Utvalgte hurtiglenker

    Rapporter, planer og strategier

    Nasjonal sikkerhetsmyndighet – oppgaver og styring

    Til innholdsfortegnelse
    Neste kapittel
    Forrige kapittel

    6 Tilgrensende myndigheter

    Mandatet ber utvalget vurdere om grensesnittet mot andre, tilgrensede statlige virksomheter er «tilstrekkelig avklart og effektivt organisert». Dersom noen av dagens oppgaver «dupliseres eller av andre grunner kan utføres av andre på en mer hensiktsmessig og effektiv måte», bør disse vurderes overført. Utvalget skal konsentrere oppmerksomheten sin om «de mest tilgrensede og eventuelt overlappende» oppgavene og virksomhetene. Tilsvarende skal utvalget også vurdere om det er oppgaver som bør overføres til NSM der dette vil bidra til å samle nasjonal innsats på viktige områder, eller om det er oppgaver som kan løses i partnerskap med næringslivet.

    Virksomhetene som omtales nedenfor, er ikke uttømmende for hvilke som har grenseflater mot NSM. De vurderes imidlertid å være blant de mest sentrale.

    Figur 6.1 NSM har en sentral plass i arbeidet med forebyggende sikkerhet 1)

    1) Mange aktører er involvert i arbeidet med forebyggende sikkerhet. Figuren er en forenkling av virkeligheten. Figuren viser sentrale myndigheter og virksomheter som tar del i dette arbeidet, fra regjeringen og ned til enkeltvirksomheter. Den ovale figuren markerer at NSM sammen med E-tjenesten og PST er en av EOS-tjenestene. Det er oppgaver både innenfor og utenfor sikkerhetslovens virkeområde. Forkortelsene i figuren er forklart i vedlegg 2.

    6.1 EOS-tjenestene

    Etterretnings-, overvåkings- og sikkerhetstjenestene (EOS-tjenestene) omfatter Etterretningstjenesten (E-tjenesten), Politiets sikkerhetstjeneste (PST) og Nasjonal sikkerhetsmyndighet (NSM). De kalles også de hemmelige tjenester, og skal alle bidra til å verne rikets sikkerhet. Nedenfor omtales E-tjenesten og PST nærmere. De er begge sentrale samarbeidspartnere for NSM.

    6.1.1 Etterretningstjenesten (E-tjenesten)

    E-tjenesten er Norges utenlandsetterretningstjeneste og har som oppgave å skaffe rettidig, pålitelig og relevant informasjon som beslutningsgrunnlag for militære og sivile myndigheter. Norsk utenlandsetterretning er et sikkerhetspolitisk virkemiddel som skal bidra til å beskytte Norges suverenitet, territorielle integritet, demokratiske styreform og andre nasjonale sikkerhetsinteresser. E-tjenestens hovedoppdrag er å varsle om ytre trusler mot Norge og nasjonale sikkerhetsinteresser, støtte Forsvaret, allierte og partnere, samt understøtte politiske beslutningsprosesser med informasjon av betydning for norsk utenriks-, sikkerhets- og forsvarspolitikk. 83

    E-tjenesten er en del av Forsvaret og underlagt Forsvarsdepartementet. E-tjenestens oppgaver følger av lov om etterretningstjenesten (etterretningstjenesteloven). E-tjenesten sikkerhetsklarerer eget personell.

    E-tjenesten bidrar med etterretning og vurderinger av trusler til både NSM og PST. NSM bruker informasjonen i sine risikovurderinger og til å videreutvikle sikkerhetstiltak. Slik informasjon kan også lede til at forhåndsplanlagte beredskapstiltak om økt sikkerhet iverksettes.

    E-tjenesten deltar sammen med NSM, PST og Kripos i Felles cyberkoordineringssenter (FCKS) som ble etablert i 2017, se også kapittel 4. FCKS er et samarbeid for å dele informasjon og koordinere håndtering av alvorlige cyberhendelser. Partene deltar i samarbeidet på eget rettsgrunnlag. FCKS ledes administrativt av NSM. Samarbeidet er regulert i avtale mellom partene. 84 Sjefene for de deltakende partene igangsatte våren 2024 et arbeid for å videreutvikle cybersamarbeidet. FCKS er en del av dette.

    E-tjenesten deltar også i samarbeidsorganet Nasjonalt etterretnings- og sikkerhetssenter (NESS) sammen med NSM, PST og det øvrige politiet. NESS ble opprettet i 2022 av Justis- og beredskapsdepartementet i samråd med Forsvarsdepartementet med formål å styrke nasjonal evne til å identifisere, bygge forståelse for og gi beslutningsstøtte til sammensatte trusler. Senteret ledes administrativt av PST. Samarbeidet i NESS er regulert i felles retningslinjer vedtatt av sjefene for EOS-tjenestene og politidirektøren. 85 Samarbeidet er i 2024 blitt evaluert og skal videreutvikles.

    6.1.2 Politiets sikkerhetstjeneste (PST)

    PSTs primære ansvar er å forebygge, avverge, håndtere, etterforske og iretteføre de mest alvorlige truslene mot rikets sikkerhet og grunnleggende nasjonale interesser. Som ledd i dette, skal tjenesten identifisere, vurdere og håndtere trusler fra fremmede staters virkemiddelbruk i Norge. Det kan dreie seg om etterretningsoperasjoner, sabotasje eller påvirkningsoperasjoner. I tillegg skal tjenesten forebygge og avverge terrorhandlinger i Norge. PSTs ansvar gjelder både i det fysiske og det digitale domenet. Tjenesten utarbeider analyser og trusselvurderinger som underlag for myndighetenes og andre aktørers beslutninger. PST har også ansvaret for livvakttjenesten for myndighetspersoner. 86 PST er både en innenlands etterretningstjeneste, en polititjeneste og en sikkerhetstjeneste. 87

    PST er underlagt Justis- og beredskapsdepartementet. Samfunnsoppdraget følger av politiloven § 17 og utfyllende regler om PSTs virksomhet er fastsatt i Instruks for politiets sikkerhetstjeneste med hjemmel i politiloven. 88 PST består av Den sentrale enhet (DSE) og elleve distriktsenheter, én i hvert politidistrikt. Etterforskning og straffesaksbehandling innenfor PSTs område er underlagt riksadvokatens faglige ledelse. 89

    Mens PST arbeider med å avdekke og forebygge sikkerhetstrusler innenfor landets grenser, har NSM ansvaret for å identifisere risiko og sårbarheter som kan utnyttes av fiendtlige trusselaktører. PST skal forebygge og avverge at en aktør gjennomfører spionasje, sabotasje, terrorhandlinger mv. NSM skal blant annet gjennom krav, informasjon, veiledning mv. legge til rette for at virksomhetene selv sikrer sine objekter, infrastruktur, systemer, informasjon og aktiviteter mot det samme, se nærmere omtale av NSMs oppgaver i kapittel 4.

