Jan Petersen (H): Jeg tør reise følgende spørsmål: « Norske eksportbedrifter i IT-næringen etterlyser et norsk offentlig organ som kan sertifisere deres IT-produkter med hensyn til sikkerhets- og kvalitetskrav. Fraværet av en slik godkjenningsordning kan bli en vesentlig ulempe for konkurranseevnen på flere av de viktigste europeiske markedene. En norsk ordning med gjensidig anerkjennelse av ordninger mellom landene vil kunne fjerne en slik ulempe.

Vil statsministeren ta initiativ til etablering av et slikt organ? »

Statsråd Jens Stoltenberg: Norsk næringsliv, Forsvaret og offentlig forvaltning blir stadig mer avhengig av forskjellige informasjonsteknologisystemer. Dermed økes betydningen av sikkerhet i systemene. Spørsmålet er hvordan vi skal sikre oss og hvordan vi kan fremme utvikling og bruk av sikre IT-løsninger. En mulighet er å etablere sertifiseringsordninger, slik representanten Petersen etterlyser.

Innen NATO har man i noen tid godkjent nasjonale sertifiseringsordninger for visse typer datautstyr. Amerikanerne utviklet tidlig standarder og sertifiseringsordninger for slikt utstyr og har på den måten kunnet opparbeide seg en dominerende posisjon for levering av datautstyr til forsvarsalliansen.

Behovet for sikre IT-løsninger er også stort på det sivile området. I Norge har vi i lang tid arbeidet med informasjonssikkerhet innen f.eks. helsesektoren og innen betalingsformidling.

I flere land i Nord-Amerika og i Europa er det etablert nasjonale sertifiseringsordninger. IT-næringen er imidlertid internasjonal, og det er derfor behov for å samordne utviklingen internasjonalt.

EU etablerte i 1992 et toårig tiltaksprogram kalt INFOSEC. Norge deltok i programmet. Det ble utarbeidet forslag til europeiske evalueringskriterier for etablering av sikre IT-systemer, og EUs ministerråd har anbefalt bruk av kriteriene innen EU. Gjennom vedtak i EØS-komiteen den 29. februar i år er rådsanbefalingen nå gjort gjeldende også for Norge som en ikke-bindende rettsakt.

EU arbeider for tiden også med retningslinjer for gjensidig godkjenning av sertifikater på dette området. Norge arbeider for at også EØS-området skal bli omfattet av ordningen.

Det pågår også et arbeid med å få felles kriterier for IT-sikkerhet mellom USA, Canada og noen av de største EU-landene. IT-sikkerhet er med andre ord et område i rivende utvikling internasjonalt. Norge er aktivt med i denne prosessen.

I fjor høst ble Regjeringen bedt om å vurdere å opprette et eget sertifiserings- og rådgivningsorgan for sikrere dataløsninger. Justisministeren henviste da til at dette skulle behandles av et nytt råd for IT-sikkerhet.

Regjeringen etablerte Rådet for IT-sikkerhet den 14. mars i år. Rådet ledes av Administrasjonsdepartementet, og sekretariatet er lagt til Statskonsult. I rådet kan de berørte departementer og institusjoner utveksle erfaringer om informasjonssikkerhet knyttet til bruk av IT og ta initiativ til tiltak på tvers av sektorer, dersom det er behov for det. Rådet skal utrede ulike virkemidler og gi anbefalinger til de ansvarlige departementene.

Rådet for IT-sikkerhet har nylig tatt initiativ til å få utredet nærmere behovet for eventuelle sertifiseringsordninger på IT-området. Gjennom dette arbeidet er målsettingen at Norge fortsatt skal være på linje med utviklingen ellers i Europa.

Jan Petersen (H): I og med dette spørsmålet ble det nå i hvert fall avklart hvem som har ansvaret - det har for så vidt vært uklart - og det er altså næringsministeren, og jeg er glad for at den avklaringen er kommet.

Jeg vil gjerne også få lov til å takke for svaret. Når jeg har reist spørsmålet, er det fordi dette er et krav fra næringen, som understreker at den vil ha et konkurranseproblem hvis den ikke får en egen norsk sertifiseringsordning.

Jeg synes det var viktig å reise spørsmålet, fordi Statssekretærutvalget er meget vagt på dette området, og jeg må nok si at jeg synes statsråden også var meget vag. Jeg tror det er behov for mer handlekraft enn det som nå ble vist.

Mitt tilleggsspørsmål til statsråden blir følgende: Når kan vi vente å få en avklaring når det gjelder dette spørsmålet? Dette er jo en meget dynamisk næring hvor utviklingen går meget raskt, og når svaret bare er en utredning, frykter man for at tiden kan gå. Så mitt spørsmål er: Når kan vi få en avklaring på substansen i mitt spørsmål?

Statsråd Jens Stoltenberg: Det er riktig at dette er et område der utviklingen går raskt. Derfor er det heller ikke lenge siden vi nedsatte Rådet for IT-sikkerhet. Det ble nedsatt i mars i år, og en av de første tingene det har tatt fatt på, er spørsmålet om behovet for sertifiseringsordninger. Rådets opplegg er å ha utredningen klar i første del av 1997. Men parallelt med arbeidet i rådet er det iverksatt tiltak, bl.a. knyttet til de ordningene i EU som jeg refererte til i mitt svar.

Presidenten: Vi vil nå ta for oss spørsmålene 26 og 27.