av 29. april 2021 om opprettelse av programmet for et digitalt Europa, og om oppheving av beslutning (EU) 2015/2240 , https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32021R0694

(EU) 2022/2555 av 14. desember 2022 om tiltak for å sikre et høyt felles nivå for sikkerhet i nett- og informasjonssystemer i hele Unionen og om oppheving av direktiv (EU) 2016/1148 [NIS2], https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022L2555

Europakommisjonen, https://digital-strategy.ec.europa.eu/en/activities/digital-programme

Europakommisjonen, https://defence-industry-space.ec.europa.eu/eu-space/iris2-secure-connectivity_en

Europakommisjonen, WHITE PAPER How to master Europe’s digital infrastructure needs? (2024). White_Paper__Ho_to_master_Europes_digital_infrastructure_needs_CkoePennGJi1hpdkuARxMGuH5s_102533.pdf

Europakommisjonen, The future of European competitiveness (2024), https://commission.europa.eu/document/download/97e481fd-2dc3-412d-be4c-f152a8232961_en?filename=The%20future%20of%20European%20competitiveness%20_%20A%20competitiveness%20strategy%20for%20Europe.pdf

EU – Security and Defence Partnership between the European Union and Norway, https://www.regjeringen.no/contentassets/abc084fe921e403791ddb505622ba365/eu-norway-security-and-defence-partnership.pdf

Felles redegjørelse NSM og Nkom, https://www.regjeringen.no/contentassets/17dba73e91354368aad3d53d600a18b0/tilsyn-med-nodnett---felles-redegjorelse-nsm-nkom.pdf

Finnish government – breakdown of state ownership, https://valtioneuvosto.fi/en/government-ownership-steering/breakdown

Fokus 2024, Etterretningstjenestens vurdering av aktuelle sikkerhetsutfordringer, https://www.etterretningstjenesten.no/publikasjoner/fokus/Fokus24_innhold

Fremtidens digitale Norge, Nasjonal digitaliseringsstrategi 2024-2030, Digitaliserings- og forvaltningsdepartementet (2024), https://www.regjeringen.no/contentassets/c499c3b6c93740bd989c43d886f65924/no/pdfs/nasjonal-digitaliseringsstrategi_ny.pdf

Gerbl, M., McIvor, R., & Humphreys, P. (2016). Making the business process outsourcing decision: why distance matters. International Journal of Operations & Production Management, 36(9), 1037-1064

Helsedirektoratet, https://www.ehelse.no/velferdsteknologi-og-digital-hjemmeoppfolging

Internett i Norge – Årsrapport 2023, Nkom, file:///C:/Users/DFD1112/Downloads/Internett%20i%20Norge%20-%20%C3%85rsrapport%202023.pdf

Internett i Norge – Årsrapport for 2024, Nkom, file:///C:/Users/DFD1112/Downloads/Internett%20i%20Norge%20-%20%C3%85rsrapport%202024.pdf

Innst. 8 S fra næringskomiteen, behandlet i Stortinget 15. desember 2023 punkt 13, https://www.stortinget.no/no/Saker-og-publikasjoner/Publikasjoner/Innstillinger/Stortinget/2023-2024/inns-202324-008s/?all=true

Innst. 123 S (2023–2024) kap. 922 post 95, https://www.stortinget.no/globalassets/pdf/innstillinger/stortinget/2023-2024/inns-202324-123s.pdf

Innst. 182 S (2015–2016) side 7, https://www.stortinget.no/globalassets/pdf/innstillinger/stortinget/2015-2016/inns-201516-182.pdf

Innst. 247 S (2022–2023), https://www.stortinget.no/globalassets/pdf/innstillinger/stortinget/2022-2023/inns-202223-247s.pdf

ISP – https://www.isp.se/utlandska-direktinvesteringar

Johan Røed Steen (2022). Skytjenester for offentlig sektor – Avveininger og internasjonale erfaringer. Fafo-rapport 2022:22, https://www.fafo.no/images/pub/2022/20825.pdf

