4 Nasjonal sikkerhetsmyndighets oppgaver
I mandatet er utvalget bedt om å gi en oversikt over Nasjonal sikkerhetsmyndighets (NSMs) samlede portefølje av oppgaver. Utvalget skal videre, med «utgangspunkt i sikkerhetslovens kapittel 2 om ansvar og myndighet for forebyggende sikkerhetsarbeid», vurdere «om porteføljen er hensiktsmessig innrettet». Deretter skal utvalget vurdere om det er oppgaver «som ikke kan relateres direkte til sikkerhetsloven», som bør overføres til andre myndigheter.
NSM er gitt mange oppgaver med utgangspunkt i flere forskjellige hjemmelsgrunnlag, både etter sikkerhetsloven og enkelte andre lover. I sikkerhetsloven brukes betegnelsen sikkerhetsmyndigheten og ikke Nasjonal sikkerhetsmyndighet eller NSM. I lovproposisjonen står det i merknaden til § 2-2: 27
«Bestemmelsen angir sikkerhetsmyndighetens ansvar og myndighet etter loven. I praksis vil funksjonen som sikkerhetsmyndighet ivaretas av den aktøren som blir tildelt myndigheten fra ansvarlig fagdepartement. Ansvaret som tillegges sikkerhetsmyndigheten, er i dag lagt til Nasjonal sikkerhetsmyndighet (NSM). Forslaget innebærer ingen endring av dette.»
Regjeringen har presisert NSMs oppgaver i forskrifter. I forskriftene til sikkerhetsloven brukes gjennomgående benevnelsen «Nasjonal sikkerhetsmyndighet» eller «NSM».
I det videre legger vi i tråd med dette til grunn at oppgaver som i loven er gitt til sikkerhetsmyndigheten, skal håndteres av NSM.
Justis- og beredskapsdepartementet og Forsvarsdepartementet har i en hovedinstruks til NSM gjentatt flere av disse oppgavene og dessuten lagt til flere. 28 Flere av oppgavene i instruksen er oppgaver som ble overført fra daværende Forsvarets sikkerhetstjeneste (FO/S) da NSM ble opprettet i 2003, se omtale i kapittel 3. I tillegg har Justis- og beredskapsdepartementet og Forsvarsdepartementet pålagt NSM ulike oppgaver gjennom iverksettingsbrev, i tildelingsbrev og supplerende tildelingsbrev. Enkelte av oppgavene er omtalt i hovedinstruksen, andre er det ikke.
Det er altså blitt lagt til flere nye oppgaver i porteføljen til NSM i årenes løp, men uten at det er tatt oppgaver ut. NSMs oppgaveportefølje ble ytterligere utvidet så sent som i 2024, da ansvaret for Norsk senter for informasjonssikring (NorSIS) og oppgaver fra det tidligere interkommunale selskapet Kommune-CSIRT ble overført til NSM. 29 Videre er NSM tiltenkt flere nye oppgaver i ny forskrift til digitalsikkerhetsloven som etter planen skal tre i kraft i løpet av 2025. 30 NSMs portefølje av oppgaver kan også bli endret i den nye loven om grunnsikring av virksomheter som ble varslet i Totalberedskapsmeldingen regjeringen la fram i januar 2025.
Alle oppgavene til NSM omhandler forebyggende defensiv sikkerhet, se boks 3.3. I dette kapittelet har utvalget forsøkt å identifisere hvilke oppgaver som er sentrale i NSMs virksomhet, og omtalt bakgrunnen for hvorfor de er lagt til direktoratet. Vi belyser deretter i hvilken grad andre aktører arbeider sammen eller parallelt med NSM for å løse dem. Se også omtale i kapittel 6 om andre myndigheter med grenseflater mot direktoratet. Utvalgets vurderinger av NSMs oppgaver følger i kapittel 10.
Figur 4.1 NSMs oppgaver og hjemmelsgrunnlag 1)
1) Figuren er ment å illustrere at NSM har oppgaver med ulike hjemmelsgrunnlag. Instruksen favner mange av disse, men ikke alle. Oppgaveporteføljen består av en god del oppgaver som ikke følger direkte av sikkerhetsloven. Figuren er en forenkling og gir ikke et uttømmende bilde.
4.1 NSMs oppgaver etter kapittel 2 i sikkerhetsloven
Ifølge utvalgets mandat er oppgavene som NSM har etter sikkerhetsloven, og særlig de som følger av kapittel 2 i loven, viktige i NSMs virksomhet. NSM skal blant annet føre tilsyn, dele informasjon, veilede, drifte digital deteksjon og bistå ved digitale hendelser. I dette avsnittet beskriver vi disse oppgavene.
4.1.1 § 2-2 NSMs ansvar for forebyggende sikkerhetsarbeid
Paragraf 2-2 har overskriften «Sikkerhetsmyndighetens ansvar for forebyggende sikkerhetsarbeid». Dette er dermed en særlig sentral bestemmelse for NSM. Paragrafen lyder:
Ǥ 2-2. Sikkerhetsmyndighetens ansvar for forebyggende sikkerhetsarbeid
Sikkerhetsmyndigheten har det sektorovergripende ansvaret for at forebyggende sikkerhetsarbeid i virksomhetene utføres i samsvar med loven.
Sikkerhetsmyndigheten har det overordnede ansvaret for at sikkerhetstilstanden i alle sektorer kontrolleres, og skal se til at virksomhetene oppfyller sine plikter etter loven. Sikkerhetsmyndigheten skal blant annet
- a. se til at det føres tilsyn med at virksomheter oppfyller krav til forebyggende sikkerhetsarbeid
- b. utarbeide og vedlikeholde grunnleggende kriterier for tilsyn
- c. innhente og vurdere informasjon som har betydning for forebyggende sikkerhetsarbeid
- d. gi informasjon, råd og veiledning om forebyggende sikkerhetsarbeid og krav til tiltak
- e. holde oversikt over de funksjonene og virksomhetene departementene har identifisert etter § 2-1
- f. holde oversikt over virksomheter som det er fattet vedtak om etter § 1-3
- g. legge til rette for informasjonsdeling etter § 2-3
- h. bidra til å utvikle sikkerhetstiltak og fastsette krav til forebyggende sikkerhetsarbeid
- i. holde oversikt over eiendommer av sikkerhetsmessig betydning som det er sendt varsel om etter § 7-6 andre ledd.
Sikkerhetsmyndigheten er nasjonal fagmyndighet overfor andre land og internasjonale organisasjoner.
Så langt det er nødvendig for å gjennomføre oppgavene i eller i medhold av loven, skal sikkerhetsmyndigheten gis uhindret adgang til skjermingsverdig informasjon, informasjonssystem, objekt eller infrastruktur.
Kongen kan gi forskrift om sikkerhetsmyndighetens ansvar for forebyggende sikkerhetsarbeid.»
Loven gir altså NSM det «sektorovergripende ansvaret» for at forebyggende sikkerhetsarbeid i virksomhetene utføres i samsvar med loven. NSM har videre «det overordnede ansvaret for at sikkerhetstilstanden i alle sektorer kontrolleres», og NSM skal se til at virksomhetene oppfyller sine plikter etter loven. Sikkerhetsloven omfatter etter § 1-2 statlige, fylkeskommunale og kommunale organer, samt private leverandører av varer eller tjenester i forbindelse med sikkerhetsgraderte anskaffelser etter lovens kapittel 9. Den omfatter også andre virksomheter som det er fattet vedtak om etter § 1-3. Særbestemmelser om Stortinget, Stortingets organer, domstolene og regjeringens medlemmer følger av § 1-4.
Ifølge forarbeidene til loven menes det med sektorovergripende ansvar «i første rekke ansvaret for at forebyggende sikkerhetsarbeid etter loven har en helhetlig tilnærming, og at sikkerhetsarbeidet mellom ulike departementer og ulike relevante sektormyndigheter blir koordinert.» 31 NSMs ansvar griper «ikke inn i de enkelte departementenes ansvar innen eget myndighetsområde».
NSMs tilsynsvirksomhet (§ 2-2 … bokstav a og b)
Tilsyn er en del av arbeidet med forebyggende sikkerhet. NSMs tilsynsoppgaver er gitt dels i sikkerhetsloven § 2-2 og dels i kapittel 3. I tillegg er også oppgaver for tilsynsmyndigheten omtalt andre steder i loven og forskrifter. Etter bokstav a skal NSM «se til at det føres tilsyn med at virksomhetene oppfyller de krav som stilles til forebyggende sikkerhetsarbeid.» Kapittel 3 sier i større grad hva NSM selv skal gjøre for å utføre tilsynet. Det er dessuten stilt nærmere krav til NSMs tilsynsvirksomhet i forskrift om virksomheters arbeid med forebyggende sikkerhet kapittel 14, og i forskrift om kryptosikkerhet § 2.
Etter sikkerhetsloven § 3-1 kan ansvarlig departement beslutte at sektortilsyn på departementets fagområde også kan føre tilsyn etter sikkerhetsloven. Etter forarbeidene skal det før slik beslutning fattes «… foretas en helhetsvurdering i samarbeid med sikkerhetsmyndigheten, hvor det skal vurderes om den aktuelle myndigheten har nødvendig sikkerhetsfaglig kompetanse, eller kan opparbeide seg slik kompetanse uten uforholdsmessig høye utgifter …». 32 Det er i dag fem sektortilsyn som er utpekt: Nasjonal kommunikasjonsmyndighet, Norges vassdrags- og energidirektoratet, Havindustritilsynet, Luftfartstilsynet og Jernbanetilsynet. Der det er sektortilsyn, fører som hovedregel ikke NSM tilsyn direkte med virksomheter underlagt sikkerhetsloven, men med at sektortilsynene fører et tilfredsstillende tilsyn med virksomhetene. Sektortilsynene skal rapportere til NSM. I sektorer der det ikke er sektortilsyn med tilsynsansvar etter sikkerhetsloven, fører NSM tilsyn med virksomheter som er underlagt sikkerhetsloven. Benevnelsen «tilsynsmyndighet» viser dermed både i sikkerhetsloven og tilhørende forskrifter enten til NSM eller til sektortilsyn der slike er utpekt. Sektortilsynenes virksomhet er nærmere omtalt i kapittel 6.
Når sikkerhetsmyndigheten etter § 2-2 bokstav b skal «utarbeide og vedlikeholde grunnleggende kriterier for tilsyn», legges det ifølge lovforarbeidene til rette for en nasjonal enhetlig sektorovergripende tilnærming til tilsyn innen forebyggende sikkerhetsarbeid. 33 Dette presiseres i lovens § 3-2 der sikkerhetsmyndigheten også pålegges å legge til rette for felles opplæring av tilsynspersonell.
NSM eller sektortilsynet fører blant annet tilsyn med virksomhetenes beskyttelse av skjermingsverdig informasjon, informasjonssystemer, objekter eller infrastruktur. Etter § 88 i forskrift om virksomheters arbeid med forebyggende sikkerhet fører NSM også tilsyn med leverandører til sikkerhetsgraderte anskaffelser når leverandøren har lokaler innenfor norsk jurisdiksjon, med mindre annet er avtalt med et sektortilsyn.
Selv i sektorer med egne sektortilsyn etter sikkerhetsloven skal sikkerhetsmyndigheten etter sikkerhetsloven § 3-1 føre tilsyn med virksomhetene «dersom det følger av internasjonale forpliktelser eller er tvingende nødvendig». NSM skal i henhold til samme paragraf «føre tilsyn med departementene og myndigheter med tilsynsansvar etter andre ledd». Det er også i forskrift om kryptosikkerhet § 2 lagt til NSM alene å se til at de krav som følger av forskriften, oppfylles. NSM fører også tilsyn med de myndighetene i forvaltningen som klarerer personell i første instans.
NSMs samlede tilsynsvirksomhet drives fra en egen avdeling, Kontrollavdelingen. Kompetansen i øvrige avdelinger kan bli trukket inn i arbeidet. Det utarbeides årlige tilsynsplaner for arbeidet, men disse vil kunne fravikes ved behov. Dersom det oppstår sikkerhetstruende hendelser, vil NSM som del av håndteringen kunne iverksette tilsynssak.
Tilsynsmyndighetene avgir sine tilsynsrapporter til virksomheten som er gjenstand for tilsyn. Sektortilsyn skal etter § 91 i forskrift om virksomheters arbeid med forebyggende sikkerhet i tillegg sende sine rapporter til NSM. NSM kan gjøre tilsynsrapporter tilgjengelige for Politiets sikkerhetstjeneste (PST).
Resultatene fra tilsyn med flere ulike virksomheter omtales i såkalte kontrollmeldinger. Meldingene omhandler ulike tema og kan skrives i samarbeid mellom NSM og ett eller flere sektortilsyn. Meldingene sendes til relevante departementer, og de kan også gis en videre distribusjon.
