Skriftleg spørsmål fra Sigbjørn Gjelsvik (Sp) til samfunnssikkerhetsministeren

Dokument nr. 15:1901 (2018-2019)
Innlevert: 19.06.2019
Sendt: 20.06.2019
Svart på: 26.06.2019 av samfunnssikkerhetsminister Ingvil Smines Tybring-Gjedde

Sigbjørn Gjelsvik (Sp)

Spørsmål

Sigbjørn Gjelsvik (Sp): Norges største IT-selskap, Evry, skal nå selges til det multinasjonale selskapet Tieto. Evry drifter kritisk norsk IT-infrastruktur for bl.a. finansbransjen, kommunesektoren, helsevesenet og olje- og gassnæringen.
Har regjeringen vurdert de beredskaps- og sikkerhetsmessige virkningene av oppkjøpet, og er oppkjøpet klarert med tanke på sikkerhetsloven?

Grunngiving

IT-tjenester er i dag så grunnleggende i samfunnet at å bevare tilstrekkelig sikkerhet og nasjonal kontroll med slike tjenester er av ytterste viktighet for samfunnssikkerheten. Det er regjeringens ansvar å påse at Norge og norske borgere er trygge og at man har tilgang på grunnleggende samfunnstjenester også i krisesituasjoner, som krig eller konflikt med andre land. Samtidig med at Evry nå selges ut av Norge ser man at store og mektige land som USA og Kina bruker IT-relaterte selskaper som ledd i det som blir beskrevet som en handelskrig dem imellom. Dette viser med all tydelighet den makt som ligger i å ha jurisdiksjon over slike selskaper samt hvilken sårbarhet det innebærer for et land å overlate grunnleggende IT-tjenester til utenlandske foretak.
Fra Norge har vi tidligere erfaringer med at det også i fredstid er betydelig risiko forbundet med å utkontraktere IT-tjenester til utlandet, bl.a. har uvedkommende hatt tilgang til sensitive pasientopplysninger og feil i India har medført betydelig fare og nedstenging av produksjon i olje- og gassnæringen. I ytterste konsekvens kan liv gå tapt.
Samfunnssikkerhetsministeren har det overordnede ansvaret for samfunnssikkerheten i Norge og bør kunne svare for regjeringens vurderinger i saken.

Ingvil Smines Tybring-Gjedde (FrP)

Svar

Ingvil Smines Tybring-Gjedde: For virksomheter som er underlagt sikkerhetsloven vil kapittel 10 i sikkerhetsloven om eierskapskontroll gi føringer for salg av eierandeler i virksomheten. Disse bestemmelsene medfører en plikt for den som ønsker å erverve en kvalifisert eierandel til å varsle ansvarlig departement eller NSM om ervervet. Som følge av den nye sikkerhetsloven som trådte i kraft 1. januar 2019 pågår det nå et arbeid i departementene med å identifisere hvilke virksomheter som skal underlegges loven. De virksomhetene som skal underlegges er de som er av vesentlig betydning for grunnleggende nasjonale funksjoner (GNF). GNF er tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser.
Som samfunnssikkerhetsminister har jeg et samordningsansvar for digital sikkerhet på sivil side. I det ligger også at jeg skal være en pådriver for at man gjør nødvendige risikovurderinger.
I strategien for digital sikkerhet som regjeringen lanserte tidligere i år, er et av målene at virksomheter har en risikobasert tilnærming til sitt sikkerhetsarbeid, og bruker anerkjente rammeverk, standarder og styringssystem for digital sikkerhet. Både tjenesteleverandører, og virksomheter som benytter tjenesteleverandører, har ansvar for å foreta nødvendige risikovurderinger. Viktigheten av bestillerkompetanse og kontroll med tjenesteleverandører adresseres i strategien. Godt forebyggende arbeid er av avgjørende betydning også på dette området. Jeg vil være en pådriver for at dette er høyt på dagsorden i de enkelte sektorene.