Utvalgte hurtiglenker

    Rapporter, planer og strategier

    Nasjonal sikkerhetsmyndighet – oppgaver og styring

    Til innholdsfortegnelse
    Neste kapittel
    Forrige kapittel

    3 Nasjonal sikkerhetsmyndighet – bakgrunn og historie

    Vi kan skille mellom funksjonen nasjonal sikkerhetsmyndighet og direktoratet Nasjonal sikkerhetsmyndighet. 5 Funksjonen nasjonal sikkerhetsmyndighet fulgte blant annet av NATOs krav overfor medlemslandene om å ha en såkalt National Security Authority (NSA) med ansvar for å ivareta sikkerheten for NATO-gradert informasjon. 6 Denne funksjonen ble tidligere ivaretatt av Forsvarssjefens Sikkerhetsstab ved Forsvarets Overkommando (FO/S). Da direktoratet Nasjonal sikkerhetsmyndighet (NSM) ble opprettet 1. januar 2003, ble denne funksjonen overført til det nye direktoratet.

    Oppgavene som inngår i funksjonen nasjonal sikkerhetsmyndighet, følger av sikkerhetsloven og forskrifter med hjemmel i loven. Direktoratet Nasjonal sikkerhetsmyndighet har i tillegg fått flere andre oppgaver, dels ved etableringen i 2003 og dels senere. Utvalgets mandat har vært å vurdere oppgavene til direktoratet. Når vi i utredningen skriver Nasjonal sikkerhetsmyndighet eller NSM, mener vi derfor direktoratet.

    Dette kapittelet gir et kort overblikk over NSMs historie. 7 I senere kapitler blir ulike sider ved NSM beskrevet mer utdypende.

    3.1 Defensivt sikkerhetsarbeid

    Før andre verdenskrig var det ikke et defensivt forebyggende sikkerhetsarbeid som dekket flere sektorer i Norge. Det begynte først å ta form under andre verdenskrig da Forsvarets ledelse i London utviklet en etterretnings- og sikkerhetstjeneste. Her inngikk også den nasjonale chiffertjenesten, eller dagens kryptotjeneste, som så vidt var startet opp før krigsutbruddet. Det var viktig både å verne mot fiendtlig infiltrasjon fra flyktningestrømmer og å opprettholde diskresjon som deltakere i de alliertes krigsplanlegging.

    Etter krigen ga medlemskapet i NATO i 1949 forpliktelser i det forebyggende sikkerhetsarbeidet, blant annet ved at NATOs hemmeligheter måtte vernes om. Kort tid etter ble det fastsatt en sikkerhetsinstruks for å beskytte sikkerhetsgradert informasjon. Denne var gjeldende for både Forsvaret og enkelte sivile sektorer som det var forventet at skulle støtte Forsvaret i sikkerhetspolitiske konflikter og krig. Slik gjensidig støtte mellom forsvarssektoren og det sivile samfunnet i fred, krise og krig betegnes gjerne som totalforsvaret. 8 Forsvarets sikkerhetsmiljø ble gitt i oppgave å veilede om instruksen og føre tilsyn med at den ble fulgt opp. Det ble også opprettet en egen stilling som sikkerhetsinspektør som skulle følge opp den nye instruksen.

    Sikkerhetsinstruksen ble revidert i 1962. Virkeområdet ble da noe utvidet ved at den ble gjort gjeldende for hele statsforvaltningen. I 1965 ble Forsvarets sentrale sikkerhetsledd og oppgaven med å følge opp sikkerhetsinstruksen plassert i en selvstendig sikkerhetsstab i Forsvarsstaben. Denne staben ble i 1970 en del av Forsvarets overkommando med forkortelsen FO/S.

    Perioden 1965-1990 var en tid preget av faglig og regelverksteknisk utvikling innenfor ulike fagdisipliner. Kjernen i regelverket var sikkerhetsinstruksen med graderingsnivåene BEGRENSET, KONFIDENSIELT, HEMMELIG og STRENGT HEMMELIG. I 1972 ble det i tillegg til sikkerhetsinstruksen formulert en egen beskyttelsesinstruks som ga regler for sikring av informasjon som skulle beskyttes av andre grunner enn de som var dekket av sikkerhetsinstruksen og med graderingene FORTROLIG og STRENGT FORTROLIG. FO/S fulgte opp også denne. Det ble etter hvert gitt supplerende direktiver innen datasikkerhet til støtte for begge instruksene.