NSM skal innhente og vurdere informasjon for sikkerhetsarbeidet (§ 2-2 … bokstav c)
NSM har plikt til å hente inn og vurdere informasjon som har betydning for det forebyggende sikkerhetsarbeidet. NSM vurderer i denne sammenhengen hvilken betydning ny informasjon har for nasjonale sikkerhetsinteresser, risikobildet og sikkerhetstilstanden i dag og i fremtiden for utpekte og klassifiserte skjermingsverdige verdier. Slik innhenting og vurdering av informasjon har som formål å forbedre sikkerhetstilstanden på kort og lang sikt. Informasjon om trusselbildet fra Etterretningstjenesten og PST er viktig, men også annen informasjon som kan belyse verdi-, sårbarhets- og tiltaksvurderinger fra et bredt spekter av kilder.
Bestemmelsen må ses i sammenheng med virksomheters varslingsplikt etter sikkerhetsloven § 4-5. I henhold til § 4-5 skal virksomheter varsle sikkerhetsmyndigheten og andre myndigheter som utfører tilsyn, dersom de har blitt rammet av sikkerhetstruende virksomhet eller de får kunnskap om planer eller aktiviteter som kan gi risiko for at nasjonale sikkerhetsinteresser blir truet. Virksomheter har varslingsplikt og plikt til å melde inn opplysninger til NSM også etter flere andre bestemmelser i sikkerhetsloven og i forskrifter fastsatt med hjemmel i denne.
Innhenting og vurdering av informasjon er et løpende arbeid som gjøres innen alle fagområdene til NSM. Mange av NSMs avdelinger og medarbeidere bidrar derfor i arbeidet, blant annet analysepersonell i fagavdelingene og de som arbeider med teknisk kontroll, tilsyn og rådgiving. NSM har en egen analyseenhet og et situasjonssenter som bidrar i dette arbeidet.
NSM skal gi informasjon, råd og veiledning og legge til rette for informasjonsdeling (§ 2-2 … bokstav d og g)
Med sikkerhetsloven av 2018 ble detaljerte regler om tiltak i stor grad erstattet med funksjonelle krav. Regelverket sier ikke alltid hvilke sikkerhetstiltak en virksomhet skal etablere, men at virksomhetene selv skal vurdere risiko og sette i verk tiltak som gir et forsvarlig sikkerhetsnivå. Lovens formål ble endret blant annet for å legge bedre til rette for beskyttelse mot såkalte hybride eller sammensatte trusler og gi mer fleksibilitet til sektorer og virksomheter.
Det ble samtidig lovfestet i § 2-3 at NSM skulle legge til rette for deling av informasjon som er nødvendig for virksomhetenes forebyggende sikkerhetsarbeid. Dette kom i tillegg til NSMs plikt til å gi informasjon, råd og veiledning.
I lovproposisjonen uttrykkes det en forventning om at NSM skal ha en aktiv rolle med å gi råd til virksomhetene, men at det av ressursmessige og praktiske grunner forutsettes «at slik rådgivning fortrinnsvis gis gjennom generelle veiledere og felles kursopplegg o.l.». 34 Plikten til å gi råd omfatter de virksomhetene som er omfattet av sikkerhetsloven. NSM forsøker i tråd med dette å unngå ressurskrevende rådgiving til enkeltvirksomheter, men heller å nå ut med informasjon, råd og veiledning til flest mulig samtidig – «en til mange». NSM veileder først og fremst gjennom skriftlige veiledninger og håndbøker til regelverket. Det som er ugradert, publiseres på NSMs hjemmeside. Sammen med informasjon om risiko gir dette grunnlag for virksomhetenes arbeid med å etterleve sikkerhetsloven og annet regelverk. Rådgiving til virksomheter vil kunne forekomme i tillegg i enkeltsaker basert på en vurdering av risikoen for nasjonal sikkerhet. Ressurser vil da kunne bli tilført NSM fra virksomheten som skal rådgis. Eksempler på slike rådgivningsoppdrag er IKT-programmene MAST og Mime i forsvarssektoren. 35 NSMs rådgiving til forsvarssektoren følger også av hovedinstruksens bestemmelse om at direktoratet skal «(v)eilede og rådgi ift sikkerhetsfaglige spørsmål knyttet til forsvarssektorens materiellprosjekter». 36
Etter sikkerhetsloven § 4-2 fjerde ledd skal tilsynsmyndigheten «etter forespørsel gi råd og veiledning» til virksomheters vurdering av risiko. I de sektorene det er utpekt sektortilsyn etter sikkerhetsloven, er det sektortilsynet som skal gi slike råd. I andre sektorer gjelder denne plikten for NSM. Etterspørselen etter råd, veiledning og foredrag er stor og økende. 37
NSM har etablert et eget kurssenter hvor det tilbys undervisning i ulike sikkerhetsfaglige temaer for å sette virksomheter i stand til å etterleve sikkerhetsloven. Det avholdes kurs om sikkerhet generelt, men også kurs rettet mot spesifikke fagfelt og målgrupper. NSM underviser selv og henter inn eksterne forelesere. Det holdes både kurs med fysisk oppmøte og ulike web-baserte kurs.
NSM publiserer hver uke en gradert sikkerhetsrapport rettet mot departementene og virksomheter som er underlagt sikkerhetsloven. Her gis ulike typer informasjon om risiko og anbefalinger om hva sektorer og virksomheter bør være særlig oppmerksomme på i de ulike fagområdene.
NSM skal holde oversikt over funksjoner, virksomheter og eiendommer (§ 2-2 … bokstav e, f og i)
Bestemmelsen under § 2-2 bokstav e, f og i sier at NSM skal holde oversikt over funksjoner, systemer, virksomheter, eiendommer mv. av betydning for nasjonale sikkerhetsinteresser.
Departementene er ansvarlige for forebyggende sikkerhetsarbeid innenfor sine ansvarsområder. De skal identifisere hva som er grunnleggende nasjonale funksjoner (GNF) og hvilke virksomheter som har vesentlig betydning for slike funksjoner. Departementene fatter også vedtak etter sikkerhetsloven § 1-3 om hvilke virksomheter som skal underlegges sikkerhetsloven. Det er virksomheter som har aktiviteter eller råder over informasjon, informasjonssystemer, objekter eller infrastruktur som har avgjørende betydning for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser, og virksomheter med behov for å behandle sikkerhetsgradert informasjon. Departementene skal i henhold til sikkerhetsloven § 2-1 første ledd bokstav d sende oversikter over de grunnleggende nasjonale funksjonene og virksomhetene til sikkerhetsmyndigheten, og sikkerhetsmyndigheten skal i henhold til § 2-2 andre ledd bokstav e og f holde oversikt over disse.
Også i andre kapitler i sikkerhetsloven og i forskrifter til loven forutsettes det at sikkerhetsmyndigheten skal holde oversikt over ulike forhold av betydning for nasjonale sikkerhetsinteresser. Departementene skal for eksempel i henhold til sikkerhetsloven § 7-1 andre ledd utpeke og klassifisere skjermingsverdige objekter og infrastruktur og melde disse inn til sikkerhetsmyndigheten med angivelse av klassifiseringsgrad. NSM skal etter § 13 i forskrift om virksomheters arbeid med forebyggende sikkerhet også motta oversikt over andre virksomheter som de virksomhetene som er underlagt sikkerhetsloven er avhengige av for å fungere som de skal.
Etter sikkerhetsloven § 7-6 andre ledd skal virksomheter varsle sikkerhetsmyndigheten eller tilsynsmyndigheten dersom en eiendom av sikkerhetsmessig betydning utgjør en risiko for en virksomhets skjermingsverdige objekt eller infrastruktur og det ikke er mulig å opprettholde et forsvarlig sikkerhetsnivå gjennom tiltak. Etter § 2-2, andre ledd bokstav i, skal sikkerhetsmyndigheten holde oversikt over slike eiendommer.
NSM skal videre etter ulike bestemmelser i sikkerhetsloven og forskriftene holdes informert om blant annet personklareringer, informasjonssystemer som er godkjent av andre enn NSM og ulike forhold ved sikkerhetsgraderte anskaffelser. Dette inkluderer årlige oversikter over sikkerhetsgraderte anskaffelser i virksomheter underlagt loven.
I tillegg skal NSM holde oversikt over egne avgjørelser etter sikkerhetsloven og tilhørende forskrifter.
NSMs oppgave med å holde denne typen oversikter er ment å styrke evnen til å følge opp de øvrige oppgavene som følger av § 2-2. Slike oversikter er videre ansett som viktige for at NSM skal kunne ha en god forståelse av situasjonen, bidra i hendelseshåndtering og gi råd til politiske myndigheter om defensive sikkerhetstiltak i situasjoner der det er risiko for sammensatt virkemiddelbruk.
Oversikter over funksjoner, virksomheter, skjermingsverdige verdier mv. holdes ved like i de ulike fagmiljøene i NSM.
Bidra til å utvikle tiltak og sette krav til sikkerhetsarbeidet (§ 2-2 … bokstav h)
Sikkerhetsmyndigheten skal ha oversikt over hva som finnes av regelfestede og anbefalte sikkerhetstiltak i dag, identifisere behov og foreslå nye utviklingsprosjekter og tiltak innenfor de ulike fagområdene. Dette gjelder også behov for regelverksutvikling. NSM utarbeider faglige utredninger selv og i samarbeid med forskningsmiljøer og andre relevante samarbeidspartnere. NSM følger også med på utviklingen av sikkerhetstiltak på mer generelt grunnlag i samfunnet og i andre land.
Nasjonal fagmyndighet overfor andre land og internasjonale organisasjoner (§ 2-2 tredje ledd)
NSM holder oversikt over alle sikkerhetsavtaler som Norge er bundet av. NSM forhandler også om slike avtaler eller bistår Justis- og beredskapsdepartementet, Forsvarsdepartementet, Utenriksdepartementet eller andre når det er disse som står for forhandlingene. De aller fleste av disse handler om gjensidig beskyttelse av sikkerhetsgradert informasjon. NSM påser at forpliktelser følges opp nasjonalt og holder kontakt med de som er oppnevnt som kontaktpunkter i andre land eller internasjonale organisasjoner. NSM deltar i arbeidsgrupper og komiteer i NATO og andre organisasjoner som Norge er medlem av der forebyggende sikkerhet er tema, eller bistår i forberedelsene dersom slike møter er på et høyere nivå. Norge deltar i flere av EUs romprogrammer og NSM har som oppgave å følge opp disse nasjonalt og representere Norge i komiteer og arbeidsgrupper. NSM samarbeider med Norsk romsenter om dette og er kontaktpunkt for hendelseshåndtering overfor EU for satelittnavigasjonssystemene Galileo og EGNOS. 38 NSM har sikkerhetsfaglig dialog med andre lands tilsvarende tjenester. Det vises også til omtale i kapittel 7 om Norges internasjonale forpliktelser.
4.1.2 § 2-3 Utveksling av trusselvurderinger og annen sikkerhetsinformasjon
Sikkerhetsmyndigheten skal etter § 2-3 «legge til rette for at virksomheter som loven gjelder for, får tilgang til informasjon om trusselvurderinger og andre opplysninger som er av betydning for virksomhetenes forebyggende sikkerhetsarbeid». Videre skal sikkerhetsmyndigheten, i samråd med sektormyndigheter og andre relevante myndigheter, «sikre at det etableres nødvendige fora for informasjons- og erfaringsutveksling».
Det er Etterretningstjenesten og Politiets sikkerhetstjeneste (PST) som vurderer truslene, og ikke NSM. Det er opp til disse tjenestene å vurdere om de har anledning til å dele denne informasjonen. Kravet i sikkerhetsloven er at det er virksomhetene selv som skal vurdere risikoen og om sikkerheten er forsvarlig. Trussel- og annen sikkerhetsinformasjon er viktig for at virksomhetene skal vurdere hvilken risiko de er utsatt for.
Til utveksling av informasjon benytter NSM eksisterende, sektorvise fora der dette er hensiktsmessig, for eksempel Sikkerhetsrådet for luftfarten, ekom-sikkerhetsforum eller Forum for sektortilsyn. NSM benytter også eksisterende tverrsektorielle møteplasser som ledes av blant annet Direktoratet for samfunnssikkerhet og beredskap (DSB) eller Forsvarets operative hovedkvarter. Videre orienterer NSM sektordepartementer, sektormyndigheter og virksomheter direkte ved å sende egne rapporter, herunder den ukentlige graderte sikkerhetsrapporten vist til ovenfor. I møter mellom NSMs ledelse og myndigheter og virksomheter er situasjonsbildet for sikkerheten stort sett faste poster på dagsorden. Graderingsnivå på trusselvurderingene og sikkerhetsinformasjonen og prinsippet om å informere om bare det mottaker «trenger å vite» kan legge begrensninger på spredningen av informasjon.
I 2019 ble Nasjonalt cybersikkerhetssenter (NCSC) opprettet som et partnerskap mellom NSM og en rekke både offentlige myndigheter og private virksomheter. NCSC er et viktig forum for NSMs oppfølging av oppgaven med å drifte og utvikle varslingssystemet for digital infrastruktur (VDI) og som nasjonal responsfunksjon etter sikkerhetsloven. NCSC har over tid blitt et nokså stort forum med deltakelse og temaer som strekker seg ut over sikkerhetslovens virkeområde.
