Sikkerhetsloven to år senere – hva har vi lært?

Arthur, Mats og Maren deler erfaringer og læringspunkter knyttet til sikkerhetsloven

Økt digitalisering fører til større angrepsflater og mer sofistikerte trusselaktører. Lov om nasjonal sikkerhet, bedre kjent som sikkerhetsloven, skal bidra til å beskytte Norge i større grad, også mot dataangrep. Det nye lovverket som trådte i kraft 1. januar 2019, representerte en dreining fra fysisk sikkerhet og objektfokus over til logisk sikring og informasjonssystemer. Denne tilnærmingen er bedre tilpasset samfunnet vårt. Nå har det gått to år siden loven ble innført. Hva har vi lært?

Dynamiske og fleksible regler betyr strengere virksomhetskrav

– Sikkerhetsloven skal bidra til å trygge Norges suverenitet, territorielle integritet, vårt demokrati og andre nasjonale sikkerhetsinteresser. Loven, og de underliggende forskriftene, er viktige verktøy for å sikre disse grunnleggende nasjonale interessene, og betydningen av dette har ikke blitt mindre med et utfordrende trusselbilde, omfattende digitalisering, lange og uoversiktlige verdikjeder. Innsiderproblematikken er en utfordring som mange virksomheter er nødt til å forholde seg aktivt til. Potensielle oppkjøp fra aktører som ikke ønskes å få kontroll over sensitiv informasjon og infrastruktur er en annen sentral problemstilling. Sikkerhetsloven gir et viktig fundament i videreutviklingen av det samlede sikkerhetsarbeidet i Norge, og vil bli stadig viktigere for mange offentlige og private virksomheter fremover.

Det sier Arthur Gjengstø, direktør i PwC Gransking & Compliance. Gjengstø har bakgrunn fra bl.a. Direktoratet for samfunnssikkerhet og beredskap, Norges vassdrags- og energidirektorat, departement og regjeringsoppnevnt utvalg, og har som konsulent bistått ulike virksomheter med strategier og tiltak innen sikkerhetsstyring, beredskap og krisehåndtering. 

Hvordan vil den nye sikkerhetsloven påvirke norske virksomheter fremover?

– Sikkerhetsloven gjelder for flere offentlige og private virksomheter enn før. Det er grunn til å anta at flere virksomheter vil underlegges loven, etterhvert som prosessen med å identifisere og risikovurdere systemer og infrastruktur, som understøtter grunnleggende nasjonale funksjoner, går fremover. Samtidig er det jo et viktig premiss at terskelen for å underlegges sikkerhetsloven skal være høy. Ja, sikkerhetsloven virkeområde er utvidet. Dette vil også innebære at det vil være gråsoner og også sammenfallende interesser mellom samfunnssikkerhet og statssikkerhet innenfor enkelte områder. Men, samtidig er hovedfokuset for sikkerhetsloven de nasjonale sikkerhetsinteressene. Fortsatt skal sektorregelverk sikre den sivile samfunnssikkerheten, og vi ser jo også at sektorregelverk (som f.eks. innenfor kraftsektoren) er utvidet og tilpasset til også å ivareta krav til f.eks. forebyggende sikringstiltak mot spionasje og sabotasje. Samtidig er det f.eks. naturlig at deler av den overordnede styringen av den nasjonale kraftforsyningen også underlegges sikkerhetsloven. Tilsvarende kan vi se for oss tilsvarende logikk innen telekommunikasjon og ulike leveranser av betydning for nasjonal beredskap og krisehåndtering innenfor ulike samfunnsområder. Det er viktig for private leverandører til slike tjenester er oppdaterte på regelverket og hva dette innebærer for deres egen del av tiltak.

– Samtidig innebærer mer dynamiske, funksjonelle og risikobasert regler høyere krav til ledere om å sikre god sikkerhetsstyring - som en integrert del av en proaktiv virksomhetsstyring. Det positive i dette er jo åpenbart at mer overordnede og funksjonelle krav gjør det enklere for den enkelte virksomhet å finne frem til et sett med sikringstiltak som passer til deres virksomhet, og som også er tilpasset deres virksomhet sitt risikobilde. Samtidig stiller det krav til kompetanse og ikke minst at risikovurderingene gjøres godt nok og ofte nok. Virksomhetene må sikre seg god nok kompetanse om hva som skal til for å oppnå et forsvarlig sikkerhetsnivå. Presise nok verdivurderinger, god forståelse for spennet av mulige trusler og innsikt i avhengigheter av andre er alfa omega i dette arbeidet. I slikt arbeid er det viktig å gå nok ned i detaljene!

Gjengstø legger til at viktige minstekrav i loven er regelmessige risikovurderinger og kriseøvelser. 

– Gode og regelmessige verdi-, trussel- og sårbarhetsanalyser er krevende - og samtidig: Utrolig viktig. Og, det holder selvfølgelig ofte ikke med gode analyser. Du må ha effektive planer og gjennomføre målrettede, balanserte og hensiktsmessige tiltak. Ofte kreves det ulik type kompetanse og tverrfaglighet inn i både analysearbeidet og i gjennomføringen av tiltak. Det er ikke noe som kan eller bør settes bort til enkeltpersoner. Dette handler ikke bare om fysiske sikringstiltak eller tekniske overvåkingssystemer, men også om bevissthet, kultur og kompetanse, samt gode styringssystemer, tydelige roller, ansvar og effektive varslingssystemer.