Joint statement, Nordic and Baltic Ministers of Digitalisation (2024), https://www.norden.org/en/declaration/joint-statement-nordic-and-baltic-ministers-digitalisation

Journal Officiel du Grand-Duche de Luxembourg, https://legilux.public.lu/eli/etat/leg/loi/2017/12/01/a1029/jo

Kartlegging av offentlige myndigheters mulige bruk av opplysninger om eierskap til aksjer og fast eiendom (2023), Skatteetaten, https://www.regjeringen.no/globalassets/departementene/fin/2024/kartlegging-eierskapsopplysninger-v-1.0.pdf

Kommunale inntekter fra kraftsektoren Inntekter fra kommunalt og fylkeskommunalt eierskap i kraftsektoren og som vertskommune for slik virksomhet, samt anvendelse av inntektene. På oppdrag fra TBU, https://www.regjeringen.no/contentassets/d28f4297bf6c4fd89c5b099d7a89f79c/kommunale-inntekter-fra-kraftsektoren-thema.pdf

Kongelig resolusjon, ref. nr. 47, saksnr.: 21/1898, av 26. mars 2021, https://www.regjeringen.no/contentassets/e775dc91a33e4713a090da7398e6f3f5/endelig-godkjent-kgl.res.-stans-av-salget-av-bergen-engines-as.pdf

Konseptvalgutredning for nasjonal skytjeneste (2023), NSM, https://nsm.no/getfile.php/1313330-1696430485/NSM/Filer/Dokumenter/Rapporter/Nasjonal%20skytjeneste%20-%20konseptvalgutredning%20-%20KVU%202023.pdf

Lagen om granskning av utländska direktinvesteringar (2023:560) av 1. desember 2023 (Sverige), https://www.riksdagen.se/sv/dokument-och-lagar/dokument/svensk-forfattningssamling/lag-2023560-om-granskning-av-utlandska_sfs-2023-560/

Lov om behandlingsmåten i forvaltningssaker (forvaltningsloven), https://lovdata.no/dokument/NL/lov/1967-02-10

Lov om elektronisk kommunikasjon (ekomloven), https://lovdata.no/dokument/NL/lov/2024-12-13-76

Lov om endringer i sikkerhetsloven (eierskapskontroll og lovens virkeområde), https://lovdata.no/dokument/NL/lov/2023-06-20-77

Lov om digital sikkerhet (digitalsikkerhetsloven), https://lovdata.no/dokument/LTI/lov/2023-12-20-108

Lov om militære rekvisisjoner (rekvisisjonsloven), https://lovdata.no/dokument/NL/lov/1951-06-29-19

Lov om nasjonal sikkerhet (sikkerhetsloven), https://lovdata.no/dokument/NL/lov/2018-06-01-24

Lov om næringsberedskap (næringsberedskapsloven), https://lovdata.no/dokument/NL/lov/2011-12-16-65

Lov om register over reelle rettighetshavere, https://lovdata.no/dokument/NL/lov/2019-03-01-2

Lov om screening af visse udenlandske direkte investeringer m.v. i Danmark (investeringsscreeningsloven), https://www.retsinformation.dk/eli/lta/2021/842

Lov om særlige rådgjerder under krig, krigsfare og liknende forhold (beredskapsloven), https://lovdata.no/dokument/NL/lov/1950-12-15-7

Lysekonsern.no, https://www.lysekonsern.no/om-oss/eierskap-og-historie/

Meld. St. 6 (2022–2023) Et grønnere og mer aktivt statlig eierskap — Statens direkte eierskap i selskaper, https://www.regjeringen.no/contentassets/b45b4a63e301435293bd1b10d1ede45b/no/pdfs/stm202220230006000dddpdfs.pdf