4.1.3 § 2-4 Responsfunksjon og varslingssystem for digital infrastruktur
§ 2-4 er en sentral bestemmelse for digital sikkerhet i sikkerhetsloven. NSMs oppgaver kan særlig utledes fra paragrafens innledning og avslutning som lyder:
«Kongen utpeker en myndighet som skal drive en nasjonal responsfunksjon for alvorlige digitale angrep og et nasjonalt varslingssystem for digital infrastruktur.
[…]
Kongen kan gi forskrift om nasjonal responsfunksjon og nasjonalt varslingssystem for digital infrastruktur.»
I § 63 i forskrift om virksomheters arbeid med forebyggende sikkerhet er denne oppgaven gitt til NSM:
«NSM skal drifte en nasjonal responsfunksjon for alvorlige digitale angrep og et nasjonalt varslingssystem for digital infrastruktur. I forbindelse med dette skal informasjon om digitale angrep innhentes, analyseres og deles».
Varslingssystem for digital infrastruktur (VDI-systemet) ble opprettet i 1999 av EOS-tjenestene som et samarbeidsprosjekt. VDI er et nettverk av sensorer som plasseres på internettforbindelser hos utvalgte offentlige og private virksomheter som har kritisk infrastruktur. Sensorene kan gjøre det mulig for NSM å oppdage og verifisere digitale angrep. VDI-sentralen og ansvaret for å følge opp systemet ble flyttet fra Politiets sikkerhetstjeneste (PST) til NSM i 2003 og hjemlet i sikkerhetsloven i 2016. 39
Tilgangen på operative data fra VDI-systemet og erfaringer fra samarbeid med VDI-deltakerne gjorde at NSM i 2004 opprettet en nasjonal responsfunksjon under navnet NorCERT (Norwegian Computer Emergency Response Team). NorCERT ble etablert fast i 2006. 40 Oppgaven er å rådgi og bistå virksomheter i Norge i å forebygge og håndtere alvorlige digitale hendelser, og utveksle informasjon med andre land og internasjonale organisasjoner. Også denne nasjonale responsfunksjonen ble lovfestet som en oppgave for NSM i sikkerhetsloven i 2016.
Informasjon fra VDI er ment som en viktig del av hendelseshåndtering og var en del av begrunnelsen for at den nasjonale responsfunksjonen ble lagt til NSM. Deling av informasjon fra VDI og informasjon fra hendelseshåndteringen er i dag nærmere regulert i virksomhetssikkerhetsforskriften § 65. I henhold til denne bestemmelsen kan NSM, når det er innenfor sikkerhetslovens formål, «dele med partene i Felles cyberkoordineringssenter (FCKS) informasjon innhentet fra varslingssystemet for digital infrastruktur eller gjennom den nasjonale responsfunksjonen», se nærmere omtale av FCKS nedenfor. Videre kan NSM, i den utstrekning det er nødvendig for å håndtere en konkret hendelse, dele med andre aktører informasjon som er innhentet fra varslingssystemet for digital infrastruktur eller gjennom den nasjonale responsfunksjonen. NSM skal ved fare for alvorlige hendelser «informere berørte nasjonale og internasjonale aktører om trusler, sårbarheter og mulige tiltak».
I lovproposisjonen til sikkerhetsloven er det vist til at både responsfunksjonen og varslingssystemet har et bredere nedslagsfelt enn sikkerhetslovens virkeområde, men at disse funksjonene likevel har en så sterk tilknytning til nasjonalt forebyggende sikkerhetsarbeid at lovfesting av funksjonene passer best i sikkerhetsloven. 41
I forarbeidene til endringene i sikkerhetsloven i 2017, ble det drøftet om NSMs ansvar for VDI og NorCERT er forenlig med at NSM også er tilsynsmyndighet. Det ble vist til at begge funksjonene allerede hadde vært i NSM i flere år uten at det hadde vært et problem, og at ansvaret for både VDI og NorCERT bør holdes innenfor EOS-tjenestene. 42
I tillegg til en nasjonal responsfunksjon som NSM er ansvarlig for, er det etablert en ordning med sektorvise responsmiljøer for å støtte opp under effektiv deling av informasjon og håndtering av digitale angrep. De fleste sektorer har etablert slike miljøer eller inngått ulike former for samarbeid om dette. Responsmiljøene er også bindeledd mellom NSM og de enkelte virksomhetene i ulike sektorer. Justis- og beredskapsdepartementet ga i 2017 ut et «Rammeverk for håndtering IKT-sikkerhetshendelser» for å tydeliggjøre hvordan samvirket mellom virksomheter, de sektorvise responsmiljøene og det nasjonale responsmiljøet hos NSM skal være. 43 Krav til samvirke vil bli ytterligere styrket gjennom ny lov om digital sikkerhet. 44
Digitalsikkerhetsloven ble sanksjonert 20. desember 2023 og vil tre i kraft når forskrift foreligger. 45 Loven gjennomfører EUs NIS-direktiv i norsk rett. Justis- og beredskapsdepartementet varslet i Totalberedskapsmeldingen at NIS2-direktivet sammen med EUs CER-direktiv etter planen skal gjennomføres i norsk rett i en ny lov med felles krav til grunnsikring hos kritiske virksomheter. 46 NIS står for Network & Information Security og stiller krav til digital sikkerhet for virksomheter med særlig betydning for samfunnet. CER står for Critical Entities Resilience og stiller krav til motstandsdyktighet i virksomheter som leverer tjenester som er avgjørende for å opprettholde kritiske samfunnsfunksjoner eller økonomiske aktiviteter. Det vises til nærmere omtale av EUs direktiver i kapittel 7.
Den nasjonale responsfunksjonen og håndtering av digitale hendelser er nærmere forklart i boks 4.1. Se også boks 4.2 der håndteringene av et cyberangrep mot Departementenes sikkerhets- og serviceorganisasjon (DSS) i 2023 er beskrevet. I boks 4.4 er ansvar for digital sikkerhet for ulike aktører omtalt.
Boks 4.1 Håndtering av digitale sikkerhetshendelser
«Rammeverk for håndtering av IKT-sikkerhetshendelser» ble utgitt av Justis- og beredskapsdepartementet i samråd med Forsvarsdepartementet i 2017, dvs. før gjeldende sikkerhetslov ble vedtatt i 2018. Det beskriver kravene til håndtering av digitale sikkerhetshendelser. 47
Rammeverket angir hvem som har ansvar for sikkerheten og hvem som kan og skal bidra når det skjer hendelser. Det går gjennom både hva som bør gjøres i forkant, under og etter en hendelse.
Målgruppen for rammeverket
Målgruppen for rammeverket er offentlige og private virksomheter som har betydning for kritisk infrastruktur og kritiske samfunnsfunksjoner. Hva som er kritisk infrastruktur og kritiske samfunnsfunksjoner, er definert i det såkalte KIKS-rammeverket, se boks 6.2. Rammeverket favner dermed videre enn sikkerhetsloven og virksomheter som er underlagt denne. Ifølge rammeverket gjelder det for de sektorvise responsmiljøene (SRM), myndigheter som har en rolle i håndtering av IKT-sikkerhetshendelser og departementene, men det presiseres at det vil kunne ha nytteverdi også for andre.
Ansvar
Digital sikkerhet er virksomhetenes eget ansvar. Dette ansvaret omfatter også å håndtere hendelser som oppstår. Virksomheter skal vurdere risiko og sårbarheter og sørge for en forsvarlig sikkerhet. Det skal være på plass prosedyrer for håndtering av hendelser, varsling og rapportering mv.
Departementene er ansvarlige for å oppnevne såkalte sektorvise responsmiljøer (SRM) i egen sektor. De sektorvise responsmiljøene skal blant annet samle, systematisere, vurdere og dele informasjon om sårbarheter, trusler og hendelser som kan ramme informasjons- og styringssystemer. De skal også informere departementene og NSM. De samarbeider med andre responsmiljøer og er sammen med en rekke myndigheter og private og offentlige virksomheter partnere i Nasjonalt cybersikkerhetssenteret (NCSC) i NSM.
NSM er den nasjonale responsfunksjonen ved alvorlige digitale angrep. Funksjonen er en integrert del av NCSC. Formålet med senteret er å legge til rette for at virksomheter og responsmiljøer kan samarbeide effektivt i arbeidet med digital sikkerhet og når det oppstår hendelser. NCSCs operasjonssenter er døgnbemannet og følger det digitale risikobildet. NCSC informerer om sårbarheter, har kampanjer for å trygge sikkerheten og varsler dersom det avdekkes hendelser for eksempel gjennom det nasjonale varslingssystemet for digital infrastruktur (VDI).
Hendelseshåndtering
Hendelseshåndtering kan innebære tiltak for å 1) stanse hendelsen, begrense skadeomfanget og gjenopprette sikker tilstand, 2) sikre tekniske spor og gjøre beslag eller pågripelser og 3) iverksette offensive mottiltak.
Tiltak for å stanse hendelsen, begrense skadeomfanget og gjenopprette sikker tilstand utføres i all hovedsak av virksomheten selv gjennom egen IT-avdeling og eventuelt med bistand fra ekstern partner. NSM har siden 2016 hatt en kvalitetsordning for leverandører som tilbyr tjenester for håndtering av dataangrep. Virksomhetene skal varsle andre virksomheter som kan være rammet og eventuelt det sektorvise responsmiljøet, overordnet myndighet og politiet hvis alvorlighetsgrad tilsier det.
Det sektorvise responsmiljøet (SRM) har primært en koordinerende rolle som innebærer å dele informasjon innad i sektoren, på tvers av sektorer og med NSM. For å kunne drive effektiv informasjonsdeling må SRM ha god oversikt over situasjonen og sårbarheter mv. SRM skal bistå virksomheten med råd og informasjon fra andre virksomheter i sektoren eller fra NSM. Det forutsettes ikke at SRM skal ha kapasitet til å gjennomføre tiltak direkte på virksomheters systemer. De sektorvise responsmiljøene skal varsle NSM om alvorlige hendelser som rammer samfunnskritiske funksjoner, om hendelsen er avansert og kan komme fra aktører med betydelig kapasitet eller om hendelsen kan omfatte flere sektorer.
NSM har en veiledende og koordinerende rolle nasjonalt i hendelseshåndteringen. NSM utfører teknisk skadevareanalyse, opprettholder et nasjonalt situasjonsbilde i det digitale rommet, deler informasjon med sektorvise responsmiljøer og virksomheter, oppretter samarbeidsfora for de sektorvise responsmiljøene og koordinerer aktiviteten mot politiet, PST og Etterretningstjenesten i samråd med de sektorvise responsmiljøene og berørte virksomhetene. NSM rapporterer til departementene og regjeringen.
Ofte pågår etterforskningen av en hendelse samtidig med at det arbeides for å stanse og gjenopprette skaden. Det vil da kunne oppstå motstridende hensyn, for eksempel ved at det i etterforskingen av hvem som står bak en hendelse, er ønskelig å vente med tiltak for å gjenopprette til sikker tilstand. Slike hensyn vil kunne avveies etter en diskusjon i Felles cyberkoordineringssenter (FCKS) der representanter fra NSM, E-tjenesten, PST og Kripos deltar. NSM varsler FCKS om alvorlige IKT-sikkerhetshendelser som rammer kritisk infrastruktur og kritiske samfunnsfunksjoner.
Sektorvise responsmiljøer (SRM) – oversikt pr. januar 2025
- SRM Sektor
- BaneCERT skinnegående transport
- Dep CERT øverste statsorganer, departementene og politiske partier
- eduCSC forskning og kunnskap
- EkomCERT ekom
- Helse- og KommuneCERT helse og kommune
- JustisCERT justis
- KraftCERT* kraft og petroleum
- Landbruks- og matCERT landbruk- og mat
- MaritimCERT sjøfart og kyst
- MiljøCERT klima og miljø
- MilCERT forsvar
- NAVCERT arbeid og velferd
- NFCERT** finans
- NSR små og mellom store bedrifter som ikke er omfattet av annet SRM eller har forhold til NCSC direkte
- VegCERT veitransport
* Støtter Norges vassdrags- og energidirektorat (NVE) og Havindustritilsynet (Havtil) som er myndighets-SRM i respektive sektorer
** Støtter Finanstilsynet som er myndighets-SRM i sektoren.
Private tjenesteleverandører innenfor NSMs kvalitetsordning for hendelseshåndtering (KVO) – oversikt pr. januar 2025
Atea AS, Defendable AS, Fence AS, KPMG AS, mnemonic AS, NetNordic, Netsecurity AS, Orange Cyberdefense, PwC og Sopra Steria.
Boks 4.2 Håndtering av cyberangrep mot Departementenes sikkerhets- og serviceorganisasjon (DSS) i 202348
NSM ble 11. juli 2023 varslet av Departementenes sikkerhets- og serviceorganisasjon (DSS) om mistenkelig aktivitet i deres nettverk. Videre ble det avdekket datainnbrudd hos DSS og 12 norske departementer denne sommeren hvor en aktør hadde fått tilgang til systemene ved å utnytte nulldagssårbarheter i en programvare som DSS benyttet. 49 En nulldagssårbarhet er en svakhet i en programvare som oppdages av angripere før leverandøren av programvaren selv har blitt klar over den. Siden leverandøren ikke vet om den, finnes det – på det tidspunktet – ikke noe tiltak som kan lukke sårbarheten. Selskapet mnemonic avdekket nulldagssårbarhetene i programvaren.
