1 Sammendrag

Utvalget er bedt om å vurdere oppgavene til Nasjonal sikkerhetsmyndighet (NSM). Den sentrale problemstillingen er hvordan NSM best kan bidra i arbeidet med forebyggende nasjonal sikkerhet. 1 Ifølge mandatet skal utvalget vurdere om det er oppgaver som ikke følger direkte av loven, som bør overføres til andre myndigheter. Viktige premisser har vært at Norges internasjonale forpliktelser må ivaretas og at forslagene skal være budsjettnøytrale. Utvalgets mandat omhandler NSMs oppgaver, men vurderingene vil berøre delingen av ansvar mellom departementene i arbeidet med å forebygge digitale hendelser og trusler.

For å svare ut mandatet er flere temaer belyst. Disse er omtalt i ulike kapitler i utredningen. Vi gir en beskrivelse av hvordan arbeid med forebyggende sikkerhet i Norge er organisert og utføres i dag. NSMs historie og sikkerhetslovens formål og virkeområde er beskrevet. NSM ble opprettet i 2003 med Forsvarsdepartementet som administrativt ansvarlig departement, men der også Justis- og beredskapsdepartementet hadde et fagansvar. I 2019 ble det administrative ansvaret overført til Justis- og beredskapsdepartementet. Videre følger en omtale av NSMs oppgaver, hvilke som følger av sikkerhetsloven og hvilke som er gitt på annet grunnlag. Styringen og finansieringen av NSM er også beskrevet. I tråd med mandatet har vi omtalt de mest sentrale statlige myndigheter som har grenseflater mot NSM. Vi beskriver hvordan de er tilgrenset, om oppgavene glir over i hverandre og hvordan arbeidsdelingen er regulert. Norges internasjonale forpliktelser er deretter beskrevet og også hvordan arbeidet med forebyggende sikkerhet er organisert i utvalgte andre land. Vi har sett nærmere på organiseringen i Sverige, Danmark, Finland, Nederland, USA og Storbritannia. En vurdering av trusler framover utarbeidet av Justis- og beredskapsdepartementet og Forsvarsdepartementet etter anmodning fra utvalget, følger deretter. Denne legges til grunn av utvalget.

NSMs kjerne bør være de oppgavene som følger av sikkerhetsloven. Loven stiller krav til det nasjonale sikkerhetsarbeidet. NSM bør konsentrere seg om disse oppgavene og være i stand til å løse dem med høy kvalitet. Dette er også i tråd med utvalgets mandat som sier at den sikkerhetspolitiske utviklingen og utviklingen i risikobildet for nasjonal sikkerhet skal være førende for vurderingene.

Norge står overfor komplekse trusler som utfordrer den nasjonale sikkerheten. Arbeidet med digital sikkerhet har fått økt betydning, og skillet mellom den tradisjonelle statssikkerheten og samfunnssikkerheten er mindre tydelig. 2 En koordinert innsats fra en rekke aktører er derfor nødvendig. NSM har her viktige oppgaver.

Oppgaveporteføljen til NSM har over tid blitt for bred. Særlig har oppgavene innen digital sikkerhet økt i omfang. For mange og for omfattende oppgaver kan svekke evnen til å løse kjerneoppgavene på en god måte. Omfanget av oppgaver bør derfor reduseres.

NSM er en organisasjon med dyktige medarbeidere. Men organisasjonen har også fått svekket ry etter svikt i den interne økonomiske styringen, kamp for utvidet revir, interne siloer med ulike budskap og lange saksbehandlingstider. Viktige oppgaver etter sikkerhetsloven er forsømt, samtidig som direktoratet er blitt pålagt stadig nye oppgaver utenfor loven. Det ryddes nå opp i styringen av økonomien, organisasjonen utvikles og det samarbeides bedre internt og eksternt.

Modellen med én sikkerhetslov og én sikkerhetsmyndighet bør videreføres. NSM fyller som nevnt rollen som sikkerhetsmyndighet etter sikkerhetsloven. Sikkerhetsmyndigheten skal påse at såkalte skjermingsverdige verdier har forsvarlig sikkerhet både i militær og sivil sektor. 3 Fagområdene i arbeidet med forebyggende sikkerhet omfatter fysisk og digital sikkerhet, personellsikkerhet og sikkerhetsstyring. Sikkerhetsstyring omfatter blant annet saker om eierskapskontroll. Det har verdi og er riktig å legge disse oppgavene til én myndighet. Som fag- og tilsynsmyndighet for forebyggende sikkerhet gir NSM råd og veiledning og får kunnskap og kan spre den bredt. Det er en styrke i lys av dagens risiko- og trusselbilde. I andre land synes organiseringen av arbeidet med forebyggende sikkerhet gjennomgående å være mer fragmentert.

