NoU 2018:14 – IKT-sikkerhet i alle ledd


Digitalisering er en viktig faktor for økonomisk vekst, sysselsetting, innovasjon og effektivisering. Med tanke på den stadige endringen i IKT-risikobildet, og at de fleste virksomheter ikke alene klarer å kontrollere sin sårbarhet, viser IKT-sikkerhetsutvalget til behovet for en bedre styring av IKT-sikkerhet ved anskaffelse av digitale varer og tjenester. Leder av utvalget, skattedirektør Hans Christian Holte, overleverte NOU2018:14 "Sikkerhet i alle ledd" til Justis-, og beredskaps- og innvandringsminister Tor Mikkel Wara nå i desember.

For å ivareta nødvendig sikring av samfunnskritiske oppgaver og offentlig forvaltning mener utvalget også at det må opprettes et nasjonalt IKT-sikkerhetssenter. Der vil en samle kompetanse for å styrke offentlig og privat samarbeid for å få en effektiv innovasjonsevne innen IKT-sikkerhet. Oppbygging av senteret vil også involvere forsvaret for å ta høyde for statssikkerheten.

Parallelt med utvalgets utredning er det startet et arbeid med å etablere et nasjonalt cybersikkerhetssenter som en del av NSM. Også andre sentrale aktører innen offentlig og privat sikkerhet må bidra inn mot det nye IKT-sikkerhetssenteret. Utvalget mener Justis- og beredskapsdepartementet og Forsvarsdepartementet må gjennomgå modellen for styring av NSM for å sikre at IKT-sikkerhet i sivil sektor blir bedre ivaretatt, samtidig som koblingen mellom sivil sektor og forsvarsektoren beholdes.

 

Norsk senter for informasjonssikring(NorSIS) mener at ved etablering av et nytt IKT-sikkerhetssenter må det etableres med en oversiktlig og transparent struktur. IKT-sikkerhetsområdet i dag fremstår til dels fragmenterte og uoversiktlig.

NorSIS er bekymret for at nye sikkerhetskrav i form av en lov vil medføre en økonomisk merbelastning på små- og mellomstore virksomheter, som disse ikke vil få kompensert. I verste fall vil en slik lov kunne føre til at flere virksomheter må melde oppbud.

Når sikkerhetskravene øker (som følge av økt trussel og sårbarhet) må vi på et nasjonalt nivå ta inn over oss at det ikke er nok kompetanse i samfunnet til at alle virksomheter kan gjøre faglig kompliserte vurderinger. Tiltak må gjøres enkle og tilgjengelige, og myndighetene må ta et større ansvar for det «strukturelle», altså at det finnes relevante tiltak og informasjon som bedriftene kan benytte. Kanskje kunne etableringen av en form for bransjenorm, hvor IKT-bransjen går sammen om et sett med sikkerhetsmekanismer som leveres med alle IKT-leveranser i samfunnet, både til private, bedrifter og offentlig virksomheter, være et alternativ til å lovregulere området ytterligere.

Se hele rapporten fra NoU her.