    Begge etatene gir råd om tiltak som myndigheter og virksomheter kan iverksette for å ivareta den nasjonale sikkerheten. NSM veileder innenfor fagområdene fysisk sikkerhet, personellsikkerhet, digital sikkerhet og sikkerhetsstyring, mens PST blant annet gir råd om tiltak for å ivareta virksomheters og myndighetspersoners sikkerhet i særskilte situasjoner, herunder politioperative sikkerhetstiltak. 90 PST skal også gi råd til myndigheter og virksomheter. Her kan det være gråsoner mot NSMs plikt til å veilede og å gi råd, og PST og NSM inngikk i 2020 en avtale om koordinering av virksomhetenes sikkerhetsfaglige rådgiving mot felles målgrupper. 91

    PST og NSM bidrar til hverandres oppgaveløsning. PST er en viktig kilde til opplysninger for NSMs arbeid med å klarere leverandører etter sikkerhetsloven og til NSMs personkontroll som grunnlag for sikkerhetsklareringer. Videre er PSTs vurdering av trusselbildet et viktig underlag for NSMs anbefalinger om tiltak for å oppnå «forsvarlig sikkerhet» i virksomhetene. PST har ansvaret for sikkerhetsklarering av eget personell.

    PST har videre ansvar for å forebygge og etterforske brudd på sikkerhetsloven og har dermed en grenseflate mot NSMs ansvar for forebyggende sikkerhet etter sikkerhetsloven.

    PST er administrativ leder av NESS og deltar i FCKS, jf. nærmere omtale i avsnitt 6.1.1 om Etterretningstjenesten. Det er også etablert et felles etterretnings- og kontraterrorsenter (FEKTS) for å styrke samarbeidet mellom PST og E-tjenesten. FEKTS er regulert i en egen instruks om samarbeidet mellom E-tjenesten og PST. 92 NSM deltar ikke i FEKTS.

    6.2 Politiet

    Politiets hovedoppgaver er å opprettholde alminnelig orden, forebygge og forhindre straffbare handlinger, beskytte borgerne og deres lovlydige virksomhet samt etterforske og forfølge straffbare lovbrudd. 93

    Politiet er underlagt Justis- og beredskapsdepartementet og samfunnsoppdraget er definert i politiloven. Politiet er organisert i et direktorat (Politidirektoratet) med tolv underliggende politidistrikter og fem særorgan med nasjonale oppgaver. Etterforskningen av straffesaker ledes av den uavhengige påtalemyndighet under riksadvokatens overordnede ledelse. Ingen kan instruere påtalemyndigheten i enkeltsaker eller omgjøre en påtaleavgjørelse.

    Politiets trusselvurderinger bidrar til felles situasjonsforståelse av kriminalitetsutfordringene samfunnet står overfor. Politiets vurderinger kommer i tillegg til de nasjonale trusselvurderingene fra PST og E-tjenesten. I tillegg utgir Kripos en egen trusselvurdering om cyberkriminalitet. 94

    Kripos er politiets nasjonale enhet for bekjempelse av organisert og annen alvorlig kriminalitet. Enheten har oppgaver som både grenser mot NSMs rolle som nasjonalt fagmiljø for digital sikkerhet og mot NSMs rolle som nasjonal responsfunksjon ved alvorlige digitale angrep. I 2019 etablerte Kripos Nasjonalt cyberkrimsenter (NC3) som en egen avdeling. Senteret er et nasjonalt kunnskaps- og kompetansesenter innen teknologirelaterte politioppgaver. Hovedoppgaver er å bekjempe cyberkriminalitet gjennom etterretning, metodeutvikling, forebygging, etterforskning, sikring av digitale spor og patruljering på nett. Senteret skal fremme informasjonsdeling og samvirke mellom private og statlige sikkerhetsaktører nasjonalt og internasjonalt. Målet er å være nasjonalt og internasjonalt ledende i å avdekke og bekjempe trusler og kriminalitet i det digitale rom. 95 NC3s oppdrag har grenseflater mot PSTs ansvar for å etterforske alvorlig kriminalitet som kan true den nasjonale sikkerheten.

    NC3 i Kripos og Nasjonalt cybersikkerhetssenter (NCSC) i NSM skal begge bidra til å styrke den nasjonale innsatsen i det digitale domenet. NSM bistår med støtte til å gjenopprette sikker tilstand ved cyberhendelser, samt forhindre ytterligere spredning av skadeomfang, se nærmere omtale i kapittel 4. Kripos har ansvar for å etterforske hendelser.

    Det er vanskelig å avgjøre om en cyberhendelse skyldes et uhell, feil i eget system eller en villet handling rett etter at cyberhendelsen har inntruffet. I denne fasen er det behov for utstrakt samarbeid og løpende koordinering mellom NSM, Kripos og PST for å avklare ansvarsforhold. Her er de etablerte koordineringssentrene viktige. Kripos deltar i det løpende operative samarbeidet i både FCKS og i NESS. Dersom det er en villet handling, kan det være vanskelig å vite hvem som står bak: aktivister, en kriminell, kriminelt nettverk, statlige aktører, terrorister eller andre. Politiet og/eller PST har ansvar for videre undersøkelse av cyberangrepet. Om det er politiet eller PST som har ansvaret for videre etterforskning vil være avhengig av hvem man antar står bak handlingen.