Se på skadevurderinger som mer enn en rapporteringsøvelse

Maren Maal er Manager i PwC Gransking & Compliance og arbeider med helhetlig risikostyring, sikkerhet og beredskap. Hun har gjennomført skadevurderinger iht. til gammel og ny sikkerhetslov. Maren har bakgrunn som forsker ved Forsvarets forskningsinstitutt (FFI) der hun arbeidet med samfunnssikkerhet og helhetlig risikostyring.

– Etter to år med ny sikkerhetslov er det tydelig at flere virksomheter har vært nødt til å utvikle en mer metodisk tilnærming til sikkerhet og risikostyring som er en del av virksomhetsstyringen. 

Hvilke erfaringer har du gjort deg etter å ha gjennomført skadevurderinger iht. ny sikkerhetslov? 

– Det positive med å være “nødt” til å gjennomføre skadevurderinger er at man faktisk får avsatt tid og ressurser å gjøre et viktig stykke arbeid. Flere av virksomhetene jeg bistod synes det var utrolig nyttig å lage oversiktskart som viser virksomhetens funksjon og hvordan objekter og infrastrukturer er koblet sammen og understøtter hverandre. For mange var det en øyeåpner å se hvordan bortfall av ett objekt eller infrastruktur får skadefølger for andre funksjoner i egen virksomhet, det får skadefølger for andre virksomheter man har gjensidige avhengigheter til og ikke minst i understøttelsen av GNF. Slike oversiktskart var det ikke mange som hadde fra før av.

Hva mener du er viktig for å kunne gjennomføre en god skadevurdering?

– I arbeidet med skadevurderinger var vi nødt til å gå detaljert til verks og inkludere ressurspersoner fra ulike avdelinger i virksomheten for å kunne lage et helhetlig bilde av virksomheten. Vi måtte ha en tverrfaglig tilnærming for å kunne fange opp kompleksiteten i de tekniske systemene, utvikle scenarioer som tok for seg skadeverk, ødeleggelse eller rettstridig overtakelse og vurdere skadefølgene for virksomheten og understøttelse av GNF. 

Dessverre synes jeg mange tenker på en skadevurdering som kun en rapporteringsøvelse til ansvarlig departement. Det er synd, fordi funnene fra en slik analyse identifiserer bedriftens mest kritiske funksjoner, og hva konsekvensene vil være ved bortfall. Dette er avgjørende for virksomhetens kontinuitetsplanlegging, beredskapsplanlegging og krisehåndtering. Mitt tips er at man deler generelle funn fra analysen innad i virksomheten slik at man får et mer bevisst forhold til hva kritiske objekter og infrastruktur i virksomheten er og hvordan det sikrer opprettholdelse av GNF.

Større etterspørsel på bakgrunnsundersøkelser etter loven trådte i kraft

Mats Ruge Holte, direktør i PwC Gransking & Compliance med fagansvar innenfor sikkerhet, beredskap og etterretning, mener den nye sikkerhetsloven pålegger virksomheter strengere krav til bakgrunnsundersøkelser. Etter loven trådte i kraft har det blitt mer etterspørsel på denne type tjenester.

– Nye trusler gir endringsbehov og den nye sikkerhetsloven reflekterer dette. Det krever at virksomheter må styrke fokuset på alle former for sikkerhet; IKT-sikkerhet, driftssikkerhet, sikring av objekter og systemer, sikkerhet mot spionasje og sabotasje for å nevne noe sier Holte.

Holte bistår en rekke større virksomheter med å bygge og utvikle beredskapsorganisasjoner, beredskaps- og kontinuitetsplaner, kurs og øvelser, men også bakgrunnsundersøkelser av tredjeparter.

Hva mener du er det viktigste i den nye sikkerhetsloven sett fra ditt perspektiv?

– I den nye sikkerhetsloven er det strengere krav til bakgrunns­sjekk av nye ansatte og under­leverandører. Nå har virksomheter en plikt å påse at deres leverandører etterlever bestemmelsene om informasjonssikkerhet. Dette er viktig å ta tak i for selskapenes egen sikkerhet og omdømme, og kan samtidig være krevende for mange å komme godt i gang med.

Hva bør din virksomhet gjøre videre?

Det tverrfaglige PwC-teamet har følgende umiddelbare anbefalinger til norske virksomheter, som enten er underlagt sikkerhetsloven eller er i en prosess der de vurderer om de er underlagt den nye sikkerhetsloven:

• Hvis din virksomhet er utpekt som understøttende virksomhet til en grunnleggende nasjonal funksjon (GNF), må det gjennomføres en skadevurdering. Et avgjørende steg i denne prosessen er å identifisere konkrete informasjonssystemer, objekter og infrastrukturer som understøtter den funksjonen virksomheten skal opprettholde for å ivareta GNFen. Nøkkelen her er å trekke på relevante nøkkelpersoner for å få til en god systemkartlegging.
• I prosessen med å gjennomføre en skadevurdering, er det i noen tilfeller enklere å lage scenarioer for å vurdere hvordan bortfall, delvis bortfall og rettsstridig overtakelse av funksjon påvirker GNF.
• Se på skadevurderingen som mer enn bare en rapporteringsøvelse. Funnene identifiserer bedriftens mest kritiske funksjoner, og hva konsekvensene vil være ved bortfall. Dette er avgjørende for virksomhetens kontinuitetsplanlegging, beredskapsplanlegging og krisehåndtering.
• Se på den nye sikkerhetsloven med forskrifter og veiledninger som et godt grunnlag for å etablere god sikkerhets- og risikostyring og cybersikkerhet.
• PwC kan bistå med å utarbeide gode beslutningsgrunnlag og komme med anbefalinger til hva som er et forsvarlig sikkerhetsnivå. Vi samarbeider tverrfaglig for å sikre helhetlige vurderinger. I fellesskap sikrer vi best mulig resultat.