2 Utvalgets mandat, sammensetning og arbeid
2.1 Mandat og sammensetning
Utvalget ble oppnevnt ved kongelig resolusjon 27. september 2024. Mandatet er gjengitt i boks 2.1.
Boks 2.1 Mandat for ekstern gjennomgang av Nasjonal sikkerhetsmyndighets oppgaveportefølje
1. Rustet for å håndtere fremtidens utfordringer?
Den sikkerhetspolitiske utviklingen, økningen i digitale angrep og en hurtig digital transformasjon har endret rammebetingelsene for arbeidet med forebyggende nasjonal sikkerhet. Er forvaltningen rustet for å håndtere det fremtidige risikobildet?
Justis- og beredskapsdepartementet og Forsvarsdepartementet starter derfor en ekstern gjennomgang for å vurdere om oppgaveporteføljen som ligger under NSMs ansvarsområde er organisert hensiktsmessig for å svare på fremtidens utfordringer. Et viktig resultat av en slik gjennomgang skal være å sikre at vi bruker nasjonens samlede ressurser effektivt for å ivareta forsvarlig sikkerhet på nasjonalt nivå, som svarer på fremtiden behov og en forventet økning i oppgavemengde.
2. Utgangspunkt i dagens oppgaver delegert til Nasjonal sikkerhetsmyndighet
Nasjonal sikkerhetsmyndighet (NSM) er faglig underlagt Justis- og beredskapsdepartementet (JD) og Forsvarsdepartementet (FD). JD har det administrative etatsstyringsansvaret. NSM har et tverrsektorielt ansvar og oppgaver på flere områder innen forebyggende nasjonal sikkerhet og øvrig digital sikkerhet, både på sivil side og for forsvarssektoren. Også andre statlige virksomheter har viktige roller innen områdene. Med utgangspunkt i oppgavene som i dag ivaretas av NSM, skal utvalget gjøre sine vurderinger. NSM har siden opprettelsen fått tilført nye oppgaver, fått utvidet ansvarsområdet blant annet gjennom et utvidet virkeområde på sikkerhetsloven, fått økte krav og forventninger og har betydelig dybde på enkelte fagområder i form av løpende produksjon. NSM er det nasjonale fagmiljøet for digital sikkerhet i sivil sektor.
3. Har vi en hensiktsmessig organisering av oppgaver, roller og ansvar?
NSMs viktige rolle i arbeidet med nasjonal sikkerhet gjør det nødvendig å foreta en helhetlig gjennomgang av oppgavene som er gitt til direktoratet i dag, samt en vurdering av om oppgavene er hensiktsmessige for å håndtere det fremtidige utfordringsbildet. NSM leverer viktige tjenester for både forsvarssektoren og sivil side, og ivaretar internasjonale krav og forventninger til Norge. Det er viktig at disse behovene også ivaretas i fremtiden. Forsvarssektoren står fremfor en stor økning i budsjetter og NSMs understøttelse i denne styrkingen er viktig. Sivile sektorers betydning for nasjonal sikkerhet er økende, og NSM har en nøkkelrolle i blant annet implementeringen av sikkerhetsloven og koordinerer håndteringen av digitale angrep.
4. Hva er fremtidens hensiktsmessige organisering av oppgaver, roller og ansvar?
Den sikkerhetspolitiske utviklingen, utviklingen i risikobildet med særlig betydning for nasjonal sikkerhet og ivaretagelsen av nasjonale sikkerhetsinteresser skal være førende for vurderingen.
Gitt denne bakgrunnen skal utvalget svare på følgende problemstillinger:
- Etablere en oversikt over NSMs samlede portefølje og oppgaver.
- Er dagens organisering av NSMs oppgaveportefølje hensiktsmessig innrettet?
Herunder om:
- grensesnitt mot andre tilgrensede statlige virksomheter er tilstrekkelig avklart og ressurseffektivt organisert,
- oppgaveporteføljen er hensiktsmessig innrettet med tanke på at den er faglig underlagt både JD og FD.
- departementenes tverrsektorielle behov i arbeidet med nasjonal sikkerhet godt nok ivaretatt
- oppgaveporteføljen er fremtidsrettet, robust og ressurseffektivt innrettet
- Hvordan bør oppgaveporteføljen lagt til NSM være organisert for å være fremtidsrettet, robust og ressurseffektivt innrettet i arbeidet med nasjonal sikkerhet?
