Skriftlig spørsmål fra Sigbjørn Gjelsvik (Sp) til justis-, beredskaps- og innvandringsministeren

Dokument nr. 15:2164 (2017-2018)
Innlevert: 30.08.2018
Sendt: 31.08.2018
Besvart: 07.09.2018 av justis-, beredskaps- og innvandringsminister Tor Mikkel Wara

Sigbjørn Gjelsvik (Sp)

Spørsmål

Sigbjørn Gjelsvik (Sp): Ble myndighetene varslet av Telenor i forkant av at selskapet inngikk samarbeid med Huawei om utbygging av 5G bl.a. i Kongsberg og hvilken respons ble i så fall gitt, hva innebærer det at Huawei bidrar med radio og kjernenett, har Forsvaret vært involvert i en analyse av de sikkerhetsmessige konsekvensene av dette, og hva er regjeringens vurdering av konsekvensene av dette ut i fra et sikkerhets- og beredskapsmessig perspektiv?

Begrunnelse

Telenor skriver på sine egne hjemmesider at de skal bygge ut 5G-nett blant annet i Kongsberg og at Huawei er inne som viktig partner, blant annet med ansvar for utbygging av kjernenett:

«Telenor Research, Telenor Norge og Telenor Satellite etablerer 5G-VINNI på to lokasjoner i Norge. En i Kongsberg, der Telenor skal pilotere 5G, og en i Stor-Oslo-området. Nokia skal levere virtualiseringsplattformen og orkestreringssystemet. Ericsson og Huawei bidrar med radio og kjernenett, mens Cisco leverer løsning for analyse av IoT-data.»

Telenor skriver videre at deres mål med pilotprosjektene

"er å gjøre det så enkelt som mulig å teste og bruke plattformen, og vi oppfordrer industriaktører til å ta aktivt del i prosjektet."

Til InnoMag 12. februar 2018 sier Anders Krokan, kommunikasjonssjef i Telenor, at selskapet ser for seg at 5G-nettet - når det er klart - vil kunne revolusjonere en rekke samfunnsområder:

"5G-teknologien vil fundamentalt kunne endre flere samfunnskritiske operasjoner som trafikkavvikling, helsetjenester og viktige kommunikasjonstjenester som nødkommunikasjon."

I svar til undertegnede på spørsmål av 3. august 2018, skriver statsråden bl.a. følgende:

"I den åpne trusselvurderingen for 2018 anser PST bl.a. virksomheter innen kritisk infrastruktur som særskilt utsatt etterretningsmål, og flere lands tjenester, deriblant kinesiske, vil kunne utføre uønsket og skadelig virksomhet på dette området.
Sikkerhetslovens § 29a har til hensikt å motvirke at kritisk infrastruktur blir utsatt for, eller brukt til, spionasje og sabotasje. Bestemmelsen pålegger virksomheter som eier eller rår over kritisk infrastruktur, å foreta en risikovurdering ved anskaffelser til kritisk infrastruktur, og å handle ut fra utfallet av risikovurderingen. Bestemmelsen pålegger virksomheter å varsle myndighetene dersom virksomheten ønsker å gjennomføre en anskaffelse som kan innebære en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført."

Tor Mikkel Wara (FrP)