    6.3 Direktoratet for samfunnssikkerhet og beredskap (DSB)

    Direktoratet for samfunnssikkerhet og beredskap (DSB) skal ha oversikt over risiko og sårbarheter i samfunnet og være en pådriver i arbeidet med å forebygge ulykker, kriser og andre uønskede hendelser. 96 DSB skal bidra til god sivil beredskap og effektiv ulykkes- og krisehåndtering. DSB er på vegne av Justis- og beredskapsdepartementet fag-, forvaltnings- og tilsynsorgan på sentrale deler av samfunnssikkerhetsområdet. DSB er nasjonal brannmyndighet, elsikkerhetsmyndighet og fagmyndighet for håndtering av farlige stoffer, eksplosiver og transport av farlig gods. DSB ivaretar også statens eierskap til infrastrukturen i Nødnett, og er tjenesteleverandør for brukerne av nødnett.

    Sivilforsvaret, Brann- og redningsskolen og DSBs kurssenter er underlagt DSB. I tillegg styrer direktoratet statsforvalterne på samfunnssikkerhetsområdet på vegne av Justis- og beredskapsdepartementet.

    DSB forvalter følgende lover med tilhørende forskrifter:

    • lov om vern mot brann, eksplosjon og ulykker med farlig stoff og om brannvesenets redningsoppgaver (brann- og eksplosjonsvernloven)
    • lov om tilsyn med elektriske anlegg og elektrisk utstyr (el-tilsynsloven)
    • lov om kontroll med produkter og forbrukertjenester (produktkontrolloven)
    • lov om kommunal beredskapsplikt, sivile beskyttelsestiltak og Sivilforsvaret (sivilbeskyttelsesloven)

    DSBs brede ansvar har dels sammenheng med at DSB er et resultat av at flere andre direktorater er slått sammen, se boks 6.1.

    Boks 6.1 Historie og oppgaver for Direktoratet for samfunnssikkerhet og beredskap (DSB)97

    Direktoratet for samfunnssikkerhet og beredskap (DSB) ble opprettet i 2003 som et resultat av at Direktoratet for brann- og elsikkerhet (DBE) ble slått sammen med Direktoratet for sivilt beredskap. Før dette er det en lang historie med sammenslåinger av tilsyn og direktorater som har ledet opp til det Direktoratet for samfunnssikkerhet og beredskap vi har i dag:

    • 1898 Elektrisitetstilsynet ble opprettet
    • 1917 Sprengstoffinspeksjonen opprettet
    • 1947 Krigsøkonomikontoret og Sivilforsvarets sentralledelse etablert
    • 1949 Direktoratet for økonomisk forsvarsberedskap (DØF) opprettet
    • 1970 Direktoratet for sivilt beredskap opprettet som et resultat av at man slo sammen blant annet Direktoratet for økonomisk forsvarsberedskap, Krigsøkonomikontoret og Sivilforsvarets sentralledelse.
    • 1972 Statens branninspeksjon opprettet
    • 1984 Sprengstoffinspeksjonen slått sammen med Statens branninspeksjon til Direktoratet for brann- og eksplosjonsvern
    • 1991 El-tilsynet opprettet
    • 1995 Produkt- og elektrisitetstilsynet opprettet
    • 2002 Direktoratet for brann- og eksplosjonsvern slått sammen med Produkt- og elektrisitetstilsynet til Direktoratet for brann- og elsikkerhet (DBE)
    • 2003 DBE ble slått sammen med Direktoratet for sivilt beredskap til Direktoratet for samfunnssikkerhet og beredskap
    • 2017 Direktoratet for nødkommunikasjon (DNK) ble gjort om til en fagavdeling i DSB og avviklet som egen organisasjon

    Dette innebærer at DSB har oppgaver innen mange fagområder, som:

    • Nasjonal, regional og lokal sikkerhet og beredskap
    • Brann- og elsikkerhet
    • Industri- og næringslivsikkerhet
    • Farlige stoffer og transport av farlig gods
    • Nødnett – et nasjonalt, digitalt samband for politi, brann- og helsetjeneste, samt andre aktører med nød- og beredskapsansvar.
    • Produkt- og forbrukersikkerhet
    • Tilby operativ støtte under kriser innenfor samordning, forsterkning og faglig rådgivning.
    • Følge opp norske interesser og forpliktelser i arbeid på samfunnssikkerhetsområdet med internasjonale organisasjoner som EU, FN og NATO
    • Etatsledelse av Sivilforsvaret

    DSB skal ifølge instruks for departementenes arbeid med samfunnssikkerhet bistå Justis- og beredskapsdepartementet med å koordinere arbeidet med samfunnssikkerhet og beredskap. 98 DSB har dialog med ulike deler av offentlig forvaltning og samfunnskritisk virksomhet. 99 Stadig flere utfordringer er tverrsektorielle. Et særlig viktig verktøy i krisehåndteringen er samordningskonferanser.

    DSB skal også bistå i Justis- og beredskapsdepartementets ansvar for samordning innenfor totalforsvaret. DSB leder Sentralt totalforsvarsforum (STF) sammen med Forsvarsstaben. I dette forumet møtes ledere for rundt 30 sivile og militære etater jevnlig for blant annet å etablere en felles forståelse av situasjonen.

    I Totalberedskapsmeldingen foreslår regjeringen å gi DSB tydeligere fullmakter i denne samordningsrollen. 100 Fullmaktene skal blant annet sørge for at direktoratet får tilgang til nødvendig informasjon for at etatene på sivil side skal kunne virke sammen ved hendelser i «den øvre delen av krisespekteret». Et revidert mandat skal også bidra til å tydeliggjøre grensesnittet mellom DSBs samordningsrolle og andre aktører i krisehåndteringen.

    DSB vurderer utfordringer for samfunnssikkerhet og beredskap på sivil side uavhengig av hva som forårsaker dem. Dette kan føre til overlapp med andre myndigheters ansvar, herunder NSMs arbeid med forebyggende sikkerhet.

