10 Utvalgets vurderinger

I en usikker verden er behovet for å ha et godt og helhetlig rammeverk for forebyggende sikkerhetsarbeid blitt enda tydeligere. Norge står overfor komplekse trusler som utfordrer nasjonal sikkerhet. Det tradisjonelle skillet mellom statssikkerhet og samfunnssikkerhet er blitt mindre tydelig, se nærmere omtale i kapitlene 3 og 9. En koordinert innsats fra en rekke aktører er derfor nødvendig for å ivareta sikkerheten.

Flere offentlige utvalg har utredet ulike sider ved sikkerhet og beredskap de senere årene. Totalberedskapskommisjonen og Forsvarskommisjonen la fram rapporter så sent som i 2023. Stortinget vedtok i juni 2024 ny langtidsplan for forsvarssektoren for perioden 2025–2036. Den legger opp til en betydelig styrking av det norske forsvaret. Regjeringen la fram Totalberedskapsmeldingen tidligere i år.

Nasjonal sikkerhetsmyndighet (NSM) arbeider med forebyggende sikkerhet i Norge. Utvalget har som mandat å vurdere NSMs oppgaveportefølje og samspillet med andre myndigheter og virksomheter. For å få et best mulig grunnlag for våre vurderinger har vi hatt møter med en rekke aktører som arbeider med og har innsikt i arbeidet med forebyggende sikkerhet, se en oversikt i kapittel 2 og i vedlegg 3.

Et hovedinntrykk er at NSM fyller viktige funksjoner. Det er en organisasjon med dyktige medarbeidere innen flere ulike fagfelt. Men organisasjonen har også fått svekket ry etter svikt i den interne økonomiske styringen, kamp om utvidet revir, interne siloer med ulike budskap og lange saksbehandlingstider. Viktige oppgaver etter sikkerhetsloven er forsømt, samtidig som direktoratet er blitt pålagt stadig nye oppgaver utenfor loven. Det ryddes nå opp i styringen av økonomien, organisasjonen utvikles og det samarbeides bedre internt og eksternt.

Oppgaveporteføljen til NSM er uklart definert og har over tid blitt for bred. Særlig har oppgavene innen digital sikkerhet økt i omfang. En for bred portefølje av oppgaver kan svekke kvaliteten i det som blir gjort. Det er påvist svikt på flere områder i oppfølgingen av sikkerhetsloven. Omfanget av oppgaver bør derfor reduseres. NSM bør konsentrere seg om det som bør være direktoratets kjerneoppgave og være i stand til å løse den med høy kvalitet. Hva som er NSMs kjerneoppgave, er derfor viktig å avklare.

Utvalget mener her det må gjøres et veivalg mellom to alternativer. Direktoratet kan gå tilbake til sitt utgangspunkt, det vil si i det vesentlige å fylle funksjonen som sikkerhetsmyndighet etter sikkerhetsloven. Da bør en rekke oppgaver innen digital sikkerhet utenfor sikkerhetsloven, tas bort. Alternativet er å definere digital sikkerhet som NSMs kjerne, og la direktoratet få konsentrere seg om disse. Et tredje alternativ kunne være å øke ressursene til NSM i stedet for å redusere omfanget av oppgaver. Det ville imidlertid ikke løse problemet med at viktige oppgaver da lett ville komme i oppmerksomhetsskyggen. Utvalget har ikke vurdert dette som et alternativ å gå videre med.

Figur 10.1 NSMs oppgaver og nasjonal sikkerhet, statssikkerhet og samfunnssikkerhet

Utvalget mener NSMs kjerne bør være konsentrert om nasjonal sikkerhet etter sikkerhetsloven. Trusselbildet Norge står overfor, underbygger denne vurderingen. Dette er også i tråd med utvalgets mandat om at den sikkerhetspolitiske utviklingen og utviklingen i risikobildet for nasjonal sikkerhet skal være førende for vurderingene. Nasjonal sikkerhet er en av grunnmurene for sikkerhetsarbeidet ellers i samfunnet.

Ettersom det ble opprettet et eget digitaliseringsdepartement i 2024, er det riktig at oppgaver for digital sikkerhet som tas ut av NSM, legges under dette departementet. Vi utdyper vårt syn i de følgende avsnittene.

Hva NSMs ansvar etter sikkerhetsloven er, bør gjøres klarere. For flere av oppgavene bør det dessuten vurderes nærmere hvor dypt NSM skal gå i utførelsen av dem. Det er rom for at flere oppgaver enn i dag kan settes ut til markedsaktører og til andre etater. Samarbeid og grensedragning mot andre myndigheter begynner å få en bedre form, men det er likevel behov for klarere retningslinjer enn i dag for samarbeidet mellom NSM og Direktoratet for samfunnssikkerhet og beredskap (DSB). NSM og politiet ved Kripos må ha et godt og hensiktsmessig samarbeid ved angrep på samfunnskritisk digital infrastruktur.

Utvalget viser også til at departementenes styring av NSM bør bedres. Hvor godt NSM utfører sine oppgaver, er avhengig av en god styring fra departementene.

10.1 Å ha én nasjonal sikkerhetsmyndighet har verdi

Det kan skilles mellom funksjonen nasjonal sikkerhetsmyndighet og direktoratet Nasjonal sikkerhetsmyndighet, se omtale i kapittel 3. Funksjonen nasjonal sikkerhetsmyndighet følger blant annet av NATOs krav overfor medlemslandene om å ha en National Security Authority (NSA) som skal ivareta sikkerheten for NATO-gradert informasjon, se kapittel 3 og 7. Da Nasjonal sikkerhetsmyndighet (NSM) ble opprettet 1. januar 2003, ble oppgaven med å ivareta denne funksjonen lagt til det nye direktoratet. Også sikkerhetslovens forarbeider og forskrifter legger til grunn at rollen som sikkerhetsmyndighet skal legges til NSM.

Sikkerhetsmyndighetens oppgaver etter sikkerhetsloven kapittel 2 og 3 er særlig sentrale. Sikkerhetsmyndigheten skal legge til rette for og påse at skjermingsverdige verdier har forsvarlig sikkerhet. Oppgavene omfatter både fysisk og digital sikkerhet, personellsikkerhet og sikkerhetsstyring i både militær og sivil sektor, se kapittel 4. Det har verdi og er riktig å legge disse oppgavene til én myndighet slik det er gjort i Norge, framfor å splitte dem opp på flere. Én sikkerhetsmyndighet kan lettere se helheten i hva som kreves i arbeidet med forebyggende sikkerhet, særlig i en situasjon preget av sammensatte trusler, se nærmere omtale i kapittel 9.

Ved å være fag- og tilsynsmyndighet for alle sektorene får NSM oversikt og innsikt som bidrar til læring og utvikling på tvers av sektorene. Som fagmyndighet skal direktoratet utarbeide retningslinjer og standarder, veilede og gi råd. Som tilsynsmyndighet kan NSM formidle innsikt fra én sektor til andre sektorer.

Sikkerhetsarbeidet er mer fragmentert i andre land enn i Norge, jf. nærmere omtale i kapittel 8. Å ha én sikkerhetslov og én sikkerhetsmyndighet synes Norge å være alene om. Det er viktig å lære av andre land, men utvalget har ikke identifisert én organisering ute som kan sies å være en «beste-praksis». Modellen med én sikkerhetslov og én sikkerhetsmyndighet er en styrke og bør videreføres.

10.2 Nasjonal sikkerhetsmyndighets oppgaver etter sikkerhetsloven

Sikkerhetsloven § 2-2 «Sikkerhetsmyndighetens ansvar for forebyggende sikkerhetsarbeid» er en særlig sentral bestemmelse for NSMs oppgaver. § 2-2 første og andre ledd lyder:

«Sikkerhetsmyndigheten har det sektorovergripende ansvaret for at forebyggende sikkerhetsarbeid i virksomhetene utføres i samsvar med loven.

Sikkerhetsmyndigheten har det overordnede ansvaret for at sikkerhetstilstanden i alle sektorer kontrolleres, og skal se til at virksomhetene oppfyller sine plikter etter loven.»

Bestemmelsen gir NSM som sikkerhetsmyndighet et stort ansvar. Men bestemmelsen inneholder begreper som kan gi grunnlag for ulike tolkninger, det være seg både hva som ligger i et sektorovergripende ansvar og i et overordnet ansvar. Forarbeidene til loven klargjør, som vist til i kapittel 4, at sikkerhetsmyndighetens ansvar etter sikkerhetsloven ikke griper inn i det enkelte departements ansvar. Men dette hjelper bare et stykke på vei. Hovedinstruksen for Nasjonal sikkerhetsmyndighet 3. mai 2019 bidrar heller ikke til klargjøring av lovens bestemmelser i § 2-2. Instruksen har en lang rekke skal-bestemmelser, men disse knyttes ikke til sektorovergripende ansvar eller hvordan det skal påses at det forebyggende ansvar i virksomheter som er underlagt sikkerhetsloven, utføres i samsvar med loven.

Det er ulike oppfatninger hos sentrale aktører utvalget har møtt, om det nærmere innholdet i nevnte bestemmelse. Særlig gjelder dette hvilket ansvar NSM har og hva som kan iverksettes med utgangspunkt i det sektorovergripende ansvaret og likeledes etter det overordnede ansvar.

Det er neppe behov for lovendringer for å bøte på at det i dag er en viss usikkerhet om innholdet i sentrale bestemmelser i sikkerhetsloven. Justis- og beredskapsdepartementet og Forsvarsdepartementet kan tydeliggjøre hvilket ansvar og hvilke oppgaver som følger av sikkerhetsloven § 2-2, og det må være tilstrekkelig.

Den grad av dobbeltbehandling og sammenfall av instrukser som utvalget peker på hos enkelte offentlige aktører, kan ha sammenheng med den uklarhet som er nevnt her, se omtale av tilgrensende myndigheter i kapittel 6.