Meld. St. 8 (2019–2020) Statens direkte eierskap i selskaper — Bærekraftig verdiskaping, https://www.regjeringen.no/contentassets/44ee372146f44a3eb70fc0872a5e395c/no/pdfs/stm201920200008000dddpdfs.pdf

Meld. St. 9 (2022–2023) Nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet – Så åpent som mulig, så sikkert som nødvendig, https://www.regjeringen.no/contentassets/d256b455415c4cae8a710f62cc97d4f9/no/pdfs/stm202220230009000dddpdfs.pdf

Meld. St. 9 (2024–2025) Totalberedskapsmeldingen – Forberedt på kriser og krig, https://www.regjeringen.no/contentassets/c24e6978185f4a49a7d2689a4741a9b1/no/pdfs/stm202420250009000dddpdfs.pdf

Med. St. 28 (2020–2021) Vår felles digitale grunnmur, https://www.regjeringen.no/contentassets/e8441e5b035a4e18bbebf74737530c2f/no/pdfs/stm202020210028000dddpdfs.pdf

Microsoft blog (2022), https://blogs.microsoft.com/on-the-issues/2022/06/22/defending-ukraine-early-lessons-from-the-cyber-war/

Ministry of Economic Affairs and Employment of Finland, https://tem.fi/en/acquisitions

Moran, Theodore H. (2009). Foreign Acquisitions and National Security: What are Genuine Threats ? What are Implausible Worries? A Framework for OECD Countries, and Beyond . (Post OECD draft December 14, 2009; https://www.usitc.gov/research_and_analysis/documents/Moran_OECD_Analysis_5b_0.pdf )

Much more than a market – speed, security, solidarity (2024), Enrico Letta, https://www.consilium.europa.eu/media/ny3j24sm/much-more-than-a-market-report-by-enrico-letta.pdf

Nasjonal kontroll av IKT-tjenester (2023), NSM, https://nsm.no/getfile.php/1313327-1696336231/NSM/Filer/Dokumenter/Rapporter/Nasjonal%20kontroll%20av%20IKT-tjenester.pdf

Nasjonal trusselvurdering 2024, PST. https://www.pst.no/alle-artikler/trusselvurderinger/ntv-2024/

NATO (Marcom) 2024, Allied Maritime Command – NATO officially launches new Maritime Centre for Security of Critical Undersea Infrastructure

NATO (2024), NATO – News: NATO holds first meeting of Critical Undersea Infrastructure Network, 23-May.-2024 , https://www.nato.int/cps/en/natohq/news_225582.htm

Nkom årsrapport 2023, file:///C:/Users/DFD1112/Downloads/Nkom%20%C3%85rsrapport_2023.pdf

Noregs Bank Memo 1/2023, https://www.norges-bank.no/aktuelt/nyheter-og-hendelser/Publikasjoner/Norges-Bank-Memo-/2023/memo-12023-betalingsformidling/nettrapport-memo-12023-betalingsformidling/

Norge som datasenternasjon (2018), strategi, Nærings- og fiskeridepartementet, https://www.regjeringen.no/globalassets/departementene/nfd/dokumenter/strategier/strategi-nfd-nett-uu.pdf

Norske datasenter – berekraftige, digitale kraftsenter (2021), strategi, Kommunal- og distriktsdepartementet, https://www.regjeringen.no/contentassets/0eabdbcbfb2540699466a4a1a801d737/nn-no/pdfs/norske-datasenter.pdf

Notat Folketingets Europaudvalg – Forslag til Europa-Parlamentet og Rådets forordning om screening af udenlandske investeringer i Unionen og om ophævelse af EuropaParlamentets og Rådets forordning (EU) 2019/452 KOM (2024) 23, https://www.eu.dk/samling/20231/kommissionsforslag/KOM(2024)0023/bilag/2/2871851.pdf