    DSB skal i henhold til sin hovedinstruks utvikle og vedlikeholde systematisert kunnskap om planlegging, gjennomføring, evaluering og oppfølging av større øvelser og hendelser. DSB skal utvikle et strategisk rammeverk for sivile, nasjonale øvelser. For å følge opp dette vil DSB i 2025 blant annet gjennomføre en nasjonal øvelse for digital sikkerhet som en totalforsvarsøvelse. Øvelsen gjennomføres i nært samarbeid med NSM som har det sikkerhetsfaglige ansvaret. DSB har vært partner i Nasjonalt cybersikkerhetssenter (NCSC) siden oppstarten i 2019. DSB bidrar med analyser innen verstefallsscenarioer for Nasjonalt etterretnings- og sikkerhetssenter (NESS) ved behov.

    Begge direktoratene utfører tilsyn med departementene. DSB fører tilsyn med departementenes arbeid med samfunnssikkerhet og beredskap etter samfunnssikkerhetsinstruksen, mens NSM fører tilsyn med departementenes forebyggende sikkerhetsarbeid med hjemmel i sikkerhetsloven. Både DSB og NSM driver omfattende kursvirksomhet, til dels rettet mot de samme målgruppene.

    Totalberedskapskommisjonen pekte på at det er ressurskrevende for departementene å forholde seg til to ulike rammeverk som i stor grad overlapper og som det føres tilsyn etter. 101 Kommisjonen anbefalte at rammeverkene for kritiske samfunnsfunksjoner (KIKS, forankret i samfunnssikkerhetsinstruksen) og grunnleggende nasjonale funksjoner (GNF, etter sikkerhetsloven) slås sammen. Se nærmere omtale av disse rammeverkene i boks 6.2 nedenfor.

    I Totalberedskapsmeldingen følger regjeringen opp kommisjonens innspill ved å foreslå en ny sektorovergripende lov for grunnsikring av kritiske virksomheter. Arbeidet med loven ses i sammenheng med at EU-direktivene NIS2 og CER tas inn i norsk rett, se kapittel 4 og kapittel 7. Disse direktivene deler samfunnet inn i samfunnsområder som i stor grad overlapper med tilsvarende inndelinger både i rammeverket for kritiske samfunnsfunksjoner og for grunnleggende nasjonale funksjoner, samt NATOs syv grunnleggende forventninger til motstandskraft i kritiske sivile samfunnsfunksjoner. Som en del av arbeidet med den nye loven vil regjeringen ifølge meldingen også gjennomgå samfunnssikkerhetsinstruksen. Grensesnittet mellom den nye loven og sikkerhetsloven og forholdet til relevant sektorregelverk vil bli vurdert.

    Boks 6.2 beskriver sentrale sider ved rammeverkene som henholdsvis NSM og DSB har som oppgave å følge opp, de grunnleggende nasjonale funksjonene (GNF-ene) etter sikkerhetsloven og de kritiske samfunnsfunksjonene etter KIKS-rammeverket. Som det fremkommer i boksen, er det betydelig overlapp mellom disse funksjonene. Figur 6.2 under boksen forsøker å illustrere dette grafisk.

    I vedlegg 4 er de kritiske samfunnsfunksjonene og de grunnleggende nasjonale funksjonene listet opp. På overskriftsnivå er sammenfallet betydelig. Når overskriftene brytes ned på et lavere nivå, er det imidlertid større forskjeller fordi KIKS og GNF har ulike formål, jf. nærmere omtale i boks 6.2. I vedlegg 5 er også instruksene til NSM og DSB sammenliknet. Tabellen illustrerer at det er overlapp i de to direktoratenes oppgaver.

    Boks 6.2 Grunnleggende nasjonale funksjoner (GNF) og kritiske samfunnsfunksjoner (KIKS)

    NSM og DSB har ulike utgangspunkt …

    NSM skal etter sikkerhetsloven arbeide for å beskytte mot tilsiktede ondsinnede handlinger, mens DSB skal arbeide for å forebygge og redusere konsekvensene av både ondsinnede handlinger og andre utfordringer for samfunnssikkerheten, som uhell, vind og vær, brann mv.

    Sikkerhetslovens formål er å ivareta nasjonal sikkerhet. En viktig ramme for sikkerhetslovens virkeområde er de såkalte «grunnleggende nasjonale funksjonene» eller GNF-ene. Disse er i sikkerhetsloven definert som «tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser». 102 Departementene har ansvar for å identifisere hva som er GNF-er i egen sektor. Det er ved utgangen av mars 2025 meldt inn 45 GNF-er.

    Justis- og beredskapsdepartementet skal etter samfunnssikkerhetsinstruksen utvikle og holde oversikt over hvilke funksjoner som i et tverrsektorielt perspektiv er kritiske for samfunnssikkerheten. DSB har på oppdrag fra departementet ledet arbeidet med å identifisere disse funksjonene (KIKS).

    «Kritiske samfunnsfunksjoner» etter det såkalte KIKS-rammeverket er funksjoner som er nødvendige for å ivareta befolkningens og samfunnets grunnleggende behov og samfunnets funksjonalitet. 103 Med grunnleggende behov menes trygghet for den enkelte og elementære fysiske behov som vann, mat, varme, helse og omsorg, redningstjeneste mv., samt ulike infrastrukturbaserte tjenester. Begrepet kritiske samfunnsfunksjoner forbeholdes funksjoner som samfunnet ikke kan klare seg uten i syv døgn eller kortere uten at dette truer befolkningens sikkerhet og/eller trygghet. Det er identifisert 14 ulike kritiske samfunnsfunksjoner.

    … men GNF-er og kritiske samfunnsfunksjoner overlapper

    Gjennom å identifisere GNF-er kartlegges funksjoner i samfunnet som understøtter en eller flere av de nasjonale sikkerhetsinteressene som sikkerhetsloven definerer. Den detaljerte utformingen av en GNF bidrar igjen til å kartlegge hvilke objekter og infrastrukturer som skal utpekes som skjermingsverdige og beskyttes med sikringstiltak. Dette er skjermingsverdige verdier som har avgjørende betydning for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser. Virksomhetene som eier disse objektene eller infrastrukturene, skal underlegges sikkerhetsloven, også om de er private. Virksomhetene må etter loven sørge for en forsvarlig sikkerhet for dem.

