Når digital sikkerhet blir beredskap

Totalforsvaret betegner den gjensidige støtten og samarbeidet mellom Forsvaret og sivilsamfunnet, herunder næringslivet, i forbindelse med forebygging, beredskapsplanlegging og krisehåndtering.

Totalforsvaret er avgjørende for nasjonal beredskap og motstandsdyktighet, og innebærer at sivile og militære ressurser koordineres for å håndtere kriser, krig og andre sikkerhetstruende hendelser. For å styrke samspillet mellom sivile og militære ressurser, stilles det tydelige krav til virksomheters digitale sikkerhet.

Den digitale utviklingen har gitt samfunnet betydelige gevinster, blant annet økt effektivitet, tilgjengelighet og innovasjon. Samtidig innebærer utviklingen nye og komplekse sikkerhetsutfordringer. Sivilsamfunnet opprettholder og drifter en rekke kritiske funksjoner og kritisk infrastruktur som ivaretar samfunnets grunnleggende funksjonalitet og befolkningens grunnleggende sikkerhet. Eksempler er vannforsyning, energiforsyning, matforsyning, kommunikasjon, transport, helsetjenester og finansielle tjenester. Operasjonell teknologi som understøtter slike funksjoner, knyttes i økende grad opp til IT-systemer og internett. Cyberoperasjoner kan dermed utgjøre en alvorlig trussel mot grunnleggende funksjoner og kritisk infrastruktur.

EOS-tjenestenes trusselvurderinger fremhever cyberangrep som en av de største truslene mot nasjonal sikkerhet. Truslene er ikke hypotetiske, men reelle, og bygger på kjent teknologi og dokumenterte angrepsmetoder. Videre gjør utviklingen av metoder og teknikker trusselbildet mer uforutsigbart.

Digital kompleksitet, geopolitiske spenninger og fremveksten av hybride trusler øker vår nasjonale sårbarhet. Dagens trusselbilde viser økt risiko for sabotasje fra land som Russland, Kina og Iran, der trusselen i det norske cyberdomenet er betydelig. Ansvaret for å styrke samspillet mellom sivile og militære ressurser er delt, og innebærer at myndigheter, sektorer og operatører må samarbeide om å bygge digital motstandskraft.

For private aktører er digital sikkerhet helt nødvendig for å sikre kontinuitet i leveranser av varer, teknologi og tjenester til grunnleggende funksjoner og kritisk infrastruktur. Digital sikkerhet er også avgjørende for å opprettholde omverdenens tillit, og utgjør  et konkurransefortrinn i dagens marked.

Virksomheter som leverer varer og tjenester til samfunnskritiske funksjoner har en sentral rolle i totalberedskapen, og det stilles derfor høye krav til deres digitale sikkerhet. Det er avgjørende at virksomheten har oversikt over sine digitale sårbarheter, med særlig vekt på leverandørkjeder, dataflyt og tilkoblingspunkter. Slik vil virksomheten kunne iverksette effektive og målrettede sikkerhetstiltak.

En stor bølge av EUs cyberlovgivning er nå på vei til Norge. Direktivet NIS 1, som ligger til grunn for den norske digitalsikkerhetsloven, vil erstattes av NIS 2, som stiller ytterligere krav til rapportering, kontinuerlig styring og risikovurderinger, og ikke minst krav til tredjepartsleverandører. I tillegg har EU innført CER-direktivet, cybersolidaritetsforordningen og Cyber Resilience Act. Regelverket er ment å styrke motstandskraften hos kritiske enheter, og stiller krav til virksomheter som leverer samfunnsviktige tjenester.

CER-direktivet («Critical Entities Resilience Directive») regulerer motstandsdyktigheten til kritiske enheter, og har som formål å styrke motstandskraften mot både fysiske og hybride trusler, inkludert angrep på samfunnskritisk infrastruktur.

CER-direktivet blir en viktig del av sikkerhets- og beredskapsrammeverket, og regjeringen har varslet en ny lov om grunnsikring av samfunnsviktige virksomheter, som skal ses i sammenheng med NIS2 og CER. Signalet er tydelig: Digital sikkerhet er et viktig ledd i arbeidet med å etablere nasjonal sikkerhet og beredskap. For virksomheter innen bransjer som bank og finans, transport, helse, energi og telekom, er det sannsynlig at dere vil bli møtt med krav fra CER.

Cybersolidaritetsforordningen innfører mekanismer for informasjonsdeling og støtte mellom EU-land ved cyberhendelser. Bakgrunnen for forordningen er økt politisk spenning i Europa, særlig Russlands krig mot Ukraina. Cyber Resilience Act regulerer sikkerhetskrav til digitale produkter og programvare innenfor EU-markedet. Regelverket er ment å gjøre det tryggere å kjøpe og benytte digitale produkter.

Digital sikkerhet angår ikke bare den enkelte virksomhet og dens brukere – det inngår også som ledd i vår nasjonale beredskap. Angrep mot digital infrastruktur kan få alvorlige konsekvenser for samfunnets mest grunnleggende funksjoner. For å møte disse utfordringene må private og offentlige virksomheter anerkjenne sitt samfunnsansvar og implementere helhetlige sikkerhets- og beredskapstiltak som gjør dem i stand til å forebygge, oppdage og håndtere trusler mot kritiske systemer.

Artikkelen ble først publisert i Finansavisen.