NSMs oppgaver etter sikkerhetsloven bør bli klarere. Sikkerhetsloven § 2-2 gir sikkerhetsmyndigheten «det sektorovergripende ansvaret for at forebyggende sikkerhetsarbeid i virksomhetene utføres i samsvar med loven» og det «overordnede ansvaret for at sikkerhetstilstanden i alle sektorer kontrolleres […]». Ansvaret som beskrives er omfattende og gir grunnlag for ulike tolkninger.

Generelt bør begreper som brukes, gi en presis beskrivelse av NSMs oppdrag. Ord som «overordnet», «sektorovergripende ansvar» og «nasjonal responsfunksjon» kan gi inntrykk av at NSM skal lede, gripe inn og gi alle sikkerhet. Ansvar for sikkerheten ligger hos de enkelte departementene og virksomhetene som er underlagt sikkerhetsloven. NSM skal bistå de ansvarlige blant annet ved å gi råd, veilede og å føre tilsyn. Justis- og beredskapsdepartementet og Forsvarsdepartementet bør presisere i hovedinstruksen hva NSMs oppgaver etter sikkerhetsloven er.

NSM har og bør ha viktige oppgaver innen digital sikkerhet etter sikkerhetsloven. NSM skal drifte og utvikle «Varslingssystem for digital infrastruktur (VDI)», være «nasjonal responsfunksjon» ved alvorlige digitale angrep og formidle informasjon til virksomheter og etablere nødvendige arenaer for informasjons- og erfaringsutveksling. Felles cyberkoordineringssenter (FCKS) og Nasjonalt cybersikkerhetssenter (NCSC) er her viktige arenaer.

Som nasjonal responsfunksjon bidrar NSM i håndtering av digitale hendelser i samfunnskritiske funksjoner, men virksomheter som rammes har selv ansvar for sikkerheten og er som regel i det vesentlige avhengige av egne ressurser eller hjelp fra private tjenesteleverandører for å gjenopprette ordinær drift. NSM mottar varsler, koordinerer og varsler videre ved behov til regjeringen, relevante myndigheter og til virksomheter. Ugradert informasjon kan enkelt spres raskt. Det er samtidig viktig å sørge for en godt utbygget infrastruktur for å dele gradert informasjon.

Omfanget av NSMs oppgaver innen digital sikkerhet utenfor sikkerhetsloven bør reduseres. NSM betegnes i hovedinstruksen som «det nasjonale fagmiljøet for digital sikkerhet». Med et slikt utgangspunkt har det trolig vært lett å legge nye oppgaver på dette området til NSM. Men instruksen overvurderer direktoratets rolle; NSM er ett blant flere digitale fagmiljøer. Direktoratets oppgaver er nå for mange, og de favner for bredt. Det svekker NSMs kapasitet til å fylle funksjonen som sikkerhetsmyndighet etter sikkerhetsloven.

Oppgaver innen digital sikkerhet utenfor sikkerhetsloven bør overføres til andre. NSM bør fortsatt bidra, men ikke ha ansvaret for oppgavene. Kunnskap som NSM tilegner seg i arbeidet med oppgaver etter sikkerhetsloven, bør fortsatt tilflyte samfunnet.

NSM bør for eksempel ikke ha som oppgave å gi informasjon, råd og veiledning til statlig og kommunal sektor, private virksomheter og enkeltpersoner utenfor sikkerhetslovens virkeområde, drifte Norsk senter for informasjonssikring (NorSIS) eller vedlikeholde grunnprinsipper for IKT-sikkerhet. NSM bør heller ikke ha et hovedansvar for å koordinere aktiviteter som faller utenfor sikkerhetsloven.

Tilsvarende anbefaler utvalget at den frivillige ordningen for sertifisering av IT-sikkerhet i produkter og systemer (SERTIT) og oppgaven med å drifte deteksjonssystemet for falske basestasjoner tas ut av NSMs oppgaveportefølje og overføres til andre.

Det nye Digitaliserings- og forvaltningsdepartementet (DFD) bør ha et større ansvar for digital sikkerhet utenfor sikkerhetsloven. NSMs mange oppgaver innen digital sikkerhet har sammenheng med at Justis- og beredskapsdepartementet i 2013 fikk ansvaret for å samordne IKT-sikkerhet på sivil side. I samme år ble det samtidig vist til at ansvarsdelingen bør gås gjennom jevnlig i lys av den økende betydningen digital sikkerhet har i samfunnet. Vi mener tiden nå er inne for en slik gjennomgang.

