Tja, til oppsplitting av Nasjonal sikkerhetsmyndighet

Et utvalg har vurdert oppgaveporteføljen til Nasjonal sikkerhetsmyndighet (NSM). Utredningen er motivert av en antagelse om at etaten har for mange oppgaver, og kanskje ikke er «hensiktsmessig organisert for å svare på fremtidens sikkerhetsutfordringer».

Utredningen ble overlevert justis- og beredskapsdepartementet i april, og anbefalingene er krystallklare: NSMs oppgaver er for mange og favner for bredt. Det svekker etatens kapasitet til å fylle funksjonen som sikkerhetsmyndighet etter Sikkerhetsloven.

Oppgaver innen digital sikkerhet utenfor Sikkerhetsloven bør derfor overføres til andre, mener utvalget. For eksempel bør NSM ikke ha ansvar for å utarbeide grunnprinsipper for IKT-sikkerhet og heller ikke bruke tid og ressurser på å gi informasjon og rådgivning til virksomheter i privat og offentlig sektor på områder utenfor Sikkerhetslovens rammer. Ansvaret for å drifte Norsk senter for informasjonssikring (NorSIS) bør også overlates til andre, mener utvalget.

 NSM har siden  opprettelsen i 2003 blitt en stadig mer sentral kilde til informasjon og rådgivning knyttet til digital sikkerhet. Og det har det vært behov for. Cyberkriminalitet som trusselfaktor har økt i takt med digitaliseringen av samfunnet. Det er nok også årsaken til at forslaget til vingeklipping av NSM ikke bare høster lovord.

Blant kritikerne er direktør for cybersikkerhet, Thomas Tømmernes, i Atea. Han frykter en omstrukturering av NSM vil skade etablerte strukturer for samarbeid som i dag eksisterer mellom myndigheter og næringsliv på sikkerhetsområdet. Det vil kunne få negative konsekvenser, spesielt for små og mellomstore bedrifter som ikke selv har ressurser og kompetanse til å sikre seg tilstrekkelig mot kjente og ukjente trusler.

At virkelighetsforståelsen rundt cybertrusler i ikke er helt patent i Norge, kommer tydelig frem i en undersøkelse gjennomført av fagorganisasjonen NITO. Der oppgir et overveldende stort antall norske ingeniører og teknologer at cybersikkerheten hos sin arbeidsgiver er «svært god». På en skala fra en til seks ligger snittet på fem!

Det mener NITO er et tegn på en generell manglende risikoforståelse i befolkningen – som er en oppfatning det er lett å dele. All empiri tilsier at mange norske virksomheter, spesielt mindre bedrifter, er langt unna å ha tilstrekkelig beredskap til å håndtere både små og store sikkerhetshendelser. Det kan derfor ikke råde tvil om at det er et stort behov for informasjon og rådgivning.

 Hvorvidt  NSM skal fylle den rollen kan diskuteres. Men er det ikke NSM, må det være noen andre. Utvalget tar til orde for å legge ansvaret til Digitaliseringsdepartementet. Tanken er at departementet allerede har ansvar for regjeringens arbeid med digitalisering og adopsjon av KI, og at digital sikkerhet hører naturlig sammen med det. Og det er jo sant.

Likevel skal vi være forsiktige med å endre for mye på en struktur mange i dag mener fungerer godt. Et samfunn som er godt opplyst om digitale farer og hvordan man kan beskytte seg, fordrer et godt samarbeid mellom fagmiljø i offentlig og privat sektor. Det må bevares, uavhengig av eventuelle omstruktureringer av NSM.