Spørsmål

Oda Indgaard (MDG): «Lion Cage» er en test av cybersikkerheten av to busser fra to ulike produsenter som Ruter fikk gjennomført for en tid tilbake. Testen fant svakheter det er viktig at tas på alvor. Samtidig peker gjennomgangen på at det er betydelig større risiko for fjernstyring av privatbiler sammenlignet med kommersielle busser. Det er også mer krevende for privatpersoner å ta de samme forhåndsreglene som store kollektivselskaper kan og bør gjøre.
Hva gjør statsråden for å redusere risikoen ved fremmed overstyring av moderne biler?

Begrunnelse

«Lion Cage» er en test av cybersikkerheten av to busser fra to ulike produsenter (nederlandske VDL og kinesiske Yutong). Se mer her: https://kollektivtrafikk.no/kollektivtanker-lion-cage-utgjor-pakoblede-busser-en-sikkerhetsrisiko/
Et eventuell målrettet systematisk angrep på privatbiler fremstår som en trussel på samfunnets sikkerhet som ikke burde være opp til hver enkelt bileier å vurdere eller håndtere.

Svar

Jon-Ivar Nygård: Jeg er kjent med undersøkelsene det vises til. Det er viktig at vi får ytterligere innsikt i denne utfordringen for å identifisere mulige aktuelle tiltak.
I tildelingsbrevet for 2026 har Samferdselsdepartementet derfor gitt Statens vegvesen oppdrag om å følge opp og gjennomføre planlagt videre testing av kjøretøy fra land Norge ikke har sikkerhetssamarbeid med. Statens vegvesen har allerede startet på dette arbeidet, som i første omgang handler om å få økt kunnskap og kompetanse.
Systemene i en bil er enten styrende for bilens kritiske basisfunksjoner (styring, bremser og avanserte førerstøttesystemer) eller koplet til bilens infotainment system. Systemene er separate slik at deler av bilens systemer (infotainment systemet) kan settes ut av spill uten at det utgjør en trafikksikkerhetsrisiko.
Bilens kritiske basisfunksjoner og avanserte førerstøttesystemer får sine oppdateringer trådløst.
Det er derfor satt krav til digital sikkerhet i kjøretøy i det harmoniserte internasjonale regelverket om tekniske krav og godkjenning av kjøretøy, gjennom FN-Regulativ 155 (digital sikkerhet). Dette innebærer at alle personbiler, lastebiler og busser har krav til beskyttelse mot uønsket endring av kritiske systemer. Videre stiller FN-regulativ 156 krav om styringssystem for programvareoppdatering. FN-Regulativ 156 gjelder i tillegg for traktorer m.m.
FN- regulativ 155 om digital sikkerhet kom i 2021 og ble oppdatert i 2022, 2024 og 2025, så dette er et område der det er høy grad av internasjonal aktivitet.
Fra august 2025 kom det skjerpede krav gjennom radioutstyrsdirektivet (RED) som gir bedre cybersikkerhetsbeskyttelse. Dette gjelder alt utstyr som sender radiobølger (f.eks. wifi og mobilnett), og omfatter dermed også oppkoblete kjøretøy.
Lion Cage -prosjektet viste at informasjon gikk fra bilene og til servere i mange land. Prosjektet har ikke vist at det lastes ned skadelig programvare til hverken infotainment eller de kritiske systemene. Dette betyr ikke at systemene ikke kan hackes, settes ut av drift eller at uønsket koder ikke kan installeres, men Statens vegvesen har ikke per nå informasjon om at dette har funnet sted i praksis.
Dersom en bilprodusent skulle bli tvunget til å sabotere sitt eget produkt, vil dette få dramatiske konsekvenser for produsenten og deres evne til å overleve i markedet. Statens vegvesen antar derfor at dette sannsynligvis bare vil kunne skje i større konflikter. Det vil da være få eller ingen barrierer mot dette i det internasjonale kjøretøyregelverket. Statens vegvesen har ikke kommet over noen eksempler på at dette har skjedd, med unntak av vestlige kjøretøy (traktorer) tatt av Russland under krigen i Ukraina.
Personbiler er generelt mer tilkoblet nettet enn de fleste andre kjøretøy. De brukes ofte av privatpersoner som ikke nødvendigvis setter seg inn i alle kjøretøyfunksjonene, og som ofte gir samtykke til datadeling uten en grundig vurdering. Etter hvert som disse kjøretøyene blir eldre, kan det også risikeres at programvareoppdateringene skjer sjeldnere og er mindre forutsigbare. Statens vegvesen er bevisst på disse utfordringene, og vil ta opp dette i arbeidet med utvikling av det internasjonale regelverket.
Statens vegvesen vil fortsette arbeidet med å forstå risikobildet. Det pågår nå testing av tre nye personbiler i samarbeid med Lion Cage -prosjektet. Formålet er å få bedre kunnskap om hvilken informasjon og hvilke data som sendes fra bilene, og hvilke sårbarheter dette kan medføre. Målet er at kunnskapen skal bidra til et mer målrettet samarbeid med andre lands myndigheter for å utvikle det internasjonale regelverket.
Statens vegvesen vil også vurdere om det er behov for nasjonale tiltak. Slike tiltak skal være kunnskapsbaserte og rettet mot å gjøre kjøretøyene sikrere. Det vil også vurderes hvilket handlingsrom som finnes for nasjonale tiltak innenfor det harmoniserte europeiske regelverket som følger av EØS avtalen.
Det kan også være aktuelt å vurdere tiltak som begrenser muligheten for uønsket påvirkning og som reduserer risiko ved bruk. Mulige tiltak kan for eksempel omfatte kriterier for anskaffelse av offentlige kjøretøy og/eller bruksbegrensninger i særlig sensitive områder.
Muligheten for uønsket påvirkning eller overvåkning fra stater Norge ikke har sikkerhetssamarbeid med, gjelder ikke bare kjøretøy. Tilsvarende problemstillinger finnes på en rekke andre områder, blant annet mobiltelefoner og utstyr for sikkerhet i hjemmet. Dette er derfor sektorovergripende utfordringer som ikke er begrenset til transportsektoren.