Utnyttelse av nulldagssårbarheter i programvaren muliggjorde at en avansert trusselaktør over tid hadde tilgang til flere deler av departementenes sentrale nettverk og norsk offentlig forvaltning. Tidspunkt er ikke angitt nærmere grunnet sikkerhetsmessige årsaker.
NSM ivaretar et stående oppdrag knyttet til håndtering av alvorlige digitale angrep og har etablerte varslingskanaler. Innenfor NSMs kontaktnett foreligger vide muligheter til informasjonsutveksling og samarbeid med nasjonale og internasjonale partnere. For å ivareta den nasjonale innretningen ved hendelseshåndtering er det også over tid etablert en kvalitetsordning for leverandører som håndterer IKT-hendelser. Her fungerer NSM som et nav og sentralt kontaktpunkt og er avhengig av samarbeid med andre aktører.
Hendelsen mot DSS viste viktigheten av informasjonsdeling og offentlig-privat samarbeid i praksis. Den demonstrerte hvordan aktører fra begge sektorer samlet sin kompetanse for å håndtere en hendelse med betydning for nasjonal sikkerhet.
NSM gav bistand til hendelseshåndteringen som sikkerhetstjenesteleverandøren mnemonic utførte opp mot DSS. mnemonic er medlem av NSMs kvalitetsordning for hendelseshåndtering. 50 NSM gav også bistand gjennom analyser av logger fra DSS, analyser av data fra NSMs varslingssystem for digital infrastruktur (VDI), samt deteksjon og varsling av aktivitet i VDI.
Hendelsen ble avdekket gjennom sikkerhetsteknologi anskaffet av DSS. Data fra VDI var en viktig bidragsyter til å forstå inngangsvektor og omfanget av hendelsen. En inngangsvektor er det aktøren utnytter for å få tilgang til systemene, i dette tilfelle sårbarheter i programvaren. Analyser identifiserte også trusselaktørs infrastruktur som bestod av kompromitterte hjemmerutere i Norge og utlandet. Dette lot NSM avdekke ytterligere kompromitteringer som kunne spores tilbake i tid, samt sårbare tilfeller av aktuell programvare i Norge som NSM dermed kunne varsle om.
Det var utstrakt samarbeid mellom NSM, DSS og mnemonic gjennom hendelseshåndteringen. NSM håndterte informasjonsdeling mellom nasjonale og internasjonale samarbeidspartnere. mnemonic hadde løpende dialog med programvareleverandøren for å bidra til å lukke nulldagssårbarhetene i leverandørens produkter.
Felles cyberkoordineringssenter (FCKS) ble tidlig varslet, og Kripos ledet politietterforskningen. Samarbeidet med Kripos og felles tekniske analyser med de øvrige partene i FCKS gjorde det mulig å øke forståelsen for hendelsen. Hver av partene håndterte for øvrig saken i henhold til sine mandater, og funn ble fortløpende delt mellom partene. FCKS produserte også felles situasjonsrapporter til Justis- og beredskapsdepartementet, Kommunal- og distriktsdepartementet og Forsvarsdepartementet.
For å sikre god situasjonsforståelse rapporterte NSM hyppig til styrende departement gjennom hendelseshåndteringen. Kommunal- og distriktsdepartementet holdt samtlige departementer informert underveis, i samråd med NSM og DSS.
NSM bistod videre Kommunal- og distriktsdepartementet og DSS, i samråd med Justis- og beredskapsdepartementet, med råd om verdivurderinger av informasjon og risikovurderinger av berørte IKT-systemer, herunder sikkerhetsfaglige råd ved tjenesteutsetting og bruk av skytjenester og råd om skadevurderinger etter bestemmelsene i sikkerhetsloven.
NSM delte informasjon til de sektorvise responsmiljøene (SRM) og internasjonalt om nulldagssårbarhetene og tekniske indikatorer knyttet til hendelsen. 51 Det ble videre gjennomført sårbarhetskoordinering med programvareleverandøren, mnemonic og Cybersecurity & Infrastructure Security Agency (CISA) for å sørge for sikkerhetsoppdateringer som lukket sårbarhetene, samt varsling av kunder. 52 Dette arbeidet ble utført parallelt med at DSS i samråd med NSM utførte tiltak hvor berørte systemer ble utilgjengeliggjort og at det ble avholdt en pressekonferanse hvor DSS informerte om hendelsen.
Rettidig informasjonsutveksling internasjonalt førte også til at NSM utgav et felles varsel med CISA i august 2023 som beskriver hendelsen, sårbarhetene og risikoreduserende tiltak.
Det ble samlet inn og delt mye informasjon i denne saken som har bidratt til å oppdage flere kompromitteringer nasjonalt og internasjonalt. Blant annet ble det koordinert en verdensomfattende sårbarhetskartlegging med den ideelle organisasjonen Shadowserver som gjorde at virksomheter som benyttet den sårbare programvaren ble varslet. 53 Det er sannsynlig at deling av informasjon om nulldagssårbarhetene og analysene gjort i denne hendelsen har bidratt til å avverge sikkerhetshendelser i Norge og internasjonalt.
4.1.4 § 2-5 Vedtak ved risiko for skadevirkninger for nasjonale sikkerhetsinteresser
Kongen i statsråd kan i henhold til sikkerhetsloven § 2-5 første ledd fatte vedtak for å hindre sikkerhetstruende virksomhet eller annen planlagt eller pågående aktivitet som kan innebære en ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser blir truet. Dette gjelder uavhengig av om virksomheten eller aktiviteten er planlagt eller pågår i en virksomhet som er omfattet av sikkerhetsloven eller ikke. Et slikt vedtak kan fattes uten hensyn til begrensningene i forvaltningsloven § 35 om omgjøring av vedtak uten klage og uavhengig av om aktiviteten er tillatt etter annen lov eller annet vedtak. Hjemmelen etter § 2-5 er ment å være en sikkerhetsventil der ikke annet regelverk gir hjemmel til å gripe inn mot en uønsket aktivitet.
Før det fattes vedtak «bør ansvarlig departement» som forbereder saken, innhente rådgivende uttalelse fra relevante organer med kompetanse innenfor det aktuelle fagområdet. I forarbeidene til sikkerhetsloven av 1998 hvor denne bestemmelsen først kom inn, var det forutsatt at alle EOS-tjenestene skulle inngå i kretsen av relevante organer som skulle avgi uttalelse. 54 Dette legges til grunn også i dag. I tillegg kan det være aktuelt å hente inn uttalelser fra andre virksomheter med særlig kompetanse innenfor det aktuelle fagområdet. 55
Etter sikkerhetsloven §§ 9-4 og 10-2 forutsettes det på tilsvarende måte at departementene skal rådføre seg med EOS-tjenestene ved anskaffelser til skjermingsverdig informasjonssystem, objekt eller infrastruktur, og ved vedtak om stans av erverv av eiendom. NSM ble i 2021 utpekt som Nasjonalt kontaktpunkt for motvirkning av sikkerhetstruende økonomiske virkemiddelbruk for å bidra til en mer effektiv behandling av saker etter sikkerhetslovens §§ 10-3 og 2-5. Kontaktpunktet er nærmere omtalt i boks 4.3 og kapittel 4.3.2 nedenfor.
Boks 4.3 NSMs rolle i saker om eierskapskontroll
Sikkerhetsloven kapittel 10 har regler om eierskapskontroll. Dersom noen ønsker å erverve en «kvalifisert eierandel» i en virksomhet som er underlagt sikkerhetsloven, må dette i henhold til § 10-1 meldes til departementet med ansvar for sektoren. Der virksomheten ikke er omfattet av noe departements ansvarsområde, skal meldingen sendes til sikkerhetsmyndigheten. Det er etablert en screeninggruppe under ledelse av Justis- og beredskapsdepartementet som skal involveres i slike saker.
Departementet eller sikkerhetsmyndigheten som mottar en ervervsmelding, kan i henhold til sikkerhetsloven § 10-2 be relevante organer uttale seg. Dette gjøres ved at NSM, Etterretningstjenesten og PST uttaler seg om utenlandske aktører, risiko og sårbarhet. I tillegg uttaler den aktuelle sektormyndigheten seg, for eksempel Nasjonal kommunikasjonsmyndighet (Nkom) i saker om elektronisk kommunikasjon (ekom).
Slike saker behandles normalt av regjeringens sikkerhetsutvalg (RSU). Dersom det skal stilles vilkår i forbindelse med ervervet eller ervervet skal nektes, kreves det i henhold til § 10-3 vedtak av Kongen i statsråd. Betingelsen er at ervervet kan medføre «en ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser blir truet».
I tillegg til sikkerhetsloven kapittel 10 om ervervssaker i virksomheter som er underlagt sikkerhetsloven, omfatter § 2-5 også ervervssaker for virksomheter som ikke er underlagt sikkerhetsloven. Denne ble brukt da et forestående salg av selskapet Bergen Engines ble stanset ved kongelig resolusjon 26. mars 2021 begrunnet med at nasjonale sikkerhetsinteresser var truet. Bergen Engines er blant annet leverandør og underleverandør til både forsvarssektoren og virksomheter i sivil sektor.
Justis- og beredskapsdepartementet har også utpekt NSM som såkalt nasjonalt kontaktpunkt for motvirkning av sikkerhetstruende økonomisk aktivitet (screeningsaker). Som kontaktpunkt skal NSM bidra i arbeidet til Justis- og beredskapsdepartementets screeningsgruppe. NSM skal også varsle departementet om enkeltsaker, identifisere relevante organer som bør bes om uttalelse, koordinere og utarbeide fremdriftsplaner i de aktuelle sakene og generelt initiere, koordinere og tilrettelegge for dialog og god informasjonsflyt, samt utarbeide risikovurdering basert på innspill fra blant annet Etterretningstjenesten og PST. NSM har siden 2021 jevnlig sendt erfaringsrapporter om arbeidet som nasjonalt kontaktpunkt til Justis- og beredskapsdepartementet med kopi til Forsvarsdepartementet.
Investeringskontrollutvalget anbefaler i NOU 2023: 28 at saker om investeringskontroll behandles i en egen organisatorisk enhet på etatsnivå. Utvalget mente det er «flere hensyn som taler for at en ny ordning for investeringskontroll legges til en egen, ny myndighet, og at det er relevant å vurdere om denne bør organiseres sammen med den nye etaten for eksportkontroll og sanksjoner.» 56
Investeringskontrollutvalgets rapport ble levert til Nærings- og fiskeridepartementet (NFD) i desember 2023. NFD skrev i Prop. 1 S (2024–2025) at en hovedprioritering for 2025 vil være å « Utvikle nytt regelverk for investeringskontroll utenfor sikkerhetsloven som skal ivareta nasjonale sikkerhetsinteresser og bidra til at Norge forblir et attraktivt land for utenlandske investeringer.»
4.2 Andre oppgaver for NSM i henhold til sikkerhetsloven
De oppgavene som er omtalt i avsnittene over, er oppgaver som følger av eller har en tilknytning til kapittel 2 i sikkerhetsloven. Oppgavene beskrevet i § 2-2, utgjør kjernen i NSMs rolle som fagmyndighet etter loven og gjelder innenfor alle fagområder innen forebyggende sikkerhet. I tillegg er NSM gitt oppgaver i andre kapitler i loven. Det gjelder blant annet arbeid med kryptosikkerhet, kontrollvirksomhet, godkjenning av informasjonssystemer, personellsikkerhet og sikkerhetsgraderte anskaffelser.
Kryptosikkerhet og TEMPEST
Krypto er en kortform for kryptosikkerhet som er prinsipper og teknikker for å skjule informasjon slik at bare de(n) som er autorisert, har mulighet til å lese, endre eller slette innholdet. Krypto handler også om tiltak for å skjerme teknikkene mot uvedkommende.
NSM har en sentral rolle som fagmyndighet innen kryptosikkerhet. Kryptosystemer som skal brukes for å beskytte sikkerhetsgradert informasjon, må etter sikkerhetsloven § 5-6 være godkjent av sikkerhetsmyndigheten. Sikkerhetsmyndigheten skal også godkjenne kryptoalgoritmer som brukes i utstyr som skal eksporteres. Videre er sikkerhetsmyndigheten etter § 5-6 «nasjonal forvalter av kryptomateriell og leverandør av kryptosikkerhetstjenester til virksomheter». Sikkerhetsmyndigheten kan godkjenne andre leverandører av kryptosikkerhetstjenester. Cyberforsvaret (CYFOR), det nyetablerte direktoratet Statens graderte plattformtjenester (SGP) og Thales Norge er godkjent av NSM for dette.
