Hva skal Nasjonal sikkerhetsmyndighets (NSM) ha som sine kjerneoppgaver og hvilke oppgaver kan løses bedre av andre? Og enda mer presist: Skal NSM konsentrere seg om oppgaver som har med nasjonal sikkerhet å gjøre, det vil si oppgaver som er beskrevet i sikkerhetsloven? Eller skal NSMs kjerneoppaver ligge i rollen som et bredere nasjonalt fagmiljø på digital sikkerhet?
Et utvalg ledet av Svein Gjedrem, med flere andre kompetente medlemmer har fått i oppdrag av regjeringen å gå igjennom NSMs oppgaver og styring, men det er utvalget som har valgt å spissformulere gjennomgangen av oppgaver og styring til å særlig handle om dette veivalget. Noe må bort. Enten må hovedansvaret for nasjonal sikkerhet i henhold til sikkerhetslovens innramming flyttes ut. Eller så må digital sikkerhet, i hverfall den som er definert langt bredere, inkludert samfunnsikkerhet, virksomehetssikkerhet og oppgaver som gjelder individsikkerhet, overlates til noen andre.
Gjedrem-utvalg nummer to
Forhistorien til dette utvalgsarbeidet er litt spesielt i den forstand at det for litt over det år siden var slikt at det ble avslørt at NSM hadde tatt opp et grunnlovsstridig lån for å betale for husleie og ombygging av sine kontorlokaler på Fornebu, et lån de ikke hadde et stort nok driftsbudsjett til å betjene. Da dette ble oppdraget, og Stortinget måtte vedra en ekstraordinær bevilgning, ble det satt ned et hurtigarbeidende utvalg ledet av Svein Gjedrem som undersøkte sakens ulike realiteter, og kom med noen avbefalinger om hvordan det burde ryddes opp.
Basert på denne første Gjedrem-rapporten om NSMs leie- og låneforhold, som jeg skrev om på bloggen her, kom det to konkrete oppfølginger. En Riksrevisjonsrapport som undersøkte statlige etaters husleiekontrakter generelt for å avdekke om det er flere forhold i strid med regelverket (svar: ja, det var noen). Og denne ekspertutredningen som ble oppnevnt for å beskrive historikk, analysere om NSM fungerer etter hensikten, og som gir anbefalinger om endringer i NSMs oppgaver og styring.
Kanskje ville aldri dette utvalget og denne rapporten kommet om ikke NSM hadde gjort feil i håndteringen av sine leiekontrakter og låneavtaler. Sånn sett kan det komme en viktig og nødvendig diskusjon og rolleavklaring ut av noe som startet et helt annet sted.
Historien om stadig flere oppgaver
Utvalget har skrever en svært leseverdig rapport som går igjennom NSMs historie, hvordan oppgaveporteføljen har vokst i omfang og bredde i takt med at omgivelser og teknologi endrer seg, også hvordan det jevnlig har kommet nye oppgaver som "noen" må løse, som det ikke er helt opplagt hvor passer inn i statsforvaltningen, og som derfor har havnet i NSM. Helt uavhengig av hva man måtte mene om konklusjonene i rapporten, tenker jeg at denne gjennomgangen både er nyttig og klargjørende. Det er en studie i hvordan oppgaver og ansvar kan "migrere" inn i stadig nye områder. Og den legger premisser veivalg og prioriteringer som uansett må gjøres.
NSM ble opprettet i 2003 og har en historie som er nært knyttet til sikkerhetsloven. Datidens sikkerheteslov kom i 1998. Før NSM fantes lå ditte ansvaret for statssikkerheten hos Forsvarssjefens sikkerhetsstab ved Forsvarets overkommando, men ble overtatt av det nye direktoratet. Forsvaret beholdt selv en kjerne av direkte forsvarsrelaterte oppgaver, men styringen av NSM ple plasert i Forsvarsdepartementet. Så vedtok Stortinget en ny og modernisert sikkerhetslov i 2018 som utvalget beskriver slik:
"Ny sikkerhetslov skulle legge grunnlag for at «vi har de virkemidlene som er nødvendige for å ivareta nasjonale sikkerhetsinteresser og forebygge mot sikkerhetstruende virksomhet». Lovens virkeområde er å ivareta «nasjonal sikkerhet», som omfatter den tradisjonelle statssikkerheten og den delen av samfunnssikkerhet som er av vesentlig betydning for statens evne til å ivareta nasjonale sikkerhetsinteresser. Loven trådte i kraft 1. januar 2019."