5. Premisser og krav for arbeidet:
Gjennomgangen må ta utgangspunkt i sikkerhetslovens kapittel 2 om ansvar og myndighet for forebyggende sikkerhetsarbeid, herunder oppgaver som er beskrevet i tilhørende forskrifter og annet regelverks beskrivelser av oppgavene tillagt sikkerhetsmyndigheten, samt direktoratets hovedinstruks, slik at det vurdere av hvem, og hvordan, disse best kan ivaretas. Det er ikke et mål i seg selv å skille ut oppgaver fra NSM, men der noen av dagens oppgaver dupliseres eller av andre grunner kan utføres av andre på en mer hensiktsmessig og effektiv måte, så bør disse vurderes overført. Utvalget skal konsentrere oppmerksomheten sin om de mest tilgrensede og eventuelt overlappene oppgavene med andre statlige virksomheter. Oppgaver som NSM gjør i dag, og som ikke kan relateres direkte til sikkerhetsloven skal også identifiseres, og vurderes overført til andre myndigheter. Det kan også være oppgaver som utføres av andre virksomheter som kan vurderes overført til NSM der dette vil bidra til å kraftsamle nasjonal innsats på viktige områder. Videre kan det være oppgaver som kan vurderes løst i partnerskap med næringslivet.
6. Arbeidet må videre hensynta at:
- Forslag til løsninger må hensynta at oppgaver, roller og ansvar for cybersikkerhet ivaretas tilstrekkelig,
- Det pågår en prosess for overføring av ansvar for klareringssaker i sivil sektor herunder fagmyndighetsoppgaver, fra NSM til Sivil klareringsmyndighet. Denne prosessen skal fortsette uavhengig av dette arbeidet.
- Det pågår et arbeid ledet av Digitalisering- og forvaltningsdepartementet, sammen med Justis- og beredskapsdepartementet, hvor regjeringen vil kartlegge brukerbehov og erfaringer med dagens organisering av veiledning innen digital sikkerhet. Dette for å vurdere oppgaver, ansvar og organisering, og om en kraftsamling av veiledningsmiljøer vil kunne gi effektiviseringsgevinster (iht Meld. St. 9 (2022–2023) s. 26). Denne prosessen skal fortsette uavhengig av dette arbeidet, og utvalget kan se hen til dette.
- Ivaretar forpliktelsene en nasjonal sikkerhetsmyndighet har overfor andre land og internasjonale organisasjoner, spesielt Norges forpliktelser til NATO må ivaretas i alle forslag til løsninger, samt en vurdering av hva som inngår i kontaktpunktfunksjonen til NATO og hvem som er nærmest til å ivareta denne,
- Gjennomgangen må sikre at behovet for samarbeid med andre land og internasjonale organisasjoner (særlig NATO og EU), med relevans for nasjonal sikkerhet, blir tilstrekkelig ivaretatt.
- Se hen til andre sammenlignbare lands organisering av arbeidet med forebyggende nasjonal sikkerhet,
- Være budsjettnøytral (skal ikke medføre økte drifts- eller investeringsutgifter)
- Synliggjøre eventuelle behov for justeringer i forskriftene til sikkerhetsloven og kgl. res som følge av eventuelle endringer i oppgavefordelingen,
- Arbeidet skal gjennomføres i tråd med utredningsinstruksen og følge veileder for utvalgsarbeid i staten.
Arbeidet gjennomføres av et eksternt utvalg ledet av Svein Gjedrem, med et lite sekretariat. JD og FD inngår i sekretariatsfunksjonen. Det skal legges opp til tett dialog med, og involvering av berørte aktører.
Arbeidet fra ekspertutvalget skal resultere i en ugradert rapport. Eventuelt gradert materiale utarbeides i separat(e) vedlegg. Rapporten skal leveres innen utgangen av mars 2025.
På forespørsel fra utvalget ble fristen endret til 9. april 2025.
Utvalget har hatt følgende sammensetning:
- Svein Gjedrem (leder), tidligere finansråd og sentralbanksjef
- Maria Bartnes, forskningssjef
- Tor-Aksel Busch, tidligere riksadvokat
- Haakon Bruun-Hanssen, tidligere forsvarssjef
Assisterende nasjonal sikkerhetsrådgiver i Sverige, Annika Brändström, var med i utvalget fram til den 30. januar 2025 da hun ble konstituert som nasjonal sikkerhetsrådgiver av den svenske regjeringen og derfor ikke lenger hadde mulighet til å delta. På dette tidspunktet var utvalget kommet så langt i sitt arbeid at det ble vurdert som uhensiktsmessig å anmode om oppnevnelse av et nytt medlem.
Sekretariatet har bestått av Yngvar Tveit (leder), Anders Bjønnes, Bente Lund Michaelsen, Njaal Segaard og Christina Smith-Erichsen.