Med bakgrunn i at NSM er forvalter av kryptomateriell, er NSM i forskrift om kryptosikkerhet § 2 gitt i oppgave å produsere kryptonøkler og utgi kryptodokumenter, samt forestå nasjonal distribusjon av kryptomateriell (NDA). Forskrift om kryptosikkerhet angir også en lang rekke andre oppgaver til NSM.
Oppgavene er lagt til NSM blant annet fordi det har vært ansett som hensiktsmessig av sikkerhetsmessige grunner å ha sentralisert kontroll med hvordan kryptosystemer utvikles, spres og håndteres.
En viktig del av arbeidet med sikkerheten rundt kryptosystemer er å ha kontroll på «sidekanaleffekter». Stråling fra elektronisk utstyr som kan gi tilgang til informasjon, såkalt TEMPEST, kan for eksempel kompromittere sikkerheten for informasjon i kryptosystemer og andre kommunikasjonssystemer. I NSMs arbeid med krypto og sikkerhet rundt skjermingsverdige informasjonssystemer er det derfor viktig å følge opp TEMPEST. Både krypto og TEMPEST er spesialiserte fagfelt hvor informasjonen ofte er høyt gradert og hvor kompetanseutviklingen er avhengig av tillitsfullt samarbeid med andre land.
Kontrollvirksomhet
NSM utøver enkelte kontrolloppgaver. De fleste kontrolloppgavene er av teknisk art og skjer på anmodning fra virksomhetene. NSM kan også foreta noen former for kontroller på eget initiativ. NSMs kontrollvirksomhet er ikke del av NSMs tilsyn.
Sikkerhetsmyndigheten kan i henhold til sikkerhetsloven § 5-5 første ledd «undersøke lokaler, bygninger og andre objekter som en virksomhet alene eller sammen med andre råder over, for å fastslå om uvedkommende kan skaffe seg tilgang til sikkerhetsgradert informasjon ved avlytting, innsyn eller avlesning av signaler». Dette omtales som «tekniske sikkerhetsundersøkelser» eller TSU.
Etter forskrift om virksomheters arbeid med forebyggende sikkerhet § 46 skal virksomheter be NSM vurdere om bruk av TSU er nødvendig før et rom eller lokale tas i bruk for muntlig kommunikasjon gradert KONFIDENSIELT eller høyere. Dersom det gjøres vesentlige endringer i slike rom eller lokaler eller ved mistanke om at informasjon er blitt kjent for uautoriserte eller at uvedkommende har hatt adgang, skal virksomheten be NSM om å gjennomføre TSU. Utvalget er kjent med at det er stor pågang for å få vurdert behov og gjennomført slike undersøkelser. NSM kan etter forskrift om virksomheters arbeid med forebyggende sikkerhet § 48 la andre virksomheter utføre slike tekniske sikkerhetsundersøkelser. Slik tillatelse er gitt i noen få tilfeller til andre offentlige virksomheter.
Sikkerhetsmyndigheten kan videre i henhold til sikkerhetsloven § 6-5 første ledd på anmodning fra virksomheter forsøke å trenge inn i virksomhetens skjermingsverdige informasjonssystemer for å kontrollere om sikkerhetstiltakene er tilstrekkelige. Tilsvarende kan sikkerhetsmyndigheten etter sikkerhetsloven § 7-4 første ledd på anmodning «forsøke å forsere etablerte sikkerhetstiltak for å få tilgang til skjermingsverdige objekter eller infrastruktur» for å kontrollere om sikkerhetstiltakene er tilstrekkelige. De som tester sikkerheten «setter seg i fiendens sted» når de utøver sine forsøk på å trenge gjennom sikkerhetstiltakene. NSM kan i henhold til § 62 i forskrift om virksomheters arbeid med forebyggende sikkerhet la andre virksomheter utføre slik inntrengningstesting og testing av sikkerhetstiltak. Så langt er én offentlig virksomhet godkjent for dette.
TSU, inntrengningstesting og forsøk på forsering av sikkerhetstiltak, er sensitiv aktivitet som krever tilgang på høyt gradert informasjon, spesiell kompetanse og utstyr. Sikkerhetsloven åpner for at erfaringene fra disse områdene kan brukes «til videreutvikling av sikkerhetsmyndighetens generelle sikkerhetsarbeid».
Sikkerhetslovens § 6-6 sier at sikkerhetsmyndigheten etter anmodning kan kontrollere om en virksomhets informasjonssystemer behandler sikkerhetsgradert informasjon utover det systemets sikkerhetsgodkjenning tillater. Forskrift om virksomheters arbeid med forebyggende sikkerhet § 62 første ledd åpner for at NSM kan la andre gjøre dette, men denne hjemmelen er så langt ikke tatt i bruk.
Godkjenning av informasjonssystemer
Skjermingsverdige informasjonssystemer skal etter sikkerhetsloven § 6-3 «godkjennes av en godkjenningsmyndighet». Kongen kan i forskrift utpeke godkjenningsmyndigheter. NSM er i forskrift om virksomheters arbeid med forebyggende sikkerhet § 51 første og andre ledd pekt ut som godkjenningsmyndighet for de mest kritiske, kompliserte eller høyt graderte informasjonssystemene. En virksomhet som rår over et skjermingsverdig informasjonssystem som ikke er nevnt i første eller andre ledd, skal selv godkjenne systemet. NSM og relevante sektortilsyn skal informeres om dette. Det følger av forskrift om virksomheters arbeid med forebyggende sikkerhet § 51 tredje ledd. Godkjenningsmyndighet som etter første og andre ledd er lagt til NSM, kan delegeres til andre.
Godkjenning av skjermingsverdige informasjonssystemer etter første ledd som har avgjørende betydning for funksjonen til et objekt eller en infrastruktur klassifisert KRITISK eller MEGET KRITISK, kan etter forskriften også gjøres av et sektortilsyn. Det må i så fall besluttes av sektordepartementet etter å ha innhentet NSMs vurdering. Hittil er det besluttet at Nasjonal kommunikasjonsmyndighet (NKOM) og Luftfartstilsynet kan godkjenne slike systemer innen egne sektorer. For andre systemer hvor NSM er godkjenningsmyndighet etter andre ledd, kan NSM bestemme at virksomheten selv eller et sektortilsyn kan godkjenne i stedet for NSM. Dette gjelder informasjonssystemer som behandler sikkerhetsgradert informasjon og som a) skal brukes i utlandet, b) har forbindelse til informasjonssystemer i utlandet eller til andre virksomheters informasjonssystemer, c) brukes eller har forbindelser utenfor områder virksomheten kontrollerer, d) har brukere som ikke er sikkerhetsklarert for det graderingsnivået som behandles i informasjonssystemet eller informasjonssystemer dette har forbindelse til, e) behandler informasjon som er gradert HEMMELIG, og som har brukere som ikke skal ha tilgang til all informasjon i informasjonssystemet eller de informasjonssystemer dette har forbindelse til og f) behandler informasjon som er gradert STRENGT HEMMELIG. I øyeblikket har NSM ikke bestemt at andre kan godkjenne slike systemer. Håndtering av NATO-krav til nasjonale graderte systemer som behandler NATO-informasjon, kompetanse hos andre og behov for avstand mellom den som vurderer sikkerheten og den som utvikler og drifter systemene har vært medvirkende årsaker til at NSM har vært tilbakeholdne med å delegere godkjenningsmyndighet til andre.
Evaluering og sertifisering
Når en virksomhet velger sikkerhetstiltak, skal den bruke evaluerte produkter og tjenester dersom produktet eller tjenestenes funksjon i seg selv er avgjørende for å hindre tilgang til gradert informasjon eller mulighet for å overta eller sette ut av drift skjermingsverdige objekter eller infrastruktur. Dette følger av forskrift om virksomheters arbeid med forebyggende sikkerhet § 16. Slik evaluering skal utføres av NSM eller et akkreditert laboratorium utpekt av NSM. I henhold til samme forskrift § 17 kan kravene til evaluering oppfylles gjennom en sertifisering gitt av NSM eller et akkreditert sertifiseringsorgan utpekt av NSM. Akkreditering og sertifisering skal skje etter ISO- og IEC-standarder. NSM har så langt ikke utpekt akkrediterte laboratorier eller sertifiseringsorganer.
Personellsikkerhet
Sikkerhetsloven § 8-1 stiller krav om sikkerhetsklarering, adgangsklarering og autorisasjon. Etter bestemmelsen skal personer som skal få tilgang til sikkerhetsgradert informasjon, autoriseres. Det gjøres av virksomheten der personen skal arbeide. Det samme gjelder for personer som skal ha adgang til skjermingsverdige objekter og infrastruktur.
Personer som skal autoriseres for tilgang til informasjon gradert KONFIDENSIELT eller høyere, må ha gyldig sikkerhetsklarering. Tilsvarende må personer som skal autoriseres for tilgang til skjermingsverdige objekter og infrastruktur, ha gyldig adgangsklarering når sektordepartementet har fattet vedtak om dette, jf. sikkerhetsloven § 8-3.
I henhold til forskrift om sikkerhetsklarering og annen klarering (klareringsforskriften) § 1 klarerer Forsvaret personell i forsvarssektoren, Etterretningstjenesten, PST, NSM og Statsministerens kontor (SMK) personer i eller tilknyttet egen virksomhet. Sivil klareringsmyndighet (SKM) klarerer nødvendige personer ellers i sivil sektor. I Forsvaret er det Forsvararets sikkerhetsavdeling (FSA) som er klareringsmyndighet. SKM og FSA er nærmere omtalt i kapittel 6. NSM og SMK klarerer ikke i dag eget personell, det gjøres av SKM.
Sikkerhetsmyndigheten skal i henhold til sikkerhetsloven § 8-5 første ledd «gjennomføre en personkontroll av alle som skal klareres». Det innebærer å innhente informasjon som kan belyse personens sikkerhetsmessige skikkethet fra ulike offentlige og private kilder og videreformidle denne til klareringsmyndighetene som grunnlag for vurdering og avgjørelse av klareringssaken.
Videre skal NSM i henhold til klareringsforskriften § 18 «utarbeide sikkerhetsmessige vurderinger av relevante staters betydning for norske sikkerhetsinteresser i klareringssaker». Ordningen er ment å være til støtte for klareringsmyndighetenes vurdering av hvilken betydning en tilknytning til et annet land kan ha i en klareringssak. NSM skal formidle vurderingene til klareringsmyndigheten, og «klareringsmyndigheten skal legge vekt på vurderingene i saker der personer som inngår i personkontrollen har tilknytning til andre stater». Denne oppgaven fikk NSM i 2006 da regelverket for personellsikkerhet ble endret på flere områder.
NSM skal videre i henhold til klareringsforskriften § 28 «ha et register over alle klareringsavgjørelser». Opplysninger om klareringsstatus kan utleveres til klareringsmyndigheter og autorisasjonsansvarlige.
NSM er etter sikkerhetsloven § 8-17 andre ledd, og som følge av at SKM klarerer NSMs eget personell, nå felles klageinstans for alle klareringssaker i forvaltningen. For domstolene, Stortinget og Stortingets organer er det etablert særskilte ordninger. SKM er her ikke klareringsmyndighet og NSM er ikke klageinstans. NSM gjennomfører personkontroll og stiller veiledningsmateriell til rådighet også for disse.
Sikkerhetsgraderte anskaffelser
Før en leverandør av varer og tjenester til en virksomhet som er omfattet av loven kan få tilgang til informasjon gradert KONFIDENSIELT eller høyere, skal leverandøren ha gyldig leverandørklarering for angitt sikkerhetsgrad. Leverandøren skal også klareres dersom det er nødvendig av andre grunner, jf. sikkerhetslovens § 9-3. Også der en leverandør skal ha elektronisk tilgang til eller råde over objekt/infrastruktur klassifisert KRITISK eller høyere skal det etter forskrift om virksomheters arbeid med forebyggende sikkerhet § 83 foreligge en leverandørklarering. En leverandørklarering skal bare gis dersom det ikke er noen rimelig grunn til å tvile på at leverandøren er sikkerhetsmessig skikket. I vurderingen skal det bare legges vekt på forhold som kan innvirke på leverandørens evne og vilje til å gjøre forebyggende sikkerhetsarbeid etter loven. Kontroll av personer i leverandørens styre og ledelse skal være en del av vurderingsgrunnlaget.
Kongen utpeker i henhold til sikkerhetsloven § 9-3 en klareringsmyndighet for leverandørklarering. Ifølge klareringsforskriften § 32 skal NSM klarere norske leverandører for sikkerhetsgraderte anskaffelser. I henhold til klareringsforskriftens § 36 skal klareringsmyndigheten før klarering gis, kontrollere at leverandøren oppfyller kravene som stilles til sikring av de skjermingsverdige verdier. Slik kontroll skal senere gjennomføres ved behov, og de kan etter avtale gjennomføres av oppdragsgiveren. NSM skal også føre register over leverandørklareringer og sikkerhetsgraderte anskaffelser, jf. klareringsforskriftens § 39.
4.3 Oppgaver som er gitt til NSM utenfor sikkerhetsloven
Flere av NSMs oppgaver er gitt etter andre hjemmelsgrunnlag enn sikkerhetsloven, se figur 4.1. Det gjelder oppgaver som fulgte med fra Forsvarets sikkerhetstjeneste (FO/S) da NSM ble etablert i 2003 og andre oppgaver som er kommet til i ettertid.