I 2018 var vi blitt mye mer opptatt av å beskytte prosesser og verdikjeder som er avgjørende for at samfunnet skal fungere, og ikke bare sikkerhetskritiske objekter. Det er også en helt annet og mer kompleks samhandling mellom ulike sektorer og mellom offentlig sektor og private virksomheter som bygger og drifter infrastruktur og systemer som har en rolle inn mot statssikkerhet og nasjonal sikkerhet. De teknologiske løsningene er var helt andre i 2018 enn i 2003, og det var også sårbarhetene.
NSM fikk gjennom den nye loven dermed hovedansvaret for å sørge for å påse at ansvarlige departementer og sektormyndighetene sørger for å definere, plassere ansvar og beskytte grunnleggende nasjonale funksjoner som må være på plass for at landet skal fungere i en krigs- eller krisesituasjon. Omtrent på denne tiden ble også styringen av NSM flyttet fra Forsvarsdepartementet til Justis- og beredskapsdepartementet (JD), men med faglige linjer og roller under begge, og naturligvis med et stort tverresktorelt ansvar som inneværer koordinering av alle departementer og sektorer.
Ansvaret for digital sikkerhet
Så kunne man jo se for seg at denne oppgaveporteføljen, supplert med noen tilgrensende anvarsområder, og viktig faglige og koordinerende roller inn mot NATO, ville gitt NSM mer enn nok store oppgaver. Utvlaget fremhever også at Norge i internasjonal sammenheng har et godt styringsmessig utgangspunkt fordi vi er i den heldige situasjonen at vi har en felles sikkerhetslov og en felles nasjonal sikkerhetsmyndighet som er gitt ansvaret for å forvalte loven. I utgangspunktet veldig ryddig, men så kom det noen andre problemer seilende inn fra siden.
NSM skal ifølge sin egen hovedinstruks utføre en rekke andre oppgaver innen digital sikkerhet, herunder "vedlikeholde et særskilt risikobilde for digital sikkerhet som omfatter statssikkerhet, samfunnssikkerhet og individsikkerhet", og "foreslå tiltak, gi anbefalinger og fremme forslag til krav innen digital sikkerhet i samfunnet, samt følge opp med råd og veiledning. Det er ganske andre oppgaver og et annet nedslagsfelt enn det som ligger i sikkerhetsloven. Utvalget beskriver noe av av baktrunnen for at det er slik:
"NSMs rolle som det nasjonale fagmiljøet innen digital sikkerhet utover sikkerhetsloven bygger på oppgaven NSM hadde som sertifiseringsmyndighet for IT-sikkerhet i produkter og systemer, samt de operative oppgavene med å følge opp varslingssystemet for digital infrastruktur (VDI) og oppgaven som nasjonal responsfunksjon (NorCERT). NSM var også i en årrekke sekretariat for Koordineringsutvalget for informasjonssikkerhet (KIS) som nå er nedlagt. Å gi NSM denne oppgaven hadde også sammenheng med at samordningsansvaret for IKT-sikkerhet på sivil side i 2013 ble flyttet fra det daværende Fornyings-, administrasjons- og kirkedepartementet (FAD) til Justis- og beredskapsdepartementet."
Det kan virke som kombinasjonen av å flytte samordningsansvaret for IKT-sikkerhet på sivil side til Justisdepartementet i 2013 og deretter flyttingen av NSM til Justisdepartmentet i 2019, har gitt den uheldige, og kanskje ikke helt tilsiktede bivirkningen, at når det har dukket opp nye digitale sikkerhetsutfordringer og behov, på helt andre områder enn de sikkerhetsloven definerer, så har det også blitt plassert i NSM. Når man har en etat og har et nytt problem, ja da er det jo fristende å legge ansvaret der. .
Statssikkerhet og samfunnssikkerhet
Det er her Gjedrem-utvalget ber om at det tenkes annerledes. Dels fordi den samlede oppgaveportefølgen er blitt for stor og sprikende, og de ulike grenseflatene mot andre er blitt for mange. Noe som i følge utvalget også bør resultere i at NSM setter ut en del oppgaver de ikke behøver å gjøre i egen regi til andre. I sorteringen av hvordan det bør tenkes annerledes sier Gjedrem-utvalget at en i myndighetens sikkerhetsarbeid gjør lurt i å ha skille mellom statssikkerhet og samfunnssikkerhet.
