7 Internasjonale forpliktelser
Norge har forpliktelser overfor andre land og organisasjoner i arbeidet med forebyggende sikkerhet. I utvalgets mandat understrekes det at «forpliktelsene en nasjonal sikkerhetsmyndighet har overfor andre land og internasjonale organisasjoner, spesielt Norges forpliktelser til NATO må ivaretas i alle forslag til løsninger». Utvalget skal også vurdere «hva som inngår i kontaktpunktfunksjonen til NATO og hvem som er nærmest til å ivareta denne».
I dette kapittelet redegjøres det for de oppgavene NSM har mot andre land og organisasjoner som fagmyndighet etter sikkerhetsloven. Redegjørelsen er hovedsakelig avgrenset til internasjonalt samarbeid om beskyttelse av sikkerhetsgradert informasjon som Norge har forpliktet seg til.
Det utveksles sikkerhetsgradert informasjon mellom stater og mellom stater og internasjonale organisasjoner. Internasjonale organisasjoner kan også ha et behov for selv å produsere sikkerhetsgradert informasjon. I disse tilfeller vil organisasjonen ha et eget regelverk for hvordan informasjonen skal beskyttes. NATO, den Europeiske romorganisasjon (ESA) og Eurocontrol er internasjonale organisasjoner Norge er medlem av og som alle har slike regelverk.
Den europeiske union (EU) og Organisasjonen for Felles Forsvarssamarbeid er organisasjoner med egne sikkerhetsgraderinger og krav til beskyttelse av sikkerhetsgradert informasjon som Norge ikke er medlem av, men som vi har sikkerhetsavtaler med.
Til slutt i kapittelet omtales forpliktelser Norge har gjennom EØS-avtalen som følge av visse rettsakter i EU på sikkerhetsområdet og også bilateral utveksling av sikkerhetsgradert informasjon med andre stater.
7.1 Relevante internasjonale organisasjoner som Norge er medlem av
7.1.1 NATO
NATO produserer og utveksler mye sikkerhetsgradert informasjon, både internt og med medlemslandene. NATO har derfor komplekse systemer og et omfattende regelverk for å beskytte sikkerhetsgradert informasjon.
Regelverk:
NATOs regelverk for beskyttelse av sikkerhetsgradert informasjon er omfattende og teller totalt i underkant av 100 ulike dokumenter. De inneholder krav og veiledning. Regelverket omtales som NATO Security Policy .
NATO tilvirker egen sikkerhetsgradert informasjon med graderingsnivåene NATO RESTRICTED, NATO CONFIDENTIAL, NATO SECRET og COSMIC TOP SECRET. Plikten til å beskytte denne informasjonen følger av Avtale mellom partene i Traktat for det nordatlantiske område om beskyttelse av opplysninger av 06.03.1997. Avtalen pålegger medlemslandene en plikt til å beskytte sikkerhetsgradert informasjon produsert av NATO eller medlemsland til støtte for et NATO prosjekt, program eller kontrakt. Kravene i avtalen er konkretisert i understøttende dokumenter og i en rekke direktiver og veiledningsdokumenter. 107
Sikkerhetsroller/-funksjoner som medlemslandene må ivareta:
NATOs sikkerhetsbestemmelser forutsetter at medlemslandene etablerer strukturer for å ivareta en rekke sikkerhetsmessige funksjoner.
Den mest sentrale av disse er National Security Authority (NSA). Denne funksjonen skal påse at avtalens krav til forebyggende sikkerhetstiltak gjennomføres i medlemslandene. NSA-funksjonen er ansvarlig for:
- at sikkerheten til NATO-sikkerhetsgradert informasjon blir ivaretatt i sivile og militære nasjonale organisasjoner, både i eget hjemland og i utlandet
- at det gjennomføres tilsyn med at NATO-sikkerhetsgradert informasjon beskyttes etter NATOs sikkerhetskrav
- å påse at det utstedes sikkerhetsklarering til alle som kan få tilgang til informasjon sikkerhetsgradert NATO CONFIDENTIAL eller høyere
- å påse at det foreligger beredskapsplaner for å hindre kompromittering av NATO sikkerhetsgradert informasjon i en krise
- å godkjenne opprettelse og nedleggelse av NATO COSMIC TOP SECRET sentralarkiv.