NOU 2018: 5 Kapital i omstillingens tid — Næringslivets tilgang til kapital, https://www.regjeringen.no/contentassets/62f6dd4e0274432da6475e53f4b14d44/no/pdfs/nou201820180005000dddpdfs.pdf

NOU 2023: 14 Forsvarskommisjonen av 2021 – Forsvar for fred og frihet, https://www.regjeringen.no/contentassets/8b8a7fc642f44ef5b27a1465301492ff/no/pdfs/nou202320230014000dddpdfs.pdf

NOU 2023: 17 Nå er det alvor – rustet for en usikker fremtid (Totalberedskapskommisjonen), https://www.regjeringen.no/contentassets/4b9ba57bebae44d2bebfc845ff6cd5f5/no/pdfs/nou202320230017000dddpdfs.pdf

NOU 2023: 28 Investeringskontroll- En åpen økonomi i usikre tider (Investeringskontrollutvalget), https://www.regjeringen.no/contentassets/d48b7fedaa21484cb1f33e118bcd1162/no/pdfs/nou202320230028000dddpdfs.pdf

NOU 2023: 4 Tid for handling — Personellet i en bærekraftig helse- og omsorgstjeneste, https://www.regjeringen.no/contentassets/337fef958f2148bebd326f0749a1213d/no/pdfs/nou202320230004000dddpdfs.pdf

NOU 2024: 7 Norge og EØS: Utvikling og erfaringer (Eldringutvalget), https://www.regjeringen.no/contentassets/15ef86ab491f4856b8d431f5fa32de98/no/pdfs/nou202420240007000dddpdfs.pdf

NRK (2022), https://www.nrk.no/tromsogfinnmark/rodt-krever-svar-etter-at-bredbandsfylket-avtalte-samarbeid-med-russiske-megafon-1.16183441

NRK (2024), https://www.nrk.no/vestfoldogtelemark/google-bygger-enormt-datasenter-i-skien-1.16749861

NSM, Hva er sikkerhetstruende økonomisk virksomhet? https://nsm.no/regelverk-og-hjelp/rad-og-anbefalinger/handtering-av-sikkerhetstruende-okonomisk-virksomhet/hva-er-sikkerhetstruende-okonomisk-virksomhet/

NTB (2021), https://kommunikasjon.ntb.no/pressemelding/17920407/telenor-og-google-cloud-inngar-strategisk-partnerskap?publisherId=4954260

NTB (2022), https://kommunikasjon.ntb.no/pressemelding/17942689/telenor-etablerer-fiberselskap-i-norge?publisherId=4954260

NTB (2024), https://kommunikasjon.ntb.no/pressemelding/18052346/telenor-group-announces-collaboration-with-nvidia-to-support-its-ai-first-ambition?publisherId=4954260

NTB (2024), https://kommunikasjon.ntb.no/pressemelding/18037732/eidsiva-kjoper-etablert-datasenter-vi-skal-tilby-trygg-lagring-med-100-percent-nasjonalt-offentlig-eierskap?publisherId=17848064&lang=no

OECD (2024) Shaping Norway’s Digital Future. https://www.oecd.org/en/publications/shaping-norway-s-digital-future_d3af799c-en/full-report.html

OneWeb, https://oneweb.net/about-us

Privat eierskap i Norge 2021, Menon Economics, https://menon.no/prosjekter/privat-eierskap-i-norge-2021

Prop. 11 L (2024–2025) Endringer i sivilbeskyttelsesloven (sivil arbeidskraftberedskap), https://www.regjeringen.no/contentassets/5512d3505ad240e08bd772795b0f8370/no/pdfs/prp202420250011000dddpdfs.pdf

Prop. 25 S (2023–2024) Endringar i statsbudsjettet 2023 under Nærings- og fiskeridepartementet, https://www.regjeringen.no/contentassets/f8065596bce74356b5249bd67d716ee4/nn-no/pdfs/prp202320240025000dddpdfs.pdf

