Utfordringer med dagens beredskapsorganisering – og en mulig løsning
Det finnes i dag ingen mekanismer som ivaretar informasjonsdeling til hele næringslivet under en sikkerhetshendelse. Kan opprettelsen av Næringslivets beredskaps- og sikkerhetssenter være løsningen?
Tekstbidrag fra:
Odin Johannesen, Direktør i Næringslivets Sikkerhetsråd (NSR)
På bakgrunn av Forsvarskommisjonens og Totalberedskapskommisjonens rapporter og høringsinnspill, Nasjonalt sikkerhetsfaglig råd, og egne erfaringer har NSR (Næringslivets Sikkerhetsråd) identifisert en rekke utfordringer med dagens organisering av sikkerhets- og beredskapssamarbeidet mellom myndigheter og næringsliv. Disse identifiserte utfordringene er bakteppet for NSRs konseptuelle utvikling av en ny samarbeidsmekanisme om sikkerhet og beredskap.
Norsk næringsliv er mangfoldig
I Norge har vi 208 800 virksomheter med minst én ansatt. Bare 1,9 prosent er store bedrifter med mer enn 100 ansatte. Resten (98,1 prosent) er små og mellomstore bedrifter, med færre enn 100 ansatte. Rundt en tredjedel av virksomhetene med registrerte ansatte er medlem av en arbeidsgiverorganisasjon.
Det finnes per i dag ingen mekanismer som ivaretar varsling/ informasjonsdeling til hele næringslivet under en hendelse. Det er derfor krevende for de ulike sikkerhets- og beredskapsmyndighetene å forholde seg til et komplekst næringsliv, som består av hundretusenvis av enkeltstående bedrifter i en flat struktur.
Det offentlige Norge består av en rekke ulike beredskapsmyndigheter på kommunalt, regionalt og nasjonalt nivå.
Alle de 357 kommunene har etter sivilbeskyttelsen plikt til blant annet å ha en kriseledelse, risikoanalyse og beredskapsplan. På lokalt nivå er det også 275 brannvesen, organisert under kommunene.
På regionalt nivå er det 10 statsforvalterembeter, 12 politidistrikt, og 11 heimevernsdistrikt.
På nasjonalt nivå har man, som følge av ansvarsprinsippet (sektorprinsippet), en rekke myndigheter som har ulike ansvarsområder innenfor sikkerhet og beredskap. Noen eksempler er Forsvaret, E-tjenesten, Politidirektoratet, Politiets sikkerhetstjeneste, Kripos (herunder NC3), Økokrim, Nasjonal sikkerhetsmyndighet (herunder NCSC), Direktoratet for samfunnssikkerhet og beredskap, Kystverket, Direktoratet for atomberedskap, Hovedredningssentralen, Statens Vegvesen, NVE, Meteorologisk institutt, Mattilsynet, Tolletaten, Norges bank, Sjøfartsdirektoratet, Havindustritilsynet, Nasjonal kommunikasjonsmyndighet, samt departementene, og flere andre organer. Alle disse organene kommuniserer med næringslivet på ulikt vis.
På nasjonalt nivå finnes det flere overordnede arenaer for sikkerhets- og beredskapskoordinering. Et sentralt planverk er Nasjonalt beredskapssystem, som består av Beredskapssystem for Forsvaret (BFF) og Sivilt beredskapssystem (SBS). Mange av tiltakene i disse planverkene berører næringslivet direkte og indirekte.
Svært få næringslivsaktører har likevel innsikt i planverket, eller i hvilke tiltak som til enhver tid er iverksatt, fordi begge deler er sikkerhetsgradert. Få i næringslivet er sikkerhetsklarert, og det finnes ingen fullgode samarbeidsmekanismer mellom næringslivet og offentlige myndigheter for slike sikkerhetssaker.
Digital sikkerhet har utviklet seg til å være et tema som angår hele samfunnet, og berører alle sektorer.