NSA-funksjonen er videre tillagt oppgaver blant annet med å utstede eller bekrefte ulike sikkerhetsmessige godkjenninger. NSA-funksjonen er også tillagt ansvaret for å rapportere brudd på sikkerheten for NATO-sikkerhetsgradert informasjon til NATO Office of Security.
NSA-funksjonen skal videre være medlemslandenes hovedkontaktpunkt for NATO Office of Security (NOS) i spørsmål om sikkerhet. NSA-funksjonen kan også henvise NOS videre til annen kompetent myndighet. NSM er NSA i Norge.
Andre funksjoner som skal etableres etter NATOs sikkerhetsregelverk er:
National CIS Security Authority (NCSA) som skal ivareta sikkerheten for kryptografiske produkter som benyttes for å beskytte NATO-sikkerhetsgradert informasjon. NCSA skal også ivareta sikkerheten for andre produkter som beskytter NATO-sikkerhetsgradert informasjon og som behandles i informasjonssystemer. NSM ivaretar denne funksjonen i Norge.
NCSA er ansvarlig for å utpeke en National TEMPEST Authority (NTA) som skal ha ansvar for å ivareta strålingssikkerhet. NSM ivaretar selv denne funksjonen i Norge. Hvis denne funksjonen ikke er integrert i NSA-funksjonen, forutsetter regelverket et samarbeid med NSA-funksjonen.
Medlemslandene skal også etablere en National Distributing Authority (NDA). NDA er ansvarlig for regnskapsføring og forsvarlig forvaltning av kryptomateriell i landet. Der hvor den ikke er integrert i NSA funksjonen forutsetter regelverket et samarbeid med denne. I Norge ivaretar NSM denne funksjonen.
Hvert medlemsland skal videre etablere en Security Accreditation Authority (SAA) med ansvar for å godkjenne nasjonale informasjonssystemer som håndterer NATO-sikkerhetsgradert informasjon og sikkerhetsgraderte NATO-systemer i medlemslandene. Regelverket åpner for at et medlemsland kan etablere flere SAA. NSM ivaretar i dag funksjonen som SAA i Norge.
For NATO-sikkerhetsgraderte informasjonssystemer som er i bruk i flere land, har NATO etablert såkalte Security Accreditation Boards (SAB). SAB har det overordnede godkjenningsansvaret for systemet. SAB består ar representanter fra de medlemslandene som har installert systemet og relevante NATO organer. NSM representerer Norge i ulike SABer og gir i denne sammenhengen såkalte samsvarserklæringer ( Statement of Compliance ) for de delene av systemet som er på norsk territorium.
Medlemslandene kan opprette en Designated Security Authority (DSA). DSA har ansvar for å følge opp sikkerheten i industrien ved sikkerhetsgraderte anskaffelser. Denne funksjonen kan ivaretas av NSA-funksjonen, slik det er tilfelle i Norge.
NSA-funksjonen kan identifisere såkalte Competent Security Authority (CSA). Disse er gitt myndighet til å ivareta spesifikke avgrensede sikkerhetsfunksjoner, for eksempel behandle søknader om sikkerhetsklareringer. I Norge er klareringsmyndighetene å anse som CSA. Sivil klareringsmyndighet (SKM) og Forsvarets sikkerhetsavdeling (FSA) er i denne sammenheng å anse som CSA’er i Norge.
Medlemslandene skal også ha et Central Registry som skal være mottaks- og forsendelsespunkt for informasjon sikkerhetsgradert COSMIC TOP SECRET. I Norge er denne oppgaven lagt til Forsvarsdepartementet.
NATO-komitéer med ansvar på sikkerhetsområdet:
NATOs råd har opprettet en sikkerhetskomite, Security Committee (SC). Denne komiteen svarer direkte til NATOs råd ( North Atlantic Council (NAC)) og er ansvarlig for:
- Løpende revidering av NATO Security Policy og regelverk og selv beslutte. endringer i understøttende direktiver og veiledningsdokumenter.
- Vurdere spørsmål om NATO Security Policy.
- Vurdere sikkerhetsmessige saker som er blitt henvist til komiteen fra NATOs råd Militærkomiteen, et medlemsland, Generalsekretæren eller et annet sivilt eller militært NATO organ.
