Regjeringen har satt ned et nytt utvalg ledet av Olav Lysne som skal se på sikkerhet, beredskap og eierskapskontroll med digital infrastruktur. En god og erfaren utvalgsleder, mandatet er godt og utvalget er bra sammensatt. Men denne oppnevningen har også noen litt overraskende politiske og forvaltningsmessige sider både når det gjelder mandatformuleringen og hvem som er oppdragsgiver i regjeringen.
For å ta det i tur og orden: Utvalget skal ledes av Olav Lysne, professor ved OsloMet og direktør ved SimulaMet. Han er god både som forsker og formidler, ja faktisk så god at han under forrige regjering ledet to utvalg på beslektede temaer: NOUen om Digital sårbarhet og sikkerhet, et utvalg oppnevnt av Justisdepartementet, og det såkalte Lysne 2-utvalget oppnevnt av Forsvarsdeparetmentet, et ekspertutvalg som utredet det som dengang ble kalt "Digitalt grenseforsvar" og kom i 2016. Nå får vi det tredje Lysne-utvalget med sikkerhet og beredskap som tema.
Også denne gangen handler det om et ekspertutvalg som skal komme med råd om hvordan vi håndterer digital sikkerhet og beredskap, særlig knyttet til kommunikasjonsinfrastruktur. Utvalget er sammensatt av folk med teknologisk kompetanse, noen er i sentrale sikkerhets- og beredskapsroller, flere har forvaltningskunnskap og det er noen med erfaring fra norsk næringsliv som jobber i internasjonale leverandørkjeder. Trusselbildet er i rask endring på det digitale området, dels fordi den sikkerhetspolitiske situasjonen er forverret og fordi teknologien er endring, men kanskje aller mest fordi vår avhengighet av digital infrastruktur og kritiske samfunnsfunksjoners avhengighet av digitale systemer og infrastruktur har økt veldig de siste årene.
Mandatet sier at utvalget skal lage en oversikt over kritisk digital kommunikasjonsinfrastruktur av regional eller nasjonal betydning som er viktig for statssikkerheten, for samfunnssikkerheten og er bærer av tjenester av høy betydning for kritiske samfunnsfunksjoner. Og helt konkret skal utvalgets oversikt:
"...inkludere en vurdering av følgende typer infrastruktur (både hardware og software): - mobil- og bredbåndsnett
- transportnett
- undersjøiske fiberkabler
- datasentre
- satellittkommunikasjonssystemer
- særlig viktige anlegg som er viktig for hele krisespennet, blant annet fortifikatoriske anlegg/fjellanlegg"
Dette er et viktig og nødvendig arbeid og ikke minst viktig fordi Norge ligger kraftig på etterskudd med implementeringen av EUs direktiver på it-sikkerhetsområdet. Vi har ennå ikke implementert forrige versjon, mens EU nylig har vedtatt en oppdatert utgave i form av
NIS 2 direktivet.
Men det et er også noen pussigheter i dette, som på ingen måte er utvalgets feil, men som ligger i langsomme og lite forutsigbare politiske prosesser, der det ikke alltid er lett å forstå sammenhengen mellom den politiske retorikken som brukes når et arbeid settes i gang, og det som faktisk skjer etterpå. La meg nevne to ting:
Noen vil kanskje huske at tilbake i desember 2022 ble laget en stortingsmelding om "
Nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet", med mye slagordpreget retorikk om nasjonalt eierskap, men som var fragmentert, anekdotisk og ganske tynn på konkrete tiltak.
Jeg skrev om den på bloggen her. Så skulle man kanskje håpe at det i året som har gått ville komme en viss fremdrift i dette arbeidet med å utvikle og konkretisere tiltakene og å sørge for at Norge kommer på linje med våre europeiske samarbeidspartnere når det gjelder lov- og regelverk som ivaretar sikkerheten. Men i stedet har regjeringen tatt et skritt tilbake og utnevner et ekspertutvalg. Retorikken fra 2022 var kanskje ikke så lett å implementere i konkrete tiltak likevel.