    I 1996 ble Forsvarets ansvar for sikkerhetsarbeidet i FO/S vurdert i lys av arbeidet som pågikk med ny sikkerhetslov. Det ble lagt opp til at loven ikke lenger bare skulle handle om å motvirke spionasje gjennom hemmelighold av gradert informasjon på tvers av sektorene, men også legge til rette for å motvirke sabotasje og terrorhandlinger ved å beskytte såkalte skjermingsverdige objekter. Dette ville gi et utvidet nedslagsfelt for loven, særlig på sivil side av samfunnet. Det var også et ønske at kompetansen som var blitt utviklet i FO/S, i større grad kunne komme også andre deler av samfunnet til gode. Dessuten ble det reist prinsipielle motforestillinger mot at forsvarssjefen kunne fortsette å være ansvarlig for tilsynet med sikkerhetsarbeidet da dette i stor grad var å føre tilsyn med sin egen etat. En solid forbindelse til forsvarssektoren var likevel fortsatt viktig for utviklingen av nye sikkerhetsløsninger.

    3.2 Nasjonal sikkerhetsmyndighet opprettes

    Regjeringen Stoltenberg foreslo i 2000 at Nasjonal sikkerhetsmyndighet (NSM) skulle opprettes som et eget direktorat direkte underlagt Forsvarsdepartementet. 9 Det ble blant annet vist til at ansvaret som sikkerhetsloven la til nasjonal sikkerhetsmyndighet, kunne tilsi at funksjonen ble organisert utenfor Forsvarets militære organisasjon. En overføring av ressurser fra sikkerhetsstaben ved Forsvarets overkommando (FO/S) ville «sikre en effektiv styring og en god kontroll med den forebyggende sikkerhetstjeneste». 10

    Forslaget bygget på anbefalinger både fra interne arbeidsgrupper i Forsvarsdepartementet og utredninger fra henholdsvis Forsvarspolitisk utvalg og Sårbarhetsutvalget. 11 Sistnevnte utvalg foreslo også at det burde opprettes et eget departement med ansvar for sikkerhet og beredskap som blant annet skulle ha ansvar for det nye direktoratet.

    Stortingets forsvarskomité ba i sin innstilling regjeringen komme tilbake til saken i den kommende stortingsmeldingen om samfunnssikkerhet. 12

    Regjeringen Bondevik II uttalte i 2002 blant annet følgende til Stortinget: 13

    «Nasjonal sikkerhetsmyndighet skal ha ansvar for forebyggende sikkerhetstjeneste etter sikkerhetsloven i sivil og militær sektor. Det vil sikre en helhetlig tilnærming til sikkerhetsarbeidet på tvers av militær og sivil sektor, og sikre en effektiv utnyttelse av ressursene innenfor forebyggende sikkerhet. Etter regjeringens oppfatning tilsier imidlertid Nasjonal sikkerhetsmyndighets ansvarsområde, særlig innenfor sivil sektor, at Nasjonal sikkerhetsmyndighet organiseres utenfor Forsvarets militære organisasjon. Det anses i den sammenheng som naturlig og hensiktsmessig at Nasjonal sikkerhetsmyndighet etableres som et direktorat rett under et fagdepartement. Regjeringen går inn for at Nasjonal sikkerhetsmyndighet skal opprettes som et eget direktorat administrativt underlagt Forsvarsdepartementet. Videre legges det opp til at Nasjonal sikkerhetsmyndighet skal rapportere (med faglig ansvarslinje) i militær sektor til Forsvarsdepartementet, og til Justisdepartementet i sivil sektor.»

    Flertallet i en sammenslått justis- og forsvarskomite «merket seg at NSM er faglig underlagt Forsvarsdepartementet, men rapporterer til Forsvarsdepartementet i militær sektor og Justisdepartementet i sivil sektor. Flertallet vil påpeke viktigheten av klare kommandolinjer og ansvarsforhold». 14 Mindretallet støttet å opprette direktoratet, men mente at direktoratet administrativt burde legges under Justisdepartementet.