Prop. 87 S (2023–2024) Forsvarsløftet – for Norges trygghet, https://www.regjeringen.no/contentassets/27e00e5acc014c5ba741aacfff235d99/no/pdfs/prp202320240087000dddpdfs.pdf

Prop. 93 LS (2023–2024) Lov om elektronisk kommunikasjon, https://www.regjeringen.no/contentassets/096a9d827c8f48c3ae8b7817fe463a25/no/pdfs/prp202320240093000dddpdfs.pdf

Prop. 97 L (2015–2016) Endringer i sikkerhetsloven, https://www.regjeringen.no/contentassets/69a229ce36cd40beb7cfba3f1f2af6e8/no/pdfs/prp201520160097000dddpdfs.pdf

Prop. 153 L (2016–2017) Lov om nasjonal sikkerhet (sikkerhetsloven), https://www.regjeringen.no/no/dokumenter/prop.-153-l-2016-2017/id2556988/

Prop. 143 L (2016–2017) Endringar i statsbudsjettet 2017 under Finansdepartementet og Kommunal- og moderniseringsdepartementet, https://www.regjeringen.no/contentassets/94770ac58f8e4975beb27f031f5e3402/nn-no/pdfs/prp201620170143000dddpdfs.pdf

Prop. 1 S (2024–2025) For budsjettåret 2025 under Digitaliserings- og forvaltningsdepartementet, https://www.regjeringen.no/contentassets/e628c0d8c3a44971bb48bd5a487cb52d/nn-no/pdfs/prp202420250001dfddddpdfs.pdf

Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the screening of foreign investments in the Union and repealing Regulation (EU) 2019/452 of the European Parliament and of the Council, Proposal for a new regulation on the screening of foreign investments (10).pdf

På rett sted til rett tid – Nasjonal strategi for posisjonsbestemmelse, navigasjon og tidsbestemmelse (2018), Samferdselsdepartementet, https://www.regjeringen.no/contentassets/abd1dec7647a4c22aaef7d93046e3f2b/pa-rett-sted-til-rett-tid.pdf

Regjeringens arbeidsprogram for EU- og EØS-saker 2024-2025, https://www.regjeringen.no/contentassets/a6636bfa850f4add822ba8ac7ecb2014/regjeringens-arbeidsprogram-for-eu-saker.pdf

Regjeringen.no (2023), Space Nor https://www.regjeringen.no/no/aktuelt/space-norway-med-avtale-om-kjop-av-telenor-satellite/id3014624/way med avtale om kjøp av Telenor Satellite – regjeringen.no

Regjeringen.no (2023), https://www.regjeringen.no/no/aktuelt/green-mountain-vert-underlagt-sikkerheitslova-og-far-etablere-datasenter-i-innlandet/id2989926/

Regjeringen.no (2023), https://www.regjeringen.no/no/aktuelt/nytt-system-for-nodvarsel-til-befolkningen-er-etablert/id2958586/

Regjeringen.no (2024), https://www.regjeringen.no/no/aktuelt/okt-sikkerhet-for-kritisk-infrastruktur-pa-norsk-sokkel/id3023761/

Regjeringen.no (2024), Nytt n https://www.regjeringen.no/no/aktuelt/skal-sikre-tryggere-havbunn/id3083648/orsk-tysk initiativ skal styrke kritisk undersjøisk infrastruktur i Europa – regjeringen.no

Regjeringen.no (2024), https://www.regjeringen.no/no/aktuelt/samarbeid-for-a-sikre-kritisk-undersjoisk-infrastruktur/id3033122/

Regjeringen.no (2024), https://www.regjeringen.no/no/aktuelt/norge-slutter-seg-til-internasjonalt-initiativ-om-undersjoiske-kabler/id3075280/

Regjeringen.no (2025), Skal sikre tryggere havbunn – regjeringen.n https://www.regjeringen.no/no/aktuelt/skal-sikre-tryggere-havbunn/id3083648/o

