2.1    Hva menes med nasjonal kontroll?

Begrepet “nasjonal kontroll” er omtalt i stortingsmeldingen Nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet

Hvorfor er nasjonal kontroll av IKT-tjenester viktig for Norge? 

Nasjonal kontroll av IKT-tjenester er viktig for å beskytte data og tjenester i norske virksomheter og for å hindre at Norge kommer i et for stort avhengighetsforhold til andre land. Slike vurderinger foregår ikke bare i Norge. Også på nasjonalt nivå i flere europeiske land, og sentralt på EU-nivå, står denne og beslektede problemstillinger høyt på agendaen (kilde: EU). 

Nasjonal kontroll for IKT-tjenester i praksis

En rekke IKT-tjenester er viktige for myndighetsutøvelse og for å ivareta viktige funksjoner i samfunnet. Disse IKT-tjenestene bør i større grad være under nasjonal kontroll. Nasjonal kontroll for IKT-tjenester innebærer at: 

  • utvalgte norske data og tjenester er underlagt reell norsk teknisk og juridisk kontroll og at man med høy grad av sannsynlighet kan utelukke at utenlandske selskaper og andre land har teknisk tilgang til norske data og tjenester. Dette innebærer at det ikke skal være teknisk mulig for noen utenfor Norge (inkludert utenlandske leverandører og andre lands myndigheter) å lese, manipulere eller sabotere norske data og tjenester.
  • data og tjenester skal fungere godt i hele krisespekteret uten å komme i konflikt med forrige punkt. 

Beslektede begreper: Digital suverenitet og autonomi 

Utenfor Norge benyttes begrepet «digital suverenitet» om tilsvarende utfordringer. Dette gjelder både i EU (ekstern lenke) og de enkelte medlemsland. Begrepet «digital suverenitet» har ofte en bredere betydning enn «nasjonal kontroll». Blant annet brukes begrepet digital suverenitet også i at Europa bør bli mer selvforsynt på utvikling og produksjon av programvare og maskinvare. Dette er ikke en sentral del av denne rapporten. Det kan også nevnes at man i flere land benytter begrepet «sovereign cloud» i omtale av ulike prosjekter for nasjonale skytjenester.

I en del sammenhenger benyttes også begrepet «autonomi». Dette omfatter et systems evne til å være uavhengig av andre systemer. I praksis vil det si at et autonomt system skal fungere selv om forbindelsen til omverden brytes. Man kan for eksempel ha lokal, regional eller nasjonal autonomi. Et eksempel på regional autonomi er at man kan kommunisere internt i Nord-Norge selv om en sentral enhet på Østlandet feiler. Denne rapporten fokuserer i så henseende på nasjonal autonomi. Eksempelvis at systemer i Norge skal virke selv om landets utenlandsforbindelser skulle bli brutt for en kortere eller lengre periode.

Forholdet mellom nasjonal kontroll og andre varianter av geografisk kontroll  

Det er ikke alltid det er hensiktsmessig at data og tjenester er under nasjonal kontroll. I noen tilfeller vil slike begrensninger også kunne være i strid med konkurransemessige hensyn og hensynet til fri fly av varer og tjenester i EUs indre marked.

Rapporten omtaler mest behovet for nasjonal kontroll i forbindelse med en IKT-tjeneste. Rent teoretisk (dvs. uavhengig av nåværende nasjonale og internasjonale regelverk) bør man likevel være oppmerksom på flere varianter: 

  • Med «nasjonal kontroll», så har man ideelt sett ingen digitale avhengigheter utenfor Norge.
  • Med «nordisk kontroll», så har man ideelt sett ingen digitale avhengigheter utenfor Norden.
  • Med «europeisk kontroll», så har man ideelt sett ingen digitale avhengigheter utenfor Europa.
  • Med «vestlig kontroll», så har man ideelt sett ingen digitale avhengigheter utenfor vestlige land, primært NATO-land i tillegg til noen andre land.

Det er i dag flere regelverk som systemeiere må være oppmerksom på. Et relevant eksempel er europeisk regelverk som kan hindre krav om utelukkende nasjonale leverandører. Alle europeiske leverandører skal da kunne levere et tilbud i forbindelse med IKT-anskaffelser. Slike regelverk er avhengig av hva slags data og tjenester det dreier seg om. Det kan da være relevant for noen å lese denne rapporten slik at man i alle fall bør sikre at IKT-tjenesten er under europeisk kontroll, dvs. ideelt sett ikke har avhengigheter utenfor Europa. 