Sikkerhetskomitéen skal bestå av representanter fra medlemslandenes NSAer, og etter behov støttet av andre nasjonale representanter med et sikkerhetsansvar. NATO Office of Security leder og ivaretar sekretariatsfunksjonen for gruppen. NATOs to strategiske kommandoer og andre relevante NATO organer, deltar også i komitéens arbeid. Sikkerhetskomitéen møtes regulært to ganger i året på både sjefsnivå og i fagspesifikke arbeidsgrupper. Møtene omhandler henholdsvis regelverksutvikling og andre spørsmål innenfor informasjonssystemsikkerhet og regelverksutvikling og andre spørsmål innenfor de øvrige sikkerhetsområdene.
Komitéen kan møtes hyppigere ved behov, og den kan også nedsette « Task Forces » for utredning og forberedelse av saker for komitéens formelle møter.
NSM er NSA i Norge og representerer også Norge i sikkerhetskomitéen.
SC har grenseflater mot Digital Policy Committee (DPC) som har ansvaret for å utvikle tekniske politikk- og kravdokumenter for sikring av informasjons- og kommunikasjonssystemer, herunder krypto. Forsvaret ved Cyberforsvaret (Cyfor) representerer Norge i denne komiteen. Under denne komiteen er det etablert en rekke såkalte « Capability Panels », og spørsmål om sikring av informasjons- og kommunikasjonssystemer håndteres i ett av disse; Information Assurance and Cyber Defence Capability Panel (CAP4) . CAP4 har flere undergrupper, såkalte « Capability Teams ». NSM deltar i CAP4 og i flere av panelets undergrupper. Også Cyfor deltar i enkelte av undergruppene.
Boks 7.1 NSA-funksjonen er organisert på ulike måter i ulike NATO-land
Begrepet «kontaktpunktfunksjonen til NATO» i utvalgets mandat er ikke nødvendigvis et entydig begrep. Innenfor NSMs ansvarsområde er for eksempel den nasjonale responsfunksjonen i NSM (NCSC) en kontaktpunktfunksjon mot NATOs responsmiljø (NCIRC). Dette basert på en Cyber Defence MoU inngått mellom Norge og NATO. Det kan også være andre kontaktfunksjoner.
Det legges til grunn at det med «kontaktpunktfunksjon» i mandatet vises til funksjonen som hovedkontaktpunkt mot NATO og NATO Office of Security for beskyttelse av sikkerhetsgradert informasjon og NSMs rolle som National Security Authority (NSA).
Denne funksjonen er organisert på ulike måter i NATO-landene:
I Norge var NSA-funksjonen fra 1953-1965 lagt til et eget kollegialt organ, Det interdepartementale kontrollutvalg (DIKU), ledet av SMK og med deltakelse fra sjefen for Forsvarets E- og S-tjeneste, Overvåkingssjefen, representanter for FD, JD og UD. Fra 1965 til 2003 var NSA-funksjonen lagt til Forsvarssjefen med støtte av FST/S (FO/S), og fra 2003 har oppgaven vært ivaretatt av NSM. Forkortelsene er forklart i vedlegg 2.
- Danmark: Politiets Efterretningstjeneste (PET) (sivil sektor), Forsvarets Efterretningstjeneste (FE) (militær sektor)
- Sverige: Utenriksdepartementet
- Finland: Utenriksdepartementet
- Storbritannia: Cabinet Office (tilsvarende SMK)
- Frankrike: Secretariat General de la Defense et de la Securite Nationale (SGDSN) under Statsministerens kontor
- Tyskland: Innenriksdepartementet
- Nederland: Innenriksdepartementet (sivil sektor) med støtte av AIVD, Forsvarsdepartementet (militær sektor) med støtte av MIVD
7.1.2 Den Europeiske romorganisasjon (ESA)
I likhet med NATO produserer også ESA sikkerhetsgradert informasjon (ESA RESTRICTED, ESA CONFIDENTIAL, ESA SECRET og ESA TOP SECRET). Medlemslandene har forpliktet seg til å beskytte denne informasjonen gjennom Avtale mellom de statene som er part i Konvensjonen om opprettelse av en europeisk romorganisasjon og Den europeiske romorganisasjonen om beskyttelse og utveksling av graderte opplysninger fra 2002.