4.3.1 Oppgaver som fulgte med fra Forsvarets sikkerhetstjeneste (FO/S) da NSM ble etablert i 2003
NSM fikk ved etableringen i 2003 med seg flere oppgaver fra Forsvarets sikkerhetstjeneste (FO/S) enn de som fulgte av sikkerhetsloven. Nedenfor følger en oversikt over disse oppgavene der blant annet hjemmelsgrunnlag, målgruppe og historikk er beskrevet.
Lov om oppfinnelser av betydning for rikets forsvar
Grunnlag for oppgaven er hovedinstruksen.
Loven skal gi staten det nødvendige handlingsrommet for å bidra til at oppfinnelser med betydning for forsvaret i Norge kommer rikets sikkerhet til gode og gi behandlingsregler for dette. NSMs oppgaver følger av forskrift om behandling av saker etter lov om oppfinnelser av betydning for rikets forsvar. NSMs oppgaver er å motta søknader, avgjøre om en oppfinnelse er av betydning for rikets forsvar, involvere andre i saksbehandlingen, som primært Forsvarets forskningsinstitutt (FFI) og Patentstyret, treffe vedtak om avståelse eller begrensning i råderett, treffe vedtak om eller oppheve hemmelighold, pålegge beskyttelse, foreta ettersyn og rapportere til regelverksforvalter. I loven ivaretas også internasjonale forpliktelser Norge har på dette området knyttet til hemmelighold av patenter. 57
Målgruppen er oppfinnere, rettighetshavere, FFI, Patentstyret og Forsvarsdepartementet som regelverksforvalter.
Loven ble første gang vedtatt i 1953 og iverksatt 1. januar 1956. Den sentrale oppfølgingen av loven med tilhørende forskrift ble lagt til Forsvarets sikkerhetstjeneste og fulgte med til NSM da direktoratet ble etablert i 2003. Oppgaven ble vurdert å ha nær tilknytning til sikkerhetsloven og omfattet sivile/private målgrupper. Benevnelsen Forsvarets overkommando i forskriften er ikke endret, men oppgavene er fra 2003 ivaretatt av NSM. Forsvarsdepartementet gjennomførte i 2023 en høring av et forslag til lov om beskyttelse av norsk forsvarsteknologi og sikkerhetsgraderte patenter. 58 Den foreslåtte loven er ment å erstatte lov om oppfinnelser av betydning for rikets forsvar. Forslaget innebærer at NSMs oppgaver på dette feltet avgrenses til å gi råd. Myndighetsutøvelsen foreslås lagt til Forsvarsdepartementet med Forsvarsmateriell som saksforberedende organ.
Forskrift om kontroll med informasjon innhentet med luftbårne sensorsystemer
Grunnlag for oppgaven er hovedinstruksen.
Departementene fastsetter forbudsområder hvor det ikke er tillatt å bruke luftbårne sensorsystemer. Personer som skal betjene slike systemer over forbudsområder eller innhente informasjon om et forbudsområde, må ha tillatelse, være sikkerhetsklarert, ha lisens fra NSM og de må være ansatt i et leverandørklarert operatørselskap. NSM kan sette vilkår for å få lisens, kontrollere innholdet i informasjonen som innhentes og føre tilsyn med opptaksplattformer og sensorsystemer mv. Det følger av regelverket at NSM skal publisere oversikt over forbudsområder med angivelse av hvilke forbud som gjelder.
Målgruppen er departementene, brukere av sensorsystemer som flyfotografer og dronebrukere, leverandørklarerte operatørselskaper, Forsvarsdepartementet som regelverksforvalter.
Regler om kontroll med fotografering fra luften av hensyn til Forsvaret kom første gang i 1946. Disse ble fastsatt i forskriftsform i 1970 og hjemlet i lov om forsvarshemmeligheter. Den sentrale oppfølging av regelverket ble lagt til Forsvarets sikkerhetstjeneste. Oppgaven fulgte med over til NSM i 2003 fordi målgruppen omfattet sivile og private. Lov om forsvarshemmeligheter ble opphevet 1. oktober 2015. Lovhjemmel for ordningen ble først videreført i midlertidig lov om beskyttelse av og kontroll med geografisk informasjon av hensyn til rikets sikkerhet, og fra 2017 i lov om informasjon om bestemt angitte områder, skjermingsverdige objekter og bunnforhold. Virkeområdet til den sistnevnte loven ble utvidet slik at forbudsområdene ikke lenger bare skulle være knyttet til Forsvarets anlegg. Forskriften er i dag også hjemlet i sikkerhetsloven og i luftfartsloven.
Frivillig sertifiseringsordning for IT-sikkerhet i produkter og systemer (SERTIT)
Grunnlag for oppgaven er hovedinstruksen.
Ordningen skal bidra til å styrke tilliten og sikkerheten til IT-produkter og systemer i samfunnet. Ordningen er åpen og tilgjengelig for alle som ønsker å søke om sertifisering. SERTIT arbeider i dag etter to internasjonalt anerkjente rammeverk, Common Criteria og SOG-IS. Norge anerkjenner sertifikater som er utstedt under disse ordningene, og norske sertifikater anerkjennes også av andre land. I tillegg til å utstede sertifikater, godkjenner SERTIT i NSM evalueringsfirmaer og fører tilsyn med disse.
Målgruppen er produsenter og brukere av IT-produkter og løsninger, regelverksforvaltere og andre kravstillere, evalueringsfirmaer.
To sertifiseringsordninger ble foreslått av en arbeidsgruppe under Rådet for IT-sikkerhet (RITS) på slutten av 1990-tallet, én for IT-sikkerhet i organisasjoner og en for IT-sikkerhet i produkter og systemer. FO/S hadde kompetanse innen systemsikkerhet og ble i 1999 ansvarlig for den sistnevnte ordningen som fikk navnet SERTIT. NSM arvet SERTIT fra FO/S i 2003 fordi bruken av ordningen var konsentrert om sivil side. Til støtte for å drifte og utvikle ordningen var det tilknyttet en styringskomite, senere benevnt Fagråd. Dette fagrådet er nå nedlagt. Etterspørselen etter sertifisering under ordningen har vært begrenset, men sertifisering som metode antas å øke når den nokså nye cybersikkerhetsforordningen i EU tas inn i norsk rett. 59
Oppgaver i Nasjonalt beredskapssystem (NBS)
Grunnlag for oppgaven er hovedinstruksen
Nasjonalt beredskapssystem (NBS) omfatter Beredskapssystem for Forsvarssektoren (BFF) og Sivilt beredskapssystem (SBS). Disse er koordinert innbyrdes og med NATO Response System Manual (NRSM). NBS inneholder også tiltak for å forsterke den defensive forebyggende sikkerheten. NSM bidrar til å utvikle disse sikkerhetstiltakene og har i tillegg ansvar for i visse situasjoner å iverksette bestemte forhåndsdefinerte handlinger for å forsterke sikkerheten.
Sikkerhetsloven skal virke i fredstid, ved krise og i krig. Virksomheter har et ansvar for å sikre egen aktivitet og egne verdier også under situasjoner med økt trusselnivå. Nasjonalt beredskapssystem (NBS) gir rammer for hvordan forsterket egenbeskyttelse kan oppnås. Vedtak om tiltak kan etter tiltakenes art og omstendighetene for øvrig fattes i virksomheter, på sektornivå og på nasjonalt nivå. NBS inneholder også andre beredskapstiltak for økt sikkerhet. 60
Målgruppen er departementer og virksomheter som er omfattet av sikkerhetsloven, Justis- og beredskapsdepartementet og Forsvarsdepartementet som eiere av NBS, Forsvaret og Direktoratet for samfunnssikkerhet og beredskap (DSB) som sentrale utøvere innenfor BFF og SBS.
NSM fikk ved etableringen i 2003 med seg oppgaver med å følge opp sikkerhetstiltakene i Nasjonalt beredskapssystem (NBS). Begrunnelsen for dette var knytningen til sikkerhetslovens bestemmelser om virksomhetenes plikt til å utvikle tiltak for økt sikkerhet i krisesituasjoner.
Støtte norsk kryptoindustri
Grunnlag for oppgaven er hovedinstruksen.
NSM og norsk kryptoindustri samarbeider om utvikling av kryptoutstyr og produkter for nasjonale behov. Norsk kryptoindustri selger utstyr og produkter også til andre land og til internasjonale organisasjoner som NATO. NSM understøtter dette på ulike måter, herunder gjennom kontakt med sikkerhetsmyndigheter i andre land, ved å bistå ved avtaleinngåelser og med støtte ved kurertransporter mv.
Målgruppen er kryptoindustrien.
Av beredskapshensyn har det i hele etterkrigstiden vært en målsetting å være uavhengig av andre land på dette området. Derfor er det blitt opprettet en ordning for å støtte norsk kryptoindustri.
4.3.2 Andre oppgaver som har kommet til etter 2003
Allvis NOR – fra 2014
Oppgaven er omtalt i NOU i 2015, 61 i stortingsmelding fra Justis- og beredskapsdepartementet i 2017, 62 og i budsjettproposisjon for Justis- og beredskapsdepartementet for 2018. 63
Allvis NOR er et automatisert system for å kartlegge sårbarheter ved virksomheters tilknytning til internett. Systemet benytter en såkalt portskanner til å identifisere hvilke tjenester som er eksponert for utnyttelse. Det gjøres automatiserte tester for å avdekke hvilken programvare som er benyttet i tjenestene. Denne testingen gjøres jevnlig og oppdateres med informasjon om eventuelle nye sårbarheter som NSM gjøres kjent med. Når det avdekkes en sårbarhet ved hjelp av Allvis NOR, sender NSM et varsel til virksomheten.
Allvis NOR er en gratis og samtykkebasert tjeneste som i dag primært tilbys virksomheter underlagt sikkerhetsloven. Allvis NOR er en tjeneste som også inngår i VDI-avtalene. Allvis NOR gir myndighetene innsikt i sikkerhetstilstanden på internett og bidrar til at utviklingen kan følges over tid. Allvis NOR er et supplement til ordinær inntrengingstesting.
Målgruppen er virksomheter underlagt sikkerhetsloven og virksomheter som eier eller forvalter samfunnsviktig infrastruktur eller tjenester.
Tjenesten kom i gang i november 2014 som et resultat av Dagbladets serie fra 2013/2014 «Null_CTRL». Serien handlet om sviktende datasikkerhet i private hjem, på arbeid og i det offentlige rom. Dagbladet benyttet nettjenesten Shodan for å kartlegge hvilke enheter som var koblet til Internett i Norge. Allvis NOR ble videreutviklet slik at det var mulig å avdekke den spesifikke sårbarheten som ble utnyttet av løsepengeviruset omtalt som «WannaCry» i mai 2017. Allvis NOR ble fremhevet som et viktig tiltak i planen til regjeringens strategi for digital sikkerhet fra 2019. 64
Det nasjonale fagmiljø for digital sikkerhet – fra 2014
Grunnlag for oppgaven er instruks for sjef Nasjonal sikkerhetsmyndighet fra 2014, tatt inn i hovedinstruksen til NSM i 2019.
NSM skal ifølge hovedinstruksen utføre en rekke oppgaver innen digital sikkerhet, herunder «vedlikeholde et særskilt risikobilde for digital sikkerhet som omfatter statssikkerhet, samfunnssikkerhet og individsikkerhet», og «foreslå tiltak, gi anbefalinger og fremme forslag til krav innen digital sikkerhet i samfunnet, samt følge opp med råd og veiledning». 65 Dette favner videre enn sikkerhetslovens virkeområde. NSM har innenfor rammen av dette oppdraget gjennom flere år utgitt en årlig, ugradert rapport om det digitale risikobildet. NSM har også utgitt grunnprinsipper for IKT-sikkerhet 66 og foreslått hvordan operativ hendelseshåndtering skal foregå i virksomheter, i sektorene og på nasjonalt nivå, jf. «Rammeverk for håndtering av IKT-hendelser» fastsatt av Justis- og beredskapsdepartementet. 67
Innen digital sikkerhet skal NSM etter hovedinstruksen også koordinere og legge til rette for en «hensiktsmessig samhandling» mellom myndigheter som har oppgaver innenfor forebyggende digital sikkerhet. NSM har blant annet etablert en egen koordineringsgruppe mellom myndigheter som driver IKT-tilsyn. NSM har videre tatt initiativ til å etablere en egen «toppledergruppe» mellom NSM og de mest berørte sektormyndighetene. Flere myndigheter er representert som partnere i Nasjonalt cybersikkerhetssenter (NCSC) i NSM (se omtale nedenfor). NSM støtter som sekretariat Justis- og beredskapsdepartementet med å drive Forum for digital sikkerhet. Hensikten med forumet er å sikre at strategiske spørsmål innen digital sikkerhet blir diskutert mellom private og offentlige myndigheter.
Målgruppen er allmennheten, departementene, sektormyndigheter, regelverksforvaltere, Justis- og beredskapsdepartementet i deres samordningsrolle for digital sikkerhet på sivil side.