    Kritiske samfunnsfunksjoner etter KIKS-rammeverket omfatter hele verdikjeder som er nødvendige for å opprettholde funksjonene. Det er imidlertid ikke, som for GNF-ene, et tverrsektorielt regelverk som stiller krav til virksomheter som understøtter KIKS. Sikkerheten for kritiske samfunnsfunksjoner reguleres hovedsakelig i sektorregelverk.

    En GNF vil med få unntak også være en del av en kritisk samfunnsfunksjon. Rammes den nasjonale sikkerheten, vil som regel situasjonen bli kritisk for samfunnet og befolkningen. Dette vil likevel ikke alltid gjelde i motsatt retning. Det er lett å tenke seg at det kan være viktige samfunnsfunksjoner rundt om i landet som er kritiske etter KIKS-rammeverket, men som likevel ikke er en GNF. Det kan være lokale og regionale veier eller flyplasser som er svært viktige for lokalbefolkningens trygghet, men som likevel ikke er avgjørende for den nasjonale sikkerheten.

    NSM følger opp sikkerhetsloven og arbeidet med GNF-er …

    NSM har siden GNF-mekanismen ble en del av sikkerhetsloven, informert og gitt råd til departementene i deres arbeid med å identifisere og utforme GNF-er og peke ut virksomheter, objekter og infrastrukturer.

    NSM fører tilsyn med departementene for å avklare om departementene har oppfylt sine plikter til å identifisere GNF-er, underlegge virksomheter sikkerhetsloven, om skjermingsverdige verdier er utpekt og om departementene i styringsdialogen med underliggende etater og virksomheter i sektoren følger opp kravene i sikkerhetsloven.

    Overfor virksomheter kan NSM vurdere om virksomheten har et styringssystem for sikkerhet, om det foreligger risikovurderinger, og om konkrete skjermingsverdige verdier er tilstrekkelig sikret. Der det er utpekt sektortilsyn, fører i utgangspunktet ikke NSM tilsyn med virksomhetene, men ser til at sektortilsynene fører et tilsyn i tråd med sikkerhetsloven.

    og DSB følger opp de kritiske samfunnsfunksjonene

    Samfunnssikkerhetsinstruksen stiller generelle krav til departementenes arbeid med samfunnssikkerhet og særskilte krav til departementer med hovedansvar for kritiske samfunnsfunksjoner. Regjeringen har pekt ut hovedansvarlig departement for hver av de 14 kritiske samfunnsfunksjonene. Departementer med hovedansvar for kritiske samfunnsfunksjoner skal blant annet utarbeide og vedlikeholde risiko- og sårbarhetsanalyser for den kritiske samfunnsfunksjonen, planlegge og gjennomføre felles øvelser, evaluere og følge opp læringspunkter, forelegge forslag til beredskapstiltak for berørte departementer og sørge for erfaringsutveksling og kompetanseheving for berørte departementer og sørge for erfaringsutveksling og kompetanseheving for berørte aktører. Departementene skal rapportere til Stortinget om status- og tilstandsvurderinger etter en tidsplan som fastsettes av Justis- og beredskapsdepartementet.

    DSB fører på vegne av Justis- og beredskapsdepartementet tilsyn med departementenes etterlevelse av samfunnssikkerhetsinstruksen.

    Figur 6.2 Sammenheng mellom GNF-er og kritiske samfunnsfunksjoner etter KIKS

    Figuren er en prinsippskisse og forenkling. Skillet mellom stats- og samfunnssikkerhet kan være krevende å fastsette.

    6.4 Forsvaret og øvrige etater i forsvarssektoren

    Forsvarssektoren består av flere etater som har ulike roller og ansvar. De fleste ressursene i sektoren bidrar til å nå mål i etaten Forsvaret. Forsvaret er i tillegg avhengig av sikkerheten i verdikjeder som strekker seg ut i forsvarssektoren, til underliggende leverandører og sivile deler av totalforsvaret samt til andre land og NATO. Forsvarssektoren er en sektor med betydelig sikkerhetsbehov.

    6.4.1 Forsvarets sikkerhetsavdeling (FSA)

    Forsvarssjefen (FSJ) har som virksomhetens leder ansvaret for sikkerhetsarbeidet i egen etat. Forsvarets sikkerhetsavdeling (FSA) er det sentrale stabsorganet i Forsvaret for sikkerhet mot villede, ondsinnede handlinger, og FSA er forsvarssjefens rådgiver og utøver på dette feltet.

    FSA og NSM ble begge opprettet i 2003 som et resultat av nedleggingen av Forsvarets overkommando/Sikkerhetsstaben (FO/S). Mens NSM overtok de sektorovergripende oppgavene som hadde ligget til FO/S, blant annet oppgaver som fulgte av sikkerhetsloven, overtok FSA de rene etatsinterne sikkerhetsoppgavene i Forsvaret. Forsvaret forvalter mye sikkerhetsgradert informasjon og andre verdier som er skjermingsverdige av hensyn til nasjonal sikkerhet og har derfor et stort sikkerhetsbehov.

    FSA er organisatorisk plassert i Forsvarets fellestjenester (FFT) som er en felles stab og administrasjon for flere av Forsvarets avdelinger. Sjefen for FSA har direkte adgang til forsvarssjefen i sikkerhetssaker.

    FSA kontrollerer på forsvarssjefens vegne sikkerhetsarbeidet i etaten. Dette fratar ikke den enkelte militære sjef ansvar for sikkerheten på eget ansvarsområde. FSA er NSMs faglige kontaktpunkt og diskusjonspartner i Forsvaret. På avgrensede områder vil andre i Forsvaret kunne være slikt kontaktpunkt for NSM i stedet for FSA. Et eksempel på dette er innen digital sikkerhet hvor Cyberforsvaret og Forsvarsstaben er viktige samarbeidspartnere for NSM.