    Regjeringen foreslo på denne bakgrunn å opprette Nasjonal sikkerhetsmyndighet (NSM) som eget direktoratet administrativt underlagt Forsvarsdepartementet fra 1. januar 2003. Direktoratet skulle ha en faglig rapporterings- og ansvarslinje til Justisdepartementet i saker på sivil side av samfunnet. Sikkerhetsstaben (FO/S) ved Forsvarets Overkommando ble samtidig foreslått avviklet: 15

    «Organiseringen av NSM innebærer at FO/S nedlegges, og at hoveddelen av de ressurser som ligger i FO/S i dag overføres til det nye direktoratet. Forsvarets militære organisasjon må imidlertid beholde en egen sikkerhetskompetanse og kapasitet på sentralt nivå, som skal ivareta sikkerhetstjenesten i Forsvaret. Det opprettes derfor en forsvarssjefens sikkerhetsavdeling (FSA). FSA skal være operativ samtidig med opprettelsen av det nye direktoratet.»

    NSM overtok lokalene til FO/S i Kolsås leir, mens Forsvarets sikkerhetsavdeling (FSA) fikk lokaler på Akershus festning. Ansvar for forebyggende sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet ble nedfelt i en egen forskrift. 16 NSM skulle ivareta de utøvende funksjonene for den forebyggende sikkerhetstjenesten på vegne av justisministeren og forsvarsministeren.

    Sikkerhetsloven av 1998 definerte en kjerne for NSMs ansvar og oppgaver. Loven var nokså ny, og NSMs oppgave var å bidra til at den ble fulgt opp. Direktoratet fikk i tillegg også med seg enkelte tilgrensende oppgaver som kunne sies å være av tverrsektoriell karakter, se omtale i kapittel 4. FSA fikk de rent etatsinterne oppgavene som til da hadde ligget i FO/S, herunder å være forsvarssjefens rådgiver og utøvende organ i Forsvarets arbeid med sikkerhet.

    Etter 2001 er sikkerhetsloven blitt endret på avgrensede områder i 2005, 2008 og 2016. I 2018 ble loven revidert fullt ut, blant annet på bakgrunn av anbefalinger fra Sikkerhetsutvalget. 17 Revisjonene av sikkerhetsloven ble i lovproposisjonen begrunnet med blant annet følgende: 18

    «Risiko- og trusselbildet er mer sammensatt enn tidligere, med store teknologiske, demografiske og sikkerhetsmessige endringer. Begrepet samfunnssikkerhet er derfor tatt i bruk og har de siste årene fått stadig større fokus i samfunnsplanleggingen. Samfunnssikkerhet må ses i nær sammenheng med statssikkerhetsbegrepet. Dette har gitt behov for en helhetlig vurdering og nytenkning med hensyn til lovregulering av forebyggende nasjonalt sikkerhetsarbeid.»

    Ny sikkerhetslov skulle legge grunnlag for at «vi har de virkemidlene som er nødvendige for å ivareta nasjonale sikkerhetsinteresser og forebygge mot sikkerhetstruende virksomhet». 19 Lovens virkeområde er å ivareta «nasjonal sikkerhet», som omfatter den tradisjonelle statssikkerheten og den delen av samfunnssikkerhet som er av vesentlig betydning for statens evne til å ivareta nasjonale sikkerhetsinteresser, se avsnitt 3.3 og boks 3.1. Loven trådte i kraft 1. januar 2019.

    Like etter at ny lov trådte i kraft, overførte regjeringen Solberg det administrative ansvaret for NSM fra Forsvarsdepartementet til Justis- og beredskapsdepartementet. Det ble lagt opp til at NSM fortsatt skulle ha en faglig linje til Forsvarsdepartementet, og dette departementet har fortsatt instruksjonsmyndighet i saker som direktoratet arbeider med for forsvarssektoren.

    NSM har også oppgaver utenfor sikkerhetsloven, og disse har økt i omfang over tid. Dette er nærmere omtalt i kapittel 4. Oppgaven med å følge opp beskyttelsesinstruksen falt bort ved etableringen av direktoratet.

    Boks 3.1 Definisjoner av viktige begreper

    Definisjonene er hentet fra sikkerhetsloven og Meld. St. 5 (2020–2021) Samfunnssikkerhet i en usikker verden.

    Nasjonal sikkerhet defineres som statssikkerhet og en avgrenset del av samfunnssikkerhet som er av vesentlig betydning for statens evne til å ivareta nasjonale sikkerhetsinteresser.