2.2 Utenlandske avhengigheter kan ikke unngås

Det sies at Norge ikke kan bli hundre prosent selvforsynt på matvarer. Det samme gjelder også IKT-produkter og IKT-tjenester. Det er ikke realistisk at Norge selv kan produsere nok maskinvare og programvare. Det er heller ikke realistisk at Norge blir hundre prosent selvforsynt på IKT-tjenester. Det er heller ikke alltid at det er hensiktsmessig.

Det kan bli krevende å oppnå stordriftsfordeler, tilgang til kompetanse og tjenester, ny innovasjon, og samtidig ha nasjonal kontroll.

Ideelt sett, med hensyn til nasjonal kontroll, kan det være ønskelig at datasenter er lokalisert i Norge, all drift og support foregår i Norge, selskap, materiell og rettigheter er norskeid, all maskinvare og programvare er utviklet og produsert i Norge, osv. Dette idealet er naturligvis ikke realistisk. 

Det er derfor nødvendig å foreta en del valg som kan bidra til reduksjon av risiko. Man bør etterstrebe en hensiktsmessig balanse av nasjonal kontroll, funksjonalitet og økonomi. 

Virksomheter må gjøre en risikovurdering av hvilke land man har avhengigheter til og hvilke land man kan tillate seg å ha avhengigheter til. Det bør gjøres en vurdering ut i fra en rekke forhold som er beskrevet i NSMs temarapport om landvurderinger. Som en tommelfingerregel kan det antas at land i Norges politiske nærhet i utgangspunktet har lavest risiko. Landvurdering er relevant i forbindelse med vurdering av eierskap, plassering av datasentre, plassering av personell samt ved import av maskinvare og programvare. 

2.3 Forslag til ulike nivåer av nasjonal kontroll 

Virksomheter, systemer, og verdier er ulike og er underlagt ulike regelverk. Det kan være hensiktsmessig å ha ulike nivåer for nasjonal kontroll. Dette kan både være mer kostnadseffektivt og gi tilstrekkelig fleksibilitet og valgmulighet. 

Man kan se for seg at en IKT-tjeneste kan ha en av følgende:

  • lav grad av nasjonal kontroll 
  • middels grad av nasjonal kontroll 
  • høy grad av nasjonal kontroll 

Et fjerde nivå kan gjelde graderte systemer underlagt sikkerhetsloven. 

De ulike nivåene kan inneholde ulik bruk av de ulike vurderingsfaktorene som nevnes i rapportens kapittel 3 om faktorer for nasjonal kontroll av IKT-tjenester

2.4 Har din IKT-tjeneste behov for nasjonal kontroll? 

Ikke alle IKT-tjenester i norske virksomheter trenger økt grad av nasjonal kontroll. I mange tilfeller kan internasjonale avhengigheter ha liten betydning, og nytteverdien av å fritt kunne benytte løsninger fra utenlandske leverandører kan være stor.

Utgangspunktet bør være at man vurderer tjenesten i lys av hvilken funksjon tjenesten har og hvor viktig funksjonen er for virksomheten og de som bruker tjenesten. Følgende kan være nyttig ved en slik vurdering: 

  1. Vurdere relevant gjeldende regelverk, men forsøk å ha et langt tidsperspektiv. Regelverk er ikke alltid oppdatert til den teknologiske utvikling og den internasjonale sikkerhetspolitiske situasjon.
  2. Vurderingene bør omfatte både data, metadata og selve tjenesten mht. konfidensialitet, integritet og tilgjengelighet.
  3. Vurderingene bør inkludere hele krisespekteret.
  4. Ta også hensyn til at tjenester ofte bygges opp av flere underliggende tjenester, som kan ha uklare internasjonale forgreninger. 
  5. Vurder også om det for eksempel er tilstrekkelig med «europeisk kontroll», ref. punkt 2.1 i dette kapittelet. 

2.5    Hvor bør en virksomhet begynne?

Rapporten tar frem flere faktorer for nasjonal kontroll av en tjeneste. Disse kan være krevende å vurdere for den enkelte virksomhet. Hvis virksomheten vurderer at det er behov for økt nasjonal kontroll av en tjeneste, bør man i første omgang se på følgende:

  • Faktor nr.1: Bør tjenestene kun benytte datasentre i Norge? 
  • Faktor nr.2: Bør alle lag driftes og støttes (support) av personell som er i Norge?
  • Faktor nr.3: Har man tilstrekkelig beredskap for hele krisespekteret? Hvordan blir andre virksomheter eller samfunnet påvirket hvis min virksomhets tjenester bortfaller midlertidig eller for alltid. 

Dersom overnevnte faktorer ikke er vurdert, er det fare for at virksomheten har en iboende sårbarhet som må håndteres. En slik sårbarhet kan bli både en virksomhetsmessig og en nasjonal sårbarhet. I så fall bør virksomheten ta tak i disse utfordringene.