Som i NATO er avtalens bestemmelser utdypet og konkretisert i understøttende dokumenter (ESA Security Regulations ) som er vedtatt av ESAs råd.
Hvert medlemsland skal utpeke en National Security Authority (NSA) som er ansvarlig for at ESA-sikkerhetsgradert informasjon beskyttes, at personell som får tilgang til informasjon som er sikkerhetsgradert ESA CONFIDENTIAL eller høyere er sikkerhetsklarert, samt fører tilsyn med beskyttelsen av ESA sikkerhetsgradert informasjon på sitt territorium. I Norge er NSM også NSA i forholdet til ESA.
ESAs råd har nedsatt ESA Security Committee (SEC) som skal veilede rådet og Generaldirektøren i alle spørsmål om beskyttelse av sikkerhetsgradert informasjon. Komiteen skal også løpende vedlikeholde ESA Security Regulations , utvikle og godkjenne såkalte programsikkerhetsinstrukser (PSI) for ESAs programmer og godkjenne kryptoprodukter som er i bruk i ESA for beskyttelse av sikkerhetsgradert informasjon. De fleste medlemslandene er representert av sine NSA i SEC. Fra Norge møter NSM og Norsk romsenter.
Under sikkerhetskomiteen er det etablert to undergrupper:
Industrial Security Panel som primært har ansvar for å vurdere og utrede spørsmål om sikkerhetsgraderte anskaffelser i ESA, herunder foreslå regelverksutvikling på området og å vedlikeholde ESAs maldokumenter for PSIer.
INFOSEC Panel som har et særskilt ansvar for spørsmål knyttet til informasjonssystemsikkerhet og krypto. Panelet skal rådgi på disse områdene og utvikler også ESAs instruksverk for kommunikasjonssikkerhet ( ESA COMSEC Instructions )
NSM stiller for Norge i disse panelene.
Komiteen og panelene møtes ordinært to ganger årlig, men hyppigere ved behov. Ledervervet i komiteen og panelene går på rundgang mellom medlemslandene, mens ESA Security Office ivaretar sekretariatsfunksjonen.
7.1.3 Eurocontrol
Eurocontrol er en mellomstatlig paneuropeisk organisasjon. Eurocontrol har som primært formål å utvikle og harmonisere et sikkert og effektivt system for lufttrafikkstyring ( Air Traffic Management (ATM)) i Europa . I denne organisasjonen foreligger det en avtale fra 1969; Mulitilateral Agreement relating to the Protection of Eurocontrol Classified Material. Avtalen omhandler sikkerhetsgradering og beskyttelse av sikkerhetsgradert informasjon produsert av Eurocontrol eller frigitt til Eurocontrol fra en medlemsstat. Et vedlegg til avtalen gir detaljerte bestemmelser om hvordan Eurocontrol-sikkerhetsgradert informasjon skal beskyttes, og forplikter medlemslandene til å sikkerhetsklarere egne lands borgere som skal ha tilgang til Eurocontrol-sikkerhetsgradert informasjon med et klareringskrav.
Vedlegget forutsetter også at hvert medlemsland skal utpeke en koordinerende myndighet for beskyttelse av Eurocontrol sikkerhetsgradert informasjon. I Norge er NSM utpekt som koordinerende myndighet.
7.1.4 Multinational Industrial Security Working Group (MISWG)
MISWG har sitt utspring i NATO, men består i dag av 38 land. NATO, EU-kommisjonen, European Defence Agency (EDA), ESA og OCCAR deltar som observatører. Gruppen skal tilrettelegge for samarbeid og informasjonsdeling ved internasjonale sikkerhetsgraderte anskaffelser, samt søke å standardisere sikkerhetsprosedyrene knyttet til slike anskaffelser.
Gruppen består av representanter fra medlemslandenes NSA og/eller DSA med ansvar for sikkerhetsgraderte anskaffelser. NSM representerer Norge i gruppen. MISWG møtes en gang årlig i plenum. Arbeidet i MISWG koordineres av en Executive Committee , som består av valgte representanter blant medlemmene samt foregående og kommende vertsnasjoner for det årlige plenumsmøtet. Vertskapet for dette møtet går på rundgang mellom landene. Norge skal arrangere møtet i 2028 og vil inngå i Executive Committee fra 2026.
