Søk

Innhold

2. Komiteens merknader

Komiteen, medlemmene fra Arbeiderpartiet, Kari Henriksen, Lubna Boby Jaffery og Bente Irene Aaland, fra Høyre, lederen Peter Frølich og Svein Harberg, fra Senterpartiet, Nils T. Bjørke, fra Fremskrittspartiet, Carl I. Hagen, fra Sosialistisk Venstreparti, Audun Lysbakken, fra Rødt, Seher Aydar, og fra Venstre, Grunde Almeland, viser til Dokument 3:7 (2022–2023), Riksrevisjonens undersøkelse av myndighetenes samordning av arbeidet med digital sikkerhet i sivil sektor.

Komiteen viser til at Riksrevisjonens undersøkelse har tatt utgangspunkt i blant annet følgende vedtak og forutsetninger fra Stortinget:

  • Meld. St. 5 (2020–2021) Samfunnssikkerhet i en usikker verden, jf. Innst. 275 S (2020–2021)

  • Meld. St. 38 (2016–2017) IKT-sikkerhet. Et felles ansvar, jf. Innst. 187 S (2017–2018)

  • kgl.res. av 10. mars 2017 nr. 312: Ansvaret for samfunnssikkerhet i sivil sektor på nasjonalt nivå og Justis- og beredskapsdepartementets samordningsrolle innen samfunnssikkerhet og IKT-sikkerhet

  • instruks for departementenes arbeid med samfunnssikkerhet (samfunnssikkerhetsinstruksen), 2017

  • lov om nasjonal sikkerhet (sikkerhetsloven), 2019

2.1 Om Riksrevisjonens konklusjoner

Komiteen viser videre til at målet med undersøkelsen har vært å vurdere hvorvidt Justis- og beredskapsdepartements samordning av arbeidet med å ivareta den digitale sikkerheten i sivil sektor er effektiv og i tråd med Stortingets vedtak og forutsetninger.

Komiteen viser videre til Riksrevisjonens konklusjoner:

  • Svak samordning av roller, ansvar og krav gjør arbeidet med digital sikkerhet krevende for virksomhetene.

  • Justis- og beredskapsdepartementet har ikke sørget for god nok informasjon om den nasjonale digitale sikkerhetstilstanden.

  • Justis- og beredskapsdepartementet har ikke sørget for god nok oppfølging av Nasjonal strategi for digital sikkerhet.

  • Justis- og beredskapsdepartementet har ikke lagt godt nok til rette for tverssektoriell hendelseshåndtering.»

Komiteen slutter seg til Riksrevisjonens konklusjoner.

2.2 Om Riksrevisjonens kritikk

Komiteen viser til Riksrevisjonens kritikk:

«Samlet sett er det kritikkverdig at Justis- og beredskapsdepartementet med underliggende etater ikke har ivaretatt samordnings- og pådriveransvaret godt nok til å møte utfordringene på det digitale sikkerhetsområdet.

Det er videre kritikkverdig at

  • Justis- og beredskapsdepartementet ikke har ivaretatt sitt pådriveransvar for å bidra til tilstrekkelig framdrift i arbeidet som følger av ny sikkerhetslov

  • Justis- og beredskapsdepartementet ikke har lagt godt nok til rette for tverrsektoriell hendelseshåndtering

  • det gjennomføres få tilsyn med digital sikkerhet og tilsynsmyndighetene er lite samordnet»

Komiteen slutter seg til Riksrevisjonens kritikk.

2.3 Om Riksrevisjonens anbefalinger

Komiteen viser videre til Riksrevisjonens anbefalinger:

«Riksrevisjonen anbefaler at Justis- og beredskapsdepartementet

  • tar en tydeligere samordnings- og pådriverrolle for nasjonal digital sikkerhet i sivil sektor

  • sørger for at Nasjonal sikkerhetsmyndighet i samarbeid med de andre veiledningsaktørene gjør veiledningen på det digitale sikkerhetsområdet mer samordnet og tilgjengelig

  • sørger for bedre utnyttelse og koordinering av de etablerte arenaene for samordning

  • gjennom pådriverrollen bidrar til at alle departementer har tilstrekkelig framdrift i arbeidet som følger av ny sikkerhetslov

  • sikrer et bedre kildegrunnlag for å holde oversikt over den nasjonale digitale sikkerhetstilstanden

  • sørger for bedre informasjon om resultater av iverksatte tiltak for å kunne vurdere behovet for endringer og nye tiltak på det digitale sikkerhetsområdet

  • styrker arbeidet med å avdekke, håndtere og koordinere innsatsen mot alvorlige digitale hendelser»

Komiteen slutter seg til Riksrevisjonens anbefalinger.

Komiteen viser videre til, og tar til etterretning, statsrådens svar om at anbefalingene vil bli fulgt opp i samhandling med andre departementer.

