Regjeringen har nylig nedsatt et utvalg som skal se på regelverk og organisering innenfor IKT-sikkerhet. Utvalget skal vurdere hvorvidt eksisterende regelverk på IKT-sikkerhetsområdet er godt nok, og om det ivaretar de nye digitale samfunnsutfordringene. Utvalget skal også vurdere organisatoriske spørsmål og andre virkemidler enn de rent rettslige for å styrke IKT-sikkerheten.
Utvalget skal eventuelt også foreslå konkrete rettslige og organisatoriske endringer på IKT-sikkerhetsområdet, og skal levere sin utredning i desember 2018. Utredningen er et ledd i oppfølgingen av Meld. St. 38 (2016–2017) om IKT-sikkerhet. Det overordnede målet for utredningen er å styrke den nasjonale IKT-sikkerheten, sier justis- og beredskapsminister Per-Willy Amundsen (FrP).
Nedenfor følger en oppsummering av regjeringens pressemelding og mandatbeskrivelse.
Utvalgets medlemmer
Følgende personer er oppnevnt til utvalget:
- Skattedirektør Hans Christian Holte, Oslo (leder)
- Direktør for cybersikkerhet Terje Wold, Tromsø
- Administrerende direktør Håkon Grimstad, Trondheim
- Head of Information Security Lillian Røstad, Nesodden
- Direktør for internett og nye medier Torgeir A. Waterhouse, Oslo
- Forskningsleder Marie Moe, Trondheim
- Professor Lee A. Bygrave, Oslo
- Lagdommer Therese Steen, Oslo
Mandat
Digitalisering er en avgjørende faktor for økonomisk vekst og sysselsetting. Den driver innovasjon, og bidrar til effektivisering av næringslivet og offentlig sektor. Digitalisering har ført til nye forretningsmodeller og nye næringsveier, samtidig som gamle analoge løsninger fases ut. Den økte digitaliseringen har samtidig medført at samfunnets risikobilde har endret seg, og ingen kan i dag kontrollere sin digitale sårbarhet alene. Behovet for forsvarlig IKT-sikkerhet i samfunnet har dermed økt.
Mandatet angir fire viktige aspekter i den sammenhengen:
- Befolkningens trygghet: Det omfatter både kriminalitetsbekjempelse og personvernbeskyttelse.
- Det teknologiske: Her står funksjonaliteten til samfunnskritiske infrastrukturer og tjenester i fokus.
- IKT-sikkerhet: Det vil gi et mer robust samfunn og ha positive virkninger for nasjonal sikkerhet.
- Digitaliseringens betydning: For å oppnå økonmomisk vekst og utvikling er det viktig at vi har tillit til at digitale tjenester fungerer, er tilgjengelige og har et forsvarlig sikkerhetsnivå.
I NOU 2015: 13 Digital sårbarhet – sikkert samfunn ble våre digitale sårbarheter kartlagt. Som oppfølging mener regjeringen det er behov for å utrede rettslig regulering på IKT-sikkerhetsområdet og organisering av tverrsektorielt ansvar. Det vises også til Meld. St. 10 (2016–2017) om samfunnssikkerhet og Meld. St. 38 (2016–2017) om IKT-sikkerhet for mer beskrivelser av utfordringer og regjeringens politikk på området.
Problemstillinger
Mandatet angir tre sentrale proslemstillinger som utvalget skal arbeidet med:
- Er dagens regulering hensiktsmessig for å oppnå forsvarlig nasjonal IKT-sikkerhet?
Norske virksomheter må forholde seg til flere ulike regelverk innenfor IKT-sikkerhet. Regelverkene har til dels ulike formål og benytter ofte ulike begrep og metoder. - Har vi en hensiktsmessig fordeling og organisering av tverrsektorielt ansvar på etatsnivå innen nasjonal IKT-sikkerhet?
Digitaliseringen har medført større grad av avhengighet og sammenknytning mellom offentlig og privat, sivilt og militært og mellom ulike samfunnssektorer. - Hvilke regulatoriske og organisatoriske grep bør gjøres for å styrke nasjonal IKT-sikkerhet?
Hvis utvalget konkluderer med at det er behov for endringer for problemstilling 1 eller 2, skal utvalget foreslå konkrete rettslige og organisatoriske tiltak.
Utvalgets arbeid
Utvalget skal innhente innspill fra og ha dialog med berørte aktører i privat og offentlig sektor og andre med interesse for arbeidet. Utvalget skal se til andre sammenlignbare land for hvordan nasjonal IKT-sikkerhet ivaretas. Det skal etableres en referansegruppe med deltakelse fra ulike departement.
Utredningen skal være avgrenset mot bestemmelser, organisering og myndighet som følger av sikkerhetsloven og forslag til ny sikkerhetslov. Utvalget må se hen til EUs NIS-direktiv, gjeldende personvernregelverk samt EUs nye regelverk om personvern (GDPR).
Utvalget skal utforme eventuelle lovforslag i samsvar med anbefalingene fra Justis- og beredskapsdepartementet i veilederen “Lovteknikk og lovforberedelse“. Det skal fremme forslag til endringer i andre lover og forskrifter som er en følge av utvalgets øvrige forslag. Utredningen skal gjennomføres i samsvar med kravene i utredningsinstruksen, og skal leveres i form av en NOU.
Jeg mottok forespørselen om utvalgsdeltagelse med glede, og ser frem til å delta i dette viktige, spennende og krevende arbeidet de neste 14 månedene.
Regjeringens pressemeldingen finnes her og hele mandatet kan leses her. La meg også nevne regjeringens artikkel om informasjonssikkerhet som finnes her. Det er nyttig lesestoff.
Jeg kommer tilbake med mer offentlig informasjon etter hvert som arbeidet skrider frem, og så er det bare å se frem til 1. desember 2018 når sluttresultatet skal være levert.
Congrats Terje!
You are part of shaping the ICT security in Norway.
Gratulere med oppgaven. Et tungt ansvar. Som konsulent har jeg også en del offentlig kunder og jeg ser litt av vært redselsfullt der ute. Ting som jeg oppriktig talt trodde vi lærte å kutte ut allerede på 90-talet.
Egentlig er det forbausende ofte at prosjektet enes sikkerhetsmessige feil kjøringer kan forutses allerede på forhånd når man ser prosjekt organisasjonens sammen setning. Ikke det som står på de fine powerpoint presentasjonene, men slik som det faktisk gjennomføres.
«Digital sårbarhet – sikkert samfunn» trakk frem at vi i sikkerhets bransjen har et fokus på konfidensialitet. Mens integritet og tilgjengelighet er minst like relevante størrelser. Det har jeg borti selv også. En utvikler vil si at om informasjonen ikke er sensitiv i betydningen at den må holdes hemmelig, trenger den ikke noen sikring. Som arkitekt er jeg uenig dette. Særlig integritet er en et stort ubeskrevet blad. Integritet er ikke eksplisitt nevnt i mandatet, men er implisitt i begrepet «tillit» som er helt fundamentalt. Dataen må ikke bare være tilgjengelig til riktige brukere og bare til dem, den må være til å stole på; Det som står må faktisk være korrekt.
Jeg håper dere finner plass til å løfte frem data integritet.