    FSA klarerer personell i første instans for forsvarssektoren og er dermed den største klareringsmyndigheten i landet. FSA bygger sine avgjørelser på informasjon innhentet gjennom sentral personkontroll utført av NSM og melder resultatet til det sentrale klareringsregisteret i NSM. FSA er også fagmyndighet for vakt- og sikringstjenesten i Forsvaret.

    FSA forbereder alle saker om godkjenning av informasjonssystemer i Forsvaret som skal sendes til NSM som godkjenningsmyndighet. FSA rapporterer til NSM om alle sikkerhetstruende hendelser i Forsvaret. NSM koordinerer sine planer for tilsyn i Forsvaret med FSA og presenterer resultater av relevante kontrollmeldinger for FSA før endelig godkjenning.

    FSA har i tillegg oppgaver innen militær kontraetterretning, også omtalt som operativ sikkerhet, som skal avdekke og hindre ulovlig etterretningsvirksomhet i og mot Forsvarets verdier, herunder objekter, personell og aktiviteter. FSA samarbeider med Politiets sikkerhetstjeneste (PST) som har et nasjonalt ansvar for kontraetterretning. FSAs oppgaver innenfor militær kontraetterretning er blant annet å undersøke, sammenstille og analysere informasjon om sikkerhetstruende virksomhet rettet mot Forsvaret og allierte som befinner seg på norsk territorium. Når det vurderes som nødvendig, deles informasjon også med E-tjenesten, NSM og utenlandske samarbeidspartnere. FSA har det utøvende ansvaret for militær kontraetterretning under militære operasjoner i utlandet.

    EOS-utvalget fører løpende kontroll med FSA. Det er særlig saker om sikkerhetsklarering og militær kontraetterretning som har vært gjenstand for utvalgets kontroll.

    6.4.2 Øvrige etater i forsvarssektoren

    Etatene i forsvarssektoren foruten Forsvaret er: Forsvarsmateriell (FMA), Forsvarsbygg (FB), Forsvarets forskningsinstitutt (FFI), Statens graderte Plattformtjenester (SGP) og Forsvarshistorisk museum. 104 NSM er i henhold til Direktoratets instruks av 3. mai 2019 «… en virksomhet tilknyttet forsvarssektoren».

    FMA har ansvar for å fremskaffe, forvalte og avhende materiell for Forsvaret. FMA skal også ivareta industrisamarbeid og internasjonalt materiellsamarbeid. FB etablerer, opprettholder og gjenoppretter forsvarssektorens eiendom, bygg og anlegg i fred, krise og krig. Gjennom Nasjonalt kompetansesenter for sikring av bygg (NKSB) leverer FB sikkerhetsfaglig rådgivning til byggeprosjekter i forsvarssektoren og staten for øvrig. FFI er forsvarssektorens egen forskningsinstitusjon. SGP som ble etablert 1. januar 2025, skal levere graderte kommunikasjonsløsninger til offentlige og private virksomheter som er underlagt sikkerhetsloven.

    6.5 Sivil klareringsmyndighet (SKM)

    Sivil klareringsmyndighet (SKM) er den sentrale klareringsmyndigheten i sivil sektor. Kjerneoppgaven for SKM er å klarere personell for tilgang til sikkerhetsgradert informasjon, skjermingsverdige objekter og skjermingsverdig infrastruktur i den sivile delen av samfunnet. SKM skal verne nasjonale verdier ved å redusere risiko for innsidere, det vil si personer som har eller har hatt legitim tilgang til en virksomhets interne, fortrolige opplysninger og som bevisst eller ubevisst kan tilrettelegge for trusselaktører eller på annen måte skade virksomheten ved å misbruke denne informasjonen. 105

    SKM er underlagt Justis- og beredskapsdepartementet og utøver sitt ansvar i henhold til sikkerhetsloven med forskrifter. I henhold til klareringsforskriften § 1 andre ledd kan klareringsmyndighetene inngå avtale om å klarere for hverandre. Det er inngått avtale om at SKM skal klarere NSMs personell.

    NSM er fagmyndighet og tilsynsmyndighet for personellsikkerhet innenfor sikkerhetslovens virkeområde. NSM gjennomfører den sentrale personkontrollen for klareringsmyndighetene og fører nasjonalt register over alle personklareringer som gis, se kapittel 4.

    SKM skal være pådriver for å utvikle arbeidet med personellsikkerhet og samarbeider med NSM og øvrige klareringsmyndigheter om faglige spørsmål på dette området. SKM skal videre legge til rette for hensiktsmessig samhandling og informasjonsutveksling mellom aktører i saker om personellsikkerhet. SKM skal gjennom faglige analyser og vurderinger bidra til at departementet har et best mulig beslutningsgrunnlag for politikkutvikling innenfor direktoratets ansvarsområde. Denne oppgaven innebærer blant annet å utarbeide nasjonal statistikk for sivil og militær sektor. 106 SKM har overtatt oppgaver knyttet til råd, veiledning og kurs fra 2025.

    Det pågår et arbeid for å vurdere å overføre ytterligere oppgaver innen personellsikkerhet i sivil sektor til SKM. Det følger av utvalgets mandat at dette arbeidet vil pågå uavhengig av utvalgets arbeid.

    6.6 Digitaliseringsdirektoratet

    Digitaliseringsdirektoratet (Digdir) er et direktorat og tilsyn under Digitaliserings- og forvaltningsdepartementet.

    Digdirs samfunnsoppdrag er å bidra til en effektiv, brukerrettet og samordnet digitalisering av offentlig sektor. Digitalisering skal bidra til at offentlig sektors tjenester er helhetlige, sammenhengende og av god kvalitet. Offentlig sektor er Digdirs primære målgruppe.

    Digdir har fagansvar for offentlig sektors arbeid med informasjonssikkerhet. Direktoratet skal veilede offentlige virksomheter på området og bidra til at offentlige virksomheter har gode rammevilkår for arbeidet med informasjonssikkerhet. Dette innebærer blant annet å arbeide for samordnet og brukerrettet veiledning og hjelp på området.

