Dokument 3:7 (2022–2023) / Offentliggjort Myndighetenes samordning av arbeidet med digital sikkerhet i sivil sektor
Justis- og beredskapsdepartementet ivaretar ikke ansvaret de har for digital sikkerhet i sivil sektor godt nok. Dette kan få alvorlige konsekvenser for kritiske samfunnsfunksjoner og nasjonale sikkerhetsinteresser.
- (PDF, 7,8 MB) Les hele undersøkelsen (pdf)
Kort bakgrunn
- Samfunnssikkerhetsmeldingen slår fast at digital sikkerhet er helt avgjørende for å ivareta velferdssamfunnet, viktige samfunnsfunksjoner og nasjonale sikkerhetsinteresser.
- Arbeidet med digital sikkerhet berører hele samfunnet, og krever derfor samordning av aktører og virkemidler på tvers av sektorene.
- I perioden 2019 til 2021 har det vært en tredobling i antall alvorlige digitale hendelser og angrep mot offentlige og private virksomheter i Norge (Kilde: Nasjonal sikkerhetsmyndighet).
- Justis- og beredskapsdepartementet har hatt ansvaret for samordningen av samfunnssikkerhetsarbeidet og digital sikkerhet i sivil sektor siden 2013.
Overordnet vurdering: Kritikkverdig
-
Ikke tilfredsstillende
-
Kritikkverdig
-
Sterkt kritikkverdig
Samlet sett er det kritikkverdig at Justis- og beredskapsdepartementet med underliggende etater ikke har ivaretatt samordnings- og pådriveransvaret godt nok til å møte utfordringene på det digitale sikkerhetsområdet.
• Justis- og beredskapsdepartementet har ikke ivaretatt sitt pådriveransvar for å bidra til tilstrekkelig framdrift i arbeidet som følger av ny sikkerhetslov.
• Departementet har ikke lagt godt nok til rette for tverssektoriell hendelseshåndtering.
• Det gjennomføres få tilsyn med digital sikkerhet og tilsynsmyndighetene er lite samordnet.
Konklusjoner
- Nasjonalt cybersikkerhetssenter skal blant annet å legge til rette for økt samarbeid mellom private og offentlige virksomheter. Senteret er en velfungerende arena for forebyggende arbeid.
- Andre sentrale samordningsarenaer er lite forpliktende for deltakerne og bidrar i varierende grad til samordning.
- Tilsynsmyndighetene er lite samordnet og arbeidet med felles tilsynsmetodikk er ikke kommet i gang.
- Hver enkelt virksomhet, både offentlig og privat, har ansvar for å etterleve regelverk som har med digital sikkerhet å gjøre.
- Arbeidet med forebyggende digital sikkerhet er vanskelig for virksomheter. For dem er det krevende å holde oversikt over hvilke regelverk som gjelder deres virksomhet, hvordan regelverkene står i forhold til hverandre, og hvilke myndighetsaktører og veiledere de skal forholde seg til.
- Justis- og beredskapsdepartementet har ikke sørget for god nok informasjon om den nasjonale digitale sikkerhetstilstanden.
- Det er ikke etablert en fullstendig oversikt over hvilke verdier og avhengigheter som skal sikres etter sikkerhetsloven.
- Justis- og beredskapsdepartementet har ikke sørget for at sentral rapportering fra departementene kan brukes for å holde oversikt over sikkerhetstilstanden.
- Det blir gjennomført få tilsyn med digital sikkerhet sett opp mot antall virksomheter det skal og kan bli ført tilsyn med.
- Departementets oppfølging av strategien gir ikke grunnlag for å løpende vurdere effekt av tiltakene.
- Satsingen på kompetanse er mindre målrettet enn beskrevet i Nasjonal strategi for digital sikkerhet.
- Det er ikke innhentet oppdaterte data og analyser om kompetansegapet på det digitale sikkerhetsområdet siden 2017.
- Det er risiko for at målene i kompetansestrategien ikke nås. Det gjelder for eksempel rekruttering til utdanning og forskning innen digital sikkerhet.
Når det kommer til denne konklusjonen i undersøkelsen, har vi også overlevert et sikkerhetsgradert vedlegg til Stortinget. Det er gradert begrenset og gir detaljer om utfordringene rundt tverrsektoriell hendelseshåndtering.
- Nasjonal sikkerhetsmyndighets evne til å oppdage og håndtere digitale hendelser har svakheter.
- Vedvarende utfordringer i Felles cyberkoordineringssenter har ikke blitt godt nok fulgt opp av Justis- og beredskapsdepartementet. Utfordringene handler blant annet om ressurssituasjon og bemanning.
- Det er behov for mer øving av tverrsektoriell håndtering av hendelser på nasjonalt nivå.
- Viktige tverrsektorielle tiltak for å håndtere digitale angrep er forsinket.
Anbefalinger
Vi anbefaler at Justis- og beredskapsdepartementet
- tar en tydeligere samordnings- og pådriverrolle for nasjonal digital sikkerhet i sivil sektor
- sørger for at Nasjonal sikkerhetsmyndighet i samarbeid med de andre veiledningsaktørene gjør veiledningen på det digitale sikkerhetsområdet mer samordnet og tilgjengelig
- sørger for bedre utnyttelse og koordinering av de etablerte arenaene for samordning
- gjennom sin pådriverrolle bidrar til at alle departementer har tilstrekkelig framdrift i arbeidet som følger av ny sikkerhetslov
- sikrer et bedre kildegrunnlag for å holde oversikt over den nasjonale digitale sikkerhetstilstanden
- sørger for bedre informasjon om resultater av iverksatte tiltak for å kunne vurdere behovet for endringer og nye tiltak på det digitale sikkerhetsområdet
- styrker arbeidet med å avdekke, håndtere og koordinere innsatsen mot alvorlige digitale hendelser