NSMs rolle som det nasjonale fagmiljøet innen digital sikkerhet utover sikkerhetsloven bygger på oppgaven NSM hadde som sertifiseringsmyndighet for IT-sikkerhet i produkter og systemer, samt de operative oppgavene med å følge opp varslingssystemet for digital infrastruktur (VDI) og oppgaven som nasjonal responsfunksjon (NorCERT). NSM var også i en årrekke sekretariat for Koordineringsutvalget for informasjonssikkerhet (KIS) som nå er nedlagt.
Å gi NSM denne oppgaven hadde også sammenheng med at samordningsansvaret for IKT-sikkerhet på sivil side i 2013 ble flyttet fra det daværende Fornyings-, administrasjons- og kirkedepartementet (FAD) til Justis- og beredskapsdepartementet.
Boks 4.4 Ansvar for digital sikkerhet
Individer og virksomheter er selv ansvarlige for egen digital sikkerhet. Dette ansvaret kan håndteres på ulike måter.
Ved innkjøp av IKT-produkter tilbyr som oftest leverandøren også egne programvarer som skal bidra til å beskytte produktene mot digitale angrep el.
Større virksomheter har i tillegg gjerne egne avdelinger som følger opp den digitale sikkerheten. Noen inngår dessuten avtaler med selskaper som tilbyr tjenester innen digital sikkerhet.
Flere sektorovergripende og sektorspesifikke regelverk stiller krav til digital sikkerhet og hvordan den skal håndteres. Myndighetene som forvalter regelverkene, gir informasjon, råd og veiledning innen sine felt. Også forsikringsselskaper kan stille krav til digital sikkerhet i virksomheter.
NSM har også utarbeidet grunnprinsipper for IKT-sikkerhet som bidrar som informasjon og støtte for både individer, virksomheter, sektormyndigheter og regelverksforvaltere. Det er også andre kilder til mer spesialisert veiledning, nasjonalt og internasjonalt. Å finne fram til slik informasjon er trolig enklere for store virksomheter enn individer og små og mellomstore bedrifter. Ved digitale hendelser må individer og små og mellomstore bedrifter stort sett klare seg selv, men NorSIS i NSM er en ordning som rådgir denne målgruppen.
For virksomheter som er underlagt sikkerhetsloven, stilles det som nevnt særlig krav til sikkerheten, også digital sikkerhet. Virksomhetene er ansvarlige for å opprettholde en forsvarlig sikkerhet etter sikkerhetslovens krav. NSM informerer om risiko, veileder om hvordan kravene skal forstås, gir råd om tiltak, yter bistand, godkjenner og fører tilsyn.
NSM har i oppgave å være nasjonal responsfunksjon for alvorlige digitale angrep. Det er også etablert egne responsmiljøer i en rekke av samfunnets sektorer som sammen med kvalitetsgodkjente private sikkerhetsfirmaer kan gi virksomhetene bistand ved alvorlige hendelser. Disse møtes jevnlig i Nasjonalt cybersikkerhetssenter (NCSC) i NSM og oppdaterer hverandre om erfaringer, risiko og tiltak.
Oppgaver innen forebyggende sikkerhet i sin alminnelighet – fra 2014
Grunnlag for oppgaven er instruks for sjef Nasjonal sikkerhetsmyndighet fra 2014, tatt inn i NSMs hovedinstruks i 2019.
NSM skal vedlikeholde et helhetlig risikobilde innen forebyggende sikkerhet og produsere en årlig rapport om sikkerhetstilstanden, blant annet basert på trusselvurderinger fra Etterretningstjenesten og Politiets sikkerhetstjeneste. Den årlige rapporten benevnes «Risiko» med angivelse av årstall. NSM utarbeidet i 2015 og 2023 i tillegg en rapport med en utvidet tidshorisont tilpasset planprosesser for forsvarssektoren og det sivile samfunnssikkerhetsarbeidet. Disse rapportene ble kalt «Sikkerhetsfaglig råd». I disse rapportene foreslo NSM tiltak for å bedre sikkerhetstilstanden.
NSM samarbeider med andre relevante aktører og skal medvirke til at ansvarsforhold er avklart. Arbeid med forebyggende sikkerhet favner vidt og det skal søkes å unngå overlapp i myndighetsutøvelsen.
NSM skal i henhold til instruksen bidra til å styrke samfunnets kunnskap, forståelse, motivasjon og evne til å ivareta forebyggende sikkerhet og bidra til at departementene har et godt beslutningsgrunnlag for politikkutvikling på det forebyggende sikkerhetsområdet.
NSMs generelle informasjonsvirksomhet omfatter blant annet undervisning, foredragsvirksomhet, publisering av ulike graderte og ugraderte rapporter, aktiv bruk av web-siden, publisering av podcaster og kontakt med media. NSM har siden oppstarten i 2003 holdt en årlig sikkerhetskonferanse. Her holder også andre myndigheter, privat næringsliv og samarbeidspartnere i andre land presentasjoner. NSM informerer også ved å gi ut podcast-episoder.
Sjef NSM skal delta i det offentlige ordskiftet om NSM og forebyggende sikkerhet, og gi selvstendige høringsuttalelser i spørsmål om forebyggende sikkerhet generelt.
Målgruppen er Justis- og beredskapsdepartementet og Forsvarsdepartementet, andre myndigheter med sikkerhetsansvar, allmennheten.
Deteksjonssystem for falske basestasjoner – fra 2016
Grunnlag for oppgaven er presiseringer, endringer og tillegg (PET) nr. 23 til iverksettingsbrevet for langtidsperioden 2013-2016.
Deteksjonssystemet skal oppdage falske basestasjoner som kan bli brukt til sikkerhetstruende virksomhet mot skjermingsverdige verdier. Systemet innebærer et samarbeid med viktige teleoperatører. I tillegg samarbeider NSM med PST og Nasjonal kommunikasjonsmyndighet (NKOM). Systemet kan brukes både stasjonært og mobilt.
Målgruppen er teleoperatører, Nkom, politiet.
Oppdraget om å etablere deteksjonssystemet kom i 2016 etter en rekke oppslag i media. NSM fikk økt sin tildeling med om lag 11 millioner kroner for oppgaven. Justis- og beredskapsdepartementet ga i 2021 NSM i oppdrag å utvide dekningen.
Felles cyberkoordineringssenter (FCKS) – fra 2016
Dette er oppdrag fra Justis- og beredskapsdepartementet, omforent med Forsvarsdepartementet, datert 15. september 2016.
FCKS består av faste representanter for Etterretningstjenesten, Politiets sikkerhetstjeneste (PST), Kripos ved Nasjonalt cyberkrimsenter (NC3) og NSM. Senteret er plassert på Fornebu og ledes administrativt av NSM. Arbeidet til FCKS skal bidra til å styrke den samlede nasjonale evnen til å motstå alvorlige digitale angrep gjennom tidsriktig informasjonsdeling mellom partene, operativ koordinering og etablering og vedlikehold av et felles situasjonsbilde og en felles situasjonsforståelse. Deltakerne er alle representert i senteret på eget rettsgrunnlag. Aktiviteten i FCKS er nærmere regulert i Retningslinjer for cybersamarbeid som er fastsatt av sjefene for EOS-tjenestene og Kripos. 68
Målgruppen er deltakerne og politiske myndigheter er målgruppe for senterets produkter.
NSMs oppgaver med Varslingssystem for digital infrastruktur (VDI) og oppgaven som nasjonal responsfunksjon (VDI) springer ut av et mangeårig samarbeid mellom E-tjenesten, PST og NSM. Da VDI i 2003 ble lagt til NSM, ble samarbeidet mellom EOS-tjenestene videreført innenfor rammen av ulike koordineringsgrupper. 69 Dette samarbeidet har blitt gradvis mer utvidet og formalisert. I 2016 ble Felles cyberkoordineringssenter (FCKS) opprettet som et fast, samlokalisert fagmiljø bestående av representanter fra NSM, E-tjenesten, PST og nå også Kripos. Initiativet kom fra tjenestene selv, og disse har gitt felles retningslinjer for cybersamarbeidet hvor FCKS inngår. Disse ble senest revidert i 2022. Senteret er omtalt i Nasjonal strategi for digital sikkerhet fra 2019.
Nasjonalt cybersikkerhetssenter (NCSC) – fra 2019
Grunnlag for oppgaven er tildelingsbrev til NSM for 2019.
Senteret bidrar til en fast struktur for samarbeid om digital sikkerhet mellom både ulike myndigheter og virksomheter.
Senteret er organisert etter mønster av tilsvarende sentre i andre land, se kapittel 8. Senteret består av medlemmer fra næringsliv, akademia, Forsvaret og sivil offentlig sektor. Det er en arena for nasjonalt og internasjonalt samarbeid om deteksjon, håndtering, analyse og rådgiving innen digital sikkerhet. VDI og den nasjonale responsfunksjonen, begge oppgaver etter sikkerhetsloven § 2-4, er del av NCSC.
I dag deltar 62 eksterne partnere i senteret. Nettverket med partnere er delt inn i målgrupper for å nå bedre ut med informasjon som er tilpasset den enkelte virksomheten.
Målgruppen er virksomheter omfattet av sikkerhetsloven, medlemmer av VDI-samarbeidet, utpekte sektorvise responsmiljøer (SRM), medlemmer av NSMs kvalitetsordning for hendelseshåndtering, virksomheter av avgjørende betydning for kritisk digital infrastruktur.
NSM opprettet Nasjonalt cybersikkerhetssenter (NCSC) i 2019. Arbeidet med opprettelsen var omtalt i NOU 2018: 14 om IKT-sikkerhet som ble lagt fram 3. desember 2018 70 og i Nasjonal strategi for digital sikkerhet 2019. 71
Nasjonalt kontaktpunkt for motvirkning av sikkerhetstruende økonomisk virkemiddelbruk – fra 2021
Oppgaven ble kunngjort av Justis- og beredskapsministeren i Stortinget 19. mai 2021. Tildelingsbrev for 2022 omtaler at NSM har denne oppgaven. Det samme gjør Justis- og beredskapsdepartementets retningslinjer fra 2022 for behandling av saker om sikkerhetstruende økonomisk aktivitet.
NSM er nasjonalt kontaktpunkt for meldinger om oppkjøp og investeringer som kan true nasjonale sikkerhetsinteresser. Dette innebærer at NSM skal kunne motta varsler når det er mistanke om eller det oppdages pågående eller planlagt sikkerhetstruende økonomisk virksomhet. NSM vil så informere rett departement som vil vurdere vedtak etter følgende bestemmelser i sikkerhetsloven:
- § 9-4 som kan stanse eller sette vilkår for anskaffelse til skjermingsverdig informasjonssystem, objekt og infrastruktur
- § 10-3 som kan stanse eller sette vilkår for erverv av virksomheter underlagt sikkerhetsloven
- § 2-5 som kan hindre sikkerhetstruende virksomhet eller annen planlagt eller pågående aktivitet som kan innebære en ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser blir truet
Kontaktpunktet koordinerer informasjonsinnhenting fra andre, aktuelle etater og bidrar til at departementet får tilgang til et beslutningsgrunnlag med et tilstrekkelig kvalitetsnivå.
Kontaktpunktet gir videre råd og veiledning til virksomheter som skal gjennomføre eller har gjennomført en sikkerhetsgradert anskaffelse der det er grunner for å undersøke nærmere hvorvidt det er innslag av utenlandske interesser i verdikjeden.
Som kontaktpunkt skal NSM ivareta behovet for kapasitet, kunnskapsutvikling/forskning og videreutvikling av screeningmekanismen på sikt.
Målgruppen er beslutningstakere (departementer, regjeringen), meldere (virksomheter, enkeltpersoner), bidragsytere (øvrige EOS-tjenester, andre myndigheter).
I Norge har en screeningmekanisme vært under utvikling siden sikkerhetsloven trådte i kraft i 2019. Mekanismen består i dag av et nettverk mellom departementer ledet av Justis- og beredskapsdepartementet og et nettverk mellom etater ledet av NSM. Oppgaven som nasjonalt kontaktpunkt i NSM kom til etter saken om det mulige salget av Bergen Engines AS til et firma med russiske eierinteresser.
Deltakelse i Nasjonalt etterretnings- og sikkerhetssenter (NESS) – fra 2022
Oppgaven er omtalt i tildelingsbrev til NSM for 2023.
E-tjenesten, NSM, PST og det øvrige politiet samarbeider i NESS for å forstå sammensatte trusler og sårbarheter. I senteret utarbeides vurderinger og anbefalinger om tiltak. Etableringen av NESS kommer i tillegg til og endrer ikke FCKS sitt mandat.
Målgruppen er departementene.
Det er lang tradisjon for samarbeid mellom EOS-tjenestene. I og med opprettelsen av Felles kontraterrorsenter i 2014 mellom E-tjenesten og PST 72 , og opprettelsen av Felles cyberkoordineringssenter (FCKS) i 2017, fikk dette samarbeidet fastere rammer. I FCKS deltar også NSM og Politiet ved Kripos. Regjeringen besluttet i november 2022 å opprette et nasjonalt etterretnings- og sikkerhetssenter (NESS).