Begreper som brukes, bør gi en presis beskrivelse av NSMs oppdrag. Ord som «overordnet», «sektorovergripende ansvar» og «nasjonal responsfunksjon» er omtrentlige og lite presise. Ordet «overordnet» kan gi assosiasjoner i retning av «sjef» og «å lede», men også i retning av «ikke å gå i dybden» av en sak. I stedet for et «sektorovergripende ansvar» er det etter vårt syn en bedre beskrivelse å si at NSM har oppgaver som omfatter flere sektorer. Det gjenspeiler at nasjonal sikkerhet avhenger av flere aktører. Hva oppgavene skal gå ut på, må beskrives nærmere. Som omtalt i kapittel 4 ligger ansvaret for sikkerheten hos de enkelte departementene og virksomhetene som er underlagt sikkerhetsloven, og NSM skal ikke «gripe inn» direkte i virksomheten. Direktoratet skal bistå de ansvarlige blant annet ved å gi råd, veilede, og føre tilsyn. På enkelte områder beslutter NSM om krav i henhold til loven er oppfylt.

10.3 Personellsikkerhet

I utvalgets mandat vises det til at «det pågår en prosess for overføring av ansvar for klareringssaker i sivil sektor herunder fagmyndighetsoppgaver, fra NSM til Sivil klareringsmyndighet. Denne prosessen skal fortsette uavhengig av dette arbeidet.» Utvalget har derfor ikke gått dypt inn i alle sider av disse problemstillingene.

Når NSM er fag- og tilsynsmyndighet på alle fagområder under sikkerhetsloven, omfattes som nevnt også personellsikkerhet, jf. avsnitt 10.1. En bør unngå å splitte opp utøvelsen av funksjonen som nasjonal sikkerhetsmyndighet på flere myndigheter. NSM bør derfor fortsatt være fagmyndighet for personellsikkerhet.

Som fagmyndighet gir NSM veiledning om regelverket og informasjon om risiko blant annet til klareringsmyndighetene, se omtale i kapittel 4. Det kan bidra til at klareringene følger de samme kriteriene på tvers av sektorer og virksomheter. NSM bidrar også til å opplyse for å redusere innsiderisiko og motvirke at personell som er sikkerhetsklarert påvirkes av desinformasjon, jf. kapittel 9.6 og 9.8. Slik bør systemet være også fremover. Innenfor disse rammene bør myndighetene som klarerer i første instans, kunne fastsette retningslinjer for hvordan arbeidet skal skje og de enkelte sakene vurderes. Det er disse myndighetene som er nærmest til å legge til rette for en effektiv saksbehandling.

NSM er også klageinstans i klareringssaker. Utvalget ser fordeler ved at denne ordningen videreføres. NSM kan som fagmyndighet lære av å behandle klagesaker. Utfallet av saker vil i seg selv kunne skape presedens for senere klareringssaker og slik ha betydning for NSMs senere veiledning som fagmyndighet.

Behandling av klagesaker har tatt for lang tid i NSM. Det er uheldig og må unngås. Både klarering i første instans og klagesaker bør utføres uten unødig tidsbruk. NSM må her arbeide mer effektivt og gi oppgaven tilstrekkelig prioritet. En større grad av automatisering i arbeidet med innhenting og formidling av personkontrollinformasjon bør prioriteres. Behandlingstiden til NSM er etter det utvalget forstår, nå nede på kravet fra Justis- og beredskapsdepartementet om at minst 85 prosent av sakene skal behandles innen 90–120 dager. Også det er for lenge å vente for de som berøres, og målet bør skjerpes. EOS-utvalgets årsmelding for 2024 ble avgitt til Stortinget 26. mars 2025. Kontrollutvalget har her foreslått at den vedvarende lange saksbehandlingstiden i klareringssaker bør være en sak som behandles av Stortinget, jf. EOS-kontrolloven § 17 fjerde ledd nr. 7.

10.4 Eierskapskontroll

Investeringskontrollutvalget anbefalte i NOU 2023: 28 å legge saker om eierskapskontroll til Direktoratet for eksportkontroll og sanksjoner (DEKSA) som ble etablert 1. januar 2025. Investeringskontrollutvalget skrev blant annet:

«Utvalget mener det er flere hensyn som taler for at en ny ordning for investeringskontroll legges til en egen, ny myndighet, og at det er relevant å vurdere om denne bør organiseres sammen med den nye etaten for eksportkontroll og sanksjoner.» 145

Investeringskontrollutvalget anbefalte også at reglene om eierskapskontroll i sikkerhetsloven tilpasses og innarbeides i ny lov om investeringskontroll. Det vil ifølge utvalget bidra til at alle meldinger om investeringskontroll behandles etter det samme regelverket.

Sikkerhetsloven har i dag bestemmelser som regulerer eierskapskontroll av virksomheter underlagt loven. NSMs oppgaver på dette området følger dels av sikkerhetsloven og dels av oppdrag fra Justis- og beredskapsdepartementet.

Sikkerhetsloven §§ 10-1 – 10-3 omhandler eierskapskontroll i virksomheter som er underlagt denne loven. Departementene eller sikkerhetsmyndigheten skal varsles om erverv av en kvalifisert eierandel av slike virksomheter og kan godkjenne erverv. Dersom et erverv kan medføre en ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser blir truet, kan Kongen i statsråd fatte vedtak om at ervervet ikke kan gjennomføres eller at det stilles vilkår for gjennomføringen. Sikkerhetsloven § 2-5 åpner for at Kongen i statsråd på samme måte kan stanse erverv av virksomheter som ikke er underlagt sikkerhetsloven. Dette er en sikkerhetsventil som kun skal benyttes der det ikke finnes annet grunnlag for å gripe inn.

Stortinget har vedtatt endringer i sikkerhetsloven kapittel 10 som ennå ikke er trådt i kraft. Endringene medfører at også avhender av en virksomhet pålegges en meldeplikt på lik linje med erverver. 146 Dette vil bidra til en enklere og mer effektiv håndhevelse av lovens bestemmelser om eierskapskontroll. I tillegg senkes terskelen for når det skal sendes melding, og flere vil omfattes av bestemmelsene. Det vil være leverandører med leverandørklarering og virksomheter som har vesentlig betydning for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser. Disse endringene vil også svare på Investeringskontrollutvalget merknad om at gjeldende § 10-1 i sikkerhetsloven ikke fanger opp alle eierskapssaker fordi bestemmelsen bare pålegger meldeplikt på erverver og ikke på avhender. 147

NSM ble i 2021 utpekt som nasjonalt kontaktpunkt for varsler «om sikkerhetstruende økonomisk virksomhet». Dette ble gitt som oppdrag i eget brev fra Justis- og beredskapsdepartementet. Som kontaktpunkt bistår NSM departementene med risikovurderinger og innhenter råd fra andre, relevante etater. NSM gir også råd og veiledning til virksomheter som skal gjennomføre eller har gjennomført en sikkerhetsgradert anskaffelse der det er grunner for å undersøke nærmere hvorvidt det er innslag av sikkerhetstruende utenlandske interesser i verdikjeden.

Investeringskontrollutvalgets anbefalinger er under behandling i Nærings- og fiskeridepartementet. Investeringskontrollutvalget peker på hensyn som det er grunn til å vurdere. Det er blant annet gode grunner for at DEKSA som skal utøve eksportkontroll, også vil tilegne seg innsikt som er relevant for saker om eierskapskontroll. Generelt er det også en fordel å samle regelverk som henger nært sammen i samme lov, slik Investeringskontrollutvalget foreslår.

Saker om eierskapskontroll er likevel et fagområde som ikke er løsrevet fra andre fagområder i sikkerhetsloven. Loven understreker at erverv og andre uønskede aktiviteter skal vurderes opp mot betydningen dette vil ha for nasjonale sikkerhetsinteresser. Loven styrkes nå for lettere å fange opp saker som bør kontrolleres. Utvalget har ovenfor pekt på at det er en fordel å ha én sikkerhetslov og én sikkerhetsmyndighet. Det tilsier at lovens bestemmelser om kontroll av eierskap som gjelder virksomheter underlagt sikkerhetsloven, bør videreføres.

I behandlingen av slike saker hvor etater under flere departement medvirker og næringer og bedrifter blir berørt, er det viktig at det er bevissthet om hvilke statsråder som har parlamentarisk ansvar.

10.5 Digital sikkerhet

10.5.1 Oppgaver for digital sikkerhet med utgangspunkt i sikkerhetsloven

Digital sikkerhet eller IKT-sikkerhet er ikke nevnt som begreper i sikkerhetsloven. NSM har likevel flere oppgaver innen digital sikkerhet og IKT-sikkerhet som kan avledes fra sikkerhetsloven. I den videre omtalen benyttes digital sikkerhet og IKT-sikkerhet som synonymer, se også boks 3.2.

NSM har siden kort etter at direktoratet ble opprettet, hatt oppgavene med å drifte og utvikle «Varslingssystem for digital infrastruktur (VDI)» og å være «nasjonal responsfunksjon» for digital sikkerhet, se nærmere omtale i kapittel 4. I 2017 ble den nasjonale responsfunksjonen og VDI tatt inn i sikkerhetsloven som en oppgave for sikkerhetsmyndigheten. I henhold til § 2-4 i loven skal Kongen utpeke en myndighet som skal utføre disse oppgavene. NSM er pekt ut i forskrift. 148

Etter sikkerhetsloven § 2-3 skal NSM bidra til at det informeres om trusselvurderinger og andre opplysninger som er av betydning for det forebyggende sikkerhetsarbeidet i virksomheten og at det etableres nødvendige fora for informasjons- og erfaringsutveksling. NSM har her bygget opp et nokså omfattende apparat.

NSM bidrar med møteplasser der myndigheter og virksomheter kan utveksle informasjon og kunnskap i arbeidet med digital sikkerhet. I 2019 ble Nasjonalt cybersikkerhetssenter (NCSC) opprettet som et partnerskap mellom NSM og en rekke offentlige myndigheter og private virksomheter. Aktører som utvalget har snakket med, framhever NCSC som en nyttig arena for samhandling og informasjonsutveksling. NCSC drifter og utvikler VDI og den nasjonale responsfunksjonen. NCSC har deltakere og drøfter temaer som strekker seg ut over sikkerhetslovens rammer. Det er likevel viktig at senteret ikke går for langt ut over sikkerhetslovens virkeområde, se også avsnitt 10.5.2 nedenfor.

NSM mottar varsler og kan varsle på tvers av sektorer og virksomheter. Dette er en viktig funksjon som NSM ivaretar. Direktoratet informerer regjeringen og allmenheten. Ugradert informasjon er enklere å spre raskt enn gradert informasjon. Det er viktig at det sørges for en godt utbygget infrastruktur også for å kunne spre gradert informasjon.