Digital sikkerhet
Digital sikkerhet er avgjørende for å ivareta velferdssamfunnet, viktige samfunnsfunksjoner og nasjonale sikkerhetsinteresser. Stadig flere tjenester i samfunnet, både offentlige og private, blir digitaliserte. Dette gjør at digitale infrastrukturer og systemer blir bærere av flere og flere verdier for både offentlige, private og frivillige aktører. Samfunnets avhengighet av systemene øker. Risiko og sårbarhet i kompleks teknologi og sammenkoblede systemer, den premissgivende rollen til store internasjonale teknologiselskaper og utviklingen i det digitale trusselbildet har bidratt til at digital sikkerhet har utviklet seg til å være et tema som angår hele samfunnet, og berører alle sektorer.
Næringslivets rolle i arbeidet med nasjonal digital sikkerhet blir stadig mer sentral for forebygging og hendelseshåndtering. Private aktører eier og drifter en stor del av den norske kritiske infrastrukturen. I tillegg har private virksomheter betydelig digital system- og spisskompetanse. Det å avdekke sårbarheter, arbeide med risiko-reduksjon og håndtering av hendelser er derfor en felles oppgave for både offentlig og privat sektor.
Nasjonal sikkerhetsmyndighet (NSM)
Nasjonal sikkerhetsmyndighet (NSM) slår i sitt sikkerhetsfaglige råd fast at situasjonsforståelse er nødvendig for at myndigheter og virksomheter skal kunne møte fremtidige sikkerhetsutfordringer med presise sikkerhetstiltak. Et slikt bilde bygger på kunnskap om det gjeldende trusselbildet, hvilke verdier som må beskyttes og hvilke sårbarheter som kan utnyttes. Myndighetene og virksomhetene har mangelfull situasjonsforståelse på grunn av utilstrekkelig tilgang til trussel- og sikkerhetsinformasjon. Regelmessig rapportering om sikkerhetstilstanden til verdier med betydning for nasjonal sikkerhet danner grunnlag for sektorvise situasjonsbilder. Majoriteten av norsk næringsliv har ikke et eget sektorvis responsmiljø (SRM).
Etableringen av et sikkerhets- og beredskapssenter i og for næringslivet vil styrke evnen til både deteksjon og forebygging gjennom betydelig forbedret situasjonsforståelse.
Justis- og beredskapsdepartementet har et samordningsansvar for digital sikkerhet, og en generell samordningsrolle på samfunnssikkerhetsområdet på sivil side. NSM skal, som det nasjonale fagmiljøet for digital sikkerhet, understøtte og bidra til utøvelsen av sikkerhetsarbeidet i både offentlig og privat sektor. Utøvelsen gjøres av Nasjonalt cybersikkerhetssenter (NCSS). NSR har siden oppstarten i 2019 vært partner i dette samarbeidet. Partnerskapet gir NSR innblikk i den til enhver tid gjeldende sikkerhetssituasjonen, samtidig som vi er en del av et nasjonalt nettverk for kunnskapsformidling om og forebygging av digitale sikkerhetshendelser.
Arbeidet med digital sikkerhet i ulike sektorer er organisert gjennom sektorvise responsmiljøer (SRM). I dag finnes det rundt 20 SRM-er. Kraftbransjen, helsesektoren, justissektoren, Forsvaret, Regjeringen og ekom-sektoren er eksempler på sektorer som har sitt eget digitale responsmiljø. I næringslivet har noen bransjer gått sammen om å etablere egne sentre for digital sikkerhet, slik som for eksempel rederiene (Norma Cyber), kraft- og oljebransjen (KraftCERT), samt finansbransjen (NFCERT). Noen av disse er, eller er i ferd med å bli, formelt utpekt som SRM av ansvarlige departementer.