    Statssikkerhet er å ivareta statens eksistens, suverenitet, territorielle integritet og politiske handlefrihet.

    Samfunnssikkerhet handler om samfunnets evne til å verne seg mot og håndtere hendelser som truer grunnleggende verdier og funksjoner og setter liv og helse i fare. Slike hendelser kan være utløst av naturen, være et utslag av tekniske eller menneskelige feil eller bevisste handlinger.

    De nasjonale sikkerhetsinteressene er i sikkerhetsloven § 1-5 definert som «landets suverenitet, territorielle integritet og demokratiske styreform og overordnede sikkerhetspolitiske interesser knyttet til

    1. de øverste statsorganers virksomhet, sikkerhet og handlefrihet
    2. forsvar, sikkerhet og beredskap
    3. forholdet til andre stater og internasjonale organisasjoner
    4. økonomisk stabilitet og handlefrihet
    5. samfunnets grunnleggende funksjonalitet og befolkningens grunnleggende sikkerhet».

    Grunnleggende nasjonale funksjoner er i henhold til sikkerhetslovens § 1-5 tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser.

    Skjermingsverdige objekter og infrastruktur er ifølge sikkerhetsloven § 7-1 skjermingsverdige dersom det kan skade grunnleggende nasjonale funksjoner om de får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse, eller kan skade nasjonale sikkerhetsinteresser på annen måte. Følgende klassifiseringsgrader skal benyttes; MEGET KRITISK, KRITISK og VIKTIG.

    Skjermingsverdige informasjonssystemer er ifølge sikkerhetsloven § 6-1 skjermingsverdige dersom de behandler skjermingsverdig informasjon, eller dersom det i seg selv har avgjørende betydning for grunnleggende nasjonale funksjoner eller for nasjonale sikkerhetsinteresser.

    Skjermingsverdige verdier brukes som en samlebetegnelse på skjermingsverdige objekter, infrastruktur og eller informasjonssystemer.

    Informasjon er ifølge sikkerhetsloven § 5-1 skjermingsverdig dersom det kan skade nasjonale sikkerhetsinteresser hvis informasjon blir kjent for uvedkommende, går tapt, blir endret eller blir utilgjengelig.

    Informasjon er ifølge sikkerhetsloven § 5-3 sikkerhetsgradert dersom det kan skade nasjonale sikkerhetsinteresser om den blir kjent for uvedkommende. Følgende sikkerhetsgrader skal benyttes: STRENGT HEMMELIG, HEMMELIG, KONFIDENSIELT og BEGRENSET.

    Kritiske samfunnsfunksjoner er funksjoner som er nødvendige for å ivareta befolkningens og samfunnets grunnleggende behov og befolkningens trygghetsfølelse. Grunnleggende behov er definert som «mat, vann, varme, trygghet og lignende». Kritiske samfunnsfunksjoner konkretiseres i såkalte «kapabiliteter».

    Kapabilitet med tilhørende definert funksjonsevne uttrykker hvilke tjenester og leveranser som må opprettholdes for at grunnleggende behov skal være ivaretatt.

    Kritisk infrastruktur er anlegg og systemer som er nødvendige for å opprettholde kritiske samfunnsfunksjoner.

    Sikkerhetstruende virksomhet er i sikkerhetslovens § 1-5 definert som tilsiktede handlinger som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser.

    Forebyggende sikkerhetsarbeid er i henhold til sikkerhetslovens § 1-5 å planlegge, tilrettelegge, gjennomføre og kontrollere forebyggende tiltak mot sikkerhetstruende virksomhet og følger av slik virksomhet.

    3.3 Sikkerhetsloven 2018 og begrepet nasjonal sikkerhet

    Sikkerhetsloven 1998 omhandlet i hovedsak statssikkerhet, det vil si beskyttelse av rikets selvstendighet og sikkerhet. I lovproposisjonen til gjeldende sikkerhetslov er det vist til at endringene i samfunnet siden 1998 har gjort det stadig vanskeligere å trekke en klar grense mellom statssikkerhet og samfunnssikkerhet. 20 Blant annet bidrar såkalte hybride trusler til at det er vanskelig å spore og dokumentere hvilke aktører som står bak et angrep. I tillegg er det vist til at grenselinjene mellom stats- og samfunnssikkerhet viskes ut i takt med at virksomhetene i de ulike samfunnssektorene er blitt mer og mer avhengige av hverandre. Videre står det i lovproposisjonen:

    «Som en konsekvens av disse forholdene er det etter departementets vurdering nødvendig å tilpasse lovens nedslagsfelt til den virkeligheten vi befinner oss i. I lovproposisjonen foreslås det derfor at lovens formål bør være å trygge nasjonale sikkerhetsinteresser . Dette vil i praksis innebære en utvidelse av lovens formål til å gjelde mer enn bare statssikkerhet i snever forstand. Samtidig vil departementet understreke at loven ikke skal være en bred samfunnssikkerhetslov.»

    Det understrekes i proposisjonen at lovendringene «innebærer en begrenset utvidelse av lovens virkeområde». Sikkerhetslovens formål er etter § 1-1 å «å trygge Norges suverenitet, territorielle integritet og demokratiske styreform og andre nasjonale sikkerhetsinteresser» og å «forebygge, avdekke og motvirke sikkerhetstruende virksomhet […]».

    De tre sikkerhetsinteressene «Norges suverenitet, territorielle integritet og demokratiske styreform» utgjør ifølge lovproposisjonen ikke en uttømmende liste, og ved å innføre begrepet «nasjonale sikkerhetsinteresser» mente departementet å gjøre dette tydeligere.

    Disse kategoriene er så i lovens § 1-5 delt inn i fem underkategorier, der punktene a. – c. ifølge departementet faller innenfor begrepet «statssikkerhet»:

    1. de øverste statsorganers virksomhet, sikkerhet og handlefrihet
    2. forsvar, sikkerhet og beredskap
    3. forholdet til andre stater og internasjonale organisasjoner
    4. økonomisk stabilitet og handlefrihet
    5. samfunnets grunnleggende funksjonalitet og befolkningens grunnleggende sikkerhet

    Departementet understreket at totalforsvaret er grunnleggende for «nasjonens evne til militær respons» og at Forsvaret er «direkte avhengig av sivile innsatsfaktorer som elektronisk kommunikasjon (ekom), kraftforsyning, transport, drivstofforsyning, helse og tilførsel av vann og mat». Til § 1-5 punkt 1 bokstav e står det blant annet i proposisjonen:

    «Sikkerhetsloven skal trygge nasjonale sikkerhetsinteresser, mens det er andre lover som skal sikre den sivile samfunnssikkerheten. Etter departementets vurdering vil det likevel også være behov for å omfatte infrastruktur og tjenester som anses som avgjørende for at sivilsamfunnet skal kunne fungere på en slik måte at øvrige nasjonale sikkerhetsinteresser kan ivaretas. Særlig vil dette kunne gjelde infrastruktur og tjenester som ikke anses å understøtte Forsvaret direkte, jf. bokstav b, men som likevel er viktig for nasjonens samlede beredskap og forsvarsevne. […]»

    Loven gjelder i henhold til sikkerhetsloven § 1-3 for statlige, fylkeskommunale og kommunale organer, leverandører av sikkerhetsgraderte anskaffelser og virksomheter som har vesentlig betydning for grunnleggende nasjonale funksjoner, eller har aktiviteter eller råder over informasjon, infrastruktur el. som har avgjørende betydning for nasjonale sikkerhetsinteresser. Grunnleggende nasjonale funksjoner er i sikkerhetsloven § 1-5 punkt 2 definert som «tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser».

    Det er de enkelte departementene som er ansvarlige for forebyggende sikkerhetsarbeid innenfor sine ansvarsområder. Departementene skal identifisere hva som er grunnleggende nasjonale funksjoner (GNF) og hvilke virksomheter som har vesentlig betydning for slike funksjoner. Det er videre departementenes oppgave å fatte vedtak etter sikkerhetsloven § 1-3 om hvilke virksomheter som skal underlegges sikkerhetsloven. Lovens virkeområde er på denne måten «ment å kunne utøves fleksibelt og dynamisk».