Plenumsmøtet kan nedsette Ad Hoc Working Groups (AHWG) og Communities of Practice (COP). Per i dag er det 5 AHWG og 4 COP i arbeid. Deltakelse i disse gruppene er basert på frivillighet, dog slik at retningslinjene for MISWG oppfordrer til aktiv deltakelse fra medlemmene. Gruppenes møtefrekvens er normalt ett til to årlige møter.
7.2 Internasjonale organisasjoner der Norge ikke er medlem
7.2.1 Den europeiske union (EU)
I EU faller beskyttelse av sikkerhetsgradert informasjon utenfor unionsretten. Medlemslandene forplikter seg til å beskytte EU sikkerhetsgradert informasjon gjennom en mellomstatlig avtale mellom medlemslandene. 108 De ulike EU institusjonene og EU-byråene har alle egne regelverk for beskyttelse av sikkerhetsgradert informasjon. Sikkerhetsbestemmelsene er harmoniserte mellom disse gjennom at Rådets sikkerhetsbestemmelser skal være de normerende.
Utveksling av sikkerhetsgradert informasjon mellom Norge og EU skjer på basis av en sikkerhetsavtale mellom Norge og EU fra 2004. 109 Etter denne avtalen har partene en gjensidig plikt til å beskytte den annen parts sikkerhetsgraderte informasjon som egen informasjon med tilsvarende graderingsnivå. Mer detaljerte sikkerhetsbestemmelser følger av et eget arrangement til avtalen. Etter arrangementet er NSM i rollen som NSA ansvarlig for å gjennomføre og kontrollere etterlevelsen av avtalen i Norge. NSM er også kontaktpunkt mot de tilsvarende sikkerhetsfunksjonene på EU siden.
Partene til avtalen i EU er Rådet, Kommisjonen og European External Action Service (EEAS – EU’s utenrikstjeneste). Avtalen kommer derfor i utgangspunktet bare til anvendelse for informasjon som Norge utveksler med disse. På denne bakgrunn har Norge ved Forsvarsdepartementet inngått et eget arrangement for utveksling av sikkerhetsgradert informasjon med European Defence Agency (EDA – EU’s forsvarsbyrå). Det er videre under forhandling et arrangement for utveksling av sikkerhetsgradert informasjon med Frontex som er EU’s byrå med ansvar for samordning av EU-landenes kontroll og overvåkning av EUs yttergrenser. NSM har samme funksjon etter disse arrangementene som i det ovennevnte.
I utgangspunktet er arbeid med nasjonal sikkerhet en nasjonal kompetanse for EUs medlemsland. 110 Samarbeidet mellom medlemslandene på dette området har likevel over tid økt over tid og EUs organer har fått stadig flere oppgaver knyttet til forebyggende sikkerhet. Det utarbeides felles regelverk som forplikter medlemslandene, det vedtas felles finansiering og det foregår politiske drøftinger som ikke er forpliktende. Den vanligste formen for reguleringer er at det etableres minstestandarder og eventuelt oppgaver som skal løses innenfor rammen av EU, som deretter gjennomføres nasjonalt og der det er en viss grad av nasjonale variasjoner.
Norge tar del i sikkerhetssamarbeidet i EU der det tar form av rettsakter som enten er EØS-relevante eller Schengenrelevante. Norge har i tillegg sluttet seg til enkelte politiske overenskomster eller bilaterale avtaler. Utviklingen i EU på sikkerhetssiden, og særlig innen digital sikkerhet der antallet rettsakter nå begynner å bli betydelig, vil få stor betydning for Norge.
Nedenfor redegjøres det for sentrale føringer for hvordan EUs medlemsland arbeider med forebyggende sikkerhet. Oversikten er ikke uttømmende.
