Skriftlig spørsmål fra Sigbjørn Gjelsvik (Sp) til samfunnssikkerhetsministeren

Dokument nr. 15:1763 (2018-2019)
Innlevert: 31.05.2019
Sendt: 03.06.2019
Besvart: 07.06.2019 av samfunnssikkerhetsminister Ingvil Smines Tybring-Gjedde

Sigbjørn Gjelsvik (Sp)

Spørsmål

Sigbjørn Gjelsvik (Sp): Avisen Tidens Krav melder 31. mai at IBM planlegger en omfattende nedbemanning i Norge. Tillitsvalgte hevder at dette vil gå ut over driften av flere samfunnskritiske IT-tjenester. Det hevdes at risikoen for feil vil øke dramatisk.
Hva gjør samfunnssikkerhetsministeren for å forsikre seg om at sikkerheten og beredskapen ved disse tjenestene blir ivaretatt, og hvilke kriseplaner finnes i tilfelle tjenestene skulle feile?

Begrunnelse

Samfunnssikkerhetsministeren er ansvarlig for samfunnssikkerheten og beredskapen i Norge. Visse samfunnskritiske tjenester utføres i dag av private selskaper. Dette innebærer imidlertid ikke at ministerens ansvar er mindre – kan hende tvert imot. IBMs tillitsvalgte mener nedbemanningen kan påvirke blant annet store helseforetak, det meste av nettbanktjenester, korttransaksjoner og netthandel, bankoverføringer til utlandet, telekomtjenester, kollektivtrafikk og post- og logistikktjenester. Dette må således være en sak som bør håndteres av en koordinerende samfunnssikkerhetsminister og ikke kun de ulike fagstatsrådene.

Ingvil Smines Tybring-Gjedde (FrP)

Svar

Ingvil Smines Tybring-Gjedde: Som samfunnssikkerhetsminister har jeg et samordningsansvar for digital sikkerhet på sivil side. I dette ligger blant annet å etablere nasjonale krav og anbefalinger for offentlige og private virksomheter. Tidligere i år lanserte regjeringen en ny nasjonal strategi for digital sikkerhet, hvor et av målene er at virksomheter skal ha en risikobasert tilnærming til sitt sikkerhetsarbeid, og bruke anerkjente rammeverk, standarder og styringssystemer for digital sikkerhet. Både tjenesteleverandører, og virksomheter som benytter tjenesteleverandører, har ansvar for å foreta nødvendige risikovurderinger. Viktigheten av bestillerkompetanse og kontroll med tjenesteleverandører adresseres i strategien. Godt forebyggende arbeid er av avgjørende betydning også på dette området.
Å ivareta digital sikkerhet er først og fremst et virksomhetsansvar. Dette ansvaret tilligger alle virksomheter uavhengig av om virksomheten drifter egne IT-tjenester, eller om man har tjenesteutsatt disse til en leverandør. I dag driftes en stor andel av kritiske digitale infrastrukturer og systemer av private tjenesteleverandører. I den sammenheng ønsker jeg å understreke viktigheten av at virksomheter inngår avtaler som regulerer leveransene fra en tjenestetilbyder. I tilfeller hvor en virksomhet med ansvar for samfunnskritiske tjenester velger å tjenesteutsette disse, er det særlig viktig å ta høyde for krav til sikkerhet og beredskap i kontrakter inngått med leverdørene, og at virksomhetene aktivt følger opp at kravene etterfølges. Dette gjelder også i det tilfellet som representanten betimelig tar opp.
Som samfunnssikkerhetsminister er jeg opptatt av at sikkerhet settes høyt på dagsorden i alle virksomheter, og særlig i de mest utsatte sektorene. I tillegg til forannevnte nasjonale strategi har vi også videreutviklet regelverket. Ny sikkerhetslov trådte i kraft 01.01.2019, med særskilte krav til virksomheter som råder over informasjon, informasjonssystemer, objekter eller infrastruktur som har avgjørende betydning for grunnleggende nasjonale funksjoner. Implementering av EUs NIS-direktiv i norsk rett er også relevant i denne sammenheng.
Med henvisning til representantens avsluttende spørsmål om kriseplaner vil jeg vise til det fastsatte nasjonale rammeverket for håndtering av digitale sikkerhetshendelser. Rammeverket avklarer og tydeliggjør innsatsen for å håndtere alvorlige hendelser som rammer på tvers av sektorer. I målgruppen inngår offentlige og private virksomheter som har betydning for kritisk infrastruktur og kritiske samfunnsfunksjoner. Jeg er opptatt av dette skal fungere godt, og vi vil derfor videreutvikle rammeverket for å i enda større grad inkludere private aktører. Vi tar også sikte på å teste rammeverket i en nasjonal digital sikkerhetsøvelse i 2020. Vi skal videre sikre god erfaringsoverføring og læring fra både øvelser og reelle hendelser.