Skriftlig spørsmål fra Sverre Myrli (A) til statsministeren

Dokument nr. 15:194 (2017-2018)
Innlevert: 06.11.2017
Sendt: 07.11.2017
Rette vedkommende: Justis- og beredskapsministeren
Besvart: 13.11.2017 av justis- og beredskapsminister Per-Willy Amundsen

Sverre Myrli (A)

Spørsmål

Sverre Myrli (A): I lys av IKT-saken i Helse Sør-Øst og PST-sjefens uttalelser om at bortsetting ofte gir lange verdikjeder av underleverandører og stor risiko for ansvarspulverisering, i hvilken grad mener statsministeren at Norge har kontroll på underleverandører, og mener hun at Norge har kontroll på IKT-drift av grunnleggende samfunnsfunksjoner som strøm, vann, avløp osv.?

Begrunnelse

Datatilsynet slo nylig fast det ble gjort mangelfulle vurderinger av sikkerhet og risiko før Helse Sør-Øst vedtok å sette ut kritisk IKT-infrastruktur til utlandet.
PST-sjefen har advart mot sårbarheter i strøm, vann og andre viktige samfunnsfunksjoner, og har uttalt at bortsetting ofte gir lange verdikjeder av underleverandører og stor risiko for ansvarspulverisering.

Per-Willy Amundsen (FrP)

Svar

Per-Willy Amundsen: Justis- og beredskapsdepartementet har samordningsansvaret for nasjonal IKT-sikkerhet på sivil side, og jeg besvarer derfor spørsmålet som opprinnelig ble stilt til statsministeren. Regjeringen er opptatt av de viktige spørsmålene representanten stiller. Lysneutvalget (NOU 2015: 13 Digital sårbarhet – sikkert samfunn) ble satt ned av regjeringen nettopp for å få mer kunnskap om utfordringene vi står overfor som følge av digitaliseringen. Utvalget påpeker at kritiske samfunnsfunksjoner er blitt avhengige av lange og uoversiktlige digitale verdikjeder, som gjerne spenner over mange sektorer og flere land.
Lysneutvalgets anbefalinger følges opp i Meld. St. 38 (2016-2017) IKT-sikkerhet - Et felles ansvar. Meldingen er den første stortingsmeldingen om IKT-sikkerhet og den ligger nå til behandling i Stortinget. Jeg ser frem til en debatt om dette viktige temaet. I meldingen fremkommer det at tjenesteutsetting av IKT-tjenester til profesjonelle aktører vil kunne gi bedre sikkerhet og mer stabile og tilgjengelige tjenester. Dette forutsetter imidlertid at virksomheten besitter kompetanse til å følge opp leverandører de setter ut tjenester til og at virksomheten er bevisst hvilke verdier som eksponeres ved tjenesteutsetting, og iverksetter nødvendige tiltak.
Arbeidet med sikkerhet ifm. tjenesteutsetting vil ha stor oppmerksomhet fra min side fremover, og jeg er opptatt at IKT-sikkerhetsfagmiljøer utarbeider gode råd som gjør virksomhetene best mulig i stand til å ivareta sitt ansvar. Det er allerede utarbeidet veiledningsmateriale for bruk av virksomheter om hva som bør inngå i forkant av en beslutning om tjenesteutsetting. Difi har utarbeidet materiale for statsforvaltningen og annen offentlig sektor i anskaffelsessammenheng og Nasjonal sikkerhetsmyndighet (NSM) omtaler temaet i Helhetlig IKT-risikobilde 2017. Konkrete anbefalinger er også innarbeidet i NSMs Grunnprinsipper for IKT-sikkerhet utgitt i 2017.
For virksomheter underlagt lov om forebyggende sikkerhetstjeneste (sikkerhetsloven) gjelder egne regler for gjennomføring av sikkerhetsgraderte anskaffelser. I forslaget til ny sikkerhetslov, Prop. 153 L (2016-2017) Lov om nasjonal sikkerhet (sikkerhetsloven), foreslår regjeringen blant annet en begrenset utvidelse av sikkerhetslovens virkeområde. Begrunnelsen er dels at vi i dag har et mer komplekst og uforutsigbart trusselbilde å forholde oss til, og dels de økte gjensidige avhengighetene i samfunnet – avhengigheter som blant annet skyldes den raske teknologiske utviklingen de senere år. Videre antas det i proposisjonen at de foreslåtte reglene om eierskapskontroll kan bidra til å avhjelpe utfordringene med tjenesteutsetting. Lovproposisjonen er til behandling i Stortinget.
Regjeringen er også opptatt av reguleringen utenfor sikkerhetsloven og satt derfor 15. september 2017 ned et utvalg som skal kartlegge relevant sektorspesifikt og tverrsektorielt regelverk innenfor IKT-sikkerhet. Det skal vurdere om eksisterende regelverk er konsistent, og ivaretar de nye digitale samfunnsutfordringene. Utvalget skal utrede behovet for og eventuelt foreslå en nasjonal IKT-sikkerhetslov.
Jeg har 1. september i år også fastsatt en ny instruks for departementenes arbeid med samfunnssikkerhet der det stilles konkrete krav til departementer med hovedansvar for kritiske samfunnsfunksjoner. Slike kritiske samfunnsfunksjoner er blant annet kraftforsyning, vann- og avløp, forsyningssikkerhet mv. I instruksen stilles det krav til utarbeidelse og vedlikehold av risiko- og sårbarhetsanalyser og oversikt over tilstanden knyttet til sårbarheter for kritiske samfunnsfunksjoner. Dette vil styrke kunnskapsgrunnlaget om eventuelle sårbarheter i strøm, vann og andre kritiske samfunnsfunksjoner.