EU Security Union
EUs sikkerhetsunion er en strategi for å støtte medlemsstatenes oppdrag med å ivareta borgernes sikkerhet og verne om europeiske grunnverdier. Sikkerhetsunionen er et overordnet rammeverk for forebyggende offensiv og defensiv sikkerhet. Den første strategiperioden var årene 2016-2020, mens den nåværende strategien varer ut 2025. Strategien bygger på fire pilarer: Bekjempelse av terrorisme og organisert kriminalitet, beskyttelse av fysisk og digital infrastruktur, og å bygge opp et sterkt sikkerhetsøkosystem. Det siste elementet går ut på å tilrettelegge for utveksling av informasjon mellom nasjonale myndigheter og EU og å imøtegå trusler fra sammensatt virkemiddelbruk og nye teknologier. Europakommisjonen rapporterer om status for alle tiltakene som er iverksatt under strategien.
Nærmere om digital sikkerhet
EU har et eget byrå for cybersikkerhet, European Union Agency for Cybersecurity (ENISA). ENISA ble etablert i 2004 og skal styrke EUs medlemslandenes kapasitet og beredskap innen cybersikkerhet. Byrået hjelper til med å beskytte kritisk informasjon, infrastruktur og tjenester mot cybertrusler og -angrep og fremmer samarbeid på tvers av EU-landene innen cybersikkerhet. Norge er assosiert medlem av ENISA, men uten stemmerett. 111 Medlemskapet ivaretas av både Justis- og beredskapsdepartementet og Digitaliserings- og forvaltningsdepartementet.
7.2.2 Organisasjonen for Felles Forsvarssamarbeid
Organisasjonen for Felles Forsvarssamarbeid , Organisation for Joint Armament Cooperation (OCCAR) er en internasjonal organisasjon bestående av seks land, Tyskland, Frankrike, Belgia, UK, Italia og Spania, som gjennomfører komplekse forsvarsmateriell-prosjekter. Organisasjonen produserer sikkerhetsgradert informasjon, og har et eget regelverk for beskyttelse av denne informasjonen.
For å tilrettelegge for utveksling av sikkerhetsgradert informasjon mellom Norge og OCCAR er det inngått en bilateral sikkerhetsavtale som forplikter partene til gjensidig beskyttelse av gradert informasjon som er utvekslet. 112 Avtalen forutsetter at det skal utpekes en kompetent sikkerhetsmyndighet med ansvar for å påse at avtalens bestemmelser blir gjennomført. På norsk side er dette ansvaret lagt til NSM.
7.3 Rettsakter i EU som skal gjennomføres i norsk lov
EU har vedtatt en lang rekke rettsakter for å ivareta digital sikkerhet, og mange av dem innebærer forpliktelser og oppgaver for nasjonale myndigheter. Rettsaktene kan ha forskjellige formål, fra å beskytte borgere, markeder og land mot angrep til å understøtte konkurransekraft og industrielle vekstvilkår. Relevante eksempler på rettsakter er:
NIS1-direktivet pålegger medlemsstatene å sørge for et visst nivå for landets IKT-sikkerhet ved å lage en strategi for sikkerhetsarbeidet, etablere en IKT-sikkerhetsberedskapsenhet (CSIRT) og pålegge operatører og leverandører av samfunnsviktige tjenester IKT-sikkerhetskrav og varslingsplikt ved alvorlige IKT-sikkerhetshendelser. Direktivet etablerer to internasjonale samarbeidsgrupper, en på strategisk nivå og en på CSIRT-nivå. NIS-direktivet skal iverksettes i norsk rett gjennom digitalsikkerhetsloven. Denne ble vedtatt i desember 2023, men iverksettelse avventer nødvendig forskrift. Utkast til slik forskrift har vært på høring med frist i desember 2024. Regelverksforvalter er Justis- og beredskapsdepartementet. I utkast til forskrift gis NSM flere oppgaver i oppfølgingen av regelverket.
NIS2-direktivet stiller krav til at medlemsstatene skal sørge for et felles minimum cybersikkerhetsnivå og ha en nasjonal cybersikkerhetsmyndighet, samt samarbeide med andre EU-medlemsland om cybersikkerhet. NIS2direktivet er en videreutvikling av NIS-direktivet. Justis- og beredskapsdepartementet er regelverksforvalter. Direktivet planlegges gjennomført i norsk rett i en ny lov om grunnsikring av kritiske virksomheter som også skal ta inn CER-direktivet. NSM og Direktoratet for samfunnssikkerhet og beredskap (DSB) har på oppdrag fra Justis- og beredskapsdepartementet i fellesskap utarbeidet forslag til høringsdokument om loven. NSM vil etter forslaget fortsatt ha en rekke oppgaver i oppfølgingen av regelverket og enkelte oppgaver foreslås ivaretatt av NSM og DSB i fellesskap.