    Sikkerhetsloven ble i 2023 endret på enkelte punkter. 21 Lovens virkeområde ble utvidet slik at også virksomheter som er av avgjørende betydning for nasjonale sikkerhetsinteresser skal underlegges hele eller deler av loven, selv om virksomheten ikke understøtter en grunnleggende nasjonal funksjon. Utvidelsen var ifølge lovproposisjonen ment å fange opp «de unntaksvise tilfellene der en virksomhet driver en aktivitet eller råder over verdier som har avgjørende betydning for nasjonale sikkerhetsinteresser, men ikke direkte understøtter en identifisert grunnleggende nasjonal funksjon.» 22 Som eksempler vises det til virksomheter som har rettigheter til eller arbeider med forskning og utvikling innen områder som kan utnyttes til sikkerhetstruende virksomhet av fremmede stater, som for eksempel kunstig intelligens eller avansert overvåkningsteknologi.

    Figur 3.1 er hentet fra forarbeidene til sikkerhetsloven og skal illustrere at nasjonal sikkerhet omfatter statssikkerhet og deler av samfunnssikkerheten. Figuren skal videre illustrerer hvorvidt utvalgte sentrale nasjonale funksjoner og interesser understøtter statssikkerhet eller samfunnssikkerhet. Det understrekes i proposisjonen at det er krevende å plassere de enkelte funksjonene og at de fleste vil kunne berøre både stats- og samfunnssikkerheten.

    Figur 3.1 Nasjonal sikkerhet, statssikkerhet og samfunnssikkerhet

    Kilde: Prop. 153 L (2016–2017) Lov om nasjonal sikkerhet (sikkerhetsloven), Figur 6.2, side 38.

    Figuren er en forenkling, men kan bidra til forståelse dersom den tolkes med varsomhet. Figuren kan trolig raffineres ved for eksempel å inkludere «virksomheters sikkerhet» i tillegg til «individets sikkerhet» som en kategori. Videre kan det alltid stilles spørsmål ved om det bør tas med flere kategorier eller om plasseringene av dem. Noen vil kunne mene at bank og finans burde strekke seg like langt inn i statssikkerhet som transport, mens andre vil kunne mene at kultur og miljø har fått for liten betydning. Dette bildet vil være å forvente at endres da arbeidet med å identifisere de grunnleggende nasjonale funksjoner har kommet lenger og at det senere er gjort endringer i definisjonen av hva som skal til for å kunne utpekes som skjermingsverdig.

    Boks 3.2 Begreper om sikkerhet

    Det finnes mange begreper om sikkerhet. Begrepene kan med sikkerhetsloven som utgangspunkt inndeles i ulike kategorier.

    Den første kategorien er begreper utledet av hvilke verdier som skal sikres. Innen rammen av sikkerhetsloven snakker vi da om informasjonssikkerhet, informasjonssystemsikkerhet og objekt- og infrastruktursikkerhet.

    Den andre kategorien er begreper utledet av hvilke sårbarheter som skal reduseres gjennom tiltak. Her er ikke sikkerhetsloven like dekkende, og flere av begrepene stammer fra fagmiljøenes tradisjonelle bruk. Dette kan være fysisk sikkerhet, personellsikkerhet, sikkerhetsstyring eller organisatorisk sikkerhet, og digital sikkerhet. Digital sikkerhet kan igjen være delt i systemsikkerhet, kommunikasjonssikkerhet, kryptosikkerhet, avlyttingssikkerhet og strålingssikkerhet (TEMPEST). Innen sikkerhetsstyring har vi dokumentsikkerhet, administrativ kryptosikkerhet og eierskapssikkerhet.

    De enkelte områdene i denne andre kategorien kan gå litt over i hverandre. Avlyttingssikkerhet kan for eksempel ha en digital dimensjon, men også en fysisk dimensjon. Begreper kan også endre seg over tid. Digital sikkerhet har gjennom årene hatt mange betegnelser: EDB-sikkerhet, Datasikkerhet, IT-sikkerhet og IKT-sikkerhet. Vi har også begreper som er sammensatt av engelsk og norsk, som for eksempel cybersikkerhet. Det brukes som synonym til digital sikkerhet.

    I tillegg til disse to hovedkategoriene kommer en tredje litt løseligere forankret kategori som omfatter samlebegreper som ikke lar seg innpasse i de to ovenfor. Det gjelder for eksempel industrisikkerhet som i sikkerhetsloven er omtalt som sikkerhetsgraderte anskaffelser. Det handler om tiltak for å redusere sårbarheter ved oppdrag til private som får tilgang til skjermingsverdige verdier. Kategorien omfatter personellsikkerhet, eierskapssikkerhet, fysisk sikkerhet, dokumentsikkerhet mv. Et annet eksempel er romsikkerhet. Begrepet betegner alt sikkerhetsarbeid som brukes for å ivareta sikkerheten i romrelatert virksomhet.