Utvikle og drifte nasjonal myndighetsportal og støtteverktøy for digital sikkerhet – fra 2023
Grunnlag for oppgaven er supplerende tildelingsbrev 2 og 4 til NSM for 2022 og tildelingsbrev for 2023, 2024, og 2025.
Myndighetsportalen skal være en felles inngangsport for ulike brukergrupper, men utformet slik at alle får ensartede råd tilpasset sin brukergruppe. NSM skal lede og koordinere arbeidet med utarbeidelsen av innholdet i portalen.
Støtteverktøyet for digital sikkerhet skal tilbys alle norske virksomheter gjennom nasjonal portal for digital sikkerhet. Verktøyet skal bidra til arbeidet med digital sikkerhet hos virksomhetene, herunder gjøre det lettere å evaluere egen sikkerhetstilstand. NSM skal i utviklingen se hen til liknende løsninger som er utarbeidet i markedet eller av andre i offentlig sektor, og det skal vurderes muligheter for samarbeid.
Målgruppen er alle norske virksomheter og ulike brukergrupper.
I Prop. 78 S (2021–2022) om økonomiske tiltak som følge av krigen i Ukraina ble det lagt planer for å utvikle en myndighetsportal og støtteverktøy for digital sikkerhet som skal tilbys alle norske virksomheter.
I NSMs tildelingsbrev for 2023 står det at NSM skal etablere, forvalte og drifte portalen. Ifølge tildelingsbrevet for 2024 ble rammene for dette arbeidet endret sammenliknet med forutsetningene i Prop. 78 S (2021–2022). Det skal hentes ut gevinster ved å redusere antallet statlige nettsider om digital sikkerhet og driften av disse.
Nasjonalt senter for anvendt kryptologi – fra 2023
Grunnlag for oppgaven er tildelingsbrev til NSM for 2022 og 2023.
Senteret skal samle fagpersoner fra myndigheter, akademia og industri for å utvikle og ta i bruk sikkerhetsløsninger som ligger i front av teknologiutviklingen på dette området. Senteret skal bidra til at Norge opprettholder og videreutvikler nasjonal kryptokompetanse og til å gjøre Norge bedre rustet til å møte fremtidens utfordringer innen kryptologi og opprettholde vår internasjonale posisjon. NSMs oppgraderte kryptolaboratorium er en viktig del av senteret. Forsvarsdepartementet har gitt en omfattende tildeling for kryptolaboratoriet over 5 år (2020–2024) for oppgradering og utrustning.
Målgruppen er representanter for myndigheter, akademia og industrien som er involvert i kryptoutvikling.
Trekantsamarbeid mellom myndighetene, industri og akademia har eksistert på kryptofeltet i hele etterkrigstiden. Opprettelsen av senteret i NSM styrker og intensiverer samarbeidet. Det nasjonale senteret ble etablert etter initiativ fra NSM.
Nasjonalt koordineringssenter for forskning og innovasjon innen cybersikkerhet (NCC-NO) – fra 2024
Grunnlag for oppgaven er tildelingsbrev til NSM for 2023.
Senteret er etablert av NSM og Norges forskningsråd (NFR) for å drive veiledning om søknader på forsknings- og investeringsmidler fra EU og nasjonalt. Senteret skal også drive delvis fordeling av slike midler. Senteret skal støtte forvaltningen av EU-midler til cybersikkerhet fra Horisont Europa og DIGITAL, samt andre finansieringsprogrammer i perioden frem til og med 2027. Oppgavefordelingen mellom NFR og NSM er regulert i Norges søknad til EU-kommisjonen fra november 2022. Senteret samarbeider med andre miljøer for å styrke arbeidet med forskning, innovasjon og kompetanse innenfor digital sikkerhet. Dette tiltaket følger opp EUs forordning om å opprette et nettverk av nasjonale koordineringssentre for digital sikkerhet i medlems- og EØS-landene. En viktig oppgave for senteret er å fremme og gi veiledning til søkere ved utlysninger av prosjekter i de europeiske investeringsprogrammene DIGITAL og Horisont Europa innenfor cybersikkerhetsrelaterte utlysninger.
Målgruppen er mulige søkere på forsknings- og investeringsmidler fra EU og nasjonalt.
Koordineringssenteret ble etablert i 2024.
Drift av Norsk senter for informasjonssikring (NorSIS) – fra 2024
Grunnlag for oppgaven er supplerende tildelingsbrev nr. 4/2023.
NorSIS-funksjonen i NSM skal utarbeide og formidle råd og veiledning til allmennheten og små- og mellomstore bedrifter (SMB). Formålet er å bidra til økt kunnskap om digital sikkerhet hos målgruppen(e) ved å bevisstgjøre om trusler og sårbarheter, opplyse om tiltak og påvirke til gode holdninger og sikker atferd. Med innbyggere menes både enkeltindivider som privatpersoner og ansatte i virksomheter. Produkter, råd og veiledning som produseres av NorSIS, skal være åpne og tilgjengelige for alle gjennom en egen hjemmeside.
Med virksomhetsoverdragelsen følger ansvaret for
- Å gjennomføre nasjonal sikkerhetsmåned, den årlige kampanjen for økt oppmerksomhet om digital sikkerhet. Av dette følger at NSM/NorSIS er Norges ansvarlige partner i ECSM «European Cyber Security Month» i regi av European Union Agency for Cyber security (ENISA). NSM/NorSIS skal tilrettelegge og koordinere aktiviteten mellom norske aktører.
- Å etablere og videreutvikle møteplasser og arenaer for å bygge kompetanse og erfaring, samt synliggjøre viktige tiltak for bedret digital sikkerhet for målgruppen.
- Å videreføre råd- og veiledningstjenesten slettmeg.no med eventuelle relevante samarbeidspartnere.
- Å følge opp de delene av Nasjonal strategi for digital sikkerhet og Nasjonal strategi for digital sikkerhetskompetanse som tillegges NorSIS.
Målgruppen er primært allmennheten, sekundært SMB-markedet.
NorSIS ble opprinnelig opprettet som et prøveprosjekt med Senter for informasjonssikring (SIS) i 2002. SIS var tilknyttet SINTEF og med daværende Uninett og Institutt for telematikk ved NTNU som deltakere. Det ble igangsatt på initiativ fra Nærings- og handelsdepartementet.
I 2006 reetablerte regjeringen senteret fast under navnet NorSIS som det nasjonale kontaktpunktet for informasjonssikkerhet for små og mellomstore bedrifter, offentlig sektor og privatpersoner. Dette var samtidig med at NorCERT ble etablert som en fast ordning i NSM. Etableringen av NorSIS og NorCERT ble av regjeringen presentert som en samlet satsing. NorSIS ble flyttet fra Trondheim til Gjøvik.
Gi råd til kommuner om digital sikkerhet – fra 2024
Grunnlag for oppgaven er oppdragsbrev 1 og tildelingsbrev til NSM for 2024.
NSM skal gi råd til kommuner om digital sikkerhet.
Målgruppen er kommuner og fylkeskommuner.
Justis- og beredskapsdepartementet bestemte 25. januar 2024 at ansatte i Nasjonalt senter for informasjonssikkerhet i kommunene (Kommune-CSIRT) skulle tilbys ansettelse i NSM. Dette ble bestemt i forbindelse med at sektorvist responsmiljø ble opprettet for kommunesektoren ved HelseCERT. Ressursen skulle ha arbeidssted på Gjøvik og konkrete oppgaver for den enkelte stilling ville være del av overdragelsesprosessen.
4.4 Oppgaver «på vei inn til» NSM
4.4.1 Lov om digital sikkerhet
Lov om digital sikkerhet (digitalsikkerhetsloven) ble vedtatt i 2023, men har ikke trådt i kraft i påvente av at forskrift til loven skal bli ferdig. NSM er i forslaget til forskrift gitt flere oppgaver. 73
Loven skal innarbeide det såkalte NIS-direktivet fra EU i norsk rett. NIS-direktivet regulerer tiltak for å understøtte et høyt felles nivå for sikkerhet i nettverks- og informasjonssystemer i EU og EØS. Direktivet pålegger medlemsstatene blant annet å lage en strategi for sikkerhetsarbeidet, etablere en IKT-sikkerhetsberedskapsenhet (CSIRT) og pålegge tilbydere av samfunnsviktige tjenester IKT-sikkerhetskrav og varslingsplikt ved alvorlige IKT-sikkerhetshendelser. De oppgaver som er foreslått for NSM, er i stor grad oppgaver som er parallelle til de NSM allerede har etter sikkerhetsloven. NSM skal holde oversikt over tilbydere av samfunnsviktige tjenester, motta varsler om hendelser, inneha rollen som nasjonalt responsmiljø, veilede om risikovurderinger, være nasjonalt kontaktpunkt mot andre land og EU og utføre enkelte oppgaver overfor virksomheter der disse ikke er underlagt noe departement.
NSM deltar internasjonalt i NIS Coordination Group, 74 og i kommisjonsarbeidsgruppen Cybersecurity Comittee. 75 NSM skal også representere Norge i European Cybersecurity Certification Group (ECCG) og European Cybersecurity Certification Committee (ECCC).
4.4.2 Kompetent PRS-myndighet
Galileos offentlige regulerte tjenester (PRS) er tjenester i satellittnavigasjonsprogrammet Galileo for brukere myndighetene har autorisert og som har særlig behov for robust tilgang uten avbrudd. 76
Med tilgang til PRS vil brukere kunne benytte Galileo til å navigere med og bestemme posisjon og tid under forhold der den åpne tjenesten er degradert eller utilgjengelig på grunn av signalforstyrrelser. PRS skal gi like god nøyaktighet som den åpne tjenesten, men ha vesentlig større motstandsdyktighet mot såkalt jamming og narring. Det har sammenheng med at tjenesten benytter egne frekvenser med krypterte signaler. Norge har forhandlet med EU om tilgang til tjenesten siden 2017.
Et resultat av avtalen vil være at det etableres en «Competent PRS Authority (CPA)» i Norge. CPA skal forvalte og kontrollere bruken av Galileo PRS, samt følge opp og føre kontroll med industri som utvikler eller produserer PRS-mottakere. Når avtalen om Galileo PRS er på plass, er NSM tiltenkt oppgaven med å være kompetent PRS-myndighet i Norge (Competent PRS Authority). 77
4.5 Oppgavene til NSM – en oppsummering
Som omtalt i dette kapittelet, har NSM fått flere oppgaver over tid. I figur 4.2 er oppgavene gruppert omtrent etter samme gruppering som omtalen over. Figuren er inspirert av figur 3.1 og inndelt i områdene statssikkerhet, samfunnssikkerhet, nasjonal sikkerhet og individets sikkerhet.
Figur 4.2 NSMs oppgaver og nasjonal sikkerhet, statssikkerhet, samfunnssikkerhet og individets sikkerhet 1)
1) Ikke alle NSMs oppgaver er tatt med. Plasseringen av de ulike gruppene antyder hvilke områder i arbeidet med sikkerhet de dekker, men den kan ikke bli helt nøyaktig.
Den øverste gruppen med oppgaver i figuren er de som følger av sikkerhetsloven. Sikkerhetsloven er en lov om nasjonal sikkerhet . Enkelte oppgaver i loven har likevel et noe bredere nedslagsfelt en nasjonal sikkerhet.
Da NSM ble opprettet, arvet NSM flere oppgaver fra Forsvaret. Disse fremkommer i den andre gruppen oppgaver. Formålet for flere av disse er at de først og fremst skal ivareta statssikkerheten, som er noe smalere enn nasjonal sikkerhet. Enkelte av oppgavene som NSM arvet, omfatter også samfunnssikkerhetsområdet. Sertifiseringsordningen SERTIT, kan strekke seg ut i området for individets sikkerhet.
I 2014 ble det tatt inn i hovedinstruksen at NSM skal være « det nasjonale fagmiljøet for digital sikkerhet ». NSM hadde allerede da hatt oppgaver innen digital sikkerhet, også etter sikkerhetsloven. Oppgaven som følger av å være «det nasjonale fagmiljøet for digital sikkerhet» favner vidt. NSMs hovedinstruks sier blant annet at NSM skal vedlikeholde et særskilt risikobilde for digital sikkerhet «som omfatter statssikkerhet, samfunnssikkerhet og individsikkerhet», foreslå tiltak og gi anbefalinger mv.
Den fjerde gruppen omhandler oppgaver med forebyggende sikkerhet som også ble tatt inn i hovedinstruksen i 2014. Blant annet skulle NSM gi støtte og råd til Justis- og beredskapsdepartementet og Forsvarsdepartementet og gi ut en årlig rapport om risikobildet.
Videre fikk NSM flere nye oppgaver innen digital sikkerhet i 2024. Blant disse var å opprette et nasjonalt koordineringssenter for cybersikkerhet sammen med Norges forskningsråd, overta kommuneCSIRTs oppgave med å gi råd til kommunene om digital sikkerhet og å ta over NorSIS på Gjøvik.