EU har prioritert motstandsdyktighet høyt og har varslet at det vil fortsette. Et sentralt tiltak er direktiv om motstandsdyktighet i kritiske virksomheter ( Critical Entities Resilience Directive ). Denne rettsakten omtales som CER-direktivet og stiller krav om minimums beredskapsnivå i virksomheter som leverer samfunnskritiske varer og tjenester i følgende elleve sektorer: energi, transport, bank, finans, helse, drikkevann, avløpsvann, digital infrastruktur, offentlig administrasjon, rommet, og næringsmidler (produksjon, bearbeiding og distribusjon). Direktivet er avstemt med andre EU-initiativer innen klimatilpasning, sivilbeskyttelse, cybersikkerhet og regler om finansielle tjenester, og i særlig grad med NIS2-direktivet. Rettsakten stiller også krav til nasjonale myndigheter om å stille minstekrav og peke ut virksomheter som skal underlegges direktivets virkeområde. Direktivet inneholder retningslinjer for koordinering ved hendelser som treffer flere medlemsland. 113 Direktivet er ansett som EØS-relevant.
Cybersikkerhetsforordningen (Cyber Security Act ) etablerer en felles sertifiseringsordning for ulike sider ved cybersikkerhet, som produkter, tjenester, prosesser og sikkerhetsledelse. Ordningen skal bidra til like standarder. Justis- og beredskapsdepartementet er ansvarlig departement. Forordningen vil etablere reviderte sertifiseringsordninger. NSM ved SERTIT forvalter dagens sertifiseringsordning i EU for IT-sikkerhet i produkter og systemer (SOG-IS).
Cybersolidaritetsforordningen ( Cyber Solidarity Act ) forplikter medlemslandene til å samarbeide i håndtering av cyberhendelser. Forordningens vil kunne legge føringer for den nasjonale responsfunksjonen i NSM.
Cybermotstandsdyktighetsforordningen ( Cyber Resilience Act ) stiller felles krav til cybersikkerhet for produkter med digitale elementer. Digitaliserings- og forvaltningsdepartementet er ansvarlig departement. Nasjonal kommunikasjonsmyndighet (NKOM) vil trolig få oppgaver i oppfølgingen av forordningen.
Forordning om håndtering av spredning av terrorrelatert innhold på internett ( Terrorist Content Online Act ) stiller krav om tidlig deteksjon og fjerning av terrorrelatert innhold på nett. Medlemslandene skal peke ut en kompetent myndighet som forvaltningsansvarlig for regelverket.
Forordning om digital operativ motstandsdyktighet ( Digital Operational Resilience Act – DORA ) stiller krav til digital sikkerhetsstyring i finanssektoren, herunder tilsyns- og rapporteringskrav for kompetente myndigheter.
Forordning om kunstig intelligens ( Artificial Intelligence Act ) fastsetter felles regler for hva kunstig intelligens kan brukes til etter en risikobasert tilnærming, hvor risikoen for misbruk som kan føre til urimelig skade er det utslagsgivende for kategoriplassering og hvor strenge begrensninger som legges på systemet. Noen anvendelser av KI forbys helt, og andre klassifiseres som «høyrisiko», hvor de må møte krav knyttet til risikohåndtering, transparens, menneskelig tilsyn, m.m. Forordningen legger direkte føringer på nasjonale myndigheters bruksmuligheter. Digitaliserings- og forvaltningsdepartementeer ansvarlig departement og NKOM får oppgaver i oppfølgingen av forordningen.
Forordning om digitale tjenester ( Digital Services Act ) pålegger digitale tjenestetilbydere forpliktelser til å fjerne ulovlig innhold fra sine plattformer. Medlemslandene må utpeke en kompetent myndighet som skal forvalte rettsakten innenfor sin jurisdiksjon og samarbeid innenfor rammen av EU. Delene av tilsynet som gjelder de største plattformene ligger i kommisjonen. Digitaliserings- og forvaltningsdepartementeer ansvarlig departement, med NKOM som sannsynlig utøver.