    Digdir har ansvar for nasjonal arkitektur for digital samhandling, felles økosystem for samhandling og tjenesteutvikling på tvers av sektorer, nasjonalt ansvar for informasjonsforvaltning og deling og bruk av data. Digdir har også ansvar for digitale tjenester og fellesløsninger, som ID-porten og Altinn. Videre er Digdir tilsynsmyndighet gjennom ansvaret for Tilsynet for universell utforming av ikt (Uu-tilsynet).

    Digdir skal samarbeide med andre virksomheter der det er hensiktsmessig, og særlig der det er tilgrensende eller overlappende ansvarsområder. Det skal støtte opp under at kompetansetiltak, informasjon og veiledning fra det offentlige er samordnet og helhetlig.

    Felles sikkerhet i forvaltningen (FSIF) er et samarbeid som skal bidra til «et nasjonalt løft» for informasjonssikkerhet og personopplysningsvern i offentlige virksomheter, og gjøre dem bedre i stand til å løse oppgavene sine og levere tjenester. Både Digdir og NSM deltar i dette samarbeidet. Samarbeidet er nærmere beskrevet på direktoratets nettside.

    Digdir veileder offentlige virksomheters arbeid med informasjonssikkerhet. Digdir legger vekt på styringsaktiviteter som benyttes på tvers av ulike regelverk, som digital sikkerhet, personopplysningsvern og plikter etter sikkerhetsloven. Digdir følger også opp aktiviteter i EU og på nordisk nivå og bidrar med å koordinere og følge opp internasjonale initiativ som Norge deltar i. Digdir bidrar dessuten i arbeidet med å utvikle regelverk innen digitalisering nasjonalt og i EU. Disse oppgavene har grenseflater mot NSMs oppgaver etter hovedinstruksen som «det nasjonale fagmiljøet» for digital sikkerhet. Også NSM gir dermed veiledning til offentlig og privat sektor innen sine fagområder. NSM og Digdir har videre beslektede oppgaver ved at NSM etter instruksen skal koordinere myndigheter som har en rolle i arbeidet med forebyggende digital sikkerhet, blant annet forskning og utvikling, kompetanseutvikling og samarbeid internasjonalt. NSM administrerer dessuten Nasjonalt koordineringssenter for forskning og innovasjon innen cybersikkerhet (NCC-NO) sammen med Forskningsrådet. Digdir er representert i NCC-NOs Advisory Board.

    6.7 Myndigheter med tilsynsansvar etter sikkerhetsloven (såkalte sektortilsyn)

    Det følger av sikkerhetsloven § 2-2 at «sikkerhetsmyndigheten» har det overordnede ansvaret for at sikkerhetstilstanden i alle sektorer kontrolleres, og skal se til at virksomhetene oppfyller sine plikter etter loven. Sikkerhetsmyndigheten skal videre etter lovens § 3-1 første ledd føre tilsyn med virksomheter som er omfattet av loven. I forarbeidene til loven stadfestes det at det med «sikkerhetsmyndigheten» menes NSM.

    Etter sikkerhetsloven kan ansvarlig departement beslutte at myndigheter med sektoransvar som fører tilsyn med beskyttelse av informasjon, informasjonssystemer, objekter og infrastruktur, skal føre tilsyn med virksomheter i egen sektor som er omfattet av loven. Dette omfatter private virksomheter som er omfattet av sikkerhetsloven etter vedtak iht. lovens § 1-3 og statlige og kommunale virksomheter. Dersom sektortilsynet ikke fører tilsyn i samsvar med krav fastsatt i eller i medhold av sikkerhetsloven, kan sikkerhetsmyndigheten gi pålegg om å utføre slikt tilsyn. Sikkerhetsmyndigheten skal gjennomføre tilsyn på sektortilsynets ansvarsområde når dette følger av internasjonale forpliktelser eller når det er tvingende nødvendig.

    Det følger videre av sikkerhetsloven at det skal foreligge en avtale om samarbeid mellom sikkerhetsmyndigheten og det utpekte sektortilsynet. Krav til innholdet i avtalen er nærmere regulert i forskrift om virksomheters arbeid med forebyggende sikkerhet § 90, der det står:

    • kriterier for tilsyn, jf. Veileder for tilsyn med forebyggende sikkerhetsarbeid
    • ansvarsfordeling for opplæring og veiledning, samt gjennomføring av dette
    • hvordan felles tilsyn skal forberedes og gjennomføres
    • hvordan NSM skal dele relevant informasjon om trusselbildet og risiko med sektormyndigheten
    • hvordan sektormyndigheten skal rapportere til NSM om planlagte tilsyn
    • hvordan varslinger etter sikkerhetsloven § 4-5 skal behandles
    • hvordan godkjennings- og dispensasjonsmyndighet i sektoren skal utøves
    • hvordan sektormyndigheten skal dele kunnskap og erfaringer med NSM.

    Sektortilsynene skal på forespørsel fra virksomhetene også kunne gi råd om risikovurderinger, jf. sikkerhetslovens § 4-2 fjerde ledd.

    I dag er det fem sektortilsyn som er utpekt: Nasjonal kommunikasjonsmyndighet, Norges vassdrags- og energidirektoratet, Havindustritilsynet, Luftfartstilsynet og Jernbanetilsynet. Der det er sektortilsyn, fører ikke NSM tilsyn med virksomheter underlagt sikkerhetsloven, men med at sektortilsynene fører et tilfredsstillende tilsyn med virksomhetene.

    Det å bli utpekt som sektortilsyn etter sikkerhetsloven har ifølge de tilsynene utvalget har snakket med, ikke ført til en vesentlig endring i deres arbeid. Det skyldes blant annet at også de respektive sektorregelverkene har bestemmelser om sikkerhet som det allerede er blitt ført tilsyn med over tid. Enkelte av virksomhetene skal også etter sektorregelverket sørge for «forsvarlig sikkerhet», slik de også skal det etter sikkerhetsloven.