2.2 Arbeidet i utvalget
2.2.1 Merknader til mandatet
Utvalgets mandat er gjengitt i boks 2.1. Utvalget skal vurdere om NSMs oppgaveportefølje er hensiktsmessig innrettet og hvordan NSM best kan bidra til arbeidet med forebyggende nasjonal sikkerhet. Oppgaveporteføljen skal vurderes blant annet i lys av at NSM er faglig underlagt både Justis- og beredskapsdepartementet og Forsvarsdepartementet.
I gjennomgangen av oppgaveporteføljen skal utvalget ta utgangspunkt i sikkerhetsloven kapittel 2 og vurdere om det er oppgaver som ikke følger direkte av loven som bør overføres til andre myndigheter eller løses i partnerskap med næringslivet. Utvalget skal vurdere om det er oppgaver som bør overføres fra andre til NSM. Grensesnittet mot andre myndigheter er her sentralt.
Norges internasjonale forpliktelser og samarbeid med andre land og organisasjoner må ivaretas. Utvalget skal beskrive hva som inngår i kontaktpunktfunksjonen til NATO og hvem som er nærmest til å ivareta denne oppgaven.
Utvalget skal synliggjøre eventuelle behov for justeringer i forskriftene til sikkerhetsloven som følge av utvalgets forslag. Forslagene skal være budsjettnøytrale.
I utvalgets mandat vises det til at det pågår en prosess for overføring av ansvar for klareringssaker i sivil sektor fra NSM til Sivil klareringsmyndighet, og at denne skal fortsette uavhengig av utvalgets arbeid. Personellsikkerhet er en sentral del av sikkerhetsmyndighetens ansvar etter sikkerhetsloven, og utvalget kan ikke unnlate å komme inn på denne problemstillingen i vurderingene.
I utvalgets mandat står det videre at det pågår et arbeid for å kartlegge brukerbehov og erfaringer med dagens organisering av veiledning innen digital sikkerhet. Denne prosessen skal ifølge mandatet fortsette uavhengig av utvalgets arbeid, og «utvalget kan se hen til dette». Etter det utvalget erfarer har ikke arbeidet med denne kartleggingen kommet ordentlig i gang. Utvalget berører også dette området i våre forslag.
Utvalgets mandat omhandler NSMs oppgaver. Men oppgaver som foreslås tatt ut av NSM, må noen andre overta dersom de ikke skal opphøre. Utvalgets vurderinger kan ikke ses uavhengig av delingen av ansvar mellom departementene i arbeidet med å utvikle bruk av digitale verktøy og kunstig intelligens i det norske samfunn og forebygge risiko.
2.2.2 Utvalgets møter
Utvalget har hatt 15 møter i perioden 15. oktober 2024 til 3. april 2025, hvorav med en rekke aktører med berøringspunkter til NSM. Det var representanter for departementer, direktorater og tilsynsmyndigheter, næringslivsaktører, arbeidslivsorganisasjoner og akademikere som forsker på fagområdet. Utvalget har også møtt direktør for NSM og ledere av de ulike fagavdelingene i NSM.
Justis- og beredskapsdepartementet har det administrative ansvaret for NSM, mens ansvaret for den faglige etatsstyringen er delt mellom Justis- og beredskapsdepartementet og Forsvarsdepartementet. Utvalget har hatt møter med representanter fra begge.
Alle departementene er ansvarlige for forebyggende sikkerhetsarbeid innenfor egen sektor. Utvalget har hatt møter med representanter fra Digitaliserings- og forvaltningsdepartementet, Energidepartementet og Utenriksdepartementet.
NSM er en av Etterretnings-, overvåknings- og sikkerhetstjenestene (EOS-tjenestene). Utvalget har hatt møter med lederne av Etterretningstjenesten og Politiets sikkerhetstjeneste (PST) som utgjør de øvrige EOS-tjenestene ved siden av NSM. Utvalget har også møtt daværende leder av Stortingets Kontrollutvalg for EOS-tjenestene (EOS-utvalget) og direktøren for sekretariatet.
NSM var del av Forsvaret før det ble et eget direktorat i 2003. Forsvaret er fortsatt en stor bruker av NSMs tjenester. Utvalget har møtt Forsvaret ved forsvarssjefen.
Videre har utvalget møtt daværende leder i Politidirektoratet og ledelsen i Kripos. Både NSM og Kripos ved Nasjonalt cyberkrimsenter (NC3) har oppgaver blant annet i håndteringen av digitale hendelser.