    Boks 3.3 Om offensivt og defensivt sikkerhetsarbeid

    NSMs oppdrag er på nasjonalt nivå å legge forholdene til rette og følge opp arbeidet med «defensiv forebyggende sikkerhet». Defensiv sikkerhet i henhold til sikkerhetsloven er å beskytte nasjonale sikkerhetsinteresser mot tilsiktede ondsinnede handlinger. Loven definerer ikke hva slike handlinger kan være, men tradisjonelt inkluderes spionasje, sabotasje, terrorhandlinger og undergraving. Slike handlinger inngår i det som gjerne betegnes som «sammensatte trusler» eller «hybride virkemidler». Under den kalde krigen ble slike trusler omtalt som «den skjulte krigen» eller «krigen i fredstid». Dette er trusler som kan gå forut for, eller gli over i, krigshandlinger. Handlinger innen disse kategoriene kan også være straffbare. Fellesnevner for sikkerhetstruslene er at de gjennom hemmelighold søker å overraske eller helt unngå å bli oppdaget.

    Arbeidet med defensiv, forebyggende sikkerhet går ut på å identifisere hva som kan være mulige mål for trusselaktører. Deretter må det vurderes hvor stor skade trusselen kan medføre dersom et angrep er vellykket eller vi ikke lenger har kontroll over disse målene. Når målene er identifisert og vurdert, må det bygges barrierer for å forhindre anslag, men også motvirke at vi gjennom ulike sårbarheter svikter fra innsiden. Det må også etableres mekanismer for å kunne avdekke og håndtere mistenkelige hendelser. Styrken i tiltakene må vurderes i lys av trussel- og sårbarhetsbildet.

    Begrepet «grunnleggende nasjonale funksjoner (GNF)» kom inn i sikkerhetsloven av 2018. 23 Disse funksjonene skal hjelpe til med å identifisere hva som kan tenkes å være mål for trusselaktører, altså «skjermingsverdige verdier». Slike verdier kan i henhold til en endring i sikkerhetsloven i 2023 også utledes direkte fra hva som vurderes som nasjonale sikkerhetsinteresser uten å gå veien om de grunnleggende nasjonale funksjonene. Tiltakene grupperes i fagområdene fysisk sikkerhet, personellsikkerhet, digital sikkerhet og sikkerhetsstyring.

    Det defensive, forebyggende sikkerhetsarbeidet virker sammen med det offensive sikkerhetsarbeidet. Offensivt sikkerhetsarbeid er å drive etterretning for å identifisere og innhente informasjon om trusselaktører for å oppdage og avskjære trusselaktiviteter. Dette omtales gjerne som kontraetterretning og kan deles opp i kontraspionasje, kontrasabotasje, kontraterror og kontrasubversjon. I Norge er det Politiets sikkerhetstjeneste (PST) som driver det offensive sikkerhetsarbeidet etter særskilte fullmakter.

    Det er virksomhetene selv som etter sikkerhetsloven er ansvarlige for å gjennomføre de forebyggende, defensive sikkerhetstiltakene som må til for å gi et forsvarlig sikkerhetsnivå. Et forsvarlig sikkerhetsnivå innebærer grunnsikring i en normalsituasjon og at sikkerheten styrkes dersom trusselnivået øker.

    Et slikt fleksibelt system for egenbeskyttelse er beskrevet i Nasjonalt beredskapssystem (NBS). 24 I tillegg bidrar politiet og Forsvaret med å sikre objekter og nøkkelpunkter i bestemte situasjoner.