Det andre jeg må nevne er en interessant utvikling når det gjelder ansvarsplassering. Mens den nevnte stortingsmeldingen i 2022 kom fra Justisdepartementet og det også er JD som i følge
en kongelig resolusjon fra våren 2013 er gitt samordningsansvaret for den forebyggende it-sikkerheten i samfunnet, er det Digitaliserings- og forvaltningdepartementet som nå har utnevnt ekspertutvalget som skal behandle temaer og tiltak som er midt i kjernen av den digitale samfunnssikkerheten. Er det fordi JD sliter med å levere på dette oppdraget? Er det fordi samordningsansvaret for ikt-sikkerhet og beredskap skal flyttes vekk fra Justisdepartemenetet og tilbake til det som i 2013 het Fornyingsdepartementet og nå heter Digitaliserings- og forvaltningsdepartementet? Eller er begrunnelsen rett og slett at sektoransvaret for elektronisk kommunikasjon, det vil si mobil, bredbånd og datasentre ligger hos digitalisering- og forvaltningsministeren, og det er i egenskap av å være sektordepartement på ekom de har tatt ballen og løpt av gårde? Jeg vet ikke svaret, og heller ikke om det har vært noen kamp mellom departementene om å ha hovedrollen, men litt interessant er det jo.
Jeg tror vi også ser noen tydelige tegn til at flyttingen av ansvar har påvirket mandatet. Ja, formuleringer om "nasjonal kontroll" er fortsatt der, men nå stilles det gode og ganske åpne spørsmål om hva det egentlig betyr i praksis og hvordan ulike eierformer kan utfordre viktige sikkerhets- og beredskapshensyn. Noe premiss om statlige eide datasentre og skytjenester eller statlig eierskap til nettinfrastruktur er ikke der, slik det var tidligere. Dessuten er det tatt inn gode formuleringer om at det i internasjonale digitale verdikjeder er flere ulike hensyn som må tas hensyn til for å ivareta sikkerheten. I mandatet står det at:
"Digitale kommunikasjonsnett bygger på internasjonale standarder og et sterkt globalt økosystem med raskt teknologisk utvikling. Innovasjon i bransjen er viktig, og Norge ligger langt fremme med digitalisering og utbygging av slik infrastruktur, med høy grad av dekning og kapasitet i mobil- og bredbåndsnettene. Utvalget skal vurdere hvilken effekt virkemidlene for nasjonal kontroll kan ha for videre utvikling og innovasjon. Forslagene fra utvalget skal ta hensyn til behovet for videre utvikling og innovasjon, og skal i størst mulig grad legge til rette for dette. Utvalget skal også ta hensyn til sikkerhetssidene ved lange, komplekse og internasjonale digitale verdikjeder. Utvalget skal beskrive hvordan reguleringsregimer eller andre hensyn til nasjonal kontroll er ivaretatt i nordiske land."
Det er godt disse erkjennelsene synker inn. Sannsynligvis burde dette tredje Lysne-utvalget blitt satt ned langt tidligere, men det er bedre at det kommer nå enn at det ikke kommer i det hele tatt. Jeg ser også at utvalget utstyres med et sekretariat med fagekspertise fra Nasjonal kommunikasjonsmyndighet (Nkom). De har lang erfaring med å både være opptatt av sikkerhet og beredskap, inkludert virksomheter underlagt sikkerhetsloven, og samtidig har de ansvar for reguleringer og rammeverk for noen svært innovative og teknologiintensive virksomheter i konkurranseutsatte markeder. Og god greie på forvalting av EU-reguleringer. Når både Pål Wien Espen, direktør i Nkom og NSMs Bente Hoff er med i utvalget tenker jeg det bidrar til at arbeidet gir oss den oversikten og de virkemiddelforslagene vi trenger for å redusere den digitale sårbarheten.
Ingen kommentarer :
Legg inn en kommentar