De nevnte rettsaktene anses som EØS-relevante og vil sannsynligvis bli norsk lov. Prosessen er ikke endelig fullført for alle rettsaktene.
I tillegg til rettsakter har EU andre samarbeidsflater for digital sikkerhet. Under følger noen eksempler på dette:
Secure Connectivity Programme 2023-27 er et investeringsprogram for å bygge felles satellittbasert infrastruktur for sikker kommunikasjon. Nærings- og fiskeridepartementet er ansvarlig departement.
5G Toolbox er en tiltakspakke for å sikre en koordinert tilnærming til sikkerhet i utrulling av 5G-nettverk innenfor EU. Dette omfatter oppgaver for medlemsstatene og Kommisjonen.
Cyber Diplomacy Toolbox er et rammeverk for koordinert diplomatisk tilsvar til ondsinnede cyberhendelser. Skal legge til rette for at EUs medlemsstater snakker med én stemme.
7.4 Bilateral utveksling av sikkerhetsgradert informasjon med andre stater
Utveksling av sikkerhetsgradert informasjon med andre stater forutsetter at den mottakende stat påtar seg et ansvar for å beskytte informasjonen på en forsvarlig måte. På denne bakgrunn er det internasjonal praksis at utveksling av sikkerhetsgradert informasjon i utgangspunktet bare kan skje der det foreligger en sikkerhetsavtale mellom de berørte landene. Sikkerhetsavtalene gir bestemmelser om hvordan sikkerhetsgradert informasjon skal utveksles på en sikker måte og hvordan informasjonen skal håndteres av den mottakende stat. Normalt gjøres dette i form av en gjensidig anerkjennelse mellom partene av den annen parts regelverk og prosedyrer for beskyttelse av sikkerhetsgradert informasjon. Dette er mulig på bakgrunn av at prinsippene for beskyttelse av sikkerhetsgradert informasjon har blitt internasjonalt anerkjente, med utgangspunkt i NATOs sikkerhetsmessige tilnærming.
Sikkerhetsavtaler kan inngås i noe ulik form. Enkelte av avtalene er inngått på regjeringsnivå i form av traktater, mens andre er inngått som avtaler mellom departementer, i det vesentlige av Forsvarsdepartementet, uten rettsvirkninger som traktat. Disse avtalene vil da ha utveksling av sikkerhetsgradert informasjon innenfor forsvarssektoren som virkeområde, men de kan også ha et snevrere virkeområde, for eksempel avgrenset til materiellsamarbeid eller et konkret program eller prosjekt.
Norge har i dag slike avtaler med 42 land. Sikkerhetsavtaler fremforhandles normalt mellom de respektive sikkerhetsmyndighetene (NSA-funksjonen). I Norge forhandles og reforhandles slike avtaler av NSM i samarbeid med Justis- og beredskapsdepartementet og Forsvarsdepartementet.
Også de bilaterale avtalene forutsetter at det utpekes en kompetent sikkerhetsmyndighet hos hver av avtalepartene. Denne er kontaktpunkt mot den tilsvarende myndigheten i det andre landet og har ansvar for å påse at avtalen gjennomføres i eget land. Den utpekte myndigheten er videre ansvarlig for å bekrefte og iverksette sikkerhets- og leverandørklareringsprosesser på forespørsel fra sikkerhetsmyndigheten i det andre landet, undersøke og rapportere om eventuelle sikkerhetsbrudd knyttet til sikkerhetsgradert informasjon mottatt fra den annen part, og motta tilsvarende rapporter om egen informasjon utlevert den annen part. Det tilligger også de kompetente sikkerhetsmyndighetene å avtale alternative måter å utveksle sikkerhetsgradert informasjon som avviker fra avtalens hovedregel, herunder hvordan sikkerhetsgradert informasjon kan utveksles elektronisk.
I Norden er det etablert multilaterale informasjonssystemer for å utveksle sikkerhetsgradert informasjon mellom de nordiske landene. Krav og forpliktelser er her definert i et teknisk arrangement inngått mellom de nordiske kompetente sikkerhetsmyndigheter. For å følge opp arrangementene og sikkerheten i systemene har de kompetente sikkerhetsmyndighetene etablert et Nordic System Security Consultation Board som møtes en til to ganger årlig. NSM representerer Norge i dette forumet.