Den største delen av næringslivet er imidlertid ikke knyttet til et sektorvis responsmiljø. Det betyr at de fleste bedrifter i dag ikke er i et system for varsling og informasjonsdeling om digital sikkerhet. NSR har gjennom sitt arbeid generelt og med Mørketallsundersøkelsen spesielt, etablert et godt bilde av cybersikkerheten i næringsliv og virksomheter på et nasjonalt nivå. Vi er særlig bekymret for digital sikkerhet i små og mellomstore bedrifter, som i dag ikke er en del av de sektorvise responsmiljøene. Disse bedriftene er viktige spillere i verdikjedene til de store virksomhetene i Norge. Vi vet også at det er i denne kategorien vi finner flest virksomheter som heller ikke har et rammeverk og/eller styringssystem for informasjonssikkerhet, noe som ytterligere øker virksomhetens sårbarhet overfor cyberhendelser. I dette bildet er det spesielt viktig med et SRM som kan motta og videresende varsler og råd knyttet til digital sikkerhet på en forutsigbar, kontrollert og sikker måte. Videre er det behov for et SRM som kan motta rapporter fra næringslivet, og vurdere og videreformidle et aggregert situasjonsbilde til myndighetene.
Mange bransjer har oppdaget denne sårbarheten, og ønsker å opprette egne sektorvise responsmiljø. Dette er etter vårt syn en uheldig utvikling. Ved å etablere et stort antall små, bransjeorienterte sentre for digital sikkerhet vil man trolig ikke oppnå tilstrekkelig kvalitet og dybde i hvert enkelt senter. Samtidig vil kampen om kvalifisert arbeidskraft bli stor. En ukontrollert utvikling av stadig nye SRM-er er derfor ikke ønskelig i et overordnet sikkerhetsperspektiv.
På oppdrag fra Justis- og beredskapsdepartementet gjennomførte KPMG i 2022 en evaluering av ordningen med sektorvise responsmiljøer (SRM). Formålet med evalueringen var å etablere et beslutningsgrunnlag for den videre utviklingen av SRM-ordningen. Evalueringen viste at det er stor variasjon i modenhet, omfang, kompetanse og innretning mellom de ulike SRM-ene. KPMG anbefaler at det etableres tre standardiserte nivåer av sektorvise responsmiljøer, der minimumskravene øker med virksomhetens betydning for grunnleggende nasjonale funksjoner.
Det finnes per i dag ingen mekanismer som ivaretar varsling/informasjonsdeling til hele næringslivet under en hendelse.
For å møte disse utfordringene arbeider NSR med et nytt konsept for sikkerhet og beredskap i næringslivet. Vi ønsker å etablere Næringslivets beredskaps- og sikkerhetssenter (NBSS). NBSS skal være et senter for styrking av fysisk sikkerhet, digital sikkerhet og beredskap i norsk næringsliv, men ikke erstatte eksisterende samarbeidsordninger mellom næringslivet og offentlige myndigheter der det allerede er velfungerende samarbeidsmekanismer.
NSR tror det er store synergier i å se et senter for digital sikkerhet i sammenheng med et senter for fysisk sikkerhet og beredskap. Evne til å sende og motta varsler til hele næringslivet vil være en grunnleggende funksjonalitet for senteret, uavhengig av hendelsestype. For den store andelen små og mellomstore bedrifter vil trolig snevre avgrensninger mellom fysisk sikkerhet, digital sikkerhet og beredskap fremstå uforståelig. Ved å konsentrere seg om ett senter, skaper man forutsigbarhet hos denne målgruppen. Overfor myndigheter og andre samarbeidspartnere vil også ett senter bidra til at innslagspunktet til næringslivet forenkles.
Forsvarskommisjonen
Forsvarskommisjonen slår fast betydningen av kunnskap og bevissthet om sikkerhetssituasjonen for det grunnleggende beredskapsarbeidet, og at denne informasjonen må deles på tvers av sektorer, inkludert privat sektor, for å bedre forsvarsvilje og styrke forsvarsevnen. Næringslivets og industriens rolle i totalforsvaret bør tydeliggjøres, og knyttes sterkere til strukturene for nasjonal beredskap og krisehåndtering. På samme måte som for skipsfarten, som har en etablert beredskapsstruktur, bør det bygges opp rutiner og prosesser for beredskap og samarbeid med andre sentrale deler av det private næringsliv, herunder transport, IT, digitale tjenester og vitale forsyninger.