Komiteens medlemmer fra Arbeiderpartiet og Senterpartiet viser til at Riksrevisjonen i over 15 år har rapportert om utfordringer med digital sikkerhet i sivil sektor, både i den årlige kontrollen med forvaltningen av statlige selskaper, i den årlige revisjon og kontroll og i egne rapporter. Sårbarheter i samfunnskritiske systemer og svakheter i virksomheters og foretaks styring av digital sikkerhet har vært løftet fram. Disse medlemmer påpeker at i oppfølgingen av Riksrevisjonens anbefalinger om samordning av digital sikkerhet bør en helhetlig tilnærming til bedret sikkerhet og samordning av arbeidet legges til grunn. Disse medlemmer ser, i henhold til statsrådens svarbrev til Riksrevisjonen, at viktige grep er gjort etter avslutningen av undersøkelsesperioden, men at arbeidet vil ta tid.

Komiteens medlemmer fra Rødt og Venstre er kjent med at det digitale sikkerhetsarbeidet over tid ikke har vært tilstrekkelig i Norge. Disse medlemmer mener like fullt det er nødvendig å understreke at vi nå befinner oss i en svært usikker sikkerhetspolitisk situasjon med et forhøyet konfliktnivå og økende ustabilitet. Samtidig foregår det et teknologikappløp mellom verdens maktsentra. På denne bakgrunn mener disse medlemmer at rapportens funn, konklusjoner og anbefalinger må tas på største alvor og føre til umiddelbare tiltak for forbedring. Disse medlemmer mener man må legge til grunn at sivil norsk infrastruktur og tjenester også vil bli utsatt for digitale angrep i en krise- eller krigssituasjon, og Riksrevisjonens rapport beskriver for alle praktiske formål en vesentlig komponent av Norges totalforsvar. I den forbindelse imøteser disse medlemmer de rapportene som denne våren kommer fra Forsvarskommisjonen og Totalberedskapskommisjonen, og påfølgende offentlig debatt om hvordan vi best skaper digital sikkerhet i sivil sektor.

Disse medlemmer viser til at ansvarsprinsippet, som sier at «den organisasjon som har ansvar for et fagområde i en normalsituasjon, også har ansvaret for nødvendige beredskapsforberedelser og for å håndtere ekstraordinære hendelser på området», er ett av fire prinsipper som ligger til grunn for sikkerhets- og beredskapsarbeid. Dette er et prinsipp som disse medlemmer støtter. Men disse medlemmer mener at ansvarsprinsippet må være uløselig knyttet sammen med samordningsansvaret til Justis- og beredskapsdepartementet for at det nasjonale sikkerhets- og beredskapsarbeidet skal fungere. Den enkelte virksomhet settes bare i stand til å håndtere egen sikkerhet hvis den får tilstrekkelig informasjon om de til enhver tid gjeldende truslene den skal beskytte seg mot, fra sentrale myndigheter. Av naturlige årsaker er mye av informasjonen om trusselbildet for Norge ikke offentlig tilgjengelig. Men all den tid det daglige sikkerhetsarbeidet er, og må være, delegert til den enkelte virksomhet etter ansvarsprinsippet, er disse medlemmer av den bestemte oppfatning at sentrale myndigheter må tilstrebe løpende, rettidig og åpen informasjonsdeling i henhold til etablerte sikkerhetsprotokoller og andre rutiner. Åpenhet er også beredskap. For det andre mener disse medlemmer at nasjonal sikkerhet bare kan ivaretas dersom den enkelte virksomhets sikkerhetsarbeid ses i sammenheng av et samordningsorgan, en rolle som Justis- og beredskapsdepartementet er utpekt til å ha. Av den grunn er disse medlemmer skuffet over at det kommer fram av Riksrevisjonens rapport at Justis- og beredskapsdepartementet ikke har ivaretatt samordnings- og pådriveransvaret godt nok. Samtidig vil disse medlemmer understreke at det er positivt at Riksrevisjonen finner at Nasjonalt cybersikkerhetssenter (NSCS) er en velfungerende samordningsarena innen forebyggende sikkerhetsarbeid.

Disse medlemmer registrerer like fullt at representanter for kommunesektoren opplever det vanskelig å komme i kontakt med Nasjonalt cybersikkerhetssenter. Kommunesektoren understøtter flere kritiske samfunnsfunksjoner, og tjenestebortfall vil ramme offentlig tjenesteyting og enkeltmennesker i sårbare situasjoner. Løsepengevirusangrepet mot Østre Toten i 2021 førte for eksempel til at sosialhjelpsmottakere har vært nødt til å søke på nytt, og kommunen var uten datasystemer i en måned etter hendelsen. I tillegg kom personsensitiv informasjon på avveie. Totalt kostet angrepet kommunen minst 32 mill. kroner, i tillegg til bot fra Datatilsynet på 4 mill. kroner. Av dette har igjen staten kompensert Østre Toten med 16 mill. kroner. Disse medlemmer hadde forventet at man etter denne hendelsen hadde sørget for at det eksisterte forutsigbare og robuste kommunikasjonslinjer til kommunesektoren.