Det er viktig at virksomheter har et realistisk bilde av hvordan de kan ivareta sikkerheten og håndtere hendelser som kan oppstå og også av hvilken assistanse NSM kan gi. Det er også viktig at NSM har et realistisk syn på egen evne til å gjenopprette systemer etter angrep og påser at virksomhetene har tilstrekkelig egen kapasitet eller avtale med spesialiserte selskaper. Virksomheter som rammes av digitale angrep, er som regel i det vesentlige avhengige av egne ressurser og hjelp fra private tjenesteleverandører for å gjenopprette ordinær drift. NSMs rolle i dag er beskrevet i «Rammeverk for håndtering av IKT-sikkerhetshendelser» fastsatt av Justis- og beredskapsdepartementet, se boks 4.1. I boks 4.2 er håndteringen av et alvorlig digitalt angrep mot Departementenes sikkerhets- og serviceorganisasjon (DSS) i 2023 beskrevet. NSM samarbeidet da med både DSS og det private selskapet mnemonic.

Det er også etablert andre arenaer, som Felles cyberkoordineringssenter (FCKS), for å håndtere alvorlige digitale hendelser, se avsnitt 10.9. Utvalget har ikke merknader til dette.

Oppgaven med å godkjenne skjermingsverdige informasjonssystemer og å gjennomføre tekniske sikkerhetsundersøkelser (TSU) er også oppgaver etter sikkerhetsloven som faller inn under blant annet faget digital sikkerhet, se nærmere omtale i avsnitt 10.6.

10.5.2 Oppgaver for digital sikkerhet utenfor sikkerhetsloven

NSM er over tid også blitt pålagt mange oppgaver innen digital sikkerhet ut over de som følger av sikkerhetsloven. Det kan ses på som naturlig i lys av den økte digitaliseringen av samfunnet og nye sårbarheter som har vokst fram. Skillet mellom statssikkerhet og samfunnssikkerhet er blitt mindre tydelig, jf. nærmere omtale i kapittel 3. Dette gjelder kanskje særlig for digital sikkerhet og avhengigheter mellom virksomheter som er innenfor og utenfor sikkerhetsloven. Utviklingen på området skjer raskt. Det er likevel ikke slik at all aktivitet på dette området har betydning for nasjonal sikkerhet og at det ikke kan trekkes noen grenser. Dersom utviklingen tilsier at mer i samfunnet har betydning for den nasjonale sikkerheten, kan lovens anvendelse utvides blant annet ved at det utpekes nye grunnleggende nasjonale funksjoner (GNF), skjermingsverdige verdier og virksomheter som skal underlegges sikkerhetsloven, se omtale i kapittel 4.

Justis- og beredskapsdepartementet og Forsvarsdepartementet har i hovedinstruksen beskrevet NSM som «det nasjonale fagmiljøet for digital sikkerhet». NSM skal i denne funksjonen støtte og bidra til Justis- og beredskapsdepartementets og Forsvarsdepartementets ansvar innenfor digital sikkerhet, koordinere og legge til rette for samhandling mellom ulike myndigheter, foreslå tiltak, gi anbefalinger og fremme forslag til krav. Direktoratet skal følge opp med råd og veiledning. Justis- og beredskapsdepartementet har siden 2013 hatt ansvaret for å samordne arbeidet med samfunnssikkerhet og arbeidet med digital sikkerhet i sivil sektor.

NSMs rolle bør her klargjøres slik at forventningene til hva de gjør og ikke gjør, er realistiske. Å betegne NSM som «det nasjonale fagmiljøet» i hovedinstruksen bidrar til å overvurdere hvilken rolle direktoratet kan spille. Det er mange fagmiljøer med betydelig kompetanse innen dette området i landet, både i akademia, i forskningsinstitusjoner, offentlige etater og i private virksomheter. NSM støtter seg på disse og bidrar som ett av dem. Det bør komme klarere fram i instruksen. Instruksen slik den er formulert i dag, kan også bidra til at det er for lett å legge nye oppgaver på dette området til NSM og motvirke at det blir utviklet mer egnede alternativer.

NSMs oppgaveportefølje innen digital sikkerhet fremstår alt i alt som for omfattende. Det er en risiko for at en stadig økende oppgaveportefølje kan gå ut over NSMs kapasitet til å følge opp de oppgavene som er i eller nær kjernen, og som er særlig viktige for den nasjonale sikkerheten. Utvalget tilrår på denne bakgrunn at oppgaver som ikke har betydning for nasjonal sikkerhet, bør overføres til andre enn NSM. Utvalget understreker at dette er viktige oppgaver for sikkerheten i samfunnet, for virksomheter og for individer og som derfor må løses, men av andre enn NSM.

NSM skal i henhold til hovedinstruksen «… vedlikeholde et særskilt risikobilde for digital sikkerhet som omfatter statssikkerhet, samfunnssikkerhet og individsikkerhet …» Denne oppgaven angir eksplisitt at NSM skal vurdere og følge opp risiko helt ned til digital sikkerhet for enkeltindivider. Denne oppgaven går for langt. NSM bør vurdere og rapportere om risikobildet for digital sikkerhet, men i hovedsak avgrenset til forhold av betydning for den nasjonale sikkerheten. Å «vedlikeholde et risikobilde» kan for øvrig språklig gi feil assosiasjoner. NSM skal ikke nødvendigvis holde ved like et risikobilde som allerede foreligger, men vurdere om det er endringer i risikobildet fremover.

Instruksen sier videre at NSM «… skal foreslå tiltak, gi anbefalinger og fremme forslag til krav innen digital sikkerhet i samfunnet, samt følge opp med råd og veiledning ». Direktoratet er pålagt en rekke oppgaver om å gi informasjon, råd og veiledning til statlig og kommunal sektor, private virksomheter og enkeltpersoner. Dette er oppgaver utenfor sikkerhetslovens virkeområde som bør overføres til andre. NSM bør fortsatt bidra, men ikke lede dette arbeidet. Det gjelder blant annet:

• Drift av Norsk senter for informasjonssikring (NorSIS).
• Rådgiving til kommunesektoren som NSM overtok fra det tidligere KommuneCERT. Resten av oppgavene i KommuneCERT ble overført til sektorresponsmiljøet Kommune- og HelseCERT.
• NSMs oppgave med å vedlikeholde grunnprinsipper for IKT-sikkerhet og følge opp med råd og veiledning om disse. NSM bør fortsatt gi råd og veilede om krav som følger av sikkerhetsloven.
• Utvikle og drifte myndighetsportal og støtteverktøy.

Som vist til i avsnitt 10.5.1 ovenfor, bidrar NSM til å koordinere arbeidet med forebyggende sikkerhet i ulike fora for å opprettholde en forsvarlig sikkerhet innenfor sikkerhetslovens rammer, som blant annet Nasjonalt cybersikkerhetssenter (NCSC) og Felles cyberkoordineringssenter (FCKS). Begge disse er nært knyttet til oppgaven å drive en nasjonal responsfunksjon etter sikkerhetsloven. Disse bør NSM beholde. NSM bør også beholde oppgaven med å drifte Nasjonalt senter for anvendt kryptologi da dette er nært knyttet til oppgavene etter sikkerhetsloven.

NSM bør derimot ikke ha et hovedansvar for å koordinere aktiviteter som faller utenfor sikkerhetsloven slik det følger av dagens instruks. Det gjelder også for enkelte aktiviteter innen rammen av NCSC, som å utvikle informasjonsprodukter, gi råd og drive partnernettverk. Direktoratet kan også her bidra og trekkes inn som partner, men ikke ha et hovedansvar.

NSM leder i dag det såkalte SIG (Special Interest Group) IKT-tilsyn. NSM kan delta i kraft av å være tilsynsmyndighet for sikkerhetsloven, men ikke lede gruppen. Heller ikke oppgaven å drive Nasjonalt koordineringssenter for forskning og innovasjon innen cybersikkerhet (NCC-NO) i samarbeid med Norges forskningsråd er en riktig oppgave for NSM.

Utvalget forstår det slik at NSM er tiltenkt ytterligere oppgaver innenfor digital sikkerhet når digitalsikkerhetsloven og lov om grunnsikring i samfunnet innføres, se nærmere omtale i kapittel 4. NSM skal etter høringsforslaget til digitalsikkerhetssforskriften være «nasjonalt kontaktpunkt for sikkerhet i nettverk og informasjonssystemer» og «tilsynsmyndighet i sektorer uten egen tilsynsmyndighet». Dette er ikke nødvendigvis oppgaver som faller innenfor nasjonal sikkerhet, og de bør derfor vurderes gitt til andre. Oppgaven med å drifte en nasjonal responsfunksjon etter digitalsikkerhetsloven sammenfaller derimot i stor grad med tilsvarende oppgave etter sikkerhetsloven og bør derfor samordnes med denne og ligge i NSM.

På tilsvarende måte, når hovedinstruksen sier at «NSM skal bidra til å styrke samfunnets kunnskap, forståelse, motivasjon og evne til å ivareta forebyggende sikkerhet, herunder digital sikkerhet på en best mulig måte» bør rollen avgrenses til det som omhandler nasjonal sikkerhet etter sikkerhetsloven.

Ifølge hovedinstruksen skal NSM «… utøve sertifiseringsmyndighet for IT-sikkerhet i produkter og systemer (SERTIT).» Dette er en frivillig ordning for sertifisering av IT-sikkerhet i produkter og systemer (SERTIT) som andre enn NSM bør ha som oppgave.

Tilsvarende foreslås det at oppgaven med å drifte deteksjonssystemet for falske basestasjoner tas ut av NSMs oppgaveportefølje og overføres til andre.

10.5.3 Plassering av oppgaver som bør tas ut av Nasjonal sikkerhetsmyndighet

Justis- og beredskapsdepartementet tildelte NSM rollen som det nasjonale fagmiljøet for digital sikkerhet etter at departementet i 2013 fikk ansvaret for å samordne IKT-sikkerhet på sivil side, jf. kgl.res. 22. mars 2013. 149 Direktoratet fikk samtidig tildelt økte midler til dette oppdraget. Både Justis- og beredskapsdepartementet og NSM fikk dermed et ansvar for digital sikkerhet som gikk utenfor sikkerhetsloven. Bakgrunnen for at Justis- og beredskapsdepartementet fikk dette samordningsansvaret var et ønske om å se IKT-sikkerhet i sammenheng med arbeidet med samfunnssikkerhet. Men flyttingen innebar samtidig at ansvaret for IKT-politikk og IKT-sikkerhet ble splittet mellom ulike departement.