DFD skal bidra til å styrke statens og samfunnets evne til å bruke potensialet og håndtere utfordringene som digital teknologi skaper. Departementet skal være en pådriver og samordne regjeringens politikk, også innen kunstig intelligens. Oppgaven DFD har med å vurdere hvilke muligheter digitalisering kan gi, bør ikke være løsrevet fra oppgaven med å vurdere hvilke konsekvenser disse mulighetene kan ha for den digitale sikkerheten. Det vil derfor etter utvalgets syn være riktig at dette departementet får som oppgave å samordne regjeringens arbeid med digital sikkerhet utenfor sikkerhetsloven. De oppgavene som utvalget foreslår tatt ut av NSM, bør legges til en eller flere etater under dette departementet.

NSM må prioritere ressursene riktig, ha god kommunikasjon internt og arbeide effektivt. På noen områder har aktører uttrykt misnøye med NSMs tjenester. Det er pekt på at NSM bruker for lang tid på å gjennomføre tekniske sikkerhetsundersøkelser (TSU) og at NSM ikke har godkjent skjermingsverdige informasjonssystemer til tross for at direktoratets råd og veiledning var fulgt. Det siste kan skyldes for dårlig kommunikasjon mellom ulike avdelinger i NSM. Også behandling av klager på avslag om sikkerhetsklarering av personell har tatt for lang tid. For klagesaker innen personellsikkerhet er kravet fra Justis- og beredskapsdepartementet at minst 85 prosent av sakene skal behandles innen 90–120 dager. Det er for lenge å vente for de som berøres, og målet bør skjerpes.

NSM bør sette ut flere oppgaver til andre. Direktoratet er fagmyndighet, men utfører også selv flere oppgaver. Sikkerhetsloven og forskrifter åpner for at flere av oppgavene som NSM selv utfører, kan settes ut til andre. Denne muligheten bør brukes mer enn i dag.

Dette gjelder blant annet oppgaven med å gjennomføre tekniske sikkerhetsundersøkelser (TSU) som vist til ovenfor. Et system der NSM også godkjenner andre virksomheter som kan gi råd om slike undersøkelser, bør vurderes. Når NSM gjennomfører TSU selv, bør oppgavene prioriteres tilstrekkelig, og det må kunne tas betaling for full kostnad for arbeidet. Det vil gi brukere insentiv til nøye å vurdere behovet og slik også styrke sikkerheten. Egenbetaling vil kreve hjemmelsgrunnlag.

Ordningen for godkjenning av skjermingsverdige informasjonssystemer bør også vurderes. Slik godkjenning krever system- eller virksomhetsspesifikk kompetanse som kan være krevende for NSM å ha på alle områder. Framfor å godkjenne systemet, kan NSM vurdere om virksomheten er skikket etter kriterier som departementene har fastsatt. Det er viktig at NATO-krav ivaretas i et slikt revidert opplegg. NSM må fortsatt føre tilsyn i ettertid.

Også på flere andre områder bør de mulighetene som sikkerhetsloven og forskrifter gir til å sette ut oppgaver, nyttes mer enn i dag.

Flere tilsynsmyndigheter bør føre tilsyn etter sikkerhetsloven. NSM fører tilsyn med at sikkerhetsloven blir fulgt opp, både med departementene, etater, lokale myndigheter og virksomheter. I fem sektorer hittil har ansvarlig departement gitt oppgaven med å føre tilsyn etter sikkerhetsloven til myndigheten som fører tilsyn i sektoren. Dette er en god ordning som bør brukes i flere sektorer. Blant annet finanssektoren og helsesektoren er her egnede kandidater. NSM vil bli avlastet, og ansvarlig departement og etater vil få større bevissthet om arbeidet med forebyggende sikkerhet etter sikkerhetsloven.

Grensesnittet mot Direktoratet for samfunnssikkerhet og beredskap (DSB) må bli klarere. DSB bistår Justis- og beredskapsdepartementet med å koordinere arbeidet med samfunnssikkerhet og beredskap og har ledet arbeidet med å identifisere kritiske samfunnsfunksjoner. Det er et nasjonalt planleggingsgrunnlag for departementenes arbeid med samfunnssikkerhet og beredskap. Totalberedskapskommisjonen foreslo å slå sammen rammeverkene DSB og NSM arbeider etter, det vil si de kritiske samfunnsfunksjonene (KIKS) og de grunnleggende nasjonale funksjonene (GNF), se nærmere omtale i boks 6.2. 4 Kommisjonen anbefalte også «å gjennomgå porteføljene til DSB og NSM for å avklare eventuelle uklare grensesnitt og oppgavefordeling».

Utvalget er enig i at det er overlapp mellom arbeidet med kritiske samfunnsfunksjoner og arbeidet med grunnleggende nasjonale funksjoner etter sikkerhetsloven. Sikkerhetstilstanden for GNF-ene vil påvirkes av sikkerhetstilstanden for de kritiske samfunnsfunksjonene. Rammeverkene bør likevel ikke slås sammen. De har både ulike formål og virkeområder, der arbeidet med kritiske samfunnsfunksjoner favner vesentlig videre enn sikkerhetsloven. Utvalget mener sikkerhetslovens formål og virkeområde i dag er hensiktsmessig og fungerer etter intensjonen.

Det er likevel behov for at formål og virkeområde og grensesnitt mellom rammeverkene gjøres klarere og formidles på en pedagogisk måte. Videre må oppgavefordeling og grensesnitt generelt mellom DSB og NSM avklares og gjøres tydelig i direktoratenes hovedinstrukser.

Arbeidet med nasjonal sikkerhet og arbeidet med samfunnssikkerhet vil overlappe også framover. Samarbeidet mellom NSM og DSB må derfor styrkes. De må være samstemte når de informerer og veileder om hvordan myndigheter og virksomheter skal håndtere ulike sårbarheter, hendelser og kriser.

Justis- og beredskapsdepartementet bør stille tydelige krav og gi retningslinjer for samhandling der oppgaver overlapper. Begge direktoratene må benytte etablerte arenaer for arbeidet med samfunnssikkerhet på nasjonalt, regionalt- og kommunalt nivå.

Klare grensesnitt er også viktig overfor andre myndigheter. Det gjelder blant annet i forholdet til Etterretningstjenesten og Politiets sikkerhetstjeneste (PST) og Forsvaret. Ansvarsdelingen mellom disse synes nå avklart.

Nasjonalt sikkerhetssenter (NCSC) i NSM og Nasjonalt cyberkrimsenter (NC3) i Kripos er begge sentrale i håndteringen av alvorlige IKT-sikkerhetshendelser. Samtidig har de til dels ulike roller. NSM bidrar til å gjenopprette berørte systemer og informerer andre virksomheter for å motvirke smitteeffekt. Kripos etterforsker hendelser for å avdekke hvem som står bak og informerer utad ved behov. Her kan det være ulike hensyn som kan krysse hverandre. Mens de berørte virksomhetene og NSM som oftest er opptatt av å få systemene raskt opp, kan Kripos ha behov for å avvente gjenoppretting for å etterforske og sikre bevis. Ulike hensyn vil avveies i «Felles cyberkoordineringssenter» (FCKS) der representanter fra NSM, Etterretningstjenesten, PST og Kripos deltar. Det er viktig at det er god kommunikasjon mellom aktørene og at de respekterer at hver av dem har ulike samfunnsoppdrag som skal ivaretas. En slik samhandling må ikke føre til at det kan stilles spørsmål ved om påtalemyndighetens uavhengighet hva gjelder etterforsking og påtaleavgjørelser, er ivaretatt eller utfordret.

NSMs funksjon som National Security Authority (NSA) overfor NATO, bør videreføres. Denne oppgaven må ses i sammenheng med oppgaven NSM har som sikkerhetsmyndighet etter sikkerhetsloven. I kontakten med NATO bør NSM trekke andre berørte etater og virksomheter med i forberedelsene og behandlingen av saker som følger av kontaktpunktfunksjonen. Direktoratet må dele informasjon fra møter i NATO med andre myndigheter som bør ha den. I den utstrekning det er hensiktsmessig og mulig, bør det åpnes for at andre deltar sammen med NSM på møter eller andre relevante fora i NATO-sammenheng.

Departementene må styre og finansiere NSM samordnet, helhetlig og langsiktig. Styringen av NSM synes i dag å være kortsiktig med nye oppdrag gjennom året i supplerende tildelingsbrev. Ulike hasteoppdrag til støtte for departementet i rollen som politisk sekretariat har også økt. Det gjør det mer krevende for NSM å planlegge og prioritere oppgaver og ressurser.

Departementene må være avholdne med å gi NSM flere oppgaver. Tildeling, oppdrag og styringsrammer bør med få unntak komme i de årlige tildelingsbrevene som sendes ut i desember og ikke spredt over året. Instrukser bør komme fra ett departement og være samordnet.

Dagens detaljerte hovedinstruks med en rekke «skal-punkter» gir lite rom for ledelsen til å planlegge og prioritere. En større vekt på mål og resultater vil legge et bedre grunnlag både for å kunne utvikle en kompetent organisasjon og for departementenes styringsdialog med etaten. Økonomireglementets krav om langsiktighet og planlegging må tillegges mer vekt i instruksen og i etterlevelsen av den.

NSM får nå orden på økonomien, men organisasjonen må utvikles planmessig med flerårig perspektiv. Direktoratets innspill til departementene om de årlige bevilgningene bør ta utgangspunkt i planer for fire til fem år fram i tid for hvordan organisasjonen skal utvikles. NSM bør være tidlig i inngrep med Forsvarets investeringsplaner slik at leveranser til ulike prosjekter kan planlegges i tid og omfang.

I en vurdering av departementstilhørighet for NSM må ulike hensyn avveies. Det er argumenter både for og mot dagens arbeidsfordeling mellom departementene. En faglig linje fra begge med ett som administrativt ansvarlig departement, bør videreføres. Justis- og beredskapsdepartementet har denne oppgaven i dag. Sivil sektor har fått økt betydning for nasjonal sikkerhet, samtidig som den sikkerhetspolitiske utviklingen kan tilsi at oppgavene framover i stor grad vil være på militær side. Forsvaret er allerede en stor bruker av tjenester fra NSM. Styringen fra departementene må være godt samordnet mellom dem uavhengig av hvor det administrative ansvaret ligger. Oppgavene må samsvare med tildelingene som gis, i tråd med bevilgningsreglement og økonomiregelverk. Samfunnsoppdraget og organisasjonen må utvikles videre ut fra et oppdatert risikobilde.

Utvalgets anbefalinger er budsjettnøytrale for staten samlet. Forslagene bidrar samtidig til å styrke det forebyggende arbeidet med nasjonal sikkerhet. Ved å konsentrere seg om sine kjerneoppgaver som fagmyndighet og tilsynsmyndighet etter sikkerhetsloven vil NSM lettere kunne planlegge og tilpasse ressursene der behovene forventes å bli størst. Dette vil også legge grunnlag for en mer effektiv virksomhet innenfor en realistisk budsjettering.

Overføring av oppgaver til andre vil gi redusert ressursbruk i NSM og tilsvarende økt arbeidsmengde hos de som overtar. Oppgaver som settes ut til markedsaktører eller som finansieres gjennom brukerbetaling, fører til mindre statlige utgifter. Utvalget antar at departementenes og etatenes arbeid med å fremme bruk av digitale verktøy og kunstig intelligens i offentlig sektor og næringsliv og avveie mot digital risiko, vil kunne kreve økte bevilgninger over tid.

Utvalgets anbefalinger kan oppsummeres på følgende måte:

Utvalget har tre hovedbudskap: i) Det bør fortsatt være én sikkerhetslov og én sikkerhetsmyndighet, ii) NSMs kjerneoppgaver bør være de som følger av sikkerhetsloven, og iii) NSM bør i større grad enn i dag nytte de mulighetene loven gir til å la andre utføre oppgaver.

I en usikker verden er behovet for forebyggende sikkerhetsarbeid blitt enda tydeligere. En koordinert innsats fra en rekke aktører er derfor nødvendig, der Nasjonal sikkerhetsmyndighet (NSM) har en plass.

Modellen med én sikkerhetslov og én sikkerhetsmyndighet bør videreføres.

NSMs kjerne bør være nasjonal sikkerhet etter sikkerhetsloven. D et nyopprettede Digitaliserings- og forvaltningsdepartementet med tilhørende etater bør få ansvar for å samordne arbeidet med digital sikkerhet utenfor sikkerhetsloven.

NSMs oppgaver etter sikkerhetsloven bør bli klarere.

NSM bør sette ut flere oppgaver som direktoratet i dag selv utfører.

Grensesnittet mot Direktoratet for samfunnssikkerhet og beredskap (DSB) må bli klarere. Departementet bør utforme retningslinjer for samhandlingen mellom dem. Hovedinstruksene må oppdateres og trekke grenser mellom direktoratene.

NSM og Nasjonalt cyberkrimsenter (NC3) må arbeide godt sammen, og Justis- og beredskapsdepartementet bør her stille klare krav om dette i instruksene.

Departementenes styring av NSM må være forutsigbar og langsiktig. NSM må følge kravene i statens økonomireglement om langsiktig planlegging.