Svar

Tor Mikkel Wara: Samferdselsdepartementet har ansvar for sikkerhet i ekomsektoren. Nasjonal kommunikasjonsmyndighet (Nkom) fører tilsyn med sikkerheten i de norske ekomnettene etter ekomloven, og følger blant annet opp implementering av konkrete sikkerhetstiltak hos tilbyderne.
Tilbyderne i ekomsektoren har et selvstendig ansvar for å ivareta sikkerheten i egne nett og foreta valg av leverandører i lys av dette. Mobilnettene bærer stadig større samfunnsverdier, og myndighetene forutsetter at mobiltilbyderne foretar vurderinger og risikoanalyser knyttet til leverandørvalg i henhold til gjeldende regelverk.
I lov om elektronisk kommunikasjon (ekomloven) § 2-10 stilles krav om at tilbyder skal tilby elektronisk kommunikasjonsnett og -tjenester med forsvarlig sikkerhet for brukerne i fred, krise og krig, herunder at det skal opprettholdes nødvendig beredskap og at viktige samfunnsaktører skal prioriteres ved behov. Det følger av øvrig forskriftsverk at tilbyderne i denne forbindelse plikter å utarbeide og vedlikeholde nødvendig planverk, delta i beredskapsøvelser mv. Nkom fører tilsyn med at regelverket følges.
I lov om forbyggende sikkerhetstjeneste (sikkerhetsloven) § 29 a stilles krav om at det ved anskaffelser til kritisk infrastruktur skal foretas en risikovurdering. I vurderingen skal det tas stilling til om anskaffelsen innebærer en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført mot eller ved bruk av infrastrukturen. Det foreligger videre en plikt for virksomhet som eier eller rår over kritisk infrastruktur, til å varsle overordnet departement dersom en risikovurdering konkluderer med at anskaffelsen kan innebære en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir etablert eller gjennomført. Virksomheter som ikke er underlagt noe departement, skal varsle Forsvarsdepartementet. Plikten gjelder ikke dersom virksomheten selv iverksetter risikoreduserende tiltak som fjerner risikoen, eller gjør den ubetydelig.
Ny sikkerhetslov ble vedtatt i 2018, der kravene etter dagens § 29 a blir videreført. Forslag til forskrifter tilhørende loven er nå ute på høring. Det vil i den forbindelse bli vurdert å tydeliggjøre krav til ekomsektoren, herunder krav til leverandører. Det vil være dialog med tilbyderne som en del av dette arbeidet. Justis- og beredskapsdepartementet har gitt Nasjonal Sikkerhetsmyndighet i oppdrag å vurdere behovet for nærmere kriterier i slike saker. I den forbindelse er direktoratet bedt særskilt om å involvere Nkom i dette arbeidet, fordi ekomsektoren i denne sammenheng er særlig viktig.
Ved anskaffelser til kritisk infrastruktur legger vi til grunn at tilbyderne foretar særlige risikovurderinger knyttet til leverandører fra land Norge ikke har sikkerhetspolitisk samarbeid med.
I 2011 mottok Samferdselsdepartementet en muntlig orientering fra Telenor om at selskapet i forbindelse med planlagt anskaffelse av kinesisk utstyr hadde vært i kontakt med Nkom. Telenor viste til at de hadde mottatt tilbakemelding om at det er tilbyderen som foretar anskaffelsen, som har ansvar for å vurdere risikoen. Samferdselsdepartementet tok til etterretning at Telenor var kjent med og forholdt seg til dette ansvaret.
Samferdselsdepartementet har ikke mottatt varsel fra noen tilbydere i medhold av Lov om forbyggende sikkerhetstjeneste § 29 a.
Regjeringen ønsker å legge til rette for utbygging av moderne infrastruktur og femtegenerasjons mobilkommunikasjon (5G) i Norge. Dette innebærer bl.a. at det skal legges til rette for forskning, utprøving og pilotprosjekter. Det arbeides med å gjennomføre pilotprosjekter for 5G bl.a. på Kongsberg, i Oslo og etter hvert på Svalbard. Terskelen for å sette i gang slike aktiviteter bør være lav. Tilbyderne i det norske markedet har behov for å gjennomføre slike aktiviteter for å finne gode løsninger for fremtidens nett og tjenester, både i teknisk, driftsmessig og kommersiell forstand. I denne forbindelse ønsker myndighetene i noen grad å skille mellom etablering av pilotsystemer og investeringer i regulær infrastruktur. Førstnevnte har normalt en midlertidig karakter og vil ikke nødvendigvis inngå i utbyggingen som senere foretas av infrastruktur for normal drift. Slik sett vil risiko knyttet til pilotsystemer være begrenset. I den grad anskaffelser til et pilot- eller testsystem likevel er ment å bli en del av infrastrukturen som senere skal inngå i det regulære tilbudet til brukerne i det norske samfunnet, plikter anskaffende tilbyder å foreta de nødvendige risikovurderinger og eventuelt varsle i henhold til gjeldende regelverk.
5G-VINNI er et prosjekt innenfor rammen av EUs forsknings- og innovasjonsprogram Horizon 2020. Forslag til prosjekter som skal motta midler fra programmet, blir vurdert av et uavhengig ekspertpanel med hovedvekt på representanter fra EU/EØS. Telenor har i en slik prosess blitt valgt ut til å lede 5G-VINNI med bidragsytere fra hele verden. Dette omfatter bl.a. en rekke internasjonale teknologileverandører og tilbydere. Fra akademia er for øvrig også norske Simula med. Deler av pilotaktivitetene på Kongsberg og i Oslo er en del av dette prosjektet. Flere leverandører leverer teknologi og løsninger til dette forskningsprosjektet, bl.a. Cisco, Ericsson, Huawei og Nokia.
Nasjonal kommunikasjonsmyndighet leder Ekomsikkerhetsforum som videre består av sikkerhetsmyndighetene (Nasjonal sikkerhetsmyndighet, Politiets sikkerhetstjeneste og Etterretningstjenesten) og ekomtilbydere underlagt sikkerhetsloven. Informasjons-utvekslingen i forumet skal sikre en gjensidig og oppdatert forståelse av trusselbildet på både gradert og ugradert nivå. Etter mitt syn medvirker denne utvekslingen til at ansvarlige virksomheter har god informasjonstilgang for sine risikovurderinger og sitt sikkerhetsansvar.