NSM har grenseflater til flere andre direktorater og tilsynsmyndigheter i arbeidet med forebyggende sikkerhet. Utvalget har møtt representanter fra Direktoratet for samfunnssikkerhet og beredskap (DSB), Direktoratet for eksportkontroll og sanksjoner (DEKSA), Digitaliseringsdirektoratet (Digdir), Norges vassdrags- og energidirektorat (NVE), Havindustritilsynet (Havtil), Nasjonal kommunikasjonsmyndighet (Nkom) og Finanstilsynet. Alle de ovennevnte myndighetene bortsett fra Finanstilsynet er pekt ut som tilsynsmyndighet for å følge opp sikkerhetsloven. Det er ansvarlig departement som peker ut sektortilsyn etter sikkerhetsloven i egen sektor.
Departementene er også ansvarlige for å peke ut virksomheter som skal underlegges sikkerhetsloven. Dette er virksomheter som har vesentlig betydning for såkalte grunnleggende nasjonale funksjoner eller som har aktiviteter eller råder over informasjon, infrastruktur el. som har avgjørende betydning for nasjonale sikkerhetsinteresser. Utvalget har møtt representanter fra Equinor, Gassco, Telenor Norge og BITS AS. Utvalget har også møtt representanter fra Norges Bank.
Innen digital sikkerhet er både NSM og andre myndigheter og virksomheter avhengige av tjenester fra private sikkerhetsleverandører, både i det forebyggende sikkerhetsarbeidet og ved håndtering av hendelser som oppstår. Utvalget har møtt leder av selskapet mnemonic. Utvalget har også hatt møte med ledelsen av Norwegian Cybersecurity Cluster som er et samarbeidsorgan for norske foretak som tilbyr tjenester innen digital sikkerhet til offentlig og privat næringsliv, akademia og offentlig forvaltning.
Utvalget har videre hatt møter med arbeidslivsrepresentanter både på arbeidsgiver- og arbeidstakersiden. Fra arbeidstakersiden har utvalget møtt fagforeninger i NSM, samt Politiets Fellesforbund og Flygeledernes forening. Fra arbeidsgiversiden har utvalget møtt leder av Næringslivets sikkerhetsråd (NSR).
Fra akademia har utvalget hatt møte med to professorer ved Institutt for sikkerhet, økonomi og planlegging ved Universitetet i Stavanger.
Videre har utvalget møtt med tidligere direktør Frode Forfang som i oppdrag fra Justis- og beredskapsdepartementet utreder oppgavefordelingen innenfor personellsikkerhet.
I vedlegg 3 er representantene fra de ulike institusjonene som utvalget har møtt, listet opp.
2.2.3 Utredningens videre oppbygging
Utvalget beskriver hvordan det forebyggende sikkerhetsarbeidet er organisert og utføres i dag.
I kapittel 3 beskrives NSMs historie, hvor direktoratet kommer fra og hva som var bakgrunnen for opprettelsen i 2003. NSMs historie sammenfaller i stor grad i tid med sikkerhetslovens historie. Gjeldende sikkerhetslov er en lov om nasjonal sikkerhet som omfatter statssikkerhet og delen av samfunnssikkerheten, jf. boks 3.1.
I kapittel 4 omtaler vi NSMs oppgaver i dag. Vi identifiserer hvilke av oppgavene som følger av sikkerhetsloven og hvilke som faller utenfor denne loven.
NSM er administrativt underlagt Justis- og beredskapsdepartementet, men faglig underlagt både Justis- og beredskapsdepartementet og Forsvarsdepartementet. Utvalget har i kapittel 5 beskrevet hvordan styringen av NSM er innrettet og hvordan NSM finansieres.
Videre har utvalget i kapittel 6 omtalt andre statlige myndigheter som har grenseflater mot NSM. Vi beskriver hvordan de er tilgrenset, om oppgavene glir over i hverandre og hvordan arbeidsdelingen er regulert.
I kapittel 7 er Norges internasjonale forpliktelser og hva som inngår i kontaktfunksjonen til NATO beskrevet. Arbeid med forebyggende sikkerhet i utvalgte andre land omtales deretter i kapittel 8. Utvalget har sett nærmere på organiseringen i Sverige, Danmark, Finland, Nederland, USA og Storbritannia.
Utvalgets anbefalinger skal ifølge mandatet ivareta at NSMs oppgaver er «fremtidsrettet, robust og ressurseffektivt innrettet i arbeidet med nasjonal sikkerhet». Utvalget har mottatt en beskrivelse av risikobildet og mulige trusler fremover fra Justis- og beredskapsdepartementet og Forsvarsdepartementet som er gjengitt i kapittel 9.
Utvalgets vurderinger følger så i kapittel 10.