DEBATT | Sikkerhet
Konsentrasjonsrisiko er et problem som myndighetene må løse
Nasjonal sikkerhetsmyndighet har i Risiko 2026 løftet frem konsentrasjonsrisiko som en kritisk sårbarhet for det norske samfunnet. Ansvaret for å redusere risikoen legges feilaktig på den enkelte virksomhet.
I sikkerhetsfaglige diskusjoner snakker vi som regel om teknisk konsentrasjonsrisiko. Da vil teknisk redundans, som å benytte flere uavhengige systemer eller reserveløsninger, kunne fungere som et avbøtende tiltak mot teknisk svikt.
Dette er imidlertid utilstrekkelig når vi står overfor globale digitale tjenester og plattformer. Her må vi i økende grad forholde oss til jurisdiksjonell konsentrasjonsrisiko, der samtlige leverandører fra en bestemt nasjon er underlagt det samme juridiske rammeverket.
Særskilt relevant
I en kontekst preget av geopolitisk usikkerhet og stormaktsrivalisering blir denne typen risiko særskilt relevant. Dette gjelder ikke bare de store skytjenesteleverandørene, vi finner konsentrasjonsrisiko i mange deler av de lange globale verdikjedene som norske virksomheter er avhengige av.
Dersom det oppstår geopolitiske konflikter eller endrede juridiske forutsetninger i leverandørens hjemland, kan det i ytterste konsekvens bli umulig for norske virksomheter å benytte tjenestene, uavhengig av hvor god den tekniske redundansen er. Slik jurisdiksjonell avhengighet gir fremmede stater et handlingsrom for å utøve politisk eller økonomisk press mot Norge.
Mangler klare definisjoner
Det er imidlertid problematisk å legge ansvaret for å håndtere denne risikoen på den enkelte virksomhet. Virksomhetene har kun innsikt i sin egen leverandørkjede, og har svært begrenset mulighet til å oppdage når summen av uavhengige valg på tvers av bransjer og sektorer skaper en kritisk nasjonal sårbarhet. Det er ikke den enkelte anskaffelsen som nødvendigvis utgjør problemet, men det samlede nasjonale omfanget som skaper en konsentrasjonsrisiko som bare myndighetene har forutsetning for å se.
Videre mangler det klare definisjoner på nøyaktig når konsentrasjonen blir for høy til at den kan aksepteres. Dette gjør det krevende for bedrifter å vite når særskilte tiltak må iverksettes i den enkelte anskaffelse.
Samtidig er virksomhetenes innkjøpsavdelinger bundet av krav til god økonomistyring og lovpålagte reguleringer for anskaffelser. Sikkerhet i anskaffelsesbeslutninger om digitale tjenester må balanseres mot behovet for kostnadseffektivitet og markedets faktiske tilbud.
Myndighetene sitter derimot med både informasjonen og mandatet som kreves for å oppdage systemisk risiko. Myndighetene bør derfor definere terskler for akseptabel nasjonal eksponering mot enkeltleverandører, for at virksomhetene skal ha den forutsigbarheten de trenger for å ta bedre sikkerhetsmessige vurderinger. Dette gjelder spesielt for sektorene som utgjør samfunnskritiske funksjoner, og de som understøtter disse.
Staten må definere rammene
Gjennom sikkerhetsloven og digitalsikkerhetsloven har staten hjemler for å regulere og føre tilsyn med sektorer som er kritiske for nasjonal sikkerhet. Myndighetene er også nasjonalt kontaktpunkt for varsler om sikkerhetstruende økonomisk virksomhet, noe som gir dem et unikt utgangspunkt for å vurdere eierstrukturer og internasjonal påvirkning.
Konsentrasjonsrisiko er en alvorlig utfordring for Norges motstandsdyktighet, men løsningene må finnes på myndighetsnivå.
Konsentrasjonsrisiko er en alvorlig utfordring for Norges motstandsdyktighet, men løsningene må finnes på myndighetsnivå. Det er staten som må definere rammene og treffe de nødvendige tiltakene for å redusere nasjonale avhengigheter, naturligvis i et tett samarbeid med de private aktørene som drifter samfunnets digitale grunnmur.