Direktoratet for samfunnssikkerhet og beredskap (DSB)
Direktoratet for samfunnssikkerhet og beredskap (DSB) er enig med Totalberedskapskommisjonens anbefaling om å inkludere næringslivet i sentralt, regionalt og lokalt beredskapsråd. Samtidig peker de på at det erfaringsmessig har vært krevende å velge ut hvilke næringslivsaktører som skal delta på de ulike samordnings- og krisehåndteringsarenaene: «Arenaene kan ikke romme alle aktørene på grunn av mengden næringslivsaktører veiet opp mot effektiv samordning».
Et essensielt sikkerhetsorgan
Næringslivets beredskaps- og sikkerhetssenter (NBSS) skal styrke samholdet og informasjonsflyten for landets organiserte næringsliv. Dette skal sørge for et sterkere sikkerhetsgrunnlag på tvers av norsk næringsliv.
NBSS...
... ER ET INITIATIV fra det organiserte næringslivet for å styrke sikkerhets- og beredskapsarbeidet i næringslivet gjennom økt informasjonsdeling og samarbeid, men uten formelt ansvar eller myndighet. Senteret kan ikke pålegge bedrifter tiltak eller binde næringslivets ressurser på noen måte.
... SKAL VÆRE ET KONTAKTPUNKT for offentlige sikkerhets- og beredskapsmyndigheter mot næringslivet, for eksempel ved behov for bistand fra næringslivet, eller ved behov for å dele informasjon til næringslivet.
... SKAL REPRESENTERE OG IVARETA næringslivets felles-interesser i myndighetenes regionale og nasjonale beredskapsrådsstrukturer.
... SKAL ORGANISERE næringslivets regionale beredskapsrepresentasjon, slik at næringslivet fremstår mest mulig samlet i regionale beredskapsstrukturer. NBSS skal motta innkallinger, referater og situasjonsoppdateringer fra regionale beredskapsstrukturer, samt rapporter fra regionale beredskapskontakter/liaisoner. Denne informasjonen brukes til å bygge et nasjonalt situasjonsbilde som primært skal benyttes til støtte for egen forebyggende virksomhet, men som ved behov kan deles med bedrifter, næringsorganisasjoner og andre aktører.
.. SKAL SØRGE FOR at bedrifter, næringsorganisasjoner og andre aktører kan medvirke i det regionale beredskapsarbeidet.
... SKAL BISTÅ de regionale beredskapsrepresentantene med praktisk beredskapsarbeid, herunder varsling og informasjonsdeling, informasjonsmøter og forankring av posisjoner.
... SKAL BYGGE et nasjonalt situasjonsbilde, som ved tjenstlig behov skal kunne deles med bedrifter, næringsorganisasjoner, myndigheter og andre aktører. NBSS skal vedlikeholde varslingslister for utsending av slik informasjon. Det er et mål at NBSS skal sikre mest mulig lik situasjonsforståelse mellom aktører på næringslivssiden, og skal kunne ta initiativ til graderte og ugraderte orienteringer til relevante aktører ved behov.
... SKAL VÆRE FORBEREDT på å representere næringslivet i nasjonale råd, forum og utvalg om sikkerhet og beredskap. Det kan for eksempel være i DSBs nasjonale samvirkekonferanser, Sentralt totalforsvarsforum og lignende.
NBSS skal være et senter for styrking av fysisk sikkerhet, digital sikkerhet og beredskap i norsk næringsliv.
... SKAL HA EVNE til varsling og informasjonsdeling til alle norske bedrifter, basert på offentlige og tilgjengelige data. NBSS skal også ha evne til sikker og fortrolig informasjonsdeling til det profesjonelle beredskaps- og sikkerhetsmiljøet i næringslivet og næringsorganisasjonene, gjennom et nytt system for ugradert informasjonsdeling.
... SKAL KUNNE TA IMOT varsler fra næringslivet, veilede og eventuelt henvise til riktig myndighet eller bistandsressurs. Varslingsmottaket vil også bidra til at man kan bygge et systematisk og overordnet situasjonsbilde fra næringslivet som kan deles til myndighetene.
... SKAL KUNNE UTVIKLES til et sektorvis responsmiljø/sektorvis cybersikkerhetssenter med meget begrensede ambisjoner for de deler av næringslivet som i dag ikke er underlagt et etablert responsmiljø (nivå 1 i henhold til KPMGs anbefalte nivådeling).
Behovet for et sektorvis responsmiljø for næringslivet handler primært om bedriftenes behov for å bli varslet når myndighetene har behov for å spre sikkerhetskritisk informasjon om digital sikkerhet. I dag eksisterer det ingen varslingssystem som omfatter hele næringslivet. Et cybersikkerhetssenter for næringslivet vil også kunne være innslagspunkt for bedrifter som er rammet av ulike digitale hendelser. Dette vil kunne redusere trykket på Nasjo- nalt cybersikkerhetssenter, som i større grad vil kunne forholde seg til samfunnskritiske aktører og aggregerte situasjonsbilder fra de ulike sektorvise responsmiljøene.
... SKAL HA OVERSIKT over fagkompetanse og materiell i industrivernet, for å gjøre disse ressursene mer gripbare for myndighetene (samarbeid med NSO).
... KAN HA EN DØGNKONTINUERLIG vaktfunksjon, i første omgang for myndighetene, næringsorganisasjonene og det profesjonelle sikkerhets- og beredskapsmiljøet i næringslivet.
... ER ET FYSISK SITUASJONSSENTER i Næringslivets hus for daglig drift og behandling av gradert informasjon.
... SKAL VÆRE TILGJENGELIG på Nødnett og Nasjonalt begrenset nett, for å ha sikre og redundante kommunikasjonsløsninger med myndigheter og sentrale næringslivsaktører.
Sikkerhets- og beredskapsutfordringene vi står overfor i dag krever en mer helhetlig tilnærming, der samarbeid mellom offentlige myndigheter og næringsliv står sentralt. Etableringen av Næringslivets beredskaps- og sikkerhetssenter er et skritt i riktig retning for å møte disse utfordringene. Gjennom NBSS vil det siktes mot bedre informasjonsdeling og mer effektiv koordinering mellom næringsliv og myndigheter, og styrking av den nasjonale beredskapen. Næringslivet må integreres som en del av Norges totale beredskap, og da er det nødvendig å bygge strukturer for et effektivt og koordinert samarbeid om sikkerhet og beredskap.
Næringslivet må integreres som en del av Norges totale beredskap, og da er det nødvendig å bygge strukturer for et effektivt og koordinert samarbeid om sikkerhet og beredskap.
Totalberedskapskommisjonen
Totalberedskapskommisjonen mener det er nødvendig å innlemme næringslivet i nasjonal beredskap på en grunnleggende annerledes måte enn det som er tilfellet i dag. Næringslivet er i seg selv en beredskapskapasitet uavhengig av myndighetenes behov for leveranser. Infrastruktur, lagerbeholdninger og produksjon av varer og tjenester er ofte i privat eie, og myndighetene er avhengige av slike kapasiteter i beredskap og krisehåndtering. Næringslivet er ikke representert i råds- og beslutningsstrukturer. Mangel på etablerte fora og kontakt med sentral kriseledelse kan føre til at næringslivet kommer sent i gang med koordinering, informasjonsutveksling og samhandling. Når en krise inntreffer, er hele samfunnet avhengig av at næringslivet både har sterk nok egenberedskap og at næringslivets ressurser er gripbare i krisehåndteringen. For å avverge dette slår kommisjonen fast at næringslivet bør være integrert i den formelle beredskapsrådsstrukturen på sentralt, regionalt og lokalt nivå, og peker på NSR som et naturlig utgangspunkt for integrering av næringslivet i nasjonal beredskapssammenheng.
