Situasjonsforståelse basert på et godt informasjonsgrunnlag er helt avgjørende for gode og rettidige beslutninger. Det er en grunnleggende forutsetning for sikkerhetsarbeidet på alle nivåer i offentlige og private virksomheter. Dette gjelder i fred, krise og krig. 

God situasjonsforståelse er nødvendig for at myndigheter og virksomheter skal kunne møte fremtidige sikkerhetsutfordringer med presise sikkerhetstiltak i et defensivt sikkerhetskonsept. Det innebærer tilstrekkelig kunnskap om det gjeldende trusselbildet i og mot Norge, hvilke verdier som må beskyttes og hvilke sårbarheter som kan utnyttes av trusselaktører. 

Situasjonsbildet for nasjonal sikkerhet avhenger av ståsted og vil være ulikt avhengig av myndighetsnivå, sektor eller bransje. Det må likevel være et mål at nasjonale, regionale og kommunale myndigheter har en omforent situasjonsforståelse av trussel- og risikobildet. Det er vanskelig å lykkes med en helhetlig sikkerhetsstyring fra myndighetenes side uten denne forståelsen. 

Gode, rettidige beslutninger om tiltak som responderer på sikkerhetstruende hendelser med betydning for flere sektorer, kan vanskelig fattes uten en omforent situasjonsforståelse på tvers av sektorene. Derfor er det en klar sammenheng mellom situasjonsforståelse og responsevne.  

Sikkerhetsutfordringer

Myndighetene har mangelfull situasjonsforståelse 

Det er avgjørende at nasjonale, regionale og lokale myndigheter har en god og omforent situasjonsforståelse for å kunne avdekke, forhindre og håndtere sikkerhetstruende aktivitet. 

Det finnes allerede flere mekanismer for informasjonsdeling og samordning for å skape bedre situasjonsforståelse hos myndighetene. Dette har bidratt til økt situasjonsforståelse på flere myndighetsnivå, men det er ikke utnyttet i tilstrekkelig grad på nasjonalt nivå.

Både departementer og virksomheter har mangelfull oversikt over og forståelse av risikobildet. Som følge av dette har ikke myndighetene de nødvendige forutsetningene for å bygge et rettidig situasjonsbilde. Samlet sett betyr det at forebyggende sikkerhetsarbeid på alle nivå blir utilstrekkelig, og at myndighetenes responsevne risikerer å være reaktiv og fragmentert. Norge oppnår dermed ikke et forsvarlig nasjonalt sikkerhetsnivå. 

Rapportering om sikkerhetsstatus på skjermingsverdige verdier og kritiske samfunnsfunksjoner skjer i flere forskjellige løp og er ikke tilstrekkelig dekkende i alle sektorer. Rapporteringen av sikkerhetsstatus er én av flere kilder i et helhetlig situasjonsbilde for nasjonal sikkerhet. Fragmentert rapportering fører til et mangelfullt nasjonalt situasjonsbilde.

Ufullstendig situasjonsforståelse kan også forhindre myndighetene fra å formidle et dekkende trussel- og risikobilde til befolkningen. Det kan svekke årvåkenhet og motstandskraft.

Virksomheter har ikke tilstrekkelig tilgang til trussel- og sikkerhetsinformasjon 

EOS-tjenestene er en felles betegnelse for etterretnings- og sikkerhetstjenestene i Norge. De består av Etterretningstjenesten, Politiets sikkerhetstjeneste (PST) og Nasjonal sikkerhetsmyndighet (NSM). 

Hvert år publiserer EOS-tjenestene ugraderte rapporter om det nasjonale trussel- og risikobildet. Informasjonen er tilgjengelig for alle, og rapportene er viktige bidrag til virksomheters strategiske risikoarbeid. I tillegg mottar en rekke private og offentlige virksomheter graderte trussel- og risikovurderinger fra EOS-tjenestene, avhengig av situasjon og behov.

Vurderingene dekker imidlertid ikke det løpende behovet til virksomheter og sektorer for oppdatert trussel- og sikkerhetsinformasjon. Spesielt gjelder dette i cyberdomenet, der risikobildet er svært dynamisk. Endringer må fanges opp tidlig og formidles raskt dersom virksomhetene skal være i forkant av trusler. 

Flere virksomheter og sektorer etterlyser mer spesifikk informasjon fra myndighetene om trussel- og risikobildet for egen sektor. Det finnes en rekke bransjespesifikke fora og samordningskanaler for å dele informasjon til ulike virksomheter og sektorer. Mange av disse er imidlertid ad-hoc-preget og mangler systematikk og kontinuitet. Det er også flere virksomheter, både offentlige etater og private bedrifter, som ikke er tilknyttet slik informasjonsdeling. Det er et uutnyttet potensial i deling av datagrunnlag og sikkerhetsinformasjon mellom virksomheter og myndigheter.

Enkelte internasjonale selskaper utgir åpent tilgjengelig informasjon om cybertrusler. Nasjonalt bidrar større virksomheter som DNB, Telenor og NRK til økt situasjonsforståelse gjennom publisering av egne risiko- og trusselvurderinger. 

Innen cyberdomenet er trusseletterretning stadig viktigere for å øke cybersikkerheten i virksomheter. Trusseletterretning er informasjon eller data som er samlet inn, bearbeidet og analysert for å forstå trusselaktørers intensjon, kapasitet og adferd. Trusseletterretning som tjeneste tilbys av en rekke private sikkerhetsselskaper.