I den kongelige resolusjonen som ga Justis- og beredskapsdepartementet ansvaret for å samordne IKT-sikkerhet på sivil side, ble det vist til at den raske teknologiutviklingen og den stadig større betydningen av IKT-sikkerhet i samfunnet «tilsier at ansvarsforholdene bør gjennomgås jevnlig for å vurdere behov for justeringer eller presiseringer». Den teknologiske utviklingen har vært formidabel siden 2013, og digital sikkerhet er blitt enda viktigere. Utvalget mener på denne bakgrunn at tiden nå er inne for å vurdere ansvarsdelingen som vist til i den kongelige resolusjonen.

Behovet for å gå gjennom ansvarsdelingen for digital sikkerhet nå støttes av at det nylig er blitt opprettet et eget digitaliseringsdepartement. Digitaliserings- og forvaltningsdepartementet ble opprettet 1. januar 2024. 150 Det nye departementet fikk blant annet ansvar for å «bidra til å styrke statens og samfunnets evne til å utnytte potensialet og håndtere utfordringene som digital teknologi skaper. Departementet vil ha både et pådriveransvar og en samordningsrolle i dette arbeidet.» Departementet fikk ansvaret for regjeringens digitaliseringspolitikk, elektronisk kommunikasjon og personvernpolitikken. Departementet har også ansvar for å gjennomføre EUs forordning om kunstig intelligens og å samordne regjeringens politikk innen kunstig intelligens. 151 Digitaliserings- og forvaltningsministeren representerte den norske regjeringen på møtet AI Action Summit i februar 2025 i Paris mellom statsledere, organisasjoner og næringsliv om hvordan verden kan ta i bruk kunstig intelligens på en forsvarlig og sikker måte. Videre samordner departementet offentlig sektors arbeid med informasjonssikkerhet og regjeringens digitaliseringspolitikk overfor EU.

Digitaliserings- og forvaltningsdepartementet har dermed oppgaver som i vesentlig grad griper inn i området for digital sikkerhet. Det vil etter utvalgets mening være riktig at departementet i forlengelsen av opprettelsen også får et ansvar for å samordne arbeidet med digital sikkerhet utenfor sikkerhetsloven. Oppgaver innen digital sikkerhet utenfor sikkerhetsloven som foreslås tatt ut av NSMs oppgaveportefølje, bør da legges til en eller flere etater under Digitaliserings- og forvaltningsdepartementet.

Flere aktører utvalget har snakket med, peker på at det er knapphet på kompetanse innenfor det digitale sikkerhetsarbeidet i Norge. Det er også økende konkurranse om ressursene. Det er derfor viktig å se på hvordan myndighetene organiserer arbeidet med digital sikkerhet for å nytte de samlede ressursene best mulig. Også Riksrevisjonen har pekt på at myndighetenes samordning av arbeidet med digital sikkerhet er svak. 152 Råd og veiledning innenfor digital sikkerhet framstår som fragmentert, noe som gjør det forebyggende sikkerhetsarbeidet krevende for mange virksomheter.

Utvalgets forslag innebærer at arbeid med digital sikkerhet innenfor og utenfor sikkerhetsloven deles opp. Utvalgets forslag innebærer imidlertid ikke at NSM ikke skal bidra i arbeidet med digital sikkerhet utenfor sikkerhetsloven. Direktoratets kunnskap bør fortsatt nyttes bredt i samfunnet. Utvalgets poeng er at NSM ikke bør ha en ledende rolle for å løse oppgavene som er nevnt i avsnitt 10.5.2.

10.6 Oppgaver som andre enn Nasjonal sikkerhetsmyndighet kan utføre

I tillegg til å vurdere bredden i NSMs oppgaver er det viktig å se nærmere på hvordan oppgavene best kan løses. Direktoratet arbeider i dag både bredt og dypt. I tillegg til å være fagmyndighet og tilsynsmyndighet utfører NSM selv flere av oppgavene og for egen regning. Det er ressurskrevende.

Utvalget har gått gjennom oppgavene og vurdert om disse kan løses på en mer hensiktsmessig måte enn i dag. Sikkerhetsloven og tilhørende forskrifter åpner for at flere av oppgavene som NSM selv utfører, kan delegeres eller settes ut til andre. Denne muligheten brukes i for liten grad i dag.

Figur 10.2 NSM har en rekke operative oppgaver etter sikkerhetsloven ¹⁾

¹ ) NSM er fag- og tilsynsmyndighet på tvers av sektorer og fag. I figuren har de ulike fagene hver sin kolonne der flere sentrale oppgaver av operativ karakter er listet opp nedover. Enkelte av disse kan utføres av andre.

10.6.1 Tekniske sikkerhetsundersøkelser

NSM bør i større grad enn i dag vurdere mulighetene for å sette ut oppgaven med å gjennomføre tekniske sikkerhetsundersøkelser (TSU). Utvalget er blitt fortalt at behovet for TSU er omfattende, særlig i offentlig sektor som Forsvaret og Utenriksdepartementet, men også i næringslivet. Kapasiteten til slike sikkerhetsundersøkelser i NSM er begrenset og kan derfor ta tid å få utført. Innenfor sine budsjetter har ikke NSM i tilstrekkelig grad valgt å prioritere dette.

Etter forskrift om virksomheters arbeid med forebyggende sikkerhet kan NSM la andre virksomheter utføre slike sikkerhetsundersøkelser. 153 Slik tillatelse er gitt i noen få tilfeller til andre offentlige virksomheter. TSU er en tjeneste som er spesialisert og krever tilgang til sensitivt utstyr og informasjon. Det bør likevel vurderes nærmere om denne muligheten kan nyttes mer enn den er nyttet hittil. Virksomheter som skal utføre sikkerhetsundersøkelser, kan da godkjennes av NSM på forhånd, og direktoratet bør få tilgang til resultatene. NSM tar stilling til om det skal gjennomføres TSU med utgangspunkt i en risikovurdering. Det er derfor viktig at NSM nøye vurderer om det er behov for å gjennomføre TSU. Det bør i tillegg vurderes om det kan legges til rette for at andre kan gi råd til aktuelle virksomheter om sikkerhetstiltak mot avlytting slik at behovet for TSU kan reduseres til det helt nødvendige.

Hvis det ikke er sikkerhetsmessig forsvarlig å sette ut oppgaven i større grad, bør kapasiteten i NSM økes. Direktoratet bør her kunne ta betaling for full kostnad for slike sikkerhetsundersøkelser. Det gir også insentiv hos brukerne til nøye å vurdere behovet. Økt bevissthet hos brukere kan bidra til å styrke sikkerheten. Egenbetaling vil kreve hjemmelsgrunnlag.

10.6.2 Godkjenning av skjermingsverdige systemer

Skjermingsverdige informasjonssystemer skal etter sikkerhetsloven § 6-3 godkjennes av en myndighet som pekes ut av Kongen. Dette er systemer som blant annet skal kunne behandle gradert informasjon, herunder med NATO-gradering. NSM er her pekt ut for de mest komplekse og høyt graderte systemene. 154 Enklere systemer godkjennes av virksomheten selv. NSM eller departementene kan la andre utføre slik godkjenning, men det er i liten grad blitt gjort.

NSM skal som fagmyndighet gi veiledning og råd ved anskaffelser av skjermingsverdige informasjonssystemer. I tillegg skal direktoratet godkjenne systemene før de tas i bruk. Utvalget er blitt fortalt at det har vært aktører som har fulgt rådene, men likevel ikke fått systemene godkjent etter at de er blitt utviklet. Det har vitnet om dårlig kommunikasjon mellom avdelinger og personer i NSM. I tillegg til å gi råd og veiledning og å godkjenne fører NSM tilsyn med systemene.

Godkjenning av informasjonssystemer er en aktivitet som kan kreve virksomhets- eller systemspesifikk kompetanse som kan være krevende for NSM å ha på alle områder, særlig når den teknologiske utviklingen går raskt. Det kan derfor være mer hensiktsmessig at NSM i større grad gir virksomheter adgang til å godkjenne systemet selv. NSM må da vurdere om virksomheten har gode systemer for internrevisjon og internkontroll, at det er nødvendig kompetanse i organisasjonen og at virksomheten er skikket til å ha et slikt eget ansvar for informasjonssystemet. Justis- og beredskapsdepartementet og Forsvarsdepartementet kan sette opp hvilke kriterier virksomhetene skal vurderes ut fra. NATO-krav må ivaretas. Det innebærer blant annet at det må være nødvendig avstand mellom de som drifter og utvikler systemet og de som godkjenner. En slik adgang vil derfor først og fremst kunne være aktuelt for store virksomheter. Det må også være regler for de tilfellene der virksomheter ikke blir godkjent til å ha et slikt ansvar.

NSM skal føre tilsyn med at informasjonssystemene som benyttes, er i tråd med sikkerhetslovens krav.

10.6.3 Andre oppgaver som kan utføres av andre

Sikkerhetsloven og forskrifter åpner for at NSM kan delegere eller sette ut oppgaver også på flere andre områder.

NSM kan i henhold til sikkerhetsloven § 5-6 annet ledd godkjenne andre leverandører av tjenester om kryptosikkerhet. Noen få offentlige og private virksomheter er blitt godkjent for dette.

NSM kan videre i henhold til sikkerhetsloven § 6-5 første ledd på anmodning fra virksomheter forsøke å trenge inn i virksomhetens skjermingsverdige informasjonssystemer for å kontrollere om sikkerhetstiltakene er tilstrekkelige. NSM kan i henhold til forskrift om virksomheters arbeid med forebyggende sikkerhet § 62 la andre virksomheter utføre inntrengningstesting. Én offentlig virksomhet er så langt gitt anledning til dette.

Sikkerhetslovens § 6-6 første ledd sier at NSM kan kontrollere om en virksomhets informasjonssystemer behandler sikkerhetsgradert informasjon utover det systemets sikkerhetsgodkjenning tillater. I forskrift åpnes det for at NSM kan la andre gjøre dette, men denne hjemmelen er så langt ikke tatt i bruk. 155

Tilsvarende kan NSM etter sikkerhetsloven § 7-4 første ledd på anmodning «forsøke å forsere etablerte sikkerhetstiltak for å få tilgang til skjermingsverdige objekter eller infrastruktur» for å kontrollere om sikkerhetstiltakene er tilstrekkelige. NSM kan under nærmere angitte forutsetninger la andre virksomheter utføre testing av sikkerhetstiltak. Én offentlig virksomhet er så langt gitt anledning til å gjøre dette. 156

NSM skal videre etter forskrift om virksomheters arbeid med forebyggende sikkerhet evaluere produkter og tjenester som virksomhetene ønsker å benytte dersom produktet eller tjenesten er avgjørende for tilgangen til gradert informasjon. 157 Kravene til slik evaluering kan oppfylles gjennom en sertifisering gitt av NSM. Andre kan utpekes til å utføre disse oppgavene, men NSM har så langt ikke utpekt akkrediterte laboratorier eller sertifiseringsorganer.

