Jan Petersen (H):
Jeg tør reise
følgende spørsmål: « Norske eksportbedrifter i IT-næringen etterlyser et norsk
offentlig organ som kan sertifisere deres IT-produkter med hensyn til
sikkerhets- og kvalitetskrav. Fraværet av en slik godkjenningsordning kan
bli en vesentlig ulempe for konkurranseevnen på flere av de viktigste
europeiske markedene. En norsk ordning med gjensidig anerkjennelse av
ordninger mellom landene vil kunne fjerne en slik ulempe.
Vil statsministeren ta initiativ til
etablering av et slikt organ? »
Statsråd Jens Stoltenberg:
Norsk
næringsliv, Forsvaret og offentlig forvaltning blir stadig mer avhengig av
forskjellige informasjonsteknologisystemer. Dermed økes betydningen av
sikkerhet i systemene. Spørsmålet er hvordan vi skal sikre oss og hvordan
vi kan fremme utvikling og bruk av sikre IT-løsninger. En mulighet er å
etablere sertifiseringsordninger, slik representanten Petersen etterlyser.
Innen NATO har man i noen tid godkjent
nasjonale sertifiseringsordninger for visse typer datautstyr. Amerikanerne
utviklet tidlig standarder og sertifiseringsordninger for slikt utstyr og
har på den måten kunnet opparbeide seg en dominerende posisjon for levering
av datautstyr til forsvarsalliansen.
Behovet for sikre IT-løsninger er også
stort på det sivile området. I Norge har vi i lang tid arbeidet med
informasjonssikkerhet innen f.eks. helsesektoren og innen
betalingsformidling.
I flere land i Nord-Amerika og i
Europa er det etablert nasjonale sertifiseringsordninger. IT-næringen er
imidlertid internasjonal, og det er derfor behov for å samordne utviklingen
internasjonalt.
EU etablerte i 1992 et toårig
tiltaksprogram kalt INFOSEC. Norge deltok i programmet. Det ble utarbeidet
forslag til europeiske evalueringskriterier for etablering av sikre
IT-systemer, og EUs ministerråd har anbefalt bruk av kriteriene innen EU.
Gjennom vedtak i EØS-komiteen den 29. februar i år er rådsanbefalingen nå
gjort gjeldende også for Norge som en ikke-bindende rettsakt.
EU arbeider for tiden også med
retningslinjer for gjensidig godkjenning av sertifikater på dette området.
Norge arbeider for at også EØS-området skal bli omfattet av ordningen.
Det pågår også et arbeid med å få
felles kriterier for IT-sikkerhet mellom USA, Canada og noen av de største
EU-landene. IT-sikkerhet er med andre ord et område i rivende utvikling
internasjonalt. Norge er aktivt med i denne prosessen.
I fjor høst ble Regjeringen bedt om å
vurdere å opprette et eget sertifiserings- og rådgivningsorgan for sikrere
dataløsninger. Justisministeren henviste da til at dette skulle behandles
av et nytt råd for IT-sikkerhet.
Regjeringen etablerte Rådet for
IT-sikkerhet den 14. mars i år. Rådet ledes av
Administrasjonsdepartementet, og sekretariatet er lagt til Statskonsult. I
rådet kan de berørte departementer og institusjoner utveksle erfaringer om
informasjonssikkerhet knyttet til bruk av IT og ta initiativ til tiltak på
tvers av sektorer, dersom det er behov for det. Rådet skal utrede ulike
virkemidler og gi anbefalinger til de ansvarlige departementene.
Rådet for IT-sikkerhet har nylig tatt
initiativ til å få utredet nærmere behovet for eventuelle
sertifiseringsordninger på IT-området. Gjennom dette arbeidet er
målsettingen at Norge fortsatt skal være på linje med utviklingen ellers i
Europa.
Jan Petersen (H):
I og med dette
spørsmålet ble det nå i hvert fall avklart hvem som har ansvaret - det har
for så vidt vært uklart - og det er altså næringsministeren, og jeg er glad
for at den avklaringen er kommet.
Jeg vil gjerne også få lov til å takke
for svaret. Når jeg har reist spørsmålet, er det fordi dette er et krav fra
næringen, som understreker at den vil ha et konkurranseproblem hvis den ikke
får en egen norsk sertifiseringsordning.
Jeg synes det var viktig å reise
spørsmålet, fordi Statssekretærutvalget er meget vagt på dette området, og
jeg må nok si at jeg synes statsråden også var meget vag. Jeg tror det er
behov for mer handlekraft enn det som nå ble vist.
Mitt tilleggsspørsmål til statsråden
blir følgende: Når kan vi vente å få en avklaring når det gjelder dette
spørsmålet? Dette er jo en meget dynamisk næring hvor utviklingen går meget
raskt, og når svaret bare er en utredning, frykter man for at tiden kan gå.
Så mitt spørsmål er: Når kan vi få en avklaring på substansen i mitt
spørsmål?
Statsråd Jens Stoltenberg:
Det er
riktig at dette er et område der utviklingen går raskt. Derfor er det
heller ikke lenge siden vi nedsatte Rådet for IT-sikkerhet. Det ble nedsatt
i mars i år, og en av de første tingene det har tatt fatt på, er spørsmålet
om behovet for sertifiseringsordninger. Rådets opplegg er å ha utredningen
klar i første del av 1997. Men parallelt med arbeidet i rådet er det
iverksatt tiltak, bl.a. knyttet til de ordningene i EU som jeg refererte til
i mitt svar.
Presidenten: Vi vil nå ta for oss
spørsmålene 26 og 27.