    Felles for sektortilsynene som er utpekt som tilsynsmyndighet etter sikkerhetsloven, er at de er ansvarlige for å følge opp at private virksomheter som er underlagt sikkerhetsloven, følger opp de kravene som loven stiller. Aktuelle virkemidler er å føre tilsyn, gi råd, informasjon og veiledning. Enkelte av sektortilsynene har også kompetanse til å godkjenne skjermingsverdige informasjonssystemer som er utpekt som, eller har avgjørende betydning for funksjonen til et objekt eller en infrastruktur klassifisert KRITISK eller MEGET KRITISK. Flere av sektortilsynene ivaretar i tillegg funksjonen som sektorvist responsmiljø (SRM) for IKT-sikkerhetshendelser innen egen sektor.

    Nkom er omtalt særskilt da denne etaten har oppgaver innenfor digital sikkerhet og kan være en aktuell kandidat til å overta enkelte oppgaver innenfor digital sikkerhet fra NSM, se omtale i kapittel 10.

    6.8 Nasjonal kommunikasjonsmyndighet (Nkom)

    Nasjonal kommunikasjonsmyndighet (Nkom) er en etat under Digitaliserings- og forvaltningsdepartementet.

    Nkom er tilsyns- og kontrollorgan for post, elektronisk kommunikasjon og elektroniske tillitstjenester i Norge. Nkom er også tilsynsmyndighet for datasentre, jf. ny ekomlov som trådte i kraft 1. januar 2025. Nkom forvalter sitt sektoransvar etter lov om elektronisk kommunikasjon, lov om posttjenester og lov om elektroniske tillitstjenester.

    Nkom skal bidra til at brukerne i hele landet har gode, rimelige og fremtidsrettede elektroniske kommunikasjonstjenester med forsvarlig sikkerhet. Nkom skal også legge til rette for at brukerne i hele landet får et landsdekkende tilbud av postsendinger til overkommelig pris og god kvalitet. Etaten har et særskilt ansvar for sikkerhet og beredskap i ekomnett og -tjenester.

    Nkom er fagmyndighet i ekomsektoren og fører blant annet tilsyn med at integritet, konfidensialitet og tilgjengelighet i ekomnettene ivaretas.

    Digitaliserings- og forvaltningsdepartementet utpekte i 2019 Nkom som sektortilsyn etter sikkerhetsloven. Dette innebærer at Nkom fører tilsyn med at virksomheter underlagt sikkerhetsloven beskytter skjermingsverdige informasjonssystemer, infrastruktur og objekter på en tilfredsstillende måte.

    I tillegg er Nkom gitt kompetanse til å godkjenne skjermingsverdige informasjonssystemer som er utpekt som, eller har avgjørende betydning for, funksjonen til et objekt eller en infrastruktur klassifisert KRITISK eller MEGET KRITISK.

    Fotnoter

    83  Prop. 1 S (2024–2025) for budsjettåret 2025 under Forsvarsdepartementet.
    84  Retningslinjer for cybersamarbeid, fastsatt 20. mars 2017 med endringer, senest 2. februar 2022.
    85  Retningslinjer for samarbeidet i Nasjonalt etterretnings- og sikkerhetssenter (NESS), gradert BEGRENSET iht. sikkerhetsloven, fastsatt 26. juni 2023.
    86  Medlemmer av Kongehuset, Stortinget, regjeringen og Høyesterett.
    87  Prop. 1 S (2024–2025) for budsjettåret 2025 under Justis- og beredskapsdepartementet.
    88  Instruks for Politiets sikkerhetstjeneste, fastsatt ved kgl.res. 19. august 2005 med hjemmel i lov 4. august 1995 nr. 53 om politiet (politiloven) §29.
    89  Justis- og beredskapsdepartementets hovedinstruks til Politiets sikkerhetstjeneste. Fastsatt av Justis- og beredskapsdepartementet med virkning fra 20. mai 2019.
    90  Forsvarsdepartementet, Justis- og beredskapsdepartementet og NSM: Evaluering og videreutvikling av Nasjonal sikkerhetsmyndighet. Prosjektrapport (2013).
    91  NSM S:20/03483-1.
    92  Instruks om samarbeidet mellom Etterretningstjenesten og Politiets sikkerhetstjeneste, fastsatt ved kgl.res. 13. oktober 2006 og sist endret 18. juni 2021.
    93  Hovedinstruks for politiet. Fastsatt av Justis- og beredskapsdepartementet med virkning fra 21. juli 2022.
    94  Cyberkriminalitet 2025. Politiets årlige rapport om cyberrettet og cyberstøttet kriminalitet.
    95  https://www.politiet.no.
    96  Hovedinstruks til Direktoratet for samfunnssikkerhet og beredskap. Fastsatt av Justis- og beredskapsdepartementet med virkning fra 1. januar 2024.
    97  www.dsb.no.
    98  Instruks for departementenes arbeid med samfunnssikkerhet (samfunnssikkerhetsinstruksen) fastsatt av Justis- og beredskapsdepartementet 2017 med hjemmel i delegeringsvedtak 10. mars 2017 nr. 312.
    99  Instruks for Direktoratet for samfunnssikkerhet og beredskaps koordinerende roller, fastsatt ved kgl.res. 24. juni 2005, jf. St.meld. nr. 17 (2001–2002).
    100  Meld. St. 9 (2024–2025) Totalberedskapsmeldingen – Forberedt på kriser og krig.
    101  NOU 2023: 17 Nå er det alvor – Rustet for en usikker fremtid.
    102  Sikkerhetsloven § 1-5 nr. 2.
    103  Samfunnets kritiske funksjoner. Hvilken funksjonsevne må samfunnet opprettholde til enhver tid? (DSB 2016). KIKS er en forkortelse for Kritisk Infrastruktur og Kritiske Samfunnsfunksjoner.
    104  Forsvarshistorisk museum som forvalter gjenstandene og dokumentasjonen fra Norges militære historie ble etablert som etat 1. januar 2025.
    105  Prop. 1 S (2024–2025) for budsjettåret 2025 under Justis- og beredskapsdepartementet.
    106  Hovedinstruks til Sivil klareringsmyndighet (SKM) fastsatt av Justis- og beredskapsdepartementet med virkning fra 1. januar 2025.
    Neste kapittel
    Forrige kapittel
    Neste kapittel
    Forrige kapittel
    Til forsiden
    Til toppen