En annen viktig kilde til informasjon er samfunns- og sikkerhetspolitiske rapporter fra forvaltning og forskning. En virksomhet som ikke forstår trusselbildet eller at de er et mål for en trusselaktør, har heller ingen insentiv til å avsette tilstrekkelige ressurser til å beskytte verdier og redusere sårbarhetene. Dermed har virksomheten ikke mulighet til å speile trusselen med effektive mottiltak. 

Tilgang til relevant trussel- og sikkerhetsinformasjon er avgjørende for virksomheters sikkerhetsarbeid og regelmessig oppdatering av risikovurderinger. Oppdatert trussel- og sikkerhetsinformasjon kan endre premissene for gjeldende risikovurdering og dermed fordre en ny vurdering med nye tiltak. 

For virksomheter er både kompetanse og ressurser nødvendig for å kunne oversette trusselinformasjonen slik at den blir forstått og brukt i risikovurderinger. Flere sektorer og virksomheter mangler disse forutsetningene for å beskytte verdier med betydning for nasjonal sikkerhet.  

Lav innrapportering av hendelser bidrar til mangelfullt situasjonsbilde

For å oppnå et helhetlig situasjonsbilde på nasjonalt nivå er det helt nødvendig at virksomheter rapporterer om sikkerhetstruende hendelser de blir utsatt for. Undersøkelser viser at det er betydelig underrapportering av slike hendelser. Mørketallsundersøkelsen fra Næringslivets sikkerhetsråd i 2022 viser for eksempel at kun én prosent av virksomhetene innrapporterer cybersikkerhetshendelser til Nasjonalt cybersikkerhetssenter (NCSC) i NSM. NSM har også andre kilder som peker på underrapportering av sikkerhetstruende hendelser. Årsaker til manglende rapportering kan være at hendelser kun blir varslet internt, at de ikke blir ansett som varslingsverdige, av omdømmehensyn eller at hendelsene ikke blir avdekket i det hele tatt.

Når enkelthendelser ikke blir rapportert, får verken NSM eller andre myndigheter informasjon til å danne et helhetlig situasjonsbilde. 

Virksomheter har ikke løsninger for sikkerhetsgradert samhandling

Mange offentlige og private virksomheter har behov for sikkerhetsgradert informasjon, men mangler mulighet for å motta den. Dette er spesielt alvorlig når det gjelder virksomheter som er en del av totalforsvaret. Målrettede mottiltak er i mange sammenhenger avhengig av detaljert og gradert informasjon for å kunne settes inn rettidig og presist. Manglende tilgang på digitale løsninger og lokaler for høygradert tale reduserer responsevnen. 

Anbefalinger

Et sivilt-militært situasjonssenter bør opprettes på strategisk nivå 

Senteret skal sikre politisk ledelse tilstrekkelig kunnskap om situasjonen og tilgang på helhetlig og rettidig beslutningsstøtte. Det bør plasseres i umiddelbar nærhet til regjeringen. En strategisk plan- og analysefunksjon knyttet til senteret skal utarbeide handlingsalternativer for å håndtere sikkerhetstruende aktivitet. Senteret må ha tilgang til rettidig trussel- og risikoinformasjon og situasjonsbilder fra både forsvarssektoren og sivile sektorer.

Strukturer for samhandling, informasjonsutveksling og rapportering bør styrkes i hver sektor 

Formålet er å øke situasjonsforståelsen i alle sektorer og bygge grunnlag for sektorvise situasjonsbilder. Eksisterende samarbeidskanaler mellom NSM og sektorene bør videreutvikles. Dette kan gjøres ved å videreutvikle konseptet med sektorvise responsmiljø, som jobber med digital sikkerhet.  Både private og offentlige virksomheter må være en del av disse strukturene. Gjensidig informasjonsutveksling mellom virksomheter og EOS-tjenestene bidrar til å bygge situasjonsforståelse i virksomheter og hos myndigheter. 

Regelmessig rapportering om sikkerhetstilstanden til verdier med betydning for nasjonal sikkerhet danner grunnlag for sektorvise situasjonsbilder. Denne sikkerhetstilstanden bør rapporteres regelmessig til sektordepartementet og NSM, slik at det blir etablert en helhetlig oversikt. Oversikten for sikkerhetstilstand bidrar inn i et felles situasjons- og risikobilde for nasjonal sikkerhet. 

For å styrke situasjonsforståelsen i alle sektorer er det avgjørende med distribusjon og tilgjengeliggjøring av relevant trussel- og sikkerhetsinformasjon. EOS-tjenestene må i større grad tilpasse gradert trussel- og sikkerhetsinformasjon til et ugradert nivå. Informasjonen må formidles rettidig til virksomheter som har bruk for dette.

Myndighetene må legge til rette for at alle virksomheter som har behov for sikkerhetsgradert informasjon, har tilgang til graderte samhandlingsløsninger og lokaler for gradert tale. Styrket samhandling, situasjonsforståelse og kommunikasjonsevne mellom virksomheter og myndigheter øker styringsevnen.

Strukturer for samhandling om nasjonal sikkerhet bør styrkes på regionalt og kommunalt nivå

Formålet er å øke situasjonsforståelsen regionalt og lokalt. Myndigheter med ansvar for nasjonal sikkerhet og beredskap bør samarbeide om å videreutvikle samhandlingsstrukturer for sikkerhet på regionalt og kommunalt nivå. Strukturene bør sikre at aktørene får tilstrekkelig tilgang på relevant trussel- og sikkerhetsinformasjon. Økt situasjonsforståelse på disse nivåene styrker evnen til å avdekke sikkerhetstruende aktivitet og dermed bidra til et helhetlig nasjonalt situasjonsbilde. Nasjonal sikkerhet må tydeliggjøres i instrukser som gjelder kommunalt og regionalt nivå.