    De enkelte departementene er etter sikkerhetsloven ansvarlige for forebyggende, defensiv sikkerhet i egen sektor. Justis- og beredskapsdepartementet har det overordnede ansvaret for det forebyggende sikkerhetsarbeidet i sivil sektor, og, mens Forsvarsdepartementet har et tilsvarende ansvar for forsvarssektoren. 25 NSM ble opprettet i 2003 for å ivareta de utøvende funksjoner for de to statsrådene. 26

    Det må være et godt samspill mellom det defensive og offensive sikkerhetsarbeidet. Forebyggende, defensiv sikkerhet må bygge på et best mulig etterretningsgrunnlag om trusselaktørene, deres kapasiteter, intensjoner og modus operandi. Også Etterretningstjenesten er viktig for det defensive sikkerhetsarbeidet. Dersom trusselnivået øker eller aktørenes modus operandi endres, må de som arbeider med den defensive sikkerheten varsles slik at tiltakene kan justeres. Tilsvarende bør de som arbeider med offensiv sikkerhet, holdes orientert om hvor de mulige målene er og hvilken verdi disse er vurdert å ha. I tillegg er det viktig raskt å orientere PST om mistenkelige hendelser siden de kan være et resultat av trusselaktørers virksomhet.

    Så vel det offensive som defensive sikkerhetsarbeidet vil ha nytte av en opplyst og årvåken befolkning. Det er derfor viktig med klar kommunikasjon om trussel- og risikobildet og med en godt forståelig og ensartet begrepsbruk.

    Fotnoter

    5  Prop. 153 L (2016–2017) Lov om nasjonal sikkerhet (sikkerhetsloven), side 166.
    6  NATO Security Policy C-M, (2002) 49. Dette er beskrevet i blant annet NOU 2016: 19 Samhandling for sikkerhet — Beskyttelse av grunnleggende samfunnsfunksjoner i en omskiftelig tid, side 138–140.
    7  Historien før opprettelsen i 2003 er beskrevet i doktoravhandlingen til Hans Morten Synstnes fra 2015 «Den innerste sirkel. Den militære sikkerhetstjenesten 1945–2002». Denne ble utgitt som bok med samme tittel året etter.
    8  Prop. 87 S (2023–2024) Forsvarsløftet – for Norges trygghet. Langtidsplan for forsvarssektoren 2025–2036, side 48.
    9  St.prp. nr. 45 (2000–2001) Omleggingen av Forsvaret i perioden 2002–2005 , side 172–173.
    10  Ibid, side 173.
    11  NOU 2000: 20 Et nytt forsvar og NOU 2000: 24 Et sårbart samfunn.
    12  Innst. S. nr. 342 (2000–2001), side 60.
    13  St.meld. nr. 17 (2001–2002) Samfunnssikkerhet – Veien til et mindre sårbart samfunn, side 103.
    14  Innst. S nr. 9 (2002–2003), side 44.
    15  St.prp. nr. 1 (2002–2003) for budsjettåret 2003 under Forsvarsdepartementet, side 30 og Innst. S. nr. 7 (2002–2003), side 20.
    16  Kronprinsregentens resolusjon 4. juli 2003 nr. 900, Fordeling av ansvar for forebyggende sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet.
    17  NOU 2016: 19 Samhandling for sikkerhet.
    18  Prop. 153 L (2016–2017) Lov om nasjonal sikkerhet (sikkerhetsloven), side 10.
    19  Ibid, side 10.
    20  Prop. 153 L (2016–2017) Lov om nasjonal sikkerhet (sikkerhetsloven), side 32 og 33.
    21  Prop. 95 L (2022–2023) Endringer i sikkerhetsloven (eierskapskontroll og lovens virkeområde).
    22  Ibid., side 32 og 58.
    23  Prop. 153 L (2016–2017) Lov om nasjonal sikkerhet (sikkerhetsloven), side 7–8 og 32–39.
    24  Nasjonalt beredskapssystem (NBS) består av Sivilt beredskapssystem (SBS) og Beredskapssystem for forsvarssektoren (BFF). NBS er et redskap for politisk styring og forankring av krisehåndtering. Innholdet i NBS er sikkerhetsgradert.
    25  Jf. kgl.res 20. desember 2018 Ikraftsetting av lov 1. juni nr. 24 om nasjonal sikkerhet med overgangsregler, fordeling av myndighet, videreføring av forskrifter m.m, pkt.3, fremmet av Forsvarsdepartementet.
    26  Jf. kronprinsreg.res. 4. juli 2003 Fordeling av ansvar for forebyggende sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet, fremmet av Forsvarsdepartementet. Er opphevet ved ovennevnte res. av 20. desember 2018.
    Neste kapittel
    Forrige kapittel
    Neste kapittel
    Forrige kapittel
    Til forsiden
    Til toppen