Risiko 2023 Økt forutsigbarhet krever høyere beredskap, NSM, https://nsm.no/getfile.php/1312547-1676548301/NSM/Filer/Dokumenter/Rapporter/Risiko%202023%20-%20Nasjonal%20sikkerhetsmyndighet.pdf

Risiko 2024 Nasjonal sikkerhet – et felles ansvar, NSM, https://nsm.no/getfile.php/1313477-1719434219/NSM/Filer/Dokumenter/Rapporter/Risiko%202024.pdf

Risiko- og sårbarhetsanalyse for ekomsektoren (2024), Nkom. file:///C:/Users/DFD1112/Downloads/EkomROS%202024%20-%20offentlig%20versjon.pdf

Robuste transmisjonsnett for Norge mot 2030 Målbilder og virkemidler (2022), Nkom, file:///C:/Users/DFD1112/Downloads/Nkomrapport%2001.2022%20-%20Robuste%20transmisjonsnett%20for%20Norge%20mot%202030-ENKLE%20SIDER.pdf

Samfunnets kritiske funksjoner (2016), DSB. https://www.dsb.no/globalassets/dokumenter/rapporter/kiks-2_januar.pdf

Schrems I og Schrems II, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:62014CJ0362

Sikkerhetsfaglig råd – Et motstandsdyktig Norge (2023), NSM. https://nsm.no/getfile.php/1312994-1683615611/NSM/Filer/Dokumenter/Rapporter/Sikkerhetsfaglig%20r%C3%A5d%20-%20Et%20motstandsdyktig%20Norge.pdf

Spørsmål til skriftlig besvarelse nr. 18 fra stortingsrepresentant (1463202), https://www.stortinget.no/no/Saker-og-publikasjoner/Sporsmal/Skriftlige-sporsmal-og-svar/Skriftlig-sporsmal/?qnid=67684

Starlink, https://www.starlink.com/

Statens eierrapport (2023) – Statens direkte eierskap i selskaper, https://www.regjeringen.no/contentassets/1a9b9fca3f5542c08bd576c844f6034b/no/pdfs/statens-eierrapport-2023.pdf

Stortinget – Møte torsdag den 18. april 2024, Sak nr. 3 [14:38:04], https://www.stortinget.no/no/Saker-og-publikasjoner/Publikasjoner/Referater/Stortinget/2023-2024/refs-202324-04-18?m=3

Tampnet.com (2021), https://www.tampnet.com/press/tampnet-and-oneweb-sign-agreement-to-further-develop-the-next-generation-of-offshore-connectivity-capabilities

Telenor.no (2017), https://www.telenor.no/om/presse-og-media/pressemeldinger/telenor-styrker-beredskapen-langs-finnmarkskysten.page

Telia.no (2024), https://presse.telia.no/pressreleases/telia-tar-sitt-nordiske-partnerskap-med-microsoft-til-det-norske-markedet-forenkler-hverdagen-for-bedriftskundene-3357446

Waage, K., Kvalvik, S. N., & Lindgren, P. Y. (2021). Utenlandske investeringer og andre økonomiske virkemidler-når truer de nasjonal sikkerhet? FFI-RAPPORT 20/03149. ( http://18.195.19.6/handle/20.500.12242/2832 )

16 Vedlegg

Vedlegg 1: Utvalgets samlede forslag til tiltak

Vedlegg 2: Fremtidsanalyse foretatt av Oslo Economics og Norsk Utenrikspolitisk Institutt

Vedlegg 3: Analyse av eierstrukturer foretatt av Menon Economics

Vedlegg 4: Juridisk utredning foretatt av professor Christoffer Conrad Eriksen (UiO)

Vedlegg 5: Tilbakemeldinger fra tilbyderne knyttet til nasjonal kontroll med kritisk digital infrastruktur

Vedlegg 6: Informasjonsinnhenting april 2024 offentlige ekomtilbydere