"Videre er NSM tiltenkt flere nye oppgaver i ny forskrift til digitalsikkerhetsloven som etter planen skal tre i kraft i løpet av 2025.30 NSMs portefølje av oppgaver kan også bli endret i den nye loven om grunnsikring av virksomheter som ble varslet i Totalberedskapsmeldingen regjeringen la fram i januar 2025"
Hovedveivalg med konsekvenser
Gjedrem-utvlaget ber derfor om et hovedveivalg når det gjelder hva som er NSMs kjernevirksomhet. Det kan høres enkelt ut, men problemet er selvfølgelig at de oppgavene som velges bort ikke forsvinner som viktige samfunnsutfordringer av den grunn, men må finne et nytt og minst like bra hjem et annet sted i statsforvaltningen. Hvis NSM skal konsentrere seg mer om kjeneoppgavene i henhold til sikkerhetsloven må noen andre ta på seg å være det ledende fagmiljøet for digital sikkerhet.
Og hvis man motsatt vil at NSM skal redyrkes som det ledende digitale sikkerhetsmiljøet for samfunnssikkerhet, virksomhetssikkerhet og invividsikkerhet, med roller inn mot statlig forvaltning, komunal forvaltning og tjenesteproduksjon, næringsliv og innbyggere, ja da må statssikkerhetsrollen og mye av det NSM gjør for forsvaret, nasjonalt og internasjonalt, finne et annet og minst like bra hjem. Og for eksempel tilhøre Forsvarsdepartementet igjen. Uansett hovedmodell vil både departementstilkytning og grenseflater mot andre etater og sektorer være krevnede å avklare, for sektorene våre passer ikke alltid like godt sammen med trusselbildet som før.
Utvalget er helt tydelige på hva hovedveivalget bør være. NSM skal konsentrere seg om nasjonal sikkerhet og oppgavene som er definert av sikkerhetsloven. Den forebyggende digitale samfunnsikkerheten bør finne et nytt hjem. De er mindre tydelige på hvordan de øvrige oppgavene og rollene skal håndteres, og hvordan de som skal plukke opp bitene som ikke passer inn i det nye NSM skal gjøres i stand til å ta den rollen på en forsvarlig måte.
Anbefalinger fra utvalget
Rapportens sammendrag i kapittel 1 har en fin opplisting av de konkrete tiltakene og de endringene utvalget mener er nødvendige. Alle tiltakene henger sammen med en helt overordnet anbefaling som er formulert slik:
"NSMs kjerne bør være de oppgavene som følger av sikkerhetsloven. Loven stiller krav til det nasjonale sikkerhetsarbeidet. NSM bør konsentrere seg om disse oppgavene og være i stand til å løse dem med høy kvalitet. Dette er også i tråd med utvalgets mandat som sier at den sikkerhetspolitiske utviklingen og utviklingen i risikobildet for nasjonal sikkerhet skal være førende for vurderingene."
Utvalget er også tydelige på at modellen med én sikkerhetslov og én sikkerhetsmyndighet fungerer godt i Norge og at vi ikke må søke etter mer fragmenterte modeller, slik de har i en del andre land. De gir tvert imot uttrykk for at vi må ble enda mer enhetlige i den forstand at NSMs oppgaver etter sikkerhetsloven bør bli enda klarere. NSM må også ha viktige oppgaver innen digital sikkerhet etter sikkerhetsloven. Hvilke konkrete oppgaver dette er listes opp i rapporten.
Med utgangspunkt i denne hovedretningen har utvaglet en serie andre anbefalinger som henger sammen med denne hovedretningen, men der det helt sikkert er mulig å gjøre noen tilpasninger og varianter, så lenge de ikke ødelegger for hovedretningen. Det er fem ting i dette jeg vil trekke fram:
For det første mener utvalget at begreper som brukes i styringen av NSM må gi en presis beskrivelse av NSMs oppdrag, og skriver at
"Ord som «overordnet», «sektorovergripende ansvar» og «nasjonal responsfunksjon» kan gi inntrykk av at NSM skal lede, gripe inn og gi alle sikkerhet. Ansvar for sikkerheten ligger hos de enkelte departementene og virksomhetene som er underlagt sikkerhetsloven. NSM skal bistå de ansvarlige blant annet ved å gi råd, veilede og å føre tilsyn. Justis- og beredskapsdepartementet og Forsvarsdepartementet bør presisere i hovedinstruksen hva NSMs oppgaver etter sikkerhetsloven er".
Ansvar tilbake til DFD
For det andre må omfanget av NSMs oppgaver innen digital sikkerhet utenfor sikkerhetsloven reduseres. Utvalget skriver flere steder om hva slag oppgaver det er:
"NSM betegnes i hovedinstruksen som «det nasjonale fagmiljøet for digital sikkerhet». Med et slikt utgangspunkt har det trolig vært lett å legge nye oppgaver på dette området til NSM. Men instruksen overvurderer direktoratets rolle; NSM er ett blant flere digitale fagmiljøer. Direktoratets oppgaver er nå for mange, og de favner for bredt. Det svekker NSMs kapasitet til å fylle funksjonen som sikkerhetsmyndighet etter sikkerhetsloven. Oppgaver innen digital sikkerhet utenfor sikkerhetsloven bør overføres til andre. (...) NSM bør for eksempel ikke ha som oppgave å gi informasjon, råd og veiledning til statlig og kommunal sektor, private virksomheter og enkeltpersoner utenfor sikkerhetslovens virkeområde, drifte Norsk senter for informasjonssikring (NorSIS) eller vedlikeholde grunnprinsipper for IKT-sikkerhet. NSM bør heller ikke ha et hovedansvar for å koordinere aktiviteter som faller utenfor sikkerhetsloven."
For det tredje mener utvalget at det nye Digitaliserings- og forvaltningsdepartementet (DFD) bør få ansvaret for digital sikkerhet utenfor sikkerhetsloven. De går ikke i dybden på hvordan det skal plasseres helt konkret, men slår fast at en reversering av flyttingen av ansvaret for digital sikkherhet i 2013 er naturlig nå når vi har et eget digitaliseringsdepartement. Og sier også at:
"DFD skal bidra til å styrke statens og samfunnets evne til å bruke potensialet og håndtere utfordringene som digital teknologi skaper. Departementet skal være en pådriver og samordne regjeringens politikk, også innen kunstig intelligens. Oppgaven DFD har med å vurdere hvilke muligheter digitalisering kan gi, bør ikke være løsrevet fra oppgaven med å vurdere hvilke konsekvenser disse mulighetene kan ha for den digitale sikkerheten. Det vil derfor etter utvalgets syn være riktig at dette departementet får som oppgave å samordne regjeringens arbeid med digital sikkerhet utenfor sikkerhetsloven. De oppgavene som utvalget foreslår tatt ut av NSM, bør legges til en eller flere etater under dette departementet."
Roller og grenseflater mot andre
For det fjerde mener utvalget at NSM bør sette ut flere operative oppgaver til andre. Sikkerhetsloven og forskrifter åpner for at flere av oppgavene som NSM selv utfører, kan settes ut. Dette gjelder blant annet oppgaven med å gjennomføre tekniske sikkerhetsundersøkelser, og hvis NSM gjør det selv må de kunne ta betalt for kostnadene. Et beslektet tema utvlaget tar opp er at flere tilsyn bør kunne gjennmføre tilsyn etter sikkerhetsloven. De skriver at:"Flere tilsynsmyndigheter bør føre tilsyn etter sikkerhetsloven. NSM fører tilsyn med at sikkerhetsloven blir fulgt opp, både med departementene, etater, lokale myndigheter og virksomheter. I fem sektorer hittil har ansvarlig departement gitt oppgaven med å føre tilsyn etter sikkerhetsloven til myndigheten som fører tilsyn i sektoren. Dette er en god ordning som bør brukes i flere sektorer."
Og for det femte så bør grensesnittet mot Direktoratet for samfunnssikkerhet og beredskap (DSB) bli klarere. DSB bistår Justis- og beredskapsdepartementet med å koordinere arbeidet med samfunnssikkerhet og beredskap og har ledet arbeidet med å identifisere kritiske samfunnsfunksjoner på et bredere område enn det som er sikkerhetslovens nedslagsfelt. Utvalget ønsker ikke å slå sammen de ulike rammeverkene for å definere samfunnssikkerhet, men mener det er behov for mer samarbeid og samordning, og skriver at:
"(Rammeverkene) har både ulike formål og virkeområder, der arbeidet med kritiske samfunnsfunksjoner favner vesentlig videre enn sikkerhetsloven. Utvalget mener sikkerhetslovens formål og virkeområde i dag er hensiktsmessig og fungerer etter intensjonen. Det er likevel behov for at formål og virkeområde og grensesnitt mellom rammeverkene gjøres klarere og formidles på en pedagogisk måte. Videre må oppgavefordeling og grensesnitt generelt mellom DSB og NSM avklares og gjøres tydelig i direktoratenes hovedinstrukser."
Jeg synes alt i alt at utvlagets anbefalinger er både klargjørende og gode. Og at de bør følges opp med på politisk nivå. Tidspunktet virker også riktig sett i lys av Totaberedskapsmeldingen og Langtidsplanen for forsvaret. Så får vi se om noen tar tak i dette, eller om det blir for vanskelig akkurat nå.