Hvis NSM gir adgang og legger til rette for at andre, også kommersielle aktører, kan utføre oppgaver, frigjøres kapasitet i direktoratet. Da blir det NSMs oppgave å godkjenne om en organisasjon er moden for å ta ansvaret og deretter komme tilbake på tilsyn. NSM bør stille krav, gi råd og føre tilsyn. Krav og veiledninger må oppdateres i lys av trussel- og risikovurderinger. NSM vil slik kunne gjøres bedre i stand til å vurdere behovene og legge planer fremover som fag- og tilsynsmyndighet.

En slik endring krever oppfølging av de virksomheter som oppgaver settes ut til. NSM må derfor fortsatt bruke ressurser på oppgavene.

10.7 Nasjonal sikkerhetsmyndighets tilsynsoppgaver

NSM skal føre tilsyn med etterlevelsen av sikkerhetsloven. Dette er en oppgave i kjernen av virksomheten. Direktoratet fører tilsyn med departementene, etater, fylkeskommunale og kommunale organer og virksomheter som er underlagt sikkerhetsloven etter vedtak eller i forbindelse med sikkerhetsgraderte anskaffelser.

I noen sektorer har ansvarlig departement gitt oppgaven med å føre tilsyn etter sikkerhetsloven til tilsynsmyndigheten i sektoren. Det er hittil pekt ut fem slike sektortilsyn; Havindustritilsynet, Jernbanetilsynet, Luftfartstilsynet, Nasjonal kommunikasjonsmyndighet og Norges vassdrags- og energidirektorat, se nærmere omtale i kapittel 6.

Dette er en god ordning. I disse sektorene fører ikke NSM direkte tilsyn med virksomheter underlagt sikkerhetsloven, men med at sektortilsynene følger opp virksomhetene på en forsvarlig måte.

Mens NSM har god innsikt i sikkerhetsloven og risikobildet nasjonalt, er det aktørene i sektoren som har mest kunnskap om egen sektor. Det må derfor legges til grunn at sektortilsynene og virksomhetene er best kvalifisert til å vurdere sårbarheter og risikoer. Etter sikkerhetsloven er det virksomhetene selv som har ansvaret for å vurdere hva som skal til for å oppnå et forsvarlig sikkerhetsnivå og å iverksette nødvendige tiltak. Dette gjelder særlig for sikkerhetslovens bestemmelser om objekt- og infrastruktursikkerhet.

Det bør derfor være dialog mellom tilsynsmyndighet og virksomhetene. NSM og sektortilsynene bør lytte til virksomhetenes egne vurderinger av hva som skal til for å oppnå et forsvarlig sikkerhetsnivå. Likeledes bør virksomhetene og sektortilsynene lære av NSM om hvilke krav som følger av sikkerhetsloven. Sektormyndighetene bør også trekkes med når NSM utarbeider rapporter om risiko og sårbarheter i sektorene, og kanskje mer enn i dag.

Der det er utpekt sektortilsyn, skal sikkerhetsmyndigheten etter sikkerhetsloven § 3-1 «likevel gjennomføre tilsyn når det følger av internasjonale forpliktelser eller når det er tvingende nødvendig». Dersom NSM av disse grunner skal føre tilsyn med virksomheter, bør det informeres så tidlig som mulig om dette til sektortilsynet. NSM bør i etterkant redegjøre om eventuelle avvik og pålegg.

Ansvarlig departement bør utpeke sektortilsyn som skal følge opp sikkerhetsloven der det er mulig. Det vil over tid avlaste NSM samtidig som det vil bevisstgjøre aktørene i sektoren i arbeidet med å følge opp sikkerhetsloven. Finanssektoren og helsesektoren fremstår her som aktuelle kandidater.

Flere sektortilsyn har overfor utvalget pekt på at NSM i sin tilsynsmyndighet i blant har operert på egen hånd, uten at sektortilsynet i tilstrekkelig grad er trukket inn. Det kan ha sammenheng med den uklarhet som utvalget har påpekt om hva som ligger i de såkalte «sektorovergripende» roller og ansvar i sikkerhetsloven § 2-2. Utvalgets anbefaling om klargjøring av innholdet i lovens begreper innbefatter også forholdet mellom NSM og sektortilsyn.

10.8 Grensesnittet mellom Nasjonal sikkerhetsmyndighet og Direktoratet for samfunnssikkerhet og beredskap

Direktoratet for samfunnssikkerhet og beredskap (DSB) bistår Justis- og beredskapsdepartementet med å koordinere arbeidet med samfunnssikkerhet og beredskap. DSB har blant annet som oppgave å kartlegge risiko og ha oversikt over utfordringer for samfunnssikkerheten på tvers av sektorene. DSB har ledet arbeidet med å identifisere kritiske samfunnsfunksjoner etter KIKS-rammeverket. Det er et nasjonalt planleggingsgrunnlag som skal bidra til at departementenes ansvar for samfunnssikkerhet og beredskap blir ivaretatt på tvers av sektorgrensene, se nærmere omtale av arbeidet med kritiske samfunnsfunksjoner i kapittel 6, boks 6.2.

For NSMs oppgaver er sikkerhetsloven det sentrale utgangspunktet. Sikkerhetsloven omhandler nasjonal sikkerhet der de grunnleggende nasjonale funksjonene (GNF) er viktige. Etter sikkerhetsloven er det departementene som er ansvarlige for å identifisere GNF-er innenfor sine områder. 158

I forarbeidene til sikkerhetsloven gjøres det klart at lovens formål er å beskytte funksjoner og verdier som er av nasjonal betydning og ikke funksjoner som bare har regional eller lokal betydning. 159 Det vises samtidig til at lokale eller regionale hendelser kan ha konsekvenser for sentrale samfunnsinstitusjoner og derfor anses å være av nasjonal betydning. Dette innebærer at arbeidet med kritiske samfunnsfunksjoner og arbeidet med grunnleggende nasjonale funksjoner overlapper. Inntrykket av overlapp forsterkes ved at det benyttes tilnærmet samme begreper om hva de skal beskytte. Sikkerhetsloven definerer nasjonale sikkerhetsinteresser blant annet som «samfunnets grunnleggende funksjonalitet og befolkningens grunnleggende sikkerhet» , 160 mens de kritiske samfunnsfunksjonene etter KIKS-rammeverket defineres som «befolkningens og samfunnets grunnleggende behov og samfunnets funksjonalitet». 161

Totalberedskapskommisjonen foreslo å slå sammen rammeverkene for KIKS og GNF. Kommisjonen anbefalte også å gjennomgå porteføljene til DSB og NSM «for å avklare eventuelle uklare grensesnitt og oppgavefordeling». 162

Utvalget er enig i at arbeidet med GNF-ene etter sikkerhetsloven og de kritiske samfunnsfunksjonene etter KIKS-rammeverket må ses i sammenheng. Arbeidet må baseres på et felles kunnskapsgrunnlag og være godt koordinert. Sikkerhetstilstanden for GNF-ene vil påvirkes av sikkerhetstilstanden for de samfunnskritiske funksjonene etter KIKS. Samtidig har rammeverkene ulike formål og kan ikke uten videre slås sammen til ett felles rammeverk. De bør tvert imot holdes adskilt. Vi viser her til forarbeidene til sikkerhetsloven der det står at «[s]ikkerhetsloven skal trygge nasjonale sikkerhetsinteresser, mens det er andre lover som skal sikre den sivile samfunnssikkerheten». 163

Mens identifisering av GNF skal bidra til å ivareta nasjonal sikkerhet, favner KIKS langt videre. Oversikten over kritiske samfunnsfunksjoner skal bidra til nødvendig koordinering på tvers av sektorgrensene i arbeidet med samfunnssikkerhet, se nærmere omtale i kapittel 6.

Et annet skille mellom rammeverkene er at sikkerhetsloven stiller krav om beskyttelse mot tilsiktede uønskede hendelser og ikke mot hendelser som kan skyldes tilfeldigheter, uhell eller naturskapte forhold, såkalt «all-risiko». Arbeidet med kritiske samfunnsfunksjoner skal styrke motstandsdyktigheten mot hendelser og trygge kontinuiteten til funksjoner, uavhengig av hvilke typer hendelser som kan oppstå.

Et tredje skille er at det er mer aktuelt at politi og eventuelt forsvar vil involveres når de skjermingsverdige verdiene er truet.

GNF-er vil dermed i hovedsak være en mindre delmengde av de kritiske samfunnsfunksjonene, jf. figur 10.3. Ifølge «Veileder i departementenes identifisering av grunnleggende nasjonale funksjoner» utgitt av NSM kan departementene bruke de kritiske samfunnsfunksjonene som et utgangspunkt i arbeidet med å identifisere GNF-er. Det er likevel andre kriterier som ligger til grunn for utvelgelsen av dem.

Figur 10.3 Overlapp mellom kritiske samfunnsfunksjoner og GNF ¹⁾

¹ ) Figuren er inspirert av figur 6.2 i NOU 2016: 19 Samhandling for sikkerhet. Figuren illustrerer at nesten alle grunnleggende nasjonale funksjoner (GNF) etter sikkerhetsloven også er en samfunnskritisk funksjon etter KIKS. Unntak er «Transport av gass i rør til Europa» og «Kontroll med utvinning av petroleum på norsk sokkel» som begge er GNF-er, men ikke kritiske samfunnsfunksjoner.

Hovedinstruksene til de to direktoratene gir i dag inntrykk av vesentlig overlapp i oppgaver, se vedlegg 5. Det bør unngås. Justis- og beredskapsdepartementet bør gå gjennom instruksene med sikte på å oppdatere dem og klargjøre grensesnittet. Der det må være overlapp, bør det også være regler for samhandling.

Utvalget er kjent med at DSB og NSM har arbeidet med å skape et felles grunnlag for hvordan sammenhengen mellom KIKS og GNF skal forstås. Det er positivt. En slik felles forståelse må formidles til berørte sektorer og virksomheter og vedlikeholdes over tid gjennom faste ordninger for dialog og samarbeid.

Sammensatte trusler krever felles situasjonsforståelse, informasjonsdeling og samarbeid for å håndtere kriser og trusler effektivt. Dette vil framover kunne kreve et tettere samarbeid mellom NSM og DSB.

Et tiltak som kan vurderes, er å etablere en såkalt «liaisonfunksjon» for fysisk tilstedeværelse hos hverandre. Dette er en samarbeidsordning som blant annet er brukt en del i Forsvaret. En slik ordning vil kunne identifisere og konkretisere samarbeidsbehov, bidra til at samarbeidet kommer på plass og at det følges opp.

Det er krav i både NSMs og DSBs instrukser om at de skal samarbeide med andre myndigheter der det er relevant. Men dette er ikke tilstrekkelig. I tillegg bør det utformes regler for hvordan de skal arbeide sammen. Det er viktig at arbeidet i de to direktoratene er godt koordinert, og at de gir entydige signaler utad om arbeidet med nasjonal sikkerhet og samfunnssikkerhet. De etablerte arenaene for arbeidet med samfunnssikkerhet på nasjonalt, regionalt og kommunalt nivå bør benyttes. Når NSM for eksempel arbeider med å styrke situasjonsforståelsen i kommuner og fylker om deres betydning for nasjonal sikkerhet, er det viktig at dette koordineres med DSB og statsforvalternes løpende aktiviteter innen samfunnssikkerhet.

Et styrket samarbeid bør gjelde på blant annet på følgende områder:

• deling av informasjon med myndigheter og virksomheter i ulike sektorer for å bidra til bedret situasjonsforståelse
• veiledning av hvordan myndigheter og virksomheter skal forholde seg til ulike situasjoner
• håndtering av sårbarheter, hendelser og kriser
• planlegging, gjennomføring og oppfølging av funn fra tilsyn der tilsynsobjektene er felles for etatene
• internasjonalt arbeid, både mot enkeltland og i Norden, NATO og EU.

Regjeringen varslet i Totalberedskapsmeldingen at den vil foreslå en sektorovergripende lov som skal stille felles krav til grunnsikring hos virksomheter som er viktige for at samfunnet fungerer i fred, krise og krig, se kapittel 6. 164 Dette vil forsterke sammenhengen mellom oppfølging av kritiske samfunnsfunksjoner og arbeidet med nasjonal sikkerhet. Ifølge meldingen vil regjeringen som en del av lovarbeidet også vurdere blant annet grensesnittet mellom samfunnssikkerhetsinstruksen, sikkerhetsloven og den nye loven om grunnsikring av virksomheter. Det er behov for en slik gjennomgang, men utvalget mener som nevnt at sikkerhetsloven fungerer etter hensikten.

Dette synes som et nokså omfattende lovarbeid som kan ta tid. For underliggende etater er det viktig å ha klare og oppdaterte rammer å forholde seg til også på kort sikt. Langvarige og store prosesser med lovarbeid ol. bør derfor ikke stå i veien for at instrukser og andre rammer for NSMs og DSBs oppgaver holdes oppdatert, og at grensesnittet mellom dem gjøres klarere.

10.9 Grensesnitt mot øvrige myndigheter

Utvalget har også vurdert NSMs grenseflater mot Etterretningstjenesten, Forsvaret, Politiets sikkerhetstjeneste (PST), Kripos, Sivil klareringsmyndighet, tilsynsmyndigheter og direktorater. Sivil klareringsmyndighet er omtalt i avsnitt 10.3 og tilsynene i avsnitt 10.7.

10.9.1 Etterretningstjenesten og PST

Arbeidsdelingen mellom Etterretningstjenesten og PST synes i det store og hele å være nokså klar. Etterretningstjenesten og PST skal vurdere trusler, mens NSM skal vurdere sårbarheter og risiko som følger av truslene. PST gir råd til myndigheter og virksomheter, og her kan det være gråsoner mot NSMs plikt til å veilede og å gi råd. PST og NSM inngikk i 2020 en avtale om sikkerhetsfaglig rådgiving.

10.9.2 Forsvaret

Forsvaret er en stor bruker av NSMs tjenester og leveranser. Dette er en naturlig konsekvens av at Forsvaret besitter store mengder gradert informasjon og råder over et høyt antall skjermingsverdige objekter og infrastruktur. NSM hadde i sin tid utspring fra den sentrale sikkerhetsorganisasjonen i Forsvaret, jf. omtale i kapittel 3. Forsvaret har fortsatt en egen sikkerhetsorganisasjon av betydelig størrelse ved Forsvarets sikkerhetsavdeling (FSA). Det har sammenheng med at FSA er klareringsmyndighet for forsvarssektoren. Arbeidsdelingen mellom NSM og Forsvaret om forebyggende sikkerhet synes etter utvalgets forståelse å være klar. Ikke desto mindre er det viktig med godt samarbeid, gode rutiner, avklarte ansvarsforhold og rettidig utveksling av informasjon. Gjensidig informasjonsutveksling om NATO-forhold er særlig viktig i denne sammenhengen.

Utvalget har vurdert om enkelte av NSMs oppgaver bør tilbakeføres til Forsvaret, herunder ulike oppgaver knyttet til krypto. I og med at disse oppgavene ikke utføres for Forsvaret alene og er forbundet med rollen som fagmyndighet etter sikkerhetsloven, har utvalget kommet til at NSM fortsatt bør ivareta dem. NSM bør imidlertid i større grad søke å bruke mulighetene i gjeldende regelverk til å la andre utføre oppgavene når forholdene ligger til rette for det, se nærmere omtale i avsnitt 10.6.

10.9.3 Kripos

NSMs grensesnitt mot politiet er særlig mot Kripos. NSM og Kripos er begge sentrale i håndteringen av alvorlige IKT-sikkerhetshendelser rettet mot kritisk infrastruktur. Samtidig har de til dels ulike roller. NSM ved Nasjonalt cybersikkerhetssenter (NCSC) bidrar til å gjenopprette berørte systemer og informerer andre virksomheter for å motvirke at skaden sprer seg. NSM informerer ved behov også regjeringen og allmennheten om hendelser som oppstår. Kripos ved Nasjonalt cyberkrimsenter (NC3) etterforsker hendelser for å avdekke hvem som står bak. Her kan det være ulike hensyn som skal ivaretas av henholdsvis NSM og Kripos. Mens NSM og de berørte virksomhetene som oftest er opptatt av å få systemene raskt opp, kan Kripos ha behov for å avvente gjenoppretting for å etterforske og sikre bevis. Disse hensynene kan dermed krysse hverandre. Ulike hensyn vil vurderes i «Felles cyberkoordineringssenter» (FCKS) der representanter fra NSM, Etterretningstjenesten, PST og Kripos deltar. Det er viktig at det er god kommunikasjon mellom aktørene og at de respekterer at hver av dem har ulike roller og oppgaver som skal ivaretas.

Virksomhetene vil som regel som nevnt ønske å få driften raskt i gang igjen og kan legge mindre vekt på de hensynene som kan være viktige for Kripos. Hvis Kripos kommer for sent til hendelsen, er det en risiko for at spor kan gå tapt. NSM skal i henhold til «Rammeverk for håndtering av IKT-hendelser» som er utgitt av Justis- og beredskapsdepartementet, varsle FCKS om alvorlige IKT-sikkerhetshendelser som rammer kritisk infrastruktur og kritiske samfunnsfunksjoner. Det er imidlertid virksomhetenes ansvar å anmelde saker til politiet.

Det er viktig at NSM tilstrekkelig raskt varsler virksomheter under sikkerhetsloven, samt øvrige virksomheter med samfunnskritisk funksjon om hendelser som oppstår slik at spredning til andre sektorer og virksomheter kan motvirkes. Utvalget antar det også kan være behov for at Kripos informerer både regjeringen og andre dersom etterforskningen tilsier det. Samtidig må vi understreke at etterforskning er en påtalestyrt virksomhet og ikke underlagt politisk kontroll eller politisk avklaring.

En eventuell uenighet blant deltakerne i FCKS vil måtte legges fram for Justis- og beredskapsdepartementet og Forsvarsdepartementet for beslutning, unntatt saker som «hører under den overordnede påtalemyndighet». 165

Utvalget foreslår ikke endringer i ansvarsdelingen mellom NSM og Kripos i håndtering av hendelser som i stor grad følger av lov og instruks. Dagens system krever gode rutiner for informasjonsutveksling, samspill og for å kunne fatte raske beslutninger.

10.9.4 Digitaliseringsdirektoratet og Nasjonal kommunikasjonsmyndighet

Digitaliseringsdirektoratet (Digdir) har fagansvar for offentlig sektors arbeid med informasjonssikkerhet og skal veilede offentlige virksomheter på dette området. NSM skal i sin rolle som det nasjonale fagmiljøet for digital sikkerhet veilede om digital sikkerhet til både offentlige og private virksomheter. Det er dermed to miljøer for råd og veiledning om digital sikkerhet på statlig side. Aktører utvalget har snakket med, peker på at det for brukere kan være krevende å måtte forholde seg til råd og veiledning om digital sikkerhet fra flere ulike hold.

Digdir har også fagansvar for offentlig sektors arbeid med informasjonssikkerhet og er tilsynsmyndighet for såkalt «universell utforming av ikt (Uu-tilsynet)». Digdir følger opp aktiviteter i EU og på nordisk nivå og bidrar med å koordinere og følge opp internasjonale initiativ som Norge deltar i.

Også Nasjonal kommunikasjonsmyndighet (Nkom) har oppgaver innen digital sikkerhet. Nkom er tilsyns- og kontrollorgan for post, elektronisk kommunikasjon og elektroniske tillitstjenester i Norge. Nkom er også tilsynsmyndighet for datasentre, jf. ny lov om elektronisk kommunikasjon som trådte i kraft 1. januar 2025. Nkom har et særskilt ansvar for sikkerhet og beredskap i nett og tjenester for elektronisk kommunikasjon og ble i 2019 utpekt som sektortilsyn etter sikkerhetsloven.

Utvalget foreslår i avsnitt 10.5.2 å avgrense NSMs oppgaver innen digital sikkerhet til de som omhandler nasjonal sikkerhet etter sikkerhetsloven. Utvalget mener Digitaliserings- og forvaltningsdepartementet bør overta ansvaret for å samordne arbeidet med digital sikkerhet utenfor sikkerhetsloven og at oppgavene som tas ut av NSM, overføres til en etat under dette departementet. Digdir og Nkom fremstår her begge som egnede kandidater.

10.10 Kontaktpunkt i NATO

Utvalgets mandat presiserer at utvalgets anbefalinger skal ivareta «forpliktelsene en nasjonal sikkerhetsmyndighet har overfor andre land og internasjonale organisasjoner, spesielt Norges forpliktelser til NATO …» Utvalget er videre bedt om å vurdere «hva som inngår i kontaktpunktfunksjonen til NATO og hvem som er nærmest til å ivareta denne».

Med kontaktfunksjon til NATO menes vanligvis funksjonen som såkalt NATIONAL SECURITY AUTHORITY (NSA). NATO stiller ikke eksplisitte krav til hvem som skal ha denne funksjonen i medlemslandene, men det er et krav om at en slik skal finnes. Denne funksjonen skal være i stand til å påse at sikkerhetsavtalen mellom NATO-landenes krav til forebyggende sikkerhetstiltak gjennomføres i medlemslandene.

NSA-funksjonen skal videre være medlemslandenes hovedkontaktpunkt for NATO Office of Security (NOS) i spørsmål om sikkerhet. NSA-funksjonen kan også henvise NOS videre til annen kompetent myndighet på avgrensede felter. Hvem som har hatt denne funksjonen i Norge, har variert historisk, se boks 7.1.

Å være sikkerhetsmyndighet og å være kontaktfunksjon mot NATO er på denne bakgrunn to sider av samme sak. I Norge er det som nevnt NSM som har denne funksjonen, og det bør videreføres. Det er likevel viktig at NSM trekker andre etater og virksomheter med i forberedelsene og behandlingen av saker som følger av kontaktpunktfunksjonen. NSM må også dele informasjon fra møter i NATO med andre myndigheter som bør ha den. I den utstrekning det er hensiktsmessig og mulig, bør det også åpnes for at andre deltar sammen med NSM på møter eller andre former for fora i NATO-sammenheng.

10.11 Videre utvikling av organisasjonen Nasjonal sikkerhetsmyndighet

10.11.1 Økonomisk styring

Etter en periode med manglende økonomisk styring synes NSM nå å rette det opp.

Da Justis- og beredskapsdepartementet overtok det administrative ansvaret for NSM i 2019, overtok de også grunnfinansieringen av direktoratet. Forsvarsdepartementet finansierer i hovedsak tidsavgrensede prosjekter. NSM har overfor utvalget gitt uttrykk for at slik prosjektfinansiering er utfordrende og vanskelig å planlegge ut fra. NSM bør være tidlig i inngrep med Forsvarets investeringsplaner slik at leveranser til ulike prosjekter kan planlegges i tid og omfang.

10.11.2 Kultur og organisering

En effektiv organisasjon er avhengig av at det utvikles en sunn kultur med åpenhet og samarbeidsvilje internt og med kunnskapssøkende medarbeidere.

Det har vært en periode med uro i organisasjonen, og det er viktig nå å se framover. Utvalget har snakket med flere som har pekt på at kommunikasjonen internt i NSM synes å være mangelfull. Det har vært synlig og også hatt uheldige virkninger utad. Blant annet har det vært ulike faglige syn og tilnærming mellom dem som gir veiledning og råd og dem som fører tilsyn og kontroll.

Det bør skapes et samhold der medarbeiderne er stolte av å representere ett NSM. Å lage tydelige rammer for NSMs virksomhet, med sikkerhetsloven som kjerne, kan bidra til en slik utvikling.

10.12 Styringen av Nasjonal sikkerhetsmyndighet

10.12.1 Langsiktig planlegging

Ifølge Regelverket for økonomistyring i staten skal departementene «planlegge sin styring av virksomheten med både ettårig og flerårig perspektiv». 166 Ledelsen i virksomhetene skal «fastsette mål og resultatkrav og foreta prioriteringer med ettårig og flerårig perspektiv innenfor eget ansvarsområde». Dette ble tillagt vekt av utvalget som utredet NSMs leie av Snarøyveien 36 i 2024. 167 Selv om ettårsprinsippet i staten innebærer at bevilgninger vedtas for ett år av gangen, er det viktig at departementene og virksomhetene ser utfordringer og prioriteringer i et langsiktig perspektiv. 168 Både Forsvarsdepartementet og Justis- og beredskapsdepartementet bør strekke seg langt for å gi NSM forutsigbare rammebetingelser til å utvikle organisasjonen.

Planer framover om hvordan NSM skal utvikles som organisasjon, må bygge på hvilke oppgaver og hvilken rolle direktoratet skal ha i det samlede sikkerhetsarbeidet i Norge. Det er viktig at drøfting av dette inngår som en fast del av NSMs styringsdialog med Justis- og beredskapsdepartementet og Forsvarsdepartementet. Et langsiktig perspektiv bør også ligge til grunn når direktoratet gis nye oppgaver som skal finansieres. Satsingsforslag bør være forankret i en plan for virksomheten over tid som departementene må påse at direktoratene har. Her hviler det et ansvar både på de styrende departementene og på NSM.

I tråd med økonomiregelverket i staten følger det av instruksen til NSM at direktoratet skal utarbeide strategier i et årlig og et flerårig perspektiv og at «NSM skal ha en langsiktig tilnærming til videreutviklingen av egen organisasjon for å legge til rette for at organisasjonens kvalitet og leveringsevne ivaretas på lang sikt». 169 Vi ser få spor av en slik langsiktig planlegging.

Departementene har også lagt opp til at det normalt skal avholdes årlige strategimøter om utfordringer og videre utvikling av virksomheten i et mer langsiktig perspektiv. Et slikt møte med NSM er likevel ikke avholdt siden våren 2023. Styringen synes snarere å bære preg av kortsiktighet med nye oppdrag gjennom året blant annet i supplerende tildelingsbrev. Nye oppdrag i gjennomføringsåret som påvirker ressursfordelingen og prioriteringer internt, gjør det vanskelig for direktoratet å planlegge virksomheten på en god måte. NSM oppgir at det også har vært en økning i oppdrag der departementene ber om råd i rollen som sekretariat for statsråden, ofte med korte tidsfrister.

Utvalget er spørrende til at departementene og NSM ikke i større grad har hatt en dialog om utviklingen i et noe lengre tidsperspektiv, ikke minst i lys av de mange nye oppgavene som direktoratet er blitt tildelt. Denne utviklingen med stadig nye oppgaver synes ikke å ha vært forankret i en langsiktig plan. Det å få stadig nye oppgaver krever tid og kapasitet som ellers kunne vært brukt til å styrke oppfølgingen av kjerneoppgavene.

Det må legges større vekt enn hittil på at NSM i sine innspill til departementene om de årlige bevilgningene må være basert på planer for i alle fall fire til fem år for hvordan organisasjonen skal utvikles og oppgaver prioriteres. Departementene bør samtidig være avholdne med å gi NSM flere oppgaver. Langsiktig planlegging vil legge til rette for forutsigbarhet om omfang og innretning av FoU og FoU-relaterte prosjekter. Langsiktig planlegging kan også bidra til å avdekke behov og muligheter for samarbeid med tilgrensende aktører. Departementene må sørge for en samordnet, helhetlig og langsiktig tilnærming i både styringen og finansieringen av direktoratet. Nye oppdrag og styringssignaler bør som nevnt som hovedregel komme i de årlige tildelingsbrevene som sendes ut i desember.

10.12.2 Departementstilhørighet

Forsvarsdepartementet fikk det administrative ansvaret for NSM da direktoratet ble opprettet i 2003. Et mindretall i den sammensatte justis- og forsvarskomiteen mente da at dette ansvaret burde ligge i Justisdepartementet, se kapittel 3. Regjeringen Solberg overførte det administrative ansvaret for NSM fra Forsvarsdepartementet til Justis- og beredskapsdepartementet i 2019. Justis- og beredskapsdepartementet overtok også ansvaret for sikkerhetsloven i denne prosessen. Samtidig utnevnte regjeringen en egen samfunnssikkerhetsminister i Justis- og beredskapsdepartementet som skulle følge opp blant annet NSM. Overføringen skjedde uten noen forutgående utredning. Posten som samfunnssikkerhetsminister er senere bortfalt.

Utvalgets mandat har først og fremst vært å vurdere NSMs oppgaveportefølje og samspill med andre aktører i det forebyggende sikkerhetsarbeidet i Norge. Det er likevel utvalgets inntrykk at NSMs oppgaver påvirkes av hvilket departement som har det administrative ansvaret. Flere av oppgavene som direktoratet har fått etter 2019, har vært oppgaver i sivil sektor under Justis- og beredskapsdepartementets ansvarsområde.

Det har som nevnt stor verdi å ha én nasjonal sikkerhetsmyndighet med oppgaver både på sivil og militær side. Totalberedskapsmeldingen, som ble lagt fram i januar 2025, peker i retning av at sivil sektors medvirkning til nasjonal sikkerhet blir viktigere. Sammensatte trusler i form av digitale angrep, økonomisk virkemiddelbruk, påvirkningsoperasjoner mv. øker i omfang, jf. kapittel 9. Slike trusler rettes i stor grad mot sivil sektor, men kan utfordre nasjonale sikkerhetsinteresser. Utvalget legger derfor til grunn at NSM fortsatt skal styres av både Justis- og beredskapsdepartementet og Forsvarsdepartementet, men der ett av dem har det administrative ansvaret. Det er også riktig at det departementet som er administrativt ansvarlig, også har ansvaret for sikkerhetsloven.

Sivil sektors økte betydning for den nasjonale sikkerheten kan trekke i retning av at det er Justis- og beredskapsdepartementet som bør ha det administrative ansvaret for NSM også framover. Direktoratet ble overført til Justis- og beredskapsdepartementet nesten samtidig med at sikkerhetsloven ble revidert. Den nye sikkerhetsloven av 2018 la et klarere ansvar for å vurdere risikoen og sørge for en forsvarlig sikkerhet på den enkelte virksomhet. Behovet for veiledning og råd fra NSM har derfor økt og vil trolig øke videre framover.

En viktig grunn til at sivil sektor og samfunnssikkerhet har fått økt betydning for den nasjonale sikkerheten, er den økte digitaliseringen i samfunnet. Justis- og beredskapsdepartementet har samordningsansvaret for digital sikkerhet på sivil side i regjeringsapparatet. Et digitalt angrep i sivil sektor kan slå ut funksjoner som rammer statssikkerheten og Forsvaret. Digital sikkerhet er derfor et område som er prioritert i NSM de siste årene. Oppgavene på dette området bør avgrenses til de som ligger nær kjerneoppgavene etter sikkerhetsloven, jf. avsnitt 10.5.2 ovenfor.

Samtidig kan det være hensyn som taler for at det er Forsvarsdepartementet som bør ha det administrative ansvaret for NSM. Direktoratet er en stor leverandør av tjenester til Forsvaret. Den sikkerhetspolitiske utviklingen kan tilsi at oppgavene framover i større grad må ses i sammenheng med risikoen for krig. Forsvarets langtidsplan legger opp til et stort forsvarsløft, blant annet som følge av utfordringene fra Russland. Dette vil også innebære en økning i NSMs oppgaver for å støtte Forsvaret.

NSMs oppgaver for Forsvaret vil trolig bli høyere prioritert med Forsvarsdepartementet som administrativt ansvarlig. I dagens finansieringsmodell har Justis- og beredskapsdepartementet i hovedsak ansvaret for ordinære driftsmidler til NSM, mens Forsvarsdepartementet i hovedsak stiller til rådighet prosjektmidler. Hvis NSM ikke har tilstrekkelig kapasitet til å ivareta de oppgavene som forsvarssektoren etterspør, vil Forsvarsdepartementet kunne måtte søke løsninger utenom NSM. Dette vil i så fall svekke den rollen som sikkerhetsmyndighet for både militær og sivil sektor som NSM er ment å ha.

Utvalget mener det er hensyn som trekker i begge retninger i en avveiing av hvilket departement som skal ha det administrative ansvaret for NSM.

Uavhengig av hvilket departement som er administrativt ansvarlig for NSM, må styringen være godt samordnet mellom departementene. Samfunnsoppdraget og organisasjonen må utvikles videre ut fra det oppdaterte risikobildet framover. Dette forutsetter at departementene har et langsiktig omforent perspektiv i styringen.

10.13 Endringer i regelverk

Utvalget er i mandatet bedt om å synliggjøre «eventuelle behov for justeringer i forskriftene til sikkerhetsloven og kgl. res» som følge av utvalgets forslag. Nedenfor peker vi på noen slike behov for justeringer der det først og fremst er NSMs hovedinstruks som påvirkes. I tillegg er det andre punkter som bør innarbeides i instruksen.

Som vist til i avsnitt 10.2 bør det klargjøres hvilket ansvar og hvilke oppgaver som følger av formuleringen i sikkerhetsloven § 2-2 om at «sikkerhetsmyndigheten har det sektorovergripende ansvaret for at forebyggende sikkerhetsarbeid i virksomhetene utføres i samsvar med loven». Etter sin ordlyd angir dette et stort ansvar, og det bør klargjøres hvor langt ansvaret strekker seg. En slik klargjøring bør blant annet fremkomme i NSMs hovedinstruks.

Generelt bør begrepene som brukes gi en presis beskrivelse av NSMs oppdrag. Ord som «ansvar», «overordnet» og «sektorovergripende» er omtrentlige og lite presise og kan forvirre. Betegnelsen «ansvar» brukes hyppig i både loven og hovedinstruksen. Et juridisk ansvar vil si å bære følger av handlinger eller unnlatelser. En bedre beskrivelse er å si at NSM har oppgaver som berører flere sektorer.

Utvalget foreslår at det bør innføres egenfinansiering av NSMs tekniske sikkerhetsundersøkelser av rom (TSU). Dette krever et hjemmelsgrunnlag. For godkjenning av informasjonssystemer er det en slik hjemmel i forskrift om virksomheters arbeid med forebyggende sikkerhet § 50.

Utvalget foreslår å ta ut flere oppgaver innen digital sikkerhet utenfor sikkerhetsloven i avsnitt 10.5.2 og å legge disse oppgavene under Digitaliserings- og forvaltningsdepartementet. Det kan ha konsekvenser for ansvarsdelingen mellom departementene, jf. at Justis- og beredskapsdepartementet i kgl.res. 22. mars 2013 fikk ansvaret for å samordne IKT-sikkerhet på sivil side.

I instruksen bør det ikke sies at NSM er «det nasjonale fagmiljøet for digital sikkerhet», men «et nasjonalt fagmiljø for digital sikkerhet» (blant flere andre), jf. avsnitt 10.5.2. Flere bestemmelser i instruksen faller dessuten bort når oppgaver tas ut av NSM slik utvalget foreslår.

Det er betydelig og til dels unødig overlapp mellom hovedinstruksene til NSM og Direktoratet for samfunnssikkerhet og beredskap (DSB). Justis- og beredskapsdepartementet bør derfor rydde samtidig i de to instruksene med sikte på å få fram både likheter og ulikheter i oppgavene.

Departementet bør utforme regler for på hvilke områder og hvordan de to virksomhetene skal samhandle, og samtidig sørge for at oppgavene ikke overlapper. Det er viktig at de to direktoratene opptrer samlet overfor aktører de begge samarbeider med.

Gjeldende instruks er detaljert og har en rekke «skal-punkter». En slik detaljstyring kan innskrenke handlingsrommet til virksomhetens leder. Departementene bør i større grad fastsette mål og overlate til virksomhetsleder å planlegge og prioritere ressurser innenfor fastsatte rammer. Det vil også legge et bedre grunnlag for departementenes styringsdialog med NSM.

Det følger av instruksen at NSM skal utarbeide strategier både i et årlig og et flerårig perspektiv og at «NSM skal ha en langsiktig tilnærming til videreutviklingen av egen organisasjon for å legge til rette for at organisasjonens kvalitet og leveringsevne ivaretas på lang sikt». Som pekt på i avsnitt 10.12 skorter det på etterlevelsen av denne bestemmelsen. Erfaringene fra de foregående årene viser at det kan slå galt ut. Økonomireglementets krav på dette området bør derfor tillegges større vekt enn hittil i både instruksen og etterlevelsen av den.

Instruksen har et eget kapittel for sjef NSM. En slik inndeling er lite hensiktsmessig. De punktene som står her, bør stiles til virksomheten, ikke sjefen.

Generelt må instruksen gås gjennom og oppdateres. Det er blant annet ikke en samfunnssikkerhetsminister i dag, og det kan være andre forhold i instruksen som bør oppdateres. Instruksen bør fastsettes av Justis- og beredskapsdepartementet, som administrativt ansvarlig departementet. Justis og beredskapsdepartementet må sørge for at instruksen er samordnet med Forsvarsdepartementet og eventuelle andre berørte departement, men det bør kun være ett departement som fastsetter instrukser.

Justis- og beredskapsdepartementet ga i 2017 ut «Rammeverk for håndtering av IKT-sikkerhetshendelser». Dette var før gjeldende sikkerhetslov trådte i kraft, og det har vært en rask utvikling på dette området siden da. Rammeverket bør derfor oppdateres.

10.14 Økonomiske og administrative konsekvenser

Utvalgets anbefalinger skal i henhold til mandatet være budsjettnøytrale. Utvalget har ikke tallfestet hva de enkelte forslagene betyr budsjettmessig. Forslagene bidrar etter vårt skjønn til å styrke arbeidet med forebyggende sikkerhet uten at statens kostnader samlet sett vil øke.

Utvalgets forslag kan i grove trekk deles inn i tre kategorier: Vi foreslår for det første at enkelte oppgaver innen digital sikkerhet overføres til andre myndigheter, se særlig avsnitt 10.5.2. Dernest foreslår vi at NSM i større grad enn i dag nytter mulighetene i regelverket til å delegere operative oppgaver til andre, se avsnitt 10.6. For det tredje foreslår vi at oppgavefordelingen mellom NSM og Direktoratet for samfunnssikkerhet og beredskap (DSB) tydeliggjøres og at Justis- og beredskapsdepartementet gir klare regler for samarbeidet mellom dem.

De to første av disse forslagene vil bidra til at NSM i større grad enn i dag kan konsentrere seg om sine kjerneoppgaver som fagmyndighet og tilsynsmyndighet etter sikkerhetsloven. Forslagene vil bidra til å styrke arbeidet med forebyggende nasjonal sikkerhet. Med en mer konsentrert oppgaveportefølje vil NSM ha bedre oversikt og bedre forutsetninger for å kunne planlegge og tilpasse ressursene der behovene forventes å bli størst. Dette vil også legge grunnlag for en mer effektiv virksomhet. NSM må planlegge driften innenfor en realistisk budsjettering.

Når oppgaver overføres eller delegeres til andre offentlige myndigheter, vil ressursbruken i NSM bli mindre. Samtidig vil ressursbruken i utgangspunktet øke tilsvarende hos de som overtar oppgavene. Netto bør arbeidsmengden i utgangspunktet være omtrent den samme. Det kan være behov for opplæring og enkelte investeringer hos de som overtar oppgavene i en overgangsfase. Utvalget antar likevel at departementenes og etatenes arbeid med digital sikkerhet samlet sett vil kreve økte bevilgninger i årene framover.

Oppgaver som settes ut til private og kommersielle aktører eller som finansieres gjennom brukerbetaling slik utvalget foreslår, fører til mindre statlige utgifter og høyere utgifter for brukere av tjenestene. Brukerbetaling er generelt hensiktsmessig fordi det gir insentiver hos bruker til å nærmere vurdere behovet for tjenestene som etterspørres.

Overføring av oppgaver vil kunne berøre NSMs ansatte. Ved overføring av oppgaver kan det være naturlig at det følger personell med til myndigheter som overtar oppgavene. Ved delegering av oppgaver, vil antallet ansatte kunne gå ned. Utvalget antar at en slik eventuell nedskalering kan gjøres over tid.

Endringene som foreslås vil kreve administrativt arbeid og trolig endringer i organiseringen i NSM og andre berørte etater. Det vil innebære administrative forberedelser og merarbeid i en overgangsperiode.

Utvalgets forslag om å tydeliggjøre grensesnitt og saksbehandlingsrutiner mellom NSM og DSB vil kunne bidra til en mer effektiv drift i begge